Trời, đang hướng dẫn nhân viên cách xác định thế nào là Virus trong 1 USB đang có Virus, đúng lúc bác Duyệt Call 1 cái thì nhấn đúp chuột lên 1 file trong USB có biểu tượng Folder (mãi ko mở folder đó ra) và kịp định thần lại thì đó là 1 EXE file chính hiệu. Thế là ổ cứng sáng rực có chết ko cơ chứ. (Lúc đó Symantic EndPoint Protection lập tức bị Disable luôn và ko có tác dụng nữa, regedit và Task manager ko hoạt động)
Vào mạng đọc
các bài về cách diệt, đang dùng hijackthis và gửi log file lên hijackthis.de nhưng ko thấy khả nghi nào.
Vì máy tính của mình là quan trọng mới chết chứ, chưa bao giờ nhét USB ngoài vào, ko hiểu sao sáng nay tự nhiên giảng giải cho nhân viên thì lại cắm USB vào (dĩ nhiên là máy ko chạy Autorun rồi nhưng mà mắt mũi thế nào mà kick đúp chuột lên file virus dạng .exe mới chết chứ.
Giờ thì vào SafeMode và làm 1 số thao tác để bật được Registry & Task manager lên rồi. Nhưng ko biết tiếp theo Diệt Virus thế nào nữa, cũng chưa biết cách để Symantec EndPoint Protection có thể Enable lên được. (Đang thử chạy BKAV nhưng ko có hy vọng vào PM này cho lắm)
Bởi vậy mới nói đôi lúc tin tưởng vào trình diệt virus cho khi BÁN LÚA GIỐNG luôn! (lý ra trong trường hợp này, cái con Folder.exe nó phải được phát hiện trước mới đúng)
Nếu lở bị "dính chưởng" tôi sẽ làm như sau:
- Cố gắng phục hồi
Registry trước tiên (phục hồi trong Account đang chạy chứ không phải trong Safe Mode) ---> Vụ phục hồi này quá dể, thậm chí VBA cũng làm được
- Dùng
Process Explorer thay thế cho
Task Manager, xem có tiến trình nào lạ đang chạy hay không (để xác định được tiến trình nào là "LẠ" cần phải có 1 quá trình theo dỏi trước đó ---> Không có kinh nghiệm, nhìn vào cũng chỉ như "đám rừng")
- Giả sử ta phát hiện ra 3 tiến trình "LẠ" đang chạy,
hãy ghi tên vào giấy rồi cố gắng End Process chúng...
- Mở
WinRAR lên, tiếp theo End Process luôn
Explorer.exe ---> Lúc này trên màn hình Desktop chỉ còn cửa số WinRAR, hãy dùng WinRAR để duyệt file và tìm trong các ổ đỉa (nhất là
C:WINDOWS) xem có em nào có tên giống như ta vừa ghi không, nếu có hãy xóa chúng
- Cũng dùng WinRAR, xem trong các ổ đỉa gốc (C, D, E...) có em nào dạng
AutoRun.inf và các file
.exe không phải của ta thì xóa sạch
- Tìm những tên vừa ghi trong Registry (nhất là ở các key tên
Run), nếu có hãy xóa luôn
- Cố gắng tìm lập lại ít nhất 1 lần nữa để tin chắc rằng các tiến trình ấy đã bị xóa sạch
- Sau vài đợt tìm và diệt, có thể mở Windows Explore lên, Enable Folder Options và kiểm tra lại lần nữa
- Xóa rác trong các thư mục
Temp và
Temporary Internet Files
--------------
Theo tôi thì dạng virus ngụy trang kiếu Folder này không quá nguy hiểm như Conflicker ---> Nếu làm cẩn thận như tôi trình bày ở trên thì chỉ cần vài phút có thể phục hồi lại nguyên trạng
chắc là phải mua thêm con Latop nữa để dự phòng ..
