Khắc phục hậu quả của Windows XP/Vista Recovery

Quản
Trị Mạng - Đối với các chương trình dọn dẹp hệ thống hiện nay, cách
thức sử dụng chung là “làm sạch” toàn bộ thư mục temp trước khi tiến
hành các tiến trình khác. Mục đích của quá trình này thường mang lại
hiệu quả khá tốt, vì đây cũng chính là nơi “trú chân” của những chương
trình độc hại, malware, virus... do vậy sẽ rút ngắn đáng kể khoảng thời
gian xử lý sau này. Nhưng không phải chỉ có chúng ta mới
biết được cách làm này, mà những hacker sơ nhập cũng nắm được nguyên lý
đơn giản này, do vậy tin tặc đã tiếp tục sáng tạo ra một số phần mềm
bảo mật giả mạo với mục đích cố tính di chuyển các file hoặc dữ liệu
quan trọng của người dùng vào thư mục temp này.

Những trường hợp phổ biến thường gặp nhiều nhất là phần mềm bảo mật
giả mạoWindows Recovery và Windows Restore trong hệ điều hành Windows XP
hoặc Vista ngày nay, nhiều file hệ thống của người dùng sẽ “bí mật”
chuyển tới thư mục %temp%\smtmp. Sau khi hệ thống bị
lây nhiễm, các bạn tuyệt đối không được xóa bỏ dữ liệu trong thư mục này
như cách thường làm, hoặc sử dụng những công cụ hỗ trợ khác như [You must be registered and logged in to see this link.]... cho tới khi hoàn tất quá trình khắc phục và mọi việc trở lại như bình thường.

Cụ thể hơn, các chương trình giả mạo trên sẽ tạm ẩn và chuyển hết toàn bộ shortcut chương trình trên nền Desktop và Start Menu vào thư mục %temp%\smtmp, sau đó tiếp tục tạo thêm 4 thư mục con khác:

%Temp%\smtmp\1\ => Allusers Start Menu
%Temp%\smtmp\2\ => Allusers Quick Launch
%Temp%\smtmp\3\ => Quick Launch\User Pinned\TaskBar
%Temp%\smtmp\4\ => AllUsers Desktop

Nếu không “làm sạch” thư mục temp thì chúng ta hoàn toàn có thể khôi
phục lại những shortcut này, còn trong trường hợp còn lại, các bạn hãy
dùng tiện ích [You must be registered and logged in to see this link.] để lấy lại các shortcut thường dùng (download, giải nén và chạy file restoresm.bat).

Một số bước tiếp theo cần tiến hành:


Để tiếp tục, các bạn hãy thực hiện các bước hướng dẫn như phần dưới
đây. Cụ thể, chúng ta sẽ tìm hiểu kỹ hơn về chương trình giả mạo Windows Recovery
– được ngụy trang khéo léo dưới vỏ bọc của 1 tiện ích phân tích và tối
ưu hóa hệ thống, sau khi cài đặt vào Windows chúng sẽ hoạt động và đưa
ra nhiều thông tin sai lệch và tình trạng hiện thời của hệ điều hành,
đồng thời đưa ra những biện pháp cải thiện bằng các chức năng cao cấp –
những chức năng này chỉ được kích hoạt khi người dùng đồng ý trả phí qua
một số hình thức phổ biến. Và về bản chất, Windows Recovery được cài
đặt thông qua con đường trojan lây nhiễm vào Windows, trong những lần
tiếp theo, chương trình này sẽ tự khởi động cùng hệ thống, và với mỗi
lần như vậy, các thông báo sai lệch về tình trạng hệ điều hành, phân
vùng lưu trữ hoặc ổ cứng lại hiển thị.


Mặt khác, để người dùng “tin tưởng” rằng hệ điều hành đang hoạt động
bất ổn, Windows Recovery đã làm cho phần dữ liệu bên trong của các thư
mục “biến mất” hoàn toàn, ví dụ khi người dùng mở một số đường dẫn như C:\Windows\System32\,
thay vì nhìn thấy danh sách các thư mục và file hệ thống như thường lệ,
họ sẽ chỉ nhìn thấy một vài thư mục khác lạ, bên trong không hề có chứa
dữ liệu. Chúng làm được việc này bằng cách bí mật gán thêm thuộc tính Hidden –
ẩn và file và thư mục chứa file, đồng thời thay đổi thiết lập cơ chế
hiển thị của Windows, do vậy người dùng không thể nhìn đc file và thư
mục ẩn.

Bên cạnh đó, Windows Recovery còn khiến cho người dùng không thể khởi
động và sử dụng được bất cứ chương trình nào trên máy tính. Biểu hiện
của việc này là khi bạn khởi động 1 chương trình bất kỳ, chương trình đó
sẽ tự động biến mất, và thay vào đó là thông báo lỗi rằng ứng dụng hoặc
ổ cứng lưu trữ đang gặp vấn đề. Mục đích của tin tặc khi làm việc này
là để tự bảo vệ chương trình giả mạo khỏi các phần mềm bảo mật khác.
Những thông tin báo lỗi thường gặp có dạng như dưới đây:

Hard Drive Failure
The system has detected a problem with one or more installed IDE / SATA
hard disks. It is recommended that you restart the system.


System Error
An error occurred while reading system files. Run a system diagnostic utility to check your hard disk drive for errors.

Critical Error
Hard drive critical error. Run a system diagnostic utility to check your
hard disk drive for errors. Windows can't find hard disk space. Hard
drive error.

Sau khi đóng những thông báo này lại, thì hệ thống tiếp tục đưa ra 1 vài phương án như sau:

Fix Disk
Windows Recovery Diagnostics will scan the system to identify performance problems.
Start or Cancel

Nếu bạn chọn Start thì chương trình sẽ bắt đầu rà soát, và hiển thị 1 số kết quả tương tự như sau:

Windows Recovery Diagnostics
Windows detected a hard disk error.
A problem with the hard drive sectors has been detected. It is
recommended to download the following sertified software to
fix the detected hard drive problems. Do you want to download
recommended software?

Đó cũng chỉ là 1 số thông tin cảnh báo đang cố gắng thuyết phục người
dùng rằng hệ điều hành đang gặp những vấn đề nghiêm trọng có liên quan
tới ổ cứng:

Requested registry access is not allowed. Registry defragmentation required
Read time of hard drive clusters less than 500 ms
32% of HDD space is unreadable
Bad sectors on hard drive or damaged file allocation table
GPU RAM temperature is critically high. Urgent RAM memory optimization is required to prevent system crash
Drive C initializing error
Ram Temperature is 83 C. Optimization is required for normal operation.
Hard drive doesn't respond to system commands
Data Safety Problem. System integrity is at risk.
Registry Error - Critical Error


Bên cạnh đó, trong khi WindowsRecovery hoạt động, chương trình sẽ
liên tục hiển thị những thông tin sai lệch từ thanh taskbar của Windows.
Ví dụ như sau:

Critical Error!
Damaged hard drive clusters detected. Private data is at risk.

Critical Error
Hard Drive not found. Missing hard drive.

Critical Error
RAM memory usage is critically high. RAM memory failure.

Critical Error
Windows can't find hard disk space. Hard drive error

Critical Error!
Windows was unable to save all the data for the file \System32\496A8300.
The data has been lost. This error may be caused by a failure of your
computer hardware.

Critical Error
A critical error has occurred while indexing data stored on hard drive. System restart required.

System Restore
The system has been restored after a critical error. Data integrity and hard drive integrity verification required.

Activation Reminder
Windows Recovery Activation
Advanced module activation required to fix detected errors and
performance issues. Please purchase Advanced Module license to activate
this software and enable all features.

Low Disk Space
You are running very low disk space on Local Disk (C:).

Windows - No Disk
Exception Processing Message 0x0000013

Để khắc phục, các bạn sẽ cần đến một số công cụ hỗ trợ như sau:

- [You must be registered and logged in to see this link.]: sử dụng file này để có thể sử dụng được các file thực thi *.exe

- [You must be registered and logged in to see this link.]: chạy file này để xóa bỏ các tiến trình đang hoạt động của malware

- [You must be registered and logged in to see this link.]: 1 cách khác để ngừng hoạt động của malware trước khi sử dụng tiếp tục [You must be registered and logged in to see this link.]

- [You must be registered and logged in to see this link.]: sử dụng file này để xóa bỏ thuộc tính ẩn của các file và thư mục sau khi bị lây nhiễm

- [You must be registered and logged in to see this link.]: xóa bỏ loại rootkit TDSS tồn tại trên hệ thống

Lưu ý rằng các bạn không nên khởi động lại sau khi sử dụng RKill hoặc
RogueKiller nếu không các tiến trình sinh ra bởi malware sẽ tự động
xuất hiện trở lại, ngay sau đó người dùng phải sử dụng MalwareBytes, cập
nhật đầy đủ và quét (Full scan) toàn bộ hệ thống để xóa bỏ tận gốc các mối hiểm họa.

Bên cạnh đó, nếu trật tự của các file dữ liệu và chương trình dùng để
mở bị xáo trộn hoặc ảnh hưởng bởi quá trình lây nhiễm, các bạn hãy tham
khảo thêm tại đây để khắc phục:

- [You must be registered and logged in to see this link.] dùng trên Windows XP

- Với [You must be registered and logged in to see this link.]

- [You must be registered and logged in to see this link.]

Tiếp tục, để khôi phục menu Accessories Program Files, chúng ta có thể sử dụng [You must be registered and logged in to see this link.], sau khi download, các bạn giải nén và chạy file AccRestore.exe, nhấn nút Restore để tiến hành.

Để khôi phục menu Admin Tools Program Files thì hãy dùng [You must be registered and logged in to see this link.] – giải nén, kích hoạt file *.exe và nhấn nút Restore Administrative Tools items.

Chúc các bạn thành công!