Khắc phục hậu quả của Windows XP/Vista Recovery

Thứ tư - 13/07/2011 12:55
Đối với các chương trình dọn dẹp hệ thống hiện nay, cách thức sử dụng chung là “làm sạch” toàn bộ thư mục temp trước khi tiến hành các tiến trình khác. Mục đích của quá trình này thường mang lại hiệu quả khá tốt, vì đây cũng chính là nơi “trú chân” của những chương trình độc hại, malware, virus...
Khắc phục hậu quả của Windows XP/Vista Recovery

Quản Trị Mạng - Đối với các chương trình dọn dẹp hệ thống hiện nay, cách thức sử dụng chung là “làm sạch” toàn bộ thư mục temp trước khi tiến hành các tiến trình khác. Mục đích của quá trình này thường mang lại hiệu quả khá tốt, vì đây cũng chính là nơi “trú chân” của những chương trình độc hại, malware, virus... do vậy sẽ rút ngắn đáng kể khoảng thời gian xử lý sau này. Nhưng không phải chỉ có chúng ta mới biết được cách làm này, mà những hacker sơ nhập cũng nắm được nguyên lý đơn giản này, do vậy tin tặc đã tiếp tục sáng tạo ra một số phần mềm bảo mật giả mạo với mục đích cố tính di chuyển các file hoặc dữ liệu quan trọng của người dùng vào thư mục temp này.

Những trường hợp phổ biến thường gặp nhiều nhất là phần mềm bảo mật giả mạoWindows Recovery và Windows Restore trong hệ điều hành Windows XP hoặc Vista ngày nay, nhiều file hệ thống của người dùng sẽ “bí mật” chuyển tới thư mục %temp%\smtmp. Sau khi hệ thống bị lây nhiễm, các bạn tuyệt đối không được xóa bỏ dữ liệu trong thư mục này như cách thường làm, hoặc sử dụng những công cụ hỗ trợ khác như Ccleaner... cho tới khi hoàn tất quá trình khắc phục và mọi việc trở lại như bình thường.

Cụ thể hơn, các chương trình giả mạo trên sẽ tạm ẩn và chuyển hết toàn bộ shortcut chương trình trên nền Desktop Start Menu vào thư mục %temp%\smtmp, sau đó tiếp tục tạo thêm 4 thư mục con khác:

%Temp%\smtmp\1\ => Allusers Start Menu
%Temp%\smtmp\2\ => Allusers Quick Launch
%Temp%\smtmp\3\ => Quick Launch\User Pinned\TaskBar
%Temp%\smtmp\4\ => AllUsers Desktop

Nếu không “làm sạch” thư mục temp thì chúng ta hoàn toàn có thể khôi phục lại những shortcut này, còn trong trường hợp còn lại, các bạn hãy dùng tiện ích restoresm để lấy lại các shortcut thường dùng (download, giải nén và chạy file restoresm.bat).

Một số bước tiếp theo cần tiến hành:

Để tiếp tục, các bạn hãy thực hiện các bước hướng dẫn như phần dưới đây. Cụ thể, chúng ta sẽ tìm hiểu kỹ hơn về chương trình giả mạo Windows Recovery – được ngụy trang khéo léo dưới vỏ bọc của 1 tiện ích phân tích và tối ưu hóa hệ thống, sau khi cài đặt vào Windows chúng sẽ hoạt động và đưa ra nhiều thông tin sai lệch và tình trạng hiện thời của hệ điều hành, đồng thời đưa ra những biện pháp cải thiện bằng các chức năng cao cấp – những chức năng này chỉ được kích hoạt khi người dùng đồng ý trả phí qua một số hình thức phổ biến. Và về bản chất, Windows Recovery được cài đặt thông qua con đường trojan lây nhiễm vào Windows, trong những lần tiếp theo, chương trình này sẽ tự khởi động cùng hệ thống, và với mỗi lần như vậy, các thông báo sai lệch về tình trạng hệ điều hành, phân vùng lưu trữ hoặc ổ cứng lại hiển thị.

Một số hình ảnh của chương trình giả mạo Windows Recovery

 Một số hình ảnh của chương trình giả mạo Windows Recovery

 Một số hình ảnh của chương trình giả mạo Windows Recovery

 Một số hình ảnh của chương trình giả mạo Windows Recovery

Một số hình ảnh của chương trình giả mạo Windows Recovery

Mặt khác, để người dùng “tin tưởng” rằng hệ điều hành đang hoạt động bất ổn, Windows Recovery đã làm cho phần dữ liệu bên trong của các thư mục “biến mất” hoàn toàn, ví dụ khi người dùng mở một số đường dẫn như C:\Windows\System32\, thay vì nhìn thấy danh sách các thư mục và file hệ thống như thường lệ, họ sẽ chỉ nhìn thấy một vài thư mục khác lạ, bên trong không hề có chứa dữ liệu. Chúng làm được việc này bằng cách bí mật gán thêm thuộc tính Hidden – ẩn và file và thư mục chứa file, đồng thời thay đổi thiết lập cơ chế hiển thị của Windows, do vậy người dùng không thể nhìn đc file và thư mục ẩn.

Bên cạnh đó, Windows Recovery còn khiến cho người dùng không thể khởi động và sử dụng được bất cứ chương trình nào trên máy tính. Biểu hiện của việc này là khi bạn khởi động 1 chương trình bất kỳ, chương trình đó sẽ tự động biến mất, và thay vào đó là thông báo lỗi rằng ứng dụng hoặc ổ cứng lưu trữ đang gặp vấn đề. Mục đích của tin tặc khi làm việc này là để tự bảo vệ chương trình giả mạo khỏi các phần mềm bảo mật khác. Những thông tin báo lỗi thường gặp có dạng như dưới đây:

Hard Drive Failure
The system has detected a problem with one or more installed IDE / SATA hard disks. It is recommended that you restart the system.

System Error
An error occurred while reading system files. Run a system diagnostic utility to check your hard disk drive for errors.

Critical Error
Hard drive critical error. Run a system diagnostic utility to check your hard disk drive for errors. Windows can't find hard disk space. Hard drive error.

Sau khi đóng những thông báo này lại, thì hệ thống tiếp tục đưa ra 1 vài phương án như sau:

Fix Disk
Windows Recovery Diagnostics will scan the system to identify performance problems.
Start or Cancel

Nếu bạn chọn Start thì chương trình sẽ bắt đầu rà soát, và hiển thị 1 số kết quả tương tự như sau:

Windows Recovery Diagnostics
Windows detected a hard disk error.
A problem with the hard drive sectors has been detected. It is recommended to download the following sertified software to fix the detected hard drive problems. Do you want to download recommended software?

Đó cũng chỉ là 1 số thông tin cảnh báo đang cố gắng thuyết phục người dùng rằng hệ điều hành đang gặp những vấn đề nghiêm trọng có liên quan tới ổ cứng:

Requested registry access is not allowed. Registry defragmentation required
Read time of hard drive clusters less than 500 ms
32% of HDD space is unreadable
Bad sectors on hard drive or damaged file allocation table
GPU RAM temperature is critically high. Urgent RAM memory optimization is required to prevent system crash
Drive C initializing error
Ram Temperature is 83 C. Optimization is required for normal operation.
Hard drive doesn't respond to system commands
Data Safety Problem. System integrity is at risk.
Registry Error - Critical Error

Tác giả bài viết: T.Anh (theo Expert Exchange)

Nguồn tin: http://www.quantrimang.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Giới thiệu về Công ty cổ phần phát triển nguồn mở Việt Nam

Công ty cổ phần phát triển nguồn mở Việt Nam (VINADES.,JSC) là công ty mã nguồn mở đầu tiên của Việt Nam sở hữu riêng một mã nguồn mở nổi tiếng và đang được sử dụng ở hàng ngàn website lớn nhỏ trong mọi lĩnh vực. Wbsite đang hoạt động chính thức: http://vinades.vn/ Ra đời từ hoạt động của tổ chức...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Tin xem nhiều
Thống kê truy cập
  • Đang truy cập142
  • Hôm nay9,437
  • Tháng hiện tại288,031
  • Tổng lượt truy cập68,897,552
  • Bạn có cần nhân viên SEO không?

    Google không sử dụng từ SEOer để chỉ một người làm SEO mà gọi tên công việc và người làm công việc đó đều là SEO. Google mới đây đã có 1 bài phân tích việc một người làm kinh doanh liệu có cần nhân viên SEO không và hướng dẫn cách tuyển chọn nhân viên SEO. Mời các bạn cùng xem!
  • Cẩm nang SEO - Tài liệu chính thức của Google

    Nhiều bạn bỏ tiền học SEO, theo học các khóa SEO tại các trung tâm đào tạo với nhiều tips, tricks, mẹo, bí kíp... rất thiếu căn cứ nhưng lại chưa từng đọc "giáo trình chính thống" mà Google phát hành. Bqgt NukeViet thấy cần phải cho các thành viên cộng đồng NukeViet cái nhìn chính thống về SEO, chúng tôi quyết định cảnh báo các bạn đang bắt đầu bước chân vào lĩnh vực làm SEO nên đọc các tài liệu chính thống của Google trước tiên, vì mọi tips, tricks, mẹo, bí kíp... mà các bạn học bên ngoài chỉ là những thứ không chính thống, có thể bị Google thay thế, thậm chí là "phạt" bất cứ lúc nào.
  • 3 doanh nghiệp và câu chuyện sống sót trong mùa dịch cùng Google My Business

    Trong thời điểm dịch Covid vừa qua, các doanh nghiệp cũng như cá thể kinh doanh nhỏ lẻ đã phải vượt qua rất nhiều khó khăn và tìm hướng đi mới cho mình để tiếp tục duy trì và phát triển. Chương trình Bệ phóng Việt Nam Digital 4.0 cũng đã rất cố gắng để cung cấp các công cụ miễn phí và hữu ích đến cho mọi người, đặc biệt là ứng dụng GMB - Google My Business giúp hiển thị trên Google một cách miễn phí và hiệu quả. Có rất nhiều doanh nghiệp và cá thể nhỏ lẻ đã ứng dụng và thành công, điển hình là 3 câu chuyện dưới đây.
  • NukeViet là nội dung thi Olympic tin học 2020 - Hạng mục phần mềm nguồn mở

    NukeViet đã được BTC cuộc thi Olympic tin học toàn quốc lựa chọn là nội dung thi Olympic tin học 2020 (Hạng mục phần mềm nguồn mở).
  • Lưu trữ website không giới hạn với Hosting miễn phí của 123HOST

    Vừa là Partner của NukeViet, vừa là nhà tài trợ hosting cho NukeViet.vn, mới đây 123HOST đã phát hành dịch vụ giúp lưu trữ website miễn phí. Dịch vụ gồm nhiều thông số không giới như băng thông, không giới hạn tài khoản Email, không giới hạn số lượng Tên miền phụ, không giới hạn số lượng cơ sở dữ liệu và nhiều thứ tuyệt vời khác.
  • Công ty VINADES mở khóa đào tạo NukeViet chuyên sâu cùng Hệ thống Đào tạo CNTT T3H

    Vừa qua, VINADES đã ký kết hợp tác với Hệ thống Đào tạo CNTT T3H để mở khóa đào tạo chuyên sâu về NukeViet do chính giảng viên của VINADES đứng lớp. Đây là cơ hội lớn cho cộng đồng NukeViet được nâng cao kiến thức và kỹ năng của mình.
  • Mời thầu xây dựng website và cơ sở dữ liệu bản đồ tích hợp tỉnh Gia Lai

    Trung tâm Xúc tiến Đầu tư Tỉnh Gia Lai vừa công bố gói thầu xây dựng website và cở sở dữ liệu bản đồ dự án đầu tư tích hợp. Hãy cùng xem thông báo chi tiết dưới đây.
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây