virut autorun

Sky__Love

Sky__Love

Mr & Ms Pac-Man
Tham gia ngày
2/7/06
Bài viết
194
Reaction score
0
máy của mình bị nhiễm 1 loại virut mà mỗi lần vào Mycomputer mở ổ C, D, hay E chẳng hạn, đều hiện lên mục autorun như mỗi lần mình mở đĩa CD, ai có cach' nào diệt được con virut do ko, cho mình xin.
 
Bạn thử vào ECHIP dùng các phần mềm diệt virus xem, con này ngày trướcm ình cũng bị dính phải -> Cài lại win luôn !
 
Mở ổ có chứa virus rồi gõ autorun.inf >>>nó ra cái này
autorun·ç±©
[autorun]
open=

shell\open=´ò¿ª(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=WScript.exe .\autorun.vbs


Cái đấy là địa chỉ con virus tuy nhiên xóa đi ko đựoc,bạn có thể dùng BKAV bản mới nhất hay mở file ẩn lên rồi xóa đi cũng đựoc.tuy nhiên diệt xong thì file autorun vẫn còn đó.mỗi lần mở ổ thì hơi bất tiện
 
kien2810 nói:
Mở ổ có chứa virus rồi gõ autorun.inf >>>nó ra cái này
autorun·ç±©
[autorun]
open=

shell\open=´ò¿ª(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=WScript.exe .\autorun.vbs


Cái đấy là địa chỉ con virus tuy nhiên xóa đi ko đựoc,bạn có thể dùng BKAV bản mới nhất hay mở file ẩn lên rồi xóa đi cũng đựoc.tuy nhiên diệt xong thì file autorun vẫn còn đó.mỗi lần mở ổ thì hơi bất tiện
Click to expand...

đúng như vậy mình thấy bất tiện qua' mình đã thử dùng BKAV ban mới diệt rồi mà ko được
 
Nếu ko được, bạn thử vào download BitDefender v9 Pro về diệt xem được ko ?
Vào "Cập nhật phần mềm diệt virus" ấy.
 
Hix,chào các bác.sau vài ngày ra khỏi topic này tui thấy áy náy quá,cuối cùng cũng diệt đựoc con virus quái đản ấy
thế này nhe: dùng chương trình diệt virus mạnh ấy (tôi dùng AVG7.5) diệt đuợc 2 con trong mỗi ổ là autorun.bat và autorun.vbs
sau khi diệt đuợc con này >>khởi động lại máy>>các bác còn không thể truy cập được vào các ổ nữa...hix
đùa thôi để mở ổ sử dụng windown explorer (cửa sổ +E).
sau đó cho hiện tất cả các file ẩn có trong đó.xóa tất cả các file nghi ngờ đi.thường là autorun.xxx.đâu đó 6 file thì phải>>khởi động lại máy >>>chắc là ổn(tui làm đựoc rồi)
Nếu ko thể mở được file ẩn thì dùng Winnc2000,hay totalcommader mà mở.
 
Ờ.ờ,tớ vừa dính con này vài phút trước,xài BKAV mới nhất thì diệt được rồi,thế nhưng .... giờ tớ cóc còn Options trong Tool của Window nữa T__T Tớ lại đang để chế độ ko hiển thị những file đặt Hidden.Giờ muốn hiển thị lại thì phải làm sao đây T_T Ai giúp tớ với !
 
Rồi tui biết cách diệt rồi anh em ơi, tui mới qua diendantinhoc ấy, có ông bạn tên steven_online hướng dẫn rất chi tiết, anh em kham khảo làm nhé, tui thì bị cái đầu tiên, anh em nào bị mấy cái advance hơn thì từ từ đọc mà làm nhé :D :

LƯU Ý LÀ NHỮNG ĐOẠN QUOTE SAU ĐÂY HOÀN TOÀN THUỘC VỀ BẠN STEVEN_ONLINE BÊN ĐIENANTINHOC:

Hiện tượng này mình đoán 90% là máy của bạn đã bị nhiễm virus rồi. Bạn đã quét virus nhưng vẫn còn tình trạng trên vì chương trình quét virus đã diệt hết virus nhưng còn sót lại file autorun.inf do virus tạo ra. Bạn có thể kiểm tra bằng cách click phải chuột lên ổ đĩa đó sẽ thấy dòng AutoPlay đầu tiên. Cơ chế của virus máy bạn đã bị nhiễm là tạo ra 1 file autorun.ini để thực thi file dạng virus.exe. Khi bạn double click vào ổ đĩa đã bị nhiễm virus thì chức năng autoplay của windows hoạt động và nó sẽ tự động chạy file virus.exe đó. Do đó máy của bạn sẽ bị nhiễm virus đó.
Để khắc phục tình trạng này thì bạn phải xoá file autorun.inf đó đi. Nhưng vì file đó có thuộc tính ẩn đối với windows. Vì vậy bạn phải bỏ chế dộ ẩn đó đi bằng cách vào control panel > folder options > chọn thẻ view > bỏ chọn phần Hide protected operating system files(Recommended) đi > Yes > Apply > OK. Lúc này file autorun.inf trong ổ đĩa đó đã bị hiện nguyên hình. Bạn chọn nó và nhấn shift+delete để xoá nó vĩnh viễn. Nếu thích thì bạn có thể double click vào file autorun.inf để xem nó viết những gì trong đó. Bạn sẽ thấy trong đó có tên của virus dạng như VirusName.exe và nếu may mắn thì bạn sẽ thấy file VirusName.exe đó trong ổ đĩa của bạn (nếu bạn đã dùng phần mềm diệt virus này rồi thì sẽ không thấy).
Bây giờ bạn nên khởi động lại máy rồi thử double click vào ổ đĩa đó thử xem(hoặc click phải chuột nếu thấy dòng AutoPlay vẫn còn ở hàng đầu tiên thì làm tiếp theo chỉ dẫn của bạn ở trên là có thể mở ổ đĩa bình thường được rồi đó).

Còn nếu muốn để lại hidden như cữ thì tick cái box mà hồi nãy mình bỏ tick đi trong control panel --> folder option --> view đó :D
Click to expand...

CÒN AI LÀM KHÔNG ĐƯỢC THÌ ĐỌC TIẾP NGHEN :D:

Tóm lại nếu bạn vẫn làm không được theo cách ở trên có thể do virus này đã chỉnh thông số registry như mình đã nói thì bạn có thể chỉnh lại registry theo cách sau:
Cách 1: Đòi hỏi bạn phải biết sơ về registry và nhớ sao lưu trước khi thực hiện thay đổi. Vào start > run > gõ regedit > enter > tìm đến khoá sau [HKEY_CLASSES_ROOT\Drive\shell] > double click vào giá trị (Default) và gõ none > OK. Làm tương tự với khoá [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]. Trong 2 khoá trên nếu thấy có khoá AutoPlay thì delete nó đi.
Cách 2: Cách này rất dễ thực hiện. Bạn làm như sau :
Mở notepad và copy dòng lệnh sau :

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive\shell]
@="none"

[-HKEY_CLASSES_ROOT\Drive\shell\AutoPlay]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\AutoPlay]

rồi paste vào notepad. Sau đó save vào một nơi nào đó tuỳ bạn với tên tuỳ ý chẳng hạn trong phần file name bạn gõ "OpenDrive.reg" (nhớ là phải có dấu ngoặc kép). Đóng notepad lại > vào nơi mà đã save file OpenDrive.reg > double click vào file đó(hoặc click phải chuột chọn Merge) > Yes. Xong !
Bây giờ bạn đã có thể mở ổ đĩa theo cách thông thường rồi đó. Good luck
Click to expand...

CÒN KHÔNG ĐƯỢC NỮA THÌ ĐỌC TIẾP NGHEN :D:

Mình nghĩ cái con máy bạn đang dính là con sxs.exe và nó cho chạy file svohost.exe trong task manager bạn sẽ thấy file này. Con này ở phòng máy ở trường mình cũng hay gặp. Cách khắc phục là bạn vào task manager > trong thẻ processes tìm file svohost.exe (coi chừng nhầm lẫn vì con này nó nguỵ trang kiểu Úc đặt tên gần giống với file svchost.exe chạy dịch vụ của windows) rồi bấm delete hoặc End process. Bây giờ bạn search với từ khoá là sxs.exe hoặc svohost.exe thử xem nếu thấy thì delete nó đi.

Do đó điều đầu tiên bạn phải làm là diệt virus trước đi đã rồi mới chỉnh lại thông số registry: bạn phải xoá 2 file autorun.inf và file virus đó đi trước đã. Vì máy bạn đã bị nhiễm virus do đó bạn nên dùng phần mềm diệt virus để diệt triệt để hơn vì virus khi bị nhiễm nó sẽ sản sinh ra rất nhiều file dạng virus.exe ở nhiều nơi khác nữa nên dù bạn có xoá ở gốc ổ đĩa đó thì chưa chắc đã hết và có thể tái nhiễm (nếu biết tên virus đó rồi thì bạn search nó ở tất cả các ổ đĩa rồi xoá chúng đi). Không biết có ai áp dụng cách của mình thành công chưa nhỉ? Chỉ có 1 bạn reply lại là khắc phục được còn lại mình cũng không biết sao nữa.
Click to expand...

PS: MẤY FILE VIRUS NÀY LÀ FILE autorun.inf CHỨ KHÔNG PHẢI FILE autorun.ini
 
dạo nè virus nè đc phán tán trên mạng ghê quá, MÁy mình cũng vừa bị mà khi bị nhiễm mấy soft virus có phát hiện ra đâu. Quét bằng bkav đi
 
Ừ, mình dạo trước cũng dính con loại này, phải cài lại win luôn đó !
Bạn thử dùng Kas hay BitDefender xem !
 
toàn spam, cách giải quyết đã nằm ở trên (bài của Edward) đây rồi còn cài win gì nữa
Rồi tui biết cách diệt rồi anh em ơi, tui mới qua diendantinhoc ấy, có ông bạn tên steven_online hướng dẫn rất chi tiết, anh em kham khảo làm nhé, tui thì bị cái đầu tiên, anh em nào bị mấy cái advance hơn thì từ từ đọc mà làm nhé :

LƯU Ý LÀ NHỮNG ĐOẠN QUOTE SAU ĐÂY HOÀN TOÀN THUỘC VỀ BẠN STEVEN_ONLINE BÊN ĐIENANTINHOC:

Trích dẫn:
Hiện tượng này mình đoán 90% là máy của bạn đã bị nhiễm virus rồi. Bạn đã quét virus nhưng vẫn còn tình trạng trên vì chương trình quét virus đã diệt hết virus nhưng còn sót lại file autorun.inf do virus tạo ra. Bạn có thể kiểm tra bằng cách click phải chuột lên ổ đĩa đó sẽ thấy dòng AutoPlay đầu tiên. Cơ chế của virus máy bạn đã bị nhiễm là tạo ra 1 file autorun.ini để thực thi file dạng virus.exe. Khi bạn double click vào ổ đĩa đã bị nhiễm virus thì chức năng autoplay của windows hoạt động và nó sẽ tự động chạy file virus.exe đó. Do đó máy của bạn sẽ bị nhiễm virus đó.
Để khắc phục tình trạng này thì bạn phải xoá file autorun.inf đó đi. Nhưng vì file đó có thuộc tính ẩn đối với windows. Vì vậy bạn phải bỏ chế dộ ẩn đó đi bằng cách vào control panel > folder options > chọn thẻ view > bỏ chọn phần Hide protected operating system files(Recommended) đi > Yes > Apply > OK. Lúc này file autorun.inf trong ổ đĩa đó đã bị hiện nguyên hình. Bạn chọn nó và nhấn shift+delete để xoá nó vĩnh viễn. Nếu thích thì bạn có thể double click vào file autorun.inf để xem nó viết những gì trong đó. Bạn sẽ thấy trong đó có tên của virus dạng như VirusName.exe và nếu may mắn thì bạn sẽ thấy file VirusName.exe đó trong ổ đĩa của bạn (nếu bạn đã dùng phần mềm diệt virus này rồi thì sẽ không thấy).
Bây giờ bạn nên khởi động lại máy rồi thử double click vào ổ đĩa đó thử xem(hoặc click phải chuột nếu thấy dòng AutoPlay vẫn còn ở hàng đầu tiên thì làm tiếp theo chỉ dẫn của bạn ở trên là có thể mở ổ đĩa bình thường được rồi đó).

Còn nếu muốn để lại hidden như cữ thì tick cái box mà hồi nãy mình bỏ tick đi trong control panel --> folder option --> view đó

CÒN AI LÀM KHÔNG ĐƯỢC THÌ ĐỌC TIẾP NGHEN :

Trích dẫn:
Tóm lại nếu bạn vẫn làm không được theo cách ở trên có thể do virus này đã chỉnh thông số registry như mình đã nói thì bạn có thể chỉnh lại registry theo cách sau:
Cách 1: Đòi hỏi bạn phải biết sơ về registry và nhớ sao lưu trước khi thực hiện thay đổi. Vào start > run > gõ regedit > enter > tìm đến khoá sau [HKEY_CLASSES_ROOT\Drive\shell] > double click vào giá trị (Default) và gõ none > OK. Làm tương tự với khoá [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]. Trong 2 khoá trên nếu thấy có khoá AutoPlay thì delete nó đi.
Cách 2: Cách này rất dễ thực hiện. Bạn làm như sau :
Mở notepad và copy dòng lệnh sau :

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive\shell]
@="none"

[-HKEY_CLASSES_ROOT\Drive\shell\AutoPlay]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\Au toPlay]

rồi paste vào notepad. Sau đó save vào một nơi nào đó tuỳ bạn với tên tuỳ ý chẳng hạn trong phần file name bạn gõ "OpenDrive.reg" (nhớ là phải có dấu ngoặc kép). Đóng notepad lại > vào nơi mà đã save file OpenDrive.reg > double click vào file đó(hoặc click phải chuột chọn Merge) > Yes. Xong !
Bây giờ bạn đã có thể mở ổ đĩa theo cách thông thường rồi đó. Good luck

CÒN KHÔNG ĐƯỢC NỮA THÌ ĐỌC TIẾP NGHEN :

Trích dẫn:
Mình nghĩ cái con máy bạn đang dính là con sxs.exe và nó cho chạy file svohost.exe trong task manager bạn sẽ thấy file này. Con này ở phòng máy ở trường mình cũng hay gặp. Cách khắc phục là bạn vào task manager > trong thẻ processes tìm file svohost.exe (coi chừng nhầm lẫn vì con này nó nguỵ trang kiểu Úc đặt tên gần giống với file svchost.exe chạy dịch vụ của windows) rồi bấm delete hoặc End process. Bây giờ bạn search với từ khoá là sxs.exe hoặc svohost.exe thử xem nếu thấy thì delete nó đi.

Do đó điều đầu tiên bạn phải làm là diệt virus trước đi đã rồi mới chỉnh lại thông số registry: bạn phải xoá 2 file autorun.inf và file virus đó đi trước đã. Vì máy bạn đã bị nhiễm virus do đó bạn nên dùng phần mềm diệt virus để diệt triệt để hơn vì virus khi bị nhiễm nó sẽ sản sinh ra rất nhiều file dạng virus.exe ở nhiều nơi khác nữa nên dù bạn có xoá ở gốc ổ đĩa đó thì chưa chắc đã hết và có thể tái nhiễm (nếu biết tên virus đó rồi thì bạn search nó ở tất cả các ổ đĩa rồi xoá chúng đi). Không biết có ai áp dụng cách của mình thành công chưa nhỉ? Chỉ có 1 bạn reply lại là khắc phục được còn lại mình cũng không biết sao nữa.

PS: MẤY FILE VIRUS NÀY LÀ FILE autorun.inf CHỨ KHÔNG PHẢI FILE autorun.ini
Click to expand...
topic đóng là vừa...
 
Toàn PRO nhẩy! mình bị nghiễm con này rồi! diệt dễ oẹt mà mấy ông này toàn cách PRO cả pó chiếu !
Bạn vào foder option > View > Chọn hidden file and folder > để trống 3 cái ô ở dưới
Bây giờ mouse2 vào cái ổ bị dính > Open
Tìm file có tên là autorun.* del hết ^^' xong!
 
_ hic , del hết thế mà con virus chắc del dc àh =((, không dùng bkav, KAV hay KIS sao diệt dc :(( , đọc kĩ chưa mà phát ngôn thơm như cục phân thế :x

_ ah2 còn về danh hiệu Pro thì chắc mình phải phong cho bạn mất, mình chưa thấy ai nuôi virus trong máy tính bao giờ :-<
 
Trên echip bảo D32 cũng diệt con autorun này ngon lành :| sao mà mọi người kì công ghê :-?
Còn chuyện nuôi virut trong máy mình thì cũng nhìu người làm lắm ;))
 
ah,cho hỏi chút xíu,mình cũng bị vài con auto gì đó tấn công,sau khi xóa nó đi thì khởi động máy lại báo ko tìm thấy file rvhost.exe.File đó có quan trọng ko?Cứ mỗi lần bật máy lên là nó báo như thế.Bạn nào bít chỉ giùm mình nhé.Thx :D
 
Bạn có thể vào Start -> Run -> gõ vào msconfig -> chọn thẻ startup -> tìm tên file đó uncheck rồi save lại. File trên là 1 con vigut trá hình không có gì quan trọng cả
 
chậc, mình phát hiện ra con virus ấy từ 1 tháng trước, vào system32 del nó đi rồi tưởng là xong, hôm trước cài lại win thì nó mới lòi cái auto ở ổ D và E ra.
Bi giờ máy mình có 1 vấn đề là khi đó mình tưởng nó lỗi ở phần file type ( folder options -> file types). Mình vào đấy chỉnh lại cái lệnh default của drive, bây giờ nó ko còn auto nữa nhưng lại thành browse with ACDsee ( hoặc search, cái này mình có thể chọn 1 trong 2, nhưng ko open bình thường được).
Hix, hôm đấy quên mất là mình đang tắt deep freeze, giờ lãnh hậu quả. Các bạn chỉ cho mình cách chuyển về bình thường với
 
tin vui: mình đã biết cách khôi phục lại chức năng open của drive :D, hóa ra chỉ cần vào registry chỉnh lại thông số của drive theo như hướng dẫn ở trên là được
Vào start > run > gõ regedit > enter > tìm đến khoá sau [HKEY_CLASSES_ROOT\Drive\shell] > double click vào giá trị (Default) và gõ none > OK
Click to expand...
 
máy nhà em cũng bị dính con virus autorun rồi nó tự nhiên hết
nhưng hầu hết những file đuôi .exe bị đổi icon thành hình con gấu
untitledjv6.png

trong ổ bị nhiễm xuất hiện file : GameSetup.exe , autorun.inf , nó còn disable bảng task manager và msconfig . Sau khi replace 2 file trên = 1 file khác thì vào đc task manager , vào tab processes thấy có file đang chạy là zaq5.exe , vào msconfig , tab startup thấy có file zaq2.exe, zaq4.exe , zaq5.exe , zaq10.exe , tất cả đều nằm trong thư mục c:\windows\
có ai bít cách diệt con này ko chỉ cho em với !
 
Bạn có thể vào Start -> Run -> gõ vào msconfig -> chọn thẻ startup -> tìm tên file đó uncheck rồi save lại. File trên là 1 con vigut trá hình không có gì quan trọng cả
Click to expand...

Thx bạn nhưng mình làm y vậy mà ko tìm thấy cái file đó.Chắc cài lại win quá
 
You must log in or register to reply here.
Back
Top