PDA

Xem phiên bản đầy đủ : Hướng dẫn xóa file ntde1ect.com, autorun.inf (diệt Virus Win32/Pacex)



Love_Die
12/10/07, 04:43 PM
Hướng dẫn xóa file ntde1ect.com, autorun.inf (diệt Virus Win32/Pacex)
Virus Win32/Pacex (hay Win32/PSW.Agent.NDP trojan) không phá hủy hay làm mất dữ liệu trên máy tính của bạn, nhưng lại làm tốc độ máy giảm rõ rệt, nhiều lúc gần như treo cứng, không hoạt động được.
Các file chính của virus này: ntde1ect.com, autorun.inf, apv0.dll, apvo.exe
Một số triệu chứng của máy tính mắc phải virus này:

Máy tính chạy rất chậm, cực kỳ chậm
Trong nhiều trường hợp khi bạn nháy đúp vào ổ cứng (C, D, ...) trong cửa sổ explorer, windows tự động mở ra một cửa sổ mới.
Lây lan sang bất cứ ổ USB hay ổ đĩa nào hoạt động trong windows nhiễm virus.
Ngăn cản không cho bạn thay đổi thiết lập trong Folder Options
Virus này lây lan chủ yếu giữa các máy tính qua đường USB.Nó tự động tạo một file autoplay.inf trong ổ, vì thế khi ta truy cập bằng phương pháp thông thường (nhắp đúp trong cửa sổ Explorer) vào ổ đĩa đã bị lây virus, nó tự nhân bản và lây lan sang toàn bộ các ổ đĩa khác hiện đang họat động trong máy.
Để diệt được tận gốc virus này, ta cần xóa hết các file của nó (ntde1ect.com, autorun.inf, apv0.dll, apvo.exe) và gỡ bỏ nó trong list start up. Thực hiện điều này không đơn giản, vì các files này đều đã được đặt thuộc tính Hidden (ẩn) và System (hệ thống). Bạn không thể bắt chúng hiện ra trong explorer, vì virus đã tác động khiến bạn không thể chỉnh tùy chọn trong Folder Options.
Sau đây là 2 cách đơn giản nhất để diệt Virus trên:

Cách 1

(Tham khảo từ thejackol.com)
1) Chạy Task Manager (Ctrl-Alt-Del)
2) Nếu wscript.exe đang chạy, hãy End nó trong tab Processes
3) End EXPLORER.EXE
4) Nhấn vào File | New Task (Run) trong cửa sổ Task manager
5) Chạy cmd
6) Chạy dòng lệnh sau trong cửa sổ cmd, lần lượt thay "C:" bằng các ổ khác của bạn để xóa hết các file autorun.inf
del c:\autorun.* /f /a /s /q
7) Tới thư mục Windows\System32 bằng cách chạy lệnh "cd c:\windows\system32" (không có dấu nháy kép)
8) Chạy lệnh "dir /a avp*.*"
9) Nếu bạn thấy các files có tên dạng avp0.dll hay avpo.exehay avp0.exe, dùng lệnh sau để xóa từng file một:
attrib -r -s -h avpo.exe
del avpo.exe
10) Dùng run từ Task Manager để chạy regedit
11) Tìm đến HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
12) Nếu có avpo.exe, bạn hãy xóa đi.
13) Khởi động lại máy


Cách 2

Sử dụng đĩa Hiren Boot CD, cách này chỉ áp dụng cho ổ đĩa phân vùng FAT32:
1) Cho đĩa vào ổ CD, khởi động lại máy, chú ý đặt thiết lập BIOS cho máy boot bằng đĩa CD
2) Chạy Mini Windows
3) Truy cập vào từng ổ đĩa bằng cách: vào My Computer, nhấn chuột phải vào từng ổ chọn Open
4) Xóa files ntde1ect.com và autorun.inf
5) Đi tới thư mục windows>system32 trong ổ đĩa chứa windows bị virus.
6) Tìm và xóa files apv0.dll, apvo.exe và apv0.exe (nếu có)
7) Bỏ đĩa CD ra khỏi ổ, khởi động lại máy, vào windows, chạy regedit
8) Tìm tới HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
9) Xóa avpo.exe nếu có
Nếu ổ cứng của bạn ở định dạng NTFS, hãy chạy Vodk Commander (support NTFS) trong đĩa Hirent Boot và thực hiện xóa các files kể trên.
[Sưu Tầm từ Internet]

hero-x3
12/10/07, 05:34 PM
thanks bạn nhiều nhiều nhá, làm như bạn hướng dẫn xong máy mình chạy nhanh hẳn lên:smi97: :smi97: :smi97:

boy_06c
12/10/07, 07:13 PM
Thì ra nó phức tạp thế.Vừa rồi mình vừa diệt con này xong.Tháy cái file autorum.inf,Mở ra thấy có cái tên ntde1ect.com thấy thế bèn xóa đi.Kết quả là cài lại wwin,Chẳng biết làm sao nữa...

hermyone1610
12/10/07, 07:36 PM
Không cần phải phức tạp như thế đâu các bác à, các bác hãy mở cửa sổ tìm kiếm trong windows và tìm kiếm cho từng thằng một. Sao đó End task nó đi bằng Task manager hoặc dùng chương trình Process manager để xóa. Rồi tiến hành xóa file bình thường (nhớ là phải Shift + del)

DuongQua
13/10/07, 12:49 PM
Mới phải cài lại máy xong. Bạn mà viết bài này trứoc thì may ra mình diệt được con này rồi. Cảm ơn bạn nhé.:smi75:

myfamily
19/11/07, 11:31 AM
Hôm qua mới diệt con này dùm thằng bạn.
Ko gì phải cài lại máy, tốn thời gian lắm.
Con này tui thấy nó làm thế này
+ Vô hiệu cái show all file.
+ Ẩn rất nhiều thư mục(ko biết phải nó làm ko, thằng bạn bị ẩn sạch).
Nó ko phá họa gì nghiêm trọng.

1 số lời cho bạn hình dung để tự phòng, diệt cho mình(tôi nói khá nhiều trong các bài viết)
+ Bạn nên tắt chế độ autorun disk bằng cách : Run -> gpedit.msc -> cái cuối cùng -> turn off autorun (nhớ tắt cho toàn bộ đĩa, enable).
+ Nên chép, click, vào những file "là của mình". thứ nào đó lung tung thì đừng click, chép vào.
+ Những con virut "hiện hành", thường phá ko nghiêm trọng, khỏi phải cài lại làm gì.
+ Nếu có sự xuất hiện của file autorun.inf, nghĩa là có chuyện gì đó ko bình thường.
+ Hãy sao chép 1 list các chương trình trong process mà hiện giờ, để có thể xem sự khác biệt về sau (cmd -> tasklist >c:\list.txt). Khi tình nghi. có thể xem lại, đối chiếu để phát hiện ra sự khác biệt. Khi đó, bạn có thể search trên google để tìm cách khử nó. Cũng như phục hồi hệ thống.
Bạn muốn diệt virut, thì trước tiên hãy làm cho nó không hoạt động trước, rồi nghĩ đến chuyện tìm cách xóa xổ nó. Những virut hiện hành (phổ biến). Thường có 1 số hành động điển hình(classic), kinh điển, :
+ Ẩn file, ko cho showallfile, vô hiện task manager, cmd, regedit, msconfig.(nói chung là những thứ mà có thể nguy hiểm đến sự sống của nó).

Và 1 điều cuối, có 2 loại virut, 1 loại nằm đơn độc(phổ biến, viết dễ quá), 1 loại dc nhúng trong file(bằng cách thay đổi Entry point trong file, nó tìm 1 khoảng trống trong file, sau đó thay đổi điểm "start" của file đến khu vực code của nó, sau khi thực thi xong, nó trả lại điểm "start" của file nguyên thủy). Loại này là những "sao", kho viết hơn, nguy hiểm không lường, khó mà diệt dc khi nó nhúng dc vào các file hệ thống của windows.
Loại nằm đơn độc thường ít nguy hiễm, lây chậm hơn. và không khó khăn để tiêu diệt.
Loại này thường do programer của việt nam viết,chỉ để thể hiện 1 ít tài mọn, simple, mang ra tiệm in, tiệm net để phát tán. "Đúng là ăn ko ngồi rảnh".

sk8erboi
19/11/07, 01:42 PM
Thì ra nó phức tạp thế.Vừa rồi mình vừa diệt con này xong.Tháy cái file autorum.inf,Mở ra thấy có cái tên ntde1ect.com thấy thế bèn xóa đi.Kết quả là cài lại wwin,Chẳng biết làm sao nữa...

Cẩn thận xóa nhầm file hệ thống NTDetect.com trong phân vùng ổ C của máy như chú này -- không boot được luôn bây chừ! =))
Bỏ nhỏ cho chú cái này. Sau này có nhỡ xóa nhầm thằng này thì cũng đừng vội reinstall win. Nhét đĩa win vào, chạy Recovery Console rồi copy file ntdetect.com từ CD vào nhớ.

Tham khảo thêm tại đây (http://hoanghuynh.wordpress.com/category/danh-cho-windows/anti-virus/).

hermyone1610
19/11/07, 01:57 PM
Vừa rồi bạn mình có bị một con không hề giống với tất cả các "tiền nhân" của nó. Nó không vô hiệu hóa Taskman nhưng hình ảnh thu được là một list trống rỗng. Hình ảnh mình thu được qua 2 phần mềm Process và Autorun là thế này đây:

http://farm3.static.flickr.com/2225/2046512194_405503eeca_m.jpg
http://farm3.static.flickr.com/2345/2045720113_631b4e89ae_m.jpg
Tìm ra dấu tích của nó quả như tìm kim đáy bể vậy! Bác nào bị thì chịu khó chờ các phần mềm diệt virus cập nhật kịp!

myfamily
19/11/07, 10:15 PM
Bạn cho tôi biết thêm thông tin về nó ko, thật là tò mò.
Tôi ko biết làm cách nào nó làm dc điều này. Theo suy nghĩ ban đầu của tôi, thì có thể virrut biết đến 2 chương trình này.
Còn ko, thì thật cao tay. Tôi chưa nghĩ ra dc(có thể nó phát hiện ra việc gọi hàm list các process trong window của 1 chương trình nào đó).

BẠn có thể cho thêm thông tin, hoặc gỏi 1 con cho mình dc ko, để tìm hiểu sao nó làm dc thôi.

hothanhphuong
25/11/07, 10:12 AM
Cám ơn bạn thật nhiều! Mính phát khùng mấy hôm nay vì bọn virus này đó!

minjak
24/12/07, 09:55 AM
Đối với virus thì phòng bệnh hơn là chửa bệnh
Hảy tạo cho mình thói quen vào ổ đĩa bằng thanh Address Bar