Trang Chính
Sửa lỗi không mở được file .exe, cưỡng bức khôi phục công cụ hệ thống (Regedit, Task Manager,...) bằng tay
Như các bạn đã biết, có rất nhiều nguy cơ mang lại từ hành động Autorun trên HĐH Windows XP, mà tác nhân là file autorun.inf. Microsoft đã cung cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, người dùng tiếp tục bị thử thách. Microsoft tự động đặt lại giá trị mặc định của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003, Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory domain (http://support.microsoft.com/kb/895108). Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng, và Microsoft đã phải cung cấp bản vá từ tháng 8/2008. Chính vì sự không nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus xơi”. Trong 4 kiểu lây lan của virus (1 - Lây ngay lập tức; 2 - Lây qua hộp thoại Autoplay (dễ bị phát hiện); 3 - Lây khi người dùng nhấn đúp vào ổ đĩa; 4 - Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa), việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất. Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay, chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa trong Windows Explorer trở nên thừa thãi vì dù bạn có nhấn chuột phải và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông minh, miễn nhiễm với chúng.
Dù AutoPlay đã được Microsoft cải tiến nhưng vẫn không khắc phục được hết những lỗ hổng bảo mật. Lựa chọn tối ưu cho người dùng là tắt hẳn tính năng AutoRun. Tài liệu How to disable the Autorun functionality in Windows (http://support.microsoft.com/kb/967715/) cho biết để đảm bảo vô hiệu tính năng Autorun, chúng ta cần cài đặt một bản cập nhật (nếu không thể cài đặt bản cập nhật KB967715 thành công, các bạn có thể cài đặt bản KB950582 thay thế) trước khi sửa giá trị NoDriveTypeAutoRun trong Registry hay sử dụng Group Policy (nếu chọn cách sửa NoDriveTypeAutoRun, hãy đặt giá trị 255 cho nó để cấm Autorun trên tất cả các ổ đĩa; các thiết bị nhớ USB U3 đã lừa Windows bằng cách thông báo nó vừa là thiết bị nhớ USB vừa là CD). Hơn thế nữa, tài liệu này còn chỉ cho chúng ta đường dẫn trỏ tới phương pháp cấm hẳn việc sử dụng các thiết bị nhớ USB. Tuy nhiên, đó là một câu chuyện khác.
Vì cách làm do Microsoft hướng dẫn tương đối phức tạp và mất thời gian, nay xin giới thiệu một cách đơn giản hơn, cách này xuất hiện lần đầu trên blog của Nick Brown và đã được Đội ứng cứu máy tính khẩn cấp của Mỹ - US CERT dẫn lại (Vulnerability Note VU#889747, [You must be registered and logged in to see this link.] và trên Windows PowerShell Blog cũng dẫn lại (http://blogs.msdn.com/powershell/arc...torun-inf.aspx), vì thế các bạn có thể an tâm sử dụng. Ngoài ra, Lãng khách đồng thời bổ sung các giá trị trong Registry một cách cưỡng bức, nhằm khôi phục hầu hết các công cụ hệ thống như Regedit, Task Manager, Run command, hiện files và folders ẩn & siêu ẩn, hiện phần mở rộng của file thực thi giả mạo file an toàn (file .exe giả mạo file .txt, file .png, .jpg, file thực thi giả mạo thư mục,...),...
Đồng thời file Lãng khách cung cấp cũng sẽ giúp khôi phục các lỗi như không thể chạy được các ứng dụng .exe, .bat, .com, .reg, .scr,... là những định dạng file phổ biến để giúp khôi phục tính năng hệ thống (như các bạn đã biết, khi virus tắt Registry, nếu không chạy được file .exe, không chạy được file .reg, thì dĩ nhiên là các bạn khó có cách nào để can thiệp trở lại hệ thống nhằm khắc phục sự cố).
Vậy các bạn phải làm tất cả những gì? Rất đơn giản. Các bạn có 2 lựa chọn:
Phương án 1:
1. Tải file đính kèm LangkhachFIX.inf.zip bên dưới về Desktop, phải chuột chọn Rename, xóa bỏ phần mở rộng .zip đi để tên file chỉ còn lại là LangkhachFIX.inf (do diễn đàn không để đính kèm file có phần mở rộng là .inf nên Lãng khách đổi tên để đính kèm vào bài viết được, đây là cách ngày xưa Lãng khách nghĩ ra và áp dụng để đính kèm file .exe vào G-mail ). (Dưới đây là 2 file giống nhau, một file dành cho trường hợp còn có thể xả nén bình thường, là file .zip ở trên)
2. Phải chuột file LangkhachFIX.inf trên Desktop và chọn Install. Tất cả các thiết lập đã có tác dụng ngay. Tuy nhiên, bạn sẽ phải bấm F5 để Refresh màn hình làm việc (tại Folder bất kì, sẽ có tác dụng trong Folder đó) để thấy hiệu quả. Nếu bạn không muốn thủ công, trên Windows XP, click Start/Run, gõ tskill EXPLORER (ENTER) hoặc trên Windows Vista/7, click Start, gõ tskill EXPLORER (ENTER) là OK ngay lập tức (đây là thủ thuật Lãng khách vẫn ứng dụng để xác lập Registry có tác dụng ngay lập tức thay vì các lời khuyên các bạn vẫn nhận được là phải Restart máy tính hay phải Log off rồi Log on trở lại mới thấy tác dụng).
Sau đó, các bạn có thể thoải mái sử dụng công cụ hệ thống hay các công cụ như .exe để tiếp tục khắc phục sự cố.
Phương án 2:
Các bạn copy đoạn code dưới đây vào NotePad, Save as... với filename là LangkhachFIX.inf rồi thao tác như từ bước 2 ở Phương án 1. Tuy nhiên, Lãng khách vẫn lưu ý các bạn, trường hợp bị lỗi không mở được file .exe, các bạn sẽ không thể mở được NotePad theo cách thông thường, và lúc này Phương án 1 sẽ phát huy hiệu quả.
Chúc các bạn thành công .
(nguồn tham khảo: Nguy cơ bảo mật từ thiết bị nhớ USB)
[You must be registered and logged in to see this link.]
Như các bạn đã biết, có rất nhiều nguy cơ mang lại từ hành động Autorun trên HĐH Windows XP, mà tác nhân là file autorun.inf. Microsoft đã cung cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, người dùng tiếp tục bị thử thách. Microsoft tự động đặt lại giá trị mặc định của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003, Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory domain (http://support.microsoft.com/kb/895108). Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng, và Microsoft đã phải cung cấp bản vá từ tháng 8/2008. Chính vì sự không nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus xơi”. Trong 4 kiểu lây lan của virus (1 - Lây ngay lập tức; 2 - Lây qua hộp thoại Autoplay (dễ bị phát hiện); 3 - Lây khi người dùng nhấn đúp vào ổ đĩa; 4 - Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa), việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất. Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay, chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa trong Windows Explorer trở nên thừa thãi vì dù bạn có nhấn chuột phải và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông minh, miễn nhiễm với chúng.
Dù AutoPlay đã được Microsoft cải tiến nhưng vẫn không khắc phục được hết những lỗ hổng bảo mật. Lựa chọn tối ưu cho người dùng là tắt hẳn tính năng AutoRun. Tài liệu How to disable the Autorun functionality in Windows (http://support.microsoft.com/kb/967715/) cho biết để đảm bảo vô hiệu tính năng Autorun, chúng ta cần cài đặt một bản cập nhật (nếu không thể cài đặt bản cập nhật KB967715 thành công, các bạn có thể cài đặt bản KB950582 thay thế) trước khi sửa giá trị NoDriveTypeAutoRun trong Registry hay sử dụng Group Policy (nếu chọn cách sửa NoDriveTypeAutoRun, hãy đặt giá trị 255 cho nó để cấm Autorun trên tất cả các ổ đĩa; các thiết bị nhớ USB U3 đã lừa Windows bằng cách thông báo nó vừa là thiết bị nhớ USB vừa là CD). Hơn thế nữa, tài liệu này còn chỉ cho chúng ta đường dẫn trỏ tới phương pháp cấm hẳn việc sử dụng các thiết bị nhớ USB. Tuy nhiên, đó là một câu chuyện khác.
Vì cách làm do Microsoft hướng dẫn tương đối phức tạp và mất thời gian, nay xin giới thiệu một cách đơn giản hơn, cách này xuất hiện lần đầu trên blog của Nick Brown và đã được Đội ứng cứu máy tính khẩn cấp của Mỹ - US CERT dẫn lại (Vulnerability Note VU#889747, [You must be registered and logged in to see this link.] và trên Windows PowerShell Blog cũng dẫn lại (http://blogs.msdn.com/powershell/arc...torun-inf.aspx), vì thế các bạn có thể an tâm sử dụng. Ngoài ra, Lãng khách đồng thời bổ sung các giá trị trong Registry một cách cưỡng bức, nhằm khôi phục hầu hết các công cụ hệ thống như Regedit, Task Manager, Run command, hiện files và folders ẩn & siêu ẩn, hiện phần mở rộng của file thực thi giả mạo file an toàn (file .exe giả mạo file .txt, file .png, .jpg, file thực thi giả mạo thư mục,...),...
Đồng thời file Lãng khách cung cấp cũng sẽ giúp khôi phục các lỗi như không thể chạy được các ứng dụng .exe, .bat, .com, .reg, .scr,... là những định dạng file phổ biến để giúp khôi phục tính năng hệ thống (như các bạn đã biết, khi virus tắt Registry, nếu không chạy được file .exe, không chạy được file .reg, thì dĩ nhiên là các bạn khó có cách nào để can thiệp trở lại hệ thống nhằm khắc phục sự cố).
Vậy các bạn phải làm tất cả những gì? Rất đơn giản. Các bạn có 2 lựa chọn:
Phương án 1:
1. Tải file đính kèm LangkhachFIX.inf.zip bên dưới về Desktop, phải chuột chọn Rename, xóa bỏ phần mở rộng .zip đi để tên file chỉ còn lại là LangkhachFIX.inf (do diễn đàn không để đính kèm file có phần mở rộng là .inf nên Lãng khách đổi tên để đính kèm vào bài viết được, đây là cách ngày xưa Lãng khách nghĩ ra và áp dụng để đính kèm file .exe vào G-mail ). (Dưới đây là 2 file giống nhau, một file dành cho trường hợp còn có thể xả nén bình thường, là file .zip ở trên)
2. Phải chuột file LangkhachFIX.inf trên Desktop và chọn Install. Tất cả các thiết lập đã có tác dụng ngay. Tuy nhiên, bạn sẽ phải bấm F5 để Refresh màn hình làm việc (tại Folder bất kì, sẽ có tác dụng trong Folder đó) để thấy hiệu quả. Nếu bạn không muốn thủ công, trên Windows XP, click Start/Run, gõ tskill EXPLORER (ENTER) hoặc trên Windows Vista/7, click Start, gõ tskill EXPLORER (ENTER) là OK ngay lập tức (đây là thủ thuật Lãng khách vẫn ứng dụng để xác lập Registry có tác dụng ngay lập tức thay vì các lời khuyên các bạn vẫn nhận được là phải Restart máy tính hay phải Log off rồi Log on trở lại mới thấy tác dụng).
Sau đó, các bạn có thể thoải mái sử dụng công cụ hệ thống hay các công cụ như .exe để tiếp tục khắc phục sự cố.
Phương án 2:
Các bạn copy đoạn code dưới đây vào NotePad, Save as... với filename là LangkhachFIX.inf rồi thao tác như từ bước 2 ở Phương án 1. Tuy nhiên, Lãng khách vẫn lưu ý các bạn, trường hợp bị lỗi không mở được file .exe, các bạn sẽ không thể mở được NotePad theo cách thông thường, và lúc này Phương án 1 sẽ phát huy hiệu quả.
- Code:
[Version]
Signature="$Windows NT$"
Provider=LangkhachBkavForum
[DefaultInstall]
DelReg=LangkhachDel
AddReg=LangkhachAdd
[LangkhachDel]
HKCU, Software\Classes\.exe
HKCU, Software\Classes\secfile
HKCR, secfile
HKCR, .exe\shell\open\command
[LangkhachAdd]
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, .exe,,,"exefile"
HKCR, .exe,"Content Type",,"application/x-msdownload"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0
HKCU, Software\Policies\Microsoft\Windows\System,DisableCMD,0x10001,0
HKLM, Software\Microsoft\Windows NT\CurrentVersion\SystemRestore,DisableSR,0x10001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x10001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0x10001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x10001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,0x10001,0
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions,0x10001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun,0x10001,0
HKLM, Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf,,,"@SYS:KhongKhongThay"
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x10001,255
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files,*.*,0x0
HKLM, System\CurrentControlSet\Services\ShellHWDetection,Start,0x10001,4
Chúc các bạn thành công .
(nguồn tham khảo: Nguy cơ bảo mật từ thiết bị nhớ USB)
[You must be registered and logged in to see this link.]
- Attachments
NEW.19-11.LK_FixWinLogOnvirus.zip - You don't have permission to download attachments.
- (5 Kb) Downloaded 2 times