Câu hỏi
tybaby9
21/05/2013 21:11
Giúp diệt virus RECYCLED? Help Me!
Máy vi tính của tôi đột nhiên xuất hiện folder có tên “Recycled” ở tất cả các phân vùng ổ cứng (các ổ C, D, E, F). Các folder này nằm ở trạng thái ẩn. Tại ổ đĩa C, tôi mở folder “Recyled” ra, thì bên trong có 1 biểu tượng giống “thùng rác”, thùng rác này có tên như sau:
S-1-5-21-1957994488-1580818891-2147012483-1003
Tôi mở folder này ra, thì thấy nó giống như “thùng rác” ở ngoài desktop, bên trong trống rỗng không có gì…Thế nhưng tôi properties folder “Recycled” , thì thấy nó có dung lượng 85bytes. Tôi xóa đi thì lập tức máy báo lỗi, không cho xóa. Sau đó, tôi sử dụng phần mềm kiểm tra virus như: Kaspersky phiên bản mới nhất, BKAV, SpywareDoctor, SupperAntiSpyware Professional. Tất cả đều báo “không có” virus, worm, trojan… Tôi đã dùng FarManager để kiểm tra folder “Recycled” này, thì phát hiện bên trong folder này có 2 file: desktop.ini và info2. Trong 2 file ấy, tôi chỉ có thể mở được file desktop.ini, và thấy bên trong có dòng mã sau:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Nhờ phần mêm FarManager, tôi xóa file desktop.ini, thì lập tức tại thời điểm đó, nó lại tạo ra file có tên: dc1.ini. Tôi lại xóa dc1.ini thì nó lại tạo ra dc2.ini, xóa tiếp dc2.ini thì nó lại tiếp tục tạo ra dc3.ini….Tôi mở nhưng file dc1, dc2, dc3….tất cả đều có dòng mã như file desktop.ini.
Các ổ C, D, E, F của tôi đều có chứa folder “Recycled” đó. Mặc dù, trong máy của tôi, không có file autorun.inf nào cả! Tôi nghĩ rằng nó là virus. Không biết nó có ăn cắp thông tin, dữ liệu không? Vì tôi thấy nó lây qua từ cái USB. Chỉ cần có 1 chiếc USB lạ cắm vào máy, là lập tức folder “Recycled” sẽ xuất hiện trong USB đó. Bây giờ tôi đang tìm cách diệt nó, xin mọi hướng dẫn cho tôi cách diệt nhé? Tôi đang bực mình với nó lắm!
Cám ơn mọi người trước nha!
lenguyen2011
21/05/2013 21:11
l3atu0c
21/05/2013 21:11
MyLove
21/05/2013 21:11
Uni2805
21/05/2013 21:11
S-1-5-21-1957994488-1580818891-2147012483-1003
Tôi mở folder này ra, thì thấy nó giống như “thùng rác” ở ngoài desktop, bên trong trống rỗng không có gì…Thế nhưng tôi properties folder “Recycled” , thì thấy nó có dung lượng 85bytes. Tôi xóa đi thì lập tức máy báo lỗi, không cho xóa. Sau đó, tôi sử dụng phần mềm kiểm tra virus như: Kaspersky phiên bản mới nhất, BKAV, SpywareDoctor, SupperAntiSpyware Professional. Tất cả đều báo “không có” virus, worm, trojan… Tôi đã dùng FarManager để kiểm tra folder “Recycled” này, thì phát hiện bên trong folder này có 2 file: desktop.ini và info2. Trong 2 file ấy, tôi chỉ có thể mở được file desktop.ini, và thấy bên trong có dòng mã sau:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Nhờ phần mêm FarManager, tôi xóa file desktop.ini, thì lập tức tại thời điểm đó, nó lại tạo ra file có tên: dc1.ini. Tôi lại xóa dc1.ini thì nó lại tạo ra dc2.ini, xóa tiếp dc2.ini thì nó lại tiếp tục tạo ra dc3.ini….Tôi mở nhưng file dc1, dc2, dc3….tất cả đều có dòng mã như file desktop.ini.
Các ổ C, D, E, F của tôi đều có chứa folder “Recycled” đó. Mặc dù, trong máy của tôi, không có file autorun.inf nào cả! Tôi nghĩ rằng nó là virus. Không biết nó có ăn cắp thông tin, dữ liệu không? Vì tôi thấy nó lây qua từ cái USB. Chỉ cần có 1 chiếc USB lạ cắm vào máy, là lập tức folder “Recycled” sẽ xuất hiện trong USB đó. Bây giờ tôi đang tìm cách diệt nó, xin mọi hướng dẫn cho tôi cách diệt nhé? Tôi đang bực mình với nó lắm!
Cám ơn mọi người trước nha!
Danh sách câu trả lời (4)
lenguyen2011
21/05/2013 21:11
mấy cha đó xử bậy. đó là thư mục mà tất cả các ổ đía đều có. nó chứa file bạn xóa và khi muốn phục hồi thì vào đó mà phục hồi. đôi khi nó cũng chính là nơi trú ẩn của virus, virus dựa vào đó để phục hồi nhờ chức năng system restore. bạn không thể xóa nó, xóa lại sinh ra cái đó. thường thì nó xuất hiện trên định dạng ntfs. máy mình cũng có. hồi trước mình cũng bị dính virus nằm trong file này để nguy trang nhằm đánh lừa chương trình diệt virus nhưng sau khi cài kis 8 thì nó diệt mấy con trốn trong đó. còn cái recycled mở ra thấy destop.ini vơi info la bình thường.các dãy số xuát hiện trong biểu tượng thùng rác bạn có thể xóa nó bằng tay tuy nhiên khi bạn xóa file rác hay thực hiện động tác xóa file thì nó lại sinh ra để chứa file mà bạ xóa cũng giống như bạ dùng cclean để xóa registry vậy, nó sẽ lưu cái đã xóa dưới dạng các con số như vây. sau này cần phục hồi thì có thể phục hồi lại từ fie đó. 
l3atu0c
21/05/2013 21:11
Thật ra file đó cũng chẳng có gì nguy hiểm , tốt nhất là bạn nên format lại USB nếu không muốn thấy file đó nữa .
MyLove
21/05/2013 21:11
Bài viết trên tuy là có vẻ ổn nhưng có một số lưu ý nhỏ sau:
1. Ý tưởng loại bỏ thuộc tính system bằng command prompt là được, vì loại virus này lấy thuộc tính system để tự bảo vệ, không cho các bạn kill process của chúng (bạn không biết cách làm trong Windows).
2. Vào Safemode nên các process không được load, do đó không cần phải có bước tìm cách kill các process của virus.
3. Nếu AUTORUN.INF mà có thuộc tính ẩn và system, thì muốn xem ngày giờ tạo lập để làm tiền đề tìm diệt virus về sau, ta phải show được hidden files&folders (bao gồm cả system files). Để biết cách show file và thư mục ẩn (cùng các thông tin liên quan đến tìm kiếm nâng cao),
4. Virus thường có khả năng tự sao chép một bản copy giống hệt mình vào một thư mục an toàn nào đó, và thư mục Start up. Các bạn không nên bỏ qua bước check lại thư mục này để đảm bảo virus không tồn tại trong thư mục khởi động cùng Windows.
5. Lệnh ngoại trú ATTRIB -h -s chính là lệnh loại bỏ thuộc tính ẩn và thuộc tính system của một file hay thư mục bất kì. Nếu trong quá trình tìm diệt virus, các bạn thấy các file dạng này nên không xóa được, hãy áp dụng với cú pháp tương tự bài hướng dẫn phía trên. Forever Club chắc chắn Lãng khách chưa gặp virus này bao giờ, nên chỉ phỏng đoán cách diệt, đưa ra ý tưởng thực hiện, mặc dù khả năng thành công rất cao (theo kết quả search trên Google thì tại một số lượng rất là nhiều 4r Việt, chưa thấy cách diệt Recycled).
6. Khi tìm diệt virus bằng tay, các bạn phải linh hoạt trong cách áp dụng chứ không thể máy móc theo từng bước như trên. Quan trọng nhất là phải hiểu bản chất ý tưởng hoặc cách thức thực hiện của người viết .
Đây là minh họa cho cái gọi là ... tìm kiếm nâng cao:
http://picture.ipower.vn/post/70677238/13496632.png
1. Ý tưởng loại bỏ thuộc tính system bằng command prompt là được, vì loại virus này lấy thuộc tính system để tự bảo vệ, không cho các bạn kill process của chúng (bạn không biết cách làm trong Windows).
2. Vào Safemode nên các process không được load, do đó không cần phải có bước tìm cách kill các process của virus.
3. Nếu AUTORUN.INF mà có thuộc tính ẩn và system, thì muốn xem ngày giờ tạo lập để làm tiền đề tìm diệt virus về sau, ta phải show được hidden files&folders (bao gồm cả system files). Để biết cách show file và thư mục ẩn (cùng các thông tin liên quan đến tìm kiếm nâng cao),
4. Virus thường có khả năng tự sao chép một bản copy giống hệt mình vào một thư mục an toàn nào đó, và thư mục Start up. Các bạn không nên bỏ qua bước check lại thư mục này để đảm bảo virus không tồn tại trong thư mục khởi động cùng Windows.
5. Lệnh ngoại trú ATTRIB -h -s chính là lệnh loại bỏ thuộc tính ẩn và thuộc tính system của một file hay thư mục bất kì. Nếu trong quá trình tìm diệt virus, các bạn thấy các file dạng này nên không xóa được, hãy áp dụng với cú pháp tương tự bài hướng dẫn phía trên. Forever Club chắc chắn Lãng khách chưa gặp virus này bao giờ, nên chỉ phỏng đoán cách diệt, đưa ra ý tưởng thực hiện, mặc dù khả năng thành công rất cao (theo kết quả search trên Google thì tại một số lượng rất là nhiều 4r Việt, chưa thấy cách diệt Recycled).
6. Khi tìm diệt virus bằng tay, các bạn phải linh hoạt trong cách áp dụng chứ không thể máy móc theo từng bước như trên. Quan trọng nhất là phải hiểu bản chất ý tưởng hoặc cách thức thực hiện của người viết .
Đây là minh họa cho cái gọi là ... tìm kiếm nâng cao:
http://picture.ipower.vn/post/70677238/13496632.png
Uni2805
21/05/2013 21:11
Xin thử hướng dẫn bạn cách diệt bằng tay đối với loại virus "khó bảo" này nhé . Dành cho Advandced members:
Mở Windows Explorer (tổ hợp phím Windows - E) để xem ngày giờ tạo lập một file AUTORUN.INF bất kì tại một ổ đĩa gốc (ví dụ C:). Ghi nhớ ngày giờ tạo lập của nó để sẽ thao tác tiếp ở bước 8 dưới đây:
1. Khởi động máy tính ở Safemode (không cần hướng dẫn nhé).
2. Vào command prompt (Start > Run > cmd > enter), tại ổ đĩa C (Type CD\ tại ổ đĩa C để đến root directory).
3. Type -> ATTRIB -H -R -S AUTORUN.INF rồi enter. 4. Type -> DEL AUTORUN.INF rồi enter
5. Type -> ATTRIB -H -R -S Recycled rồi enter
6. Mở Windows Explorer (vẫn trong Safemode), xóa bỏ thư mục Recycled tại ổ đĩa C bằng cách bấm Shift-Delete để xóa.
7. Lặp lại từ bước 3 đến bước 6 với cách tương tự cho tất cả các ổ đĩa còn lại kể cả USB của bạn (đã nhiễm virus). Chú ý, nhớ chuyển tới các ổ đĩa tương ứng cần thao tác trong command prompt nhé (chẳng hạn, muốn chuyển tới ổ D: để diệt virus, hãy Type -> CD D:)
8. Sử dụng Chức năng SEARCH từ Start Menu (Tổ hợp phím Windows - F), bằng cách tìm kiếm nâng cao, tìm tất cả các file kể cả file ẩn, file hệ thống được tạo ra trong máy trùng ngày giờ tạo lập (có thể chỉ cần trùng ngày thôi) với AUTORUN.INF đã làm trước bước 1 trên đây. Nếu bạn thấy trong kết quả tìm ra còn thấy các file giống nhau về tên file hay kích thước (chắc chắn là như vậy), hãy ghi nhớ lại, sau đó mở thêm một cửa sổ SEARCH mới và tiếp tục tìm kiếm nâng cao trên toàn máy tính với các tên file hoặc kích thước giống nhau đó, mà không tìm theo ngày giờ tạo lập nữa, đề phòng virus tự nhân bản ở thời điểm sau đó.
Hãy xác nhận lại các file lạ, đặc biệt là các file có đôi .exe và có thuộc tính ẩn. Xóa toàn bộ chúng, nếu không xóa được theo cách thông thường, tiếp tục làm theo từ các bước từ 3 đến bước 6 ở trên (xóa được mọi virus). Hầu hết virus đều không thể tránh khỏi cách tìm diệt thủ công này.
9. Hãy tìm kiếm nâng cao (trong bài viết này và các bạn ngầm hiểu cụm từ tìm kiếm nâng cao này là "tìm kiếm toàn bộ hệ thống áp dụng với toàn bộ files, folder ẩn, bao gồm cả files hệ thống) tiếp tục với một file tên là CTFMON.EXE. Nếu bạn thấy bất kì file nào mà không nằm trong \WINDOWS\System32\ hãy thẳng tay xóa nó (chắc là nhìn đã thấy ngay sự khác biệt với CTFMON.EXE kia, ít nhất ở ngày giờ tạo lập và kích thước file rồi phải không bạn . Đừng quên Empty thùng rác của bạn nhé!!! Và hãy kiểm tra lại trong Start up xem dấu tích gì của virus không và ... dọn nốt he he he...
Để tắt autoruns cho toàn bộ các ổ đĩa gốc trên máy tính của bạn (vì hầu hết virus lây nhiễm từ bên ngoài đều lợi dụng khả năng này, và đây là cách để bảo vệ bạn đối với hầu hết virus cả về sau này nữa) bạn hãy tải file REG đính kèm bên dưới về máy, nhấp đúp chạy, trả lời Yes rồi Restart để thay đổi có hiệu lực.
http://www.mediafire.com/?yljizzdiljj
Mở Windows Explorer (tổ hợp phím Windows - E) để xem ngày giờ tạo lập một file AUTORUN.INF bất kì tại một ổ đĩa gốc (ví dụ C:). Ghi nhớ ngày giờ tạo lập của nó để sẽ thao tác tiếp ở bước 8 dưới đây:
1. Khởi động máy tính ở Safemode (không cần hướng dẫn nhé).
2. Vào command prompt (Start > Run > cmd > enter), tại ổ đĩa C (Type CD\ tại ổ đĩa C để đến root directory).
3. Type -> ATTRIB -H -R -S AUTORUN.INF rồi enter. 4. Type -> DEL AUTORUN.INF rồi enter
5. Type -> ATTRIB -H -R -S Recycled rồi enter
6. Mở Windows Explorer (vẫn trong Safemode), xóa bỏ thư mục Recycled tại ổ đĩa C bằng cách bấm Shift-Delete để xóa.
7. Lặp lại từ bước 3 đến bước 6 với cách tương tự cho tất cả các ổ đĩa còn lại kể cả USB của bạn (đã nhiễm virus). Chú ý, nhớ chuyển tới các ổ đĩa tương ứng cần thao tác trong command prompt nhé (chẳng hạn, muốn chuyển tới ổ D: để diệt virus, hãy Type -> CD D:)
8. Sử dụng Chức năng SEARCH từ Start Menu (Tổ hợp phím Windows - F), bằng cách tìm kiếm nâng cao, tìm tất cả các file kể cả file ẩn, file hệ thống được tạo ra trong máy trùng ngày giờ tạo lập (có thể chỉ cần trùng ngày thôi) với AUTORUN.INF đã làm trước bước 1 trên đây. Nếu bạn thấy trong kết quả tìm ra còn thấy các file giống nhau về tên file hay kích thước (chắc chắn là như vậy), hãy ghi nhớ lại, sau đó mở thêm một cửa sổ SEARCH mới và tiếp tục tìm kiếm nâng cao trên toàn máy tính với các tên file hoặc kích thước giống nhau đó, mà không tìm theo ngày giờ tạo lập nữa, đề phòng virus tự nhân bản ở thời điểm sau đó.
Hãy xác nhận lại các file lạ, đặc biệt là các file có đôi .exe và có thuộc tính ẩn. Xóa toàn bộ chúng, nếu không xóa được theo cách thông thường, tiếp tục làm theo từ các bước từ 3 đến bước 6 ở trên (xóa được mọi virus). Hầu hết virus đều không thể tránh khỏi cách tìm diệt thủ công này.
9. Hãy tìm kiếm nâng cao (trong bài viết này và các bạn ngầm hiểu cụm từ tìm kiếm nâng cao này là "tìm kiếm toàn bộ hệ thống áp dụng với toàn bộ files, folder ẩn, bao gồm cả files hệ thống) tiếp tục với một file tên là CTFMON.EXE. Nếu bạn thấy bất kì file nào mà không nằm trong \WINDOWS\System32\ hãy thẳng tay xóa nó (chắc là nhìn đã thấy ngay sự khác biệt với CTFMON.EXE kia, ít nhất ở ngày giờ tạo lập và kích thước file rồi phải không bạn . Đừng quên Empty thùng rác của bạn nhé!!! Và hãy kiểm tra lại trong Start up xem dấu tích gì của virus không và ... dọn nốt he he he...
Để tắt autoruns cho toàn bộ các ổ đĩa gốc trên máy tính của bạn (vì hầu hết virus lây nhiễm từ bên ngoài đều lợi dụng khả năng này, và đây là cách để bảo vệ bạn đối với hầu hết virus cả về sau này nữa) bạn hãy tải file REG đính kèm bên dưới về máy, nhấp đúp chạy, trả lời Yes rồi Restart để thay đổi có hiệu lực.
http://www.mediafire.com/?yljizzdiljj
Trả lời câu hỏi
Câu hỏi lĩnh vực Bảo mật, virus
Rao vặt Siêu Vip