Virus gì mà khó diệt vậy !

[vungoc]

Trong công ty mình bị một lọai vi rút nhiễm vào file excel, như thế này:

- Khi mình mở file excel lên, file mở ra rất chậm đồng thời cứ calculating … liên tục, mình ấn nút esc thì có khi file đóng lại. Có khi hiện lên hộp thọai có mấy button như Halt, Continue, … gì đó.
- Trong quá trình chạy thấy file họat động rất chậm.
- Vào Menu - Format – Sheet – Unhide thì thấy có một sheet ẩn tên là HeipMe, mình đã chọn chế độ unhide sheet này để xóa đi nhưng không được.
- Trong Insert – Name – Define – trong hộp thọai Define Name thấy có vô số (hàng ngàn hoặc hơn thế nữa) các Name lạ.
- Mình dùng Addin Name Manager và Asap để lọai bỏ các sheet ẩn cùng với Name lạ nói trên – nhưng với file bị nhiễm vi rút này thì 2 Addin này bị vô hiệu hóa – không xóa được.
- Khi đóng file, chương trình Save rất lâu đồng thời tạo và mở thêm các book1, book2, …
- Vào trong thư mục XLSTART của Office thấy xuất hiện thêm book1 và book.xlt (xóa 2 file này đi nhưng lần mở sau nó cũng tự động tạo lại).
- Mình đã dùng Bidefender, Avast và một số chương trình diệt virus khác, nhưng không diệt được lọai virus này.

Mong được các bạn chỉ dẫn cách diệt lọai virus trên.
Xin chân thành cảm ơn !

 

[anhtuan1066]

Có thễ gữi file lên đây mọi người nghiên cứu dc ko? Vì cơ chế hoạt động mỗi virus khác nhau, có khi là cái củ nhưng đã dc cập nhật và mạnh mẽ hơn rất nhiều so với Version cũ nên khó nói lắm!
ANH TUẤN

 

[vungoc]

Có thễ gữi file lên đây mọi người nghiên cứu dc ko? Vì cơ chế hoạt động mỗi virus khác nhau, có khi là cái củ nhưng đã dc cập nhật và mạnh mẽ hơn rất nhiều so với Version cũ nên khó nói lắm!
ANH TUẤN

Chào bác anhtuan1066

Em gửi lên sợ lây nhiễm tùm lum. Nhưng bác đã nói vậy thì em cũng xin mạn phép gửi - bác xem giúp em với nhé

Cảm ơn bác nhiều !

 

[Đào Việt Cường]

Dear vungoc,
-------------
Em thấy cách diễn giải của anh cứ như thể anh đã túm cổ từng "con" ra một vậy, rất rõ ràng!

Có khi hiện lên hộp thọai có mấy button như Halt, Continue, … gì đó

Cái này thì sử dụng VBA nhiều chúng ta sẽ thấy và nói túm lại, các dấu hiệu như anh mô tả cho thấy "vai-rớt" là một loại "Mắc-cờ-rô" bao gồm kết hợp các vĩ liệnh VBA và Macro4-Sheet.
Muốn loại bỏ tận gốc Macro này thì phải diệt trừ triệt để từ file bị nhiễm vì bản thân book1.xls và book.xlt cũng như hàng loạt những Book1.xls, Book2.xls... được tạo ra bằng các câu lệnh trên Excel. Phải tìm ra các câu lệnh đó và xoá đi.

mình đã chọn chế độ unhide sheet này để xóa đi nhưng không được

Lý do xoá không được?
Điều này rất quan trọng, quyết định đến sự thành công loại trừ hẳn Maxcro-Sheet ra khỏi Workbook.

nhưng với file bị nhiễm vi rút này thì 2 Addin này bị vô hiệu hóa – không xóa được

Lý do xoá không được?
Điều này rất quan trọng, quyết định đến tốc độ làm việc của Workbook.
Anh thử cố gắng nếu chấp nhận mất công define các name của mình bằng cách thực thi một thủ tục xoá tất cả các name, đơn giản như sau:
___________________
Sub Names_Delete()
dim n As Name
For Each n in ThisWorkbook.Names
n.Delete
Next
End Sub
______________

Nếu vẫn không được, đành phải "làm sạch" Workbook bằng cách thủ công (nếu không quá cực nhọc) bằng cách khởi động Workbook ở chế độ Level of Security = Verry Hight để vô hiệu vĩ lệnh sau đó tiến hành sao chép dữ liệu sang Workbook mới (nên sử dụng lệnh PasteSpacial Formula và Format)
Sau khi công việc hoàn tất mới tiến hành xoá các tập tin lạ trong thư mục XLSTART.
Tự mình làm mới "sướng" anh ạ!

 

[Đào Việt Cường]

Dear all,
-------
Qua xem file đính kèm, em nhận thấy đây là một Macro rất "không ngoan" (người tạo ra nó). Toàn bộ các lệnh thực thi được lập trình trên Macro4-Sheet. Bản thân worksheet này không cho phép người dùng can thiệp unhide bằng cách lợi dụng sự kiện Sheet_Activate (sử dụng Sheet_Active).
Để "phơi bày" HelpMe, chúng ta chỉ cần chạy thủ tục sau:
Sub HelpMe_Visible()
Sheets("HelpMe").Visible = True
End Sub
Để loại bỏ khả năng tự động "che đậy" (Hidden), ấn Ctrl+F3 tìm đến name Sheet_Active rồi thay đổi tham chiếu của Name này. Chọn HelpMe và đừng di chuyển qua Sheet khác. Định dạng lại Font cho Worksheet này ta sẽ thấy toàn bộ vĩ lệnh Macro4.
Giờ đây anh vungoc có muốn "HelpMe" thì tuỳ anh!

 

[vungoc]

Xin cảm ơn ý kiến quý báu của bạn Đào Việt Cường !

Mình sẽ tiến hành thực hiện theo trình tự và nội dung mà bạn đã chỉ dẫn để giết mấy con vi rút này.

Chúc bạn luôn khỏe, ngày càng trí tuệ và thành công trong cuộc sống !

 

[anhtuan1066]

File này cũng đâu có gì! Tôi diệt bằng tay xong rồi nè! Giờ chẳng còn Name và Sheet ẩn nửa! (File trên 1MB, diệt xong còn 75KB) Mở nó bằng Office2007 sẽ dễ làm hơn!
Bạn chú ý là đừng mở nhiều file cùng lúc! Vì chỉ cần trong những file này có 1 file nhiễm thì khả ngăn bị lây rất cao! Mở từng file thôi rồi cố gắng mà diệt từng file 1 (Tôi thử với BKAV nó ko nhận ra file này bị nhiễm)
ANH TUẤN

 

[vungoc]

To: Anhtuan1066:

Cảm ơn bác, nhưng mà em không biết bác giết virút này bằng phương pháp hoặc phần mềm diệt nào. Nếu được bác chỉ dẫn cho em luôn cách thực hiện, vì ở Cty còn rất nhiều file, trên nhiều máy khác nhau vẫn đang bị nhiễm vi rút này (file em up lên chỉ là một ví dụ).

Chúc bác vui !

 

[Mr Okebab]

To: Anhtuan1066:

Cảm ơn bác, nhưng mà em không biết bác giết virút này bằng phương pháp hoặc phần mềm diệt nào. Nếu được bác chỉ dẫn cho em luôn cách thực hiện, vì ở Cty còn rất nhiều file, trên nhiều máy khác nhau vẫn đang bị nhiễm vi rút này (file em up lên chỉ là một ví dụ).

Chúc bác vui !

Bác làm theo các bước sau nhé :
1. Vào theo đường dẫn
C:\Documents and Settings\Tên User\Application Data\Microsoft\Excel
Xóa tất cả các File
Có bao nhiêu User thì xóa bấy nhiêu
2. Vào theo đường dẫn :
C:\Program Files\Microsoft Office\OFFICE11\XLSTART
Xóa tất cả các File, OFFICE11 hay OFFICE10 là tùy phiên bản

3. Mở Excel
4. Set Securyti = Medium
5. Mở File Book (Phải mở Excel trước khi mở File này)
6. Hiện ra bảng, chọn Disable
7. Hiện ra bảng hỏi có muốn mở không ?? Chọn Yes
8. Dùng ASAP : ASAP-Utilities/ Sheets/Show All Sheets
9. Vào Tools/Opption/General/ Chọn R1C1 Reference style
10. Hiện ra bảng nói rằng có một số name bị sai. Hãyđổi tên name lại. Bác hãy nhập các ký tự lung vào rồi nhấn OK (Khoảng 20 lần gì đó)
11. Dùng ASAP :ASAP-Utilities/ Range/Delete all range names in the entire workbook
2686 name sẽ bị xóa
Bây giờ thì OK rồi. Bác có thể toàn quyền xử lý thằng HelpMe (Xem Code, xóa . . .)

Bắt đầu với File khác, bác hãy bắt đầu từ bước 5. (bỏ qua bước 9)

Xong xuôi nhớ cho Excel trở lại bình thường (bước 9)


Chú ý :
1. Thằng HelpMe dùng sự kiện SheetActive nên khi bác chưa xóa name thì vẫn chạy được
2. Khi mở File và đóng file nó sẽ tự động cho Securyti là Low đấy

Chúc bác thành công.

Thân!

 

[vungoc]

Cảm ơn sự chỉ dẫn tận tình của Mr. Hiếu.

Chúc bác luôn vẻ và thành công trong cuộc sống !
Hẹn gặp lại !

 

[anhtuan1066]

Tôi ko hiểu lý do gì mà các bạn ko UNHIDE dc sheet ẩn này. Còn tôi thì UNHIDE nó bình thường (Format sheet\Unhide) rồi xóa Name. Chỉ vậy thôi. Tất cả dùng bằng tay, ko có bất cứ Tool hổ trợ nào cả. Kỳ vậy ta! Hay là con virus trong cái file bạn Vungoc gữi đã bị YẾU đi ít nhiều rồi... hi.. hi..
ANH TUẤN

 

[vungoc]

Chào bác anhtuan1066.

Chà ! bác dùng tay (hiểu là làm bằng phương pháp thủ công, tìm và xóa từng name một) mà xóa đi được khỏang gần ba ngàn cái Name lạ thì em nghĩ là tốn ít nhất vài ba tiếng đồng hồ / 1 file. Nếu trong trường hợp nhiều file trên nhiều máy khác nhau bị nhiễm lọai Virus nói trên mà chỉ diệt bằng tay thì hơi bị ỏai và mất quá nhiều thời gian đấy bác ạ !

Em đã thử thực hiện theo cách của Mr Okebab thì thời gian diệt cho mỗi file chỉ hết khỏang 5 - 10 phút (có thể nhanh hơn). Tuy nhiên, với cách này thì tất cả các Name in workbook đều bị xóa hết (vô hình chung xóa luôn các Name in workbook hữu dụng - do mình tạo ra để thực thi các mã lệnh trong file đó). Như vậy mình lại phải mất thời gian tạo lại các Name này thì file mới họat động được theo đúng yêu cầu lúc khởi tạo. Ít thì có thể tạo được còn nếu nhiều thì chẳng biết đường nào mà lần.

Em có lưu 1 file tương tự như file trên được backup ở thời gian trước (!) nên không bị nhiễm vi rút, giờ đây muốn copy các Name in workbook qua file mới vừa diệt virus này thì phải làm sao ? Hình như trên diễn đàn này đã có chủ đề về việc copy Name in workbook này thì phải - nếu bác nào biết, chỉ em luôn.

Cảm ơn sự quan tâm - giúp đỡ của tất cả các bạn.
Chúc mọi người luôn vui vẻ, đòan kết và thân thiện !

 

[ThuNghi]

Vấn đề GetName hình như 4R này có, trước mắt bạn phải có danh sách name file cũ dưới dạng
tên name..........địa chỉ
nằm trong 1 sheet nào đó, copy sh đó qua file mới.
Tạo name lại từ sh trên bằng code, hình như của Anh Nvson. Bạn tìm trên 4r nhé!
Vấn đề này mình đã từng hỏi rồi.

 

[anhtuan1066]

Xóa 3000 Name hay 100.000 Name thì có khó gì. Như tôi đã nói ở trên là mở nó bằng Office2007 đễ xóa, rất dễ dàng mà. Có thể bạn ko có Office2007 nhưng có thể dùng Portable_Office2007 cũng dc, đâu cần cài đặt gì đâu! Tổng thời gian đễ làm sạch file của bạn chưa đến 30s! Bạn thử xem thì biết
ANH TUẤN

Ah, còn vấn đề Copy Define Name, bạn có thể vào trang web của Microsoft đễ tham khảo: http://support.microsoft.com/kb/213389. Ngay cả Excel2007 cũng chưa có cách copy như vậy mà phải dùng Code (trong trang Web này có cho sẵn đoạn code đấy!). Tất nhiên như bạn ThuNghi nói, ta phải có sẳn 1 file chứa Define name "sạch"
ANH TUẤN

 

[ducanh2003]

E cũng gặp trường hợp như bác Vũ Ngọc và làm theo cách của Mr.Okebab.Ặc, nhưng cái thằng Helpme ấy nó là file đã được protect nên không làm sao mà xoá, xem code hay vô hiệu hoá nó được.
Pác nào có cách khác giúp e với?

 

[Mr Okebab]

E cũng gặp trường hợp như bác Vũ Ngọc và làm theo cách của Mr.Okebab.Ặc, nhưng cái thằng Helpme ấy nó là file đã được protect nên không làm sao mà xoá, xem code hay vô hiệu hoá nó được.
Pác nào có cách khác giúp e với?

1. Bạn phải Unhide được HelpMe
2. Bạn phải xóa được các Name
3. Khi vào HelpMe, hãy UnHide các cột từ A:L, đổi màu chữ sang màu đen là thấy code ngay
Nếu thực hiện đúng thì việc xóa Sheet này đơn giản mà.

Thân!

 

[ducanh2003]

To Mr Okebab
E đã xoá được các name, unhide được Helpme nhưng vẫn ko xem được code của nó. Hì, e quên ko nói rõ cho pác rằng cái window của e là 98, nhưng office 2000. Điều đó có ảnh hưởng gì đến việc e ko thể xoá được cái thằng Helpme này ko. Pác cho e lời khuyên cái?

 

[Mr Okebab]

E đã xoá được các name, unhide được Helpme nhưng vẫn ko xem được code của nó. Hì, e quên ko nói rõ cho pác rằng cái window của e là 98, nhưng office 2000. Điều đó có ảnh hưởng gì đến việc e ko thể xoá được cái thằng Helpme này ko. Pác cho e lời khuyên cái?

Mình không rõ (vì lười thử trên Office 2000) nhưng mình nghĩ là xóa được.
Khi đã xóa hết các Name rồi thì HelpMe mất tác dụng, cứ xóa như bình thường là được mà.

Bạn xóa bằng cách nào mà không được (cụ thể nhé)

Thân!

 

[Littleduck]

Chào các bạn .Mình là linh mới có gì sai sót xin các bạn chỉ giáo.
Về macro Heldme như ban noi tren mính có một cách sau :
bước 1: xoá file book.xsl trong office11
buoc 2 mở file bị nhiễm ra Đánh dầu tất cả các sheet bằng cách nhấn giủ nút Shiflt và trỏ chuột vào các sheet.
bước 3: nHấn chuột phải chọn lệnh move or coppy chọn new book và nhấn o ke.
Buớc 4 : Save file và đổi tên.
Buớc 5 : mở lại file vừa save chọn format sheet sẽ kh6ng còn thấy sheet heldme nữa .
Điều quan trong là cách xoá name trong file., vấn đề nay thi minh chưa thẻ làm được.mong các bạn chỉ giáo thêm.

 

[TranNguyenDanNhi]

Điều quan trong là cách xoá name trong file., vấn đề nay thi minh chưa thẻ làm được.mong các bạn chỉ giáo thêm.

Đọc kỹ các bài trên!