Cách làm hiện lại "Show hidden files and folders"

ZCT1389

Trần Hữu Hải
Thành viên thân thiết
Tham gia
21/12/2008
Bài viết
124
Vừa rồi máy tính của tôi bị nhiễm phải một con virus tên là avpo.exe, xuất hiện lần đầu tiên ở Philippines vào ngày 27 tháng 8 năm nay và ở Việt Nam vào ngày 29 tháng 9.


Các biểu hiện
beard.gif


Mặc dù tên avpo.exe nhưng nó không thực sự hiện ra trong Task Manager của Windows XP, kể cả trong Process Explorer 11.02 của Sysinternals (hình như đã bị Microsoft mua lại). Ở máy của tôi, nó gọi iexplorer.exe và iexplorer.exe này lại gọi một iexplorer.exe thứ hai để sau đó cái thứ nhất tự terminate. Điều này làm máy tính trở nên rất chậm. Quan sát được trong Process Explorer thì thấy CPU usage lên tới 63%. Và còn một số biểu hiện khác như dưới đây.

* The Process is packed and/or encrypted using a software packing process
* The Process is polymorphic and can change its structure
* This Process Creates Other Processes On Disk
* This Process Deletes Other Processes From Disk
* Loads and Executes a System Driver File
* Writes to another Process's Virtual Memory (Process Hijacking)
* Executes a Process
* Terminates Processes
* Registers a Dynamic Link Library File
* The process hooks code into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
* Modifies the Windows Host File which could be used to stop you visiting specific web sites by redirecting you to alternative addresses without you knowing
* Adds a Registry Key (RUN) to auto start Programs on system start up
* Modifies Windows Initialization And System Settings Used On Start up
* Modifies Windows Security Policies to restrict/expand User Privlidges on the machine

Có một số máy được cài đặt McAffee Virus Scan thì người dùng không thể disable hoặc reinstall lại chương trình đó. Khi mở các ổ đĩa trong My Computer không được bởi vì avpo.exe đã chép 2 file ntde1ect.com và autorun.inf vào các ổ đĩa này. Ngoài ra, nó còn tự sao chép vào \Windows\System32.

Một biểu hiện khác là bạn không thể hiện các file ẩn. Trong Folder Options, phần "Hide protected operating system files (recommened)" bị đổi thành "Launch folder windows in a separate process." Nếu bạn click chọn "Show hidden files and folders" và click OK thì vẫn không thấy các thư mục và file ẩn hiện ra. Khi vào lại Folder Options, ở mục Hidden files and folders, vẫn thấy "Do not show hidden files and folders" được chọn.


Cách diệt
mad.gif


Bạn có thể diệt virus này bằng cách sử dụng các trình antivirus hiện nay như BitDefender 2008 hoặc Kaspersky 7.0.0.125. Tôi đã diệt được nó, sử dụng BitDefender 10. Tuy nhiên, chương trình antivirus thì chỉ có nhiệm vụ là tìm và diệt virus, còn những hậu quả (aftereffect) của nó thì... :D

Có thể virus vẫn còn ở đâu đó trong hệ thống của bạn. Hãy sử dụng một chương trình quản lý các phần mềm tự khởi động khi mở máy và kiểm tra xem có chương trình nào "lạ lạ, ngộ ngộ" không. Nếu có thì hãy disable nó. Bạn có thể kiểm tra chương trình bạn định disable có nguy hiểm cho hệ thống hay không bằng cách google trên internet. Chương trình khuyên dùng là Autoruns (cũng của Sysinternals, em không có quảng cáo đâu nhá :D).


Phục hồi
dancing_pill.gif


Về việc bạn không thể mở các ổ đĩa, cỏ thể khắc phục bằng cách sử dụng WinRAR hoặc 7zip, duyệt tới các ổ đĩa và xóa 2 file này đi. Sau đó reboot/relogon.

Về các khóa registry rác do avop.exe để lại, bạn hãy tìm và xóa những khóa có chuỗi avpo, ntde1ect.com. [Hãy cẩn thận khi chơi với registry!]

Về việc không thể hiện các file và folder ẩn, mình có vài cách.

1] Tải chương trình phục hồi phần hiện file và folder ẩn về. Link download

2] Mở registry ra, tìm tới phần

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced

Nhìn qua tay phải và thấy khóa có tên là hidden, mở nó ra và set value là 1. Tuy nhiên, nếu bạn lại muốn giấu các thư mục và file ẩn thì cách này khá là dở.

3] Cách này còn dở hơn cách trên. Cài đặt lại Microsoft Windows XP Service Pack 2

Ngoài ra còn 1 số cách sau:
Mở NotePad ra, copy và paste đoạn dưới đây vào, sau đó save lại với tên bất kì và đuôi .reg như "FixViewFile.reg" . Rồi double click vào file này, OK 1 phát là xong. Vào Folder Option kiểm tra lại để thấy hiệu quả.

Trích:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00, 65,0 0,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00 ,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c ,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\NOHIDDE N] "RegPath"="Software\\Microsoft\\Windows\\Curre ntVe rsion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\Curre ntVe rsion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"
Hiện tượng mục “Show Hidden Files and Folders” trong Windows XP mất tác dụng rất phổ biến và nó đã lây sang Windows Vista có thể do máy tinh người dùng bị lây nhiễm Spy . Người dùng sẽ không thấy hoàn toàn “Show Hidden Files and Folders” trong Vista như hình bên dưới

hinh1.png


Sau khi dùng các ứng dụng để làm sạch toàn bộ máy tính thì lại không khôi phục thiết lập ban đầu của Windows Vista , vì thế phải thiết lập lại bằng tay cách thức như sau

* Mở Regedit.exe trong menu Search
* Tìm theo đường dẫn sau

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\Advanced\Folder\Hidden

* Tìm kiếm từ khoá có tên là Type bên tay phải và thay đối giá trị này thành group như hình dưới

hinh2.png


Lúc đó chúng ta sẽ lại thấy “Hidden files and folders “

hinh3.png


Chúc bạn thành công!!!
 
×
Quay lại
Top