Topic này sẽ tổng hợp các tác hại và cách khắc phục do các chương trình phá hoại gây nên như Virus , Worm , Trojan , Spyware ... hoặc cách nhận biết và diệt các phần mềm Keylogger (có chức năng ghi lại nhật ký để từ đó ăn cắp thông tin của người dùng) ... Mục lục : Cách diệt Virus KAVO Cách diệt Trojan W32.Heular Cách diệt Trojan-Downloader.Win32.Delf.cfo Cách diệt Trojan Vundo Cách diệt virus Win32.Virut.CE Cách diệt virus Win32: Atraps-PZ [Trojan] tạo shorcut và ẩn file trên USB, HDD Removal Tools Win32/Sality Remover - Tool dùng để loại bỏ hoàn toàn virus Virus.Win32.Sality.GEN Rootkit.Sirefef.Gen Removal Tool 1.0.0.1 - Tool dùng để trị con Rootkit.Sirefef.Gen Trojan.FakeAV Removal Tool 1.2.0.2 - Tool dùng để diệt con Trojan.FakeAV AdwCleaner 3.000 - Dùng để diệt Adware và mấy phần mềm Toolbar như Delta Toolbar (Cái này rất khó chịu) Virus Remover for Win32/Hidrag 1.2.0.847 hoặc AVG Win32/Hidrag Removal Tool - Tool dùng để diệt con Win32/Hidrag Thriller Virus Remover 2.0.1 - Một tool nhỏ có chức năng loại bỏ virus Shorcut và Autorun từ USB RectorDecryptor 2.6.0.0 - Tool dùng để diệt con Trojan-Ransom.Win32.Rector của Kaspersky Virus Remover for Win32/Murof 1.2.0.641 - Tool dùng để diệt con Win32/Murof của AVG Virus Remover for Win32/Neshta 1.2.0.847 - Tool dùng để diệt con Win32/Neshta của AVG ESET Win32/Sirefef.EV Cleaner 1.1.0.14 - Một tool đến từ ESET có thể vùi lấp con virus Win32/Sirefef.EV Virus Remover for Win32/Selges 1.2.0.708 - Một tool của AVG để diệt con Win32/Selges Virus Remover for Win32/ZeroAccess 1.2.0.847 - Tool dùng để diệt con Win32/ZeroAccess Virus Remover for Win32/Serpip 1.2.0.847 - Removal tool để diệt con Win32/Serpip của AVG Virus Remover for Win32/Zbot 1.2.0.847 - Tool dùng để diệt con Win32/Zbot ESETMebrootCleaner (formerly ESET Win32/Mebroot fixer) 2.1.0.0 - Tool dùng để diệt con Win32/Mebroot ESET Win32/Filecoder.Q cleaner 3.2.0.0 - Tool dùng để diệt con Win32/Filecoder.Q 9-lab Removal Tool 1.0.0.19 Beta - Một công cụ nhỏ có chức năng tìm và diệt malware Elmansy Anti Virus Anti WIN32/Sality 2014 1.2 - Tool dùng để diệt con WIN32/Sality Dorkbot.B Cleaner 1.1.0.4 - Tool dùng để diệt con sâu Dorkbot.B ESET Windows OlmarikTdl4/Olmasco Remover 1.6.0.8 - Loại bỏ hoàn toàn con Win32/Olmasco.R Kaspersky CapperKiller 1.0.10.0 - Một tiện ích nhỏ để loại bỏ hoàn toàn con Trojan-Banker.Win32.Capper ScreaMAV Express W32.Spy-Zbot 1.0 - Tiện ích để diệt con W32.Spy-ZBot ESET Win32/Retacino 1.0.0.0 - Dùng để diệt con Win32/Retacino ESET Win32/Simda cleaner 1.0.0.2 - Tool để loại bỏ con Win32.Simda.B ESET Win32/Zimuse.A|B cleaner 1.1.0.0 - Tool để loại bỏ con Win32/Zimuse.A|B ESET Win32/VB.OGJ Cleaner 1.1.0.0 - Tool để loại bỏ con Win32/VB.OGJ ESET Win32/SpyEye trojan family remover 1.1.0.0 - Diệt hoàn toàn con Win32.SpyEye ESET Win32/Conficker worm remover 1.1.5.1 - Tool dùng để loại bỏ sâu ẩn nấp trong máy tính ESET Win32/Codplat.AA Cleaner 1.1.0.1 - Tool để loại bỏ con Win32/Codplat.AA ESET Win32/Bubnix Trojan remover 1.1.0.0 - Tool để loại bỏ con Win32/Bubnix ESET ACAD/Medre cleaner 1.1.0.4 - Tool để loại bỏ con chuyên tấn công các file của AutoCAD Rootkit Remover 0.8.9.161 - Tìm và diệt rootkit DarkComet RAT Remover 2.0.0.0 - Tool để loại bỏ con DarkComet RAT XPS Removal Tool 3.0.5.396 - Tool để loại bỏ mấy con chuyên tấn công các file tài liệu Kaspersky XpajKiller 1.6.6.0 - Tool để loại bỏ con Win32.Xpaj ESET Win32/VB.NAX cleaner 1.0.0.4 - Tool để loại bỏ con Win32/VB.NAX ESET Win32/Filecoder.AR cleaner 1.0.0.1 - Tool để loại bỏ con Win32/Filecoder.AR ESET Trustezeb.A Cleaner 0.9 - Tool để loại bỏ con Trustezeb.A ESET Win32/Spy.Zbot.ZR cleaner 1.0.0.1 - Tool để loại bỏ con Win32/Spy.Zbot.ZR ESET Win32/Rovnix trojan remover 1.0.0.0 - Tool để loại bỏ con Win32.Rovnix.A ESET Win32/Quervar cleaner 1.0.0.5 - Tool để loại bỏ con Win32.Quervar ESET Win32/Olmarik fixer 1.5.0.3 - Tool để loại bỏ con Win32/Olmarik ESET Necurs Remover 2.0.0.0 - Tool để loại bỏ con Necurs.A ESET Win32/Mabezat.A decryptor 1.0.0.2 - Tool để loại bỏ con Win32/Mabezat.A ESET Win32/Goblin cleaner 1.0.0.5 - Tool để loại bỏ con Win32/Goblin ESET Win32/Filecoder.R virus cleaner 1.0.0.0 - Tool để loại bỏ con Win32/Filecoder.R ESET Win32/Filecoder.NAC cleaner 1.0.0.1 - Tool để loại bỏ con Win32/Filecoder.NAC ESET Win32/Filecoder.AE cleaner 1.1 - Tool để loại bỏ con Win32/Filecoder.AE ESET Win32/Filecoder.AA cleaner 1.1 - Tool để loại bỏ con Win32/Filecoder.AA ESET Win32/Daonol Trojan Family Remover 1.2.0.0 - Tool để loại bỏ con Win32/Daonol W32/CleanMbro Trojan Removal Tool 1.0 - Tool để loại bỏ con trojan Mbro Trojan.Ransom.IcePol Removal Tool 1.0.0.1 - Tool để loại bỏ con Ransom.IcePol ... FAQ Mã: Máy không sửa , thay đổi được homepage trong IE ? Máy khi vào regedit thì hiện ra thông báo :Registry editing has been disabled by your administrator ? Máy không hiện được task manager ? Máy khi vào Start không thấy Run ? Folder Option (FO) mất 2 dòng Show/Do not show hidden files and folders Không hiện được file/folder ẩn bằng FO ? Máy bị mất FO do virus thì làm thế nào để nó hiện lại ? Link : Mã: [url]http://forum.gamevn.com/showpost.php?p=8014931&postcount=2[/url] [url]http://forum.gamevn.com/showpost.php?p=8805645&postcount=3[/url] Note: - Khi download tool về nên dùng quét qua trước khi sử dụng (Hơi thừa tí vì các file này đều lưu trên softpedia nên khả năng chứa virus là cực thấp, hầu như là không có, nhưng cần thận vẫn hơn) - Khi máy bị nhiễm virus thì cần phải tìm thông tin trên google như các triệu chứng chung chung như máy chậm, cài phần mềm diệt virus không được (1 số virus nó không cho cài phần mềm diệt virus bằng cách gây lỗi file cài đặt), nếu biết được tên của con virus đó thì vào topic này, nhấn tổ hợp phím Ctrl + F trong trình duyệt để tìm kiếm nhanh trong topic. - Được phép thảo luận ở topic này
Em làm 1 slot riêng nhé bác ( thấy ko tiện thì bác cứ merge lại ) ------------------------------------------------- Hỏi : Máy không sửa , thay đổi được homepage trong IE ? Đáp : vào Run gõ gpedit.msc > computer configuration > administrative templates > window component > interner explorer > chọn disable changing home page setting > click đúp vào sửa lại thành disable sau đó vào lại IE > tools >option > default home page >rồi sau đó vào lại gpedit.msc > set lại thành enable ------------------------------------------------- Hỏi : Máy khi vào regedit thì hiện ra thông báo :Registry editing has been disabled by your administrator ? Đáp : 1. start > run > gpedit.msc > user Cofniguration > administrative template > system > click đúp vào prevent access to registry editing tools > nếu đang ở trạng thái not configured hoặc enabled thì chọn disabled > ok (nếu đang ở trạng thái là disable thì chọn thì bạn chọn là enabled, click vào ok, rồi chọn lại là disabled > ok) 2.Mở notepad copy & paste đoạn mã dưới vào sau đó lưu lại dưới dạng UnHookExec.inf Mã: [Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe ""%1""" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \ System,DisableRegistryTools,0x00000020,0 ------------------------------------------------- Hỏi : Máy không hiện được task manager ? Đáp : Start > Run > gõ lệnh với nội dung : REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f hoặc Start > Run > gpedit.msc > Administrative Templates > System > Ctrl+Alt+Delete Options > Remove Task Manager double click vào Remove Task Manager thiết lập là Not Configured ------------------------------------------------- Hỏi : Máy khi vào Start không thấy Run ? Đáp : Start > All Programs > Accessories > Command Prompt > gõ "Regedit.exe" vào dòng lệnh của Command Prompt > mở được Registry Editor> tìm đến khóa HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced > ở cửa sổ bên phải sẽ thấy một giá trị REG-DWORD với tên "StartMenuRun" > Sửa thành 0 nếu muốn tắt, 1 nếu muốn khóa hoặc là xóa nó đi > khởi động lại máy.End ------------------------------------------------- Sau 1 thời gian thì nhận thấy lock theard này ko thỏa đáng lắm open cho mọi người vô post [Chú ý : Đóng góp nghiêm túc , ko spam , ko hỏi đáp trong theard này ]
Thấy ngoài kia nhiều người hỏi quá nên làm 1 slot tại đây :'> Hỏi : Folder Option (FO) mất 2 dòng Show/Do not show hidden files and folders Đáp : Mở notepad copy & paste đoạn mã dưới vào sau đó lưu lại dưới dạng *.reg Mã: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" Hỏi : Không hiện được file/folder ẩn bằng FO ? Đáp : Lại notepad và *.reg như ở trên Mở notepad copy & paste đoạn mã dưới vào sau đó lưu lại dưới dạng *.reg Mã: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" Còn lười thì down thằng này về rồi chạy Hỏi : Máy bị mất FO do virus thì làm thế nào để nó hiện lại ? Đáp : Vào Start ~~> Run ~~> gpedit.msc ~~> User Configuration ~~> Administrative Templates ~~> Windows Components ~~> Windows Explorer ~~> Double click vào Remove the Folder Options menu item from the Tools menu > nếu đang ở trạng thái Not configured hoặc Enabled thì chọn Disabled > ok (nếu đang ở trạng thái là Disable thì chọn thì bạn chọn là Enabled, click vào ok, rồi chọn lại là Disabled > ok)
Cách diệt Virus KAVO : Tác hại : Tạo ra một mã độc và lây vào các tiến trình như Explorer.exe, Iexplorer.exe , nhằm mục đích phá hoại ! Ăn cắp mật khẩu của máy tính bị nhiễm có truy cập Internet ! Tự động tìm tất cả các ổ đĩa cứng trong máy , USB (nếu đang cắm sẵn trong máy) và tự sao chép chính nó vào các ổ đĩa đó thành file ntdelect.com , ghi thêm file "autorun.inf" để virus có thể lây lan dễ dàng ! Tự động tạo file Autorun Cách khắc phục : Download file Kill_Kavo_Variants.zip ở file gửi kèm , xả nén sẽ thấy 1 file tên là Kill_KavoVariants.bat , rồi chép nó vào ổ C hoặc để ở chỗ nào dễ kiếm như ổ D cũng được ! Sau đó khởi động vào Safe Mode ! (Nhấn phím F8 để vào Safe Mode ) , sau đó tắt Sytem Resore ! ( Click chuột phải vào My Computer > Properties > Sytem Restore ) Nhấp đúp vào file Kill_KavoVariants.bat để nó tiến hành diệt con "cá vồ" , sau đó khởi động lại máy , vào win bình thường xem có được không ! Sau đó nên tắt chế độ hiển thị file ẩn đi , ko lại xóa nhầm file thì mệt
Cách diệt trojan W32.Heular Quá trình hoạt động : Khi nhiễm Trojan nó sẽ tạo ra một số hoạt động sau : Mã: %SystemDrive%\.exe %SystemDrive%\Documents and Settings\All Users\Documents\Admin Files.exe %SystemDrive%\Documents and Settings\All Users\Documents\MP3 Files.exe %SystemDrive%\Documents and Settings\All Users\Documents\My Media Files.exe %SystemDrive%\Documents and Settings\All Users\Templates\Excel templates.exe %SystemDrive%\Documents and Settings\All Users\Templates\PowerPoint temlates.exe %Userprofile%\Desktop\User.exe %System%\Aquarium 200.scr %System%\EraleuH.exe %System%\filesrv32.exe Bước kế tiếp của nó là xâm nhập vào regedit để khởi tạo các tập tin chạy cùng window lúc khởi động : Mã: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Microsoft File Server Manager 2.36" = "C:\WINDOWS\system32\filesrv32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Heiku - Munist" = "C:\WINDOWS\system32\EraleuH.exe" Việc tiếp theo là nó sẽ làm ẩn đi tính năng registry tools and the folder options trong Window Explorer : Mã: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\Defa ultIcon\"(default)" = "C:\WINDOWS\system32\filesrv32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\"IeakHelpString" = "I will always be with you, Huelar!" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\"EnableHeikus" = "1" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\"InstallDate" = "1/15/2008" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Freak-X Browser" Tự động thêm vào regedit những khóa sau : Mã: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Local Page" = "[http://]www.hentaisailormoon.com[REMOVED]" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[http://]www.hentaisailormoon.com[REMOVED]" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1" Khởi tạo thêm nhưng file sau vào tất cả các ổ đĩa %DriveLetter%\[Folder Name].exe Saved Documents.exe My Videos.exe My Music.exe Important Documents.exe Gerger_files.exe drvspace.com Cách diệt: 1. Tắt System Restore 2. Cài 1 chương trình diệt virus mạnh như Kaspersky , Bitdefende , Nod32 , Avast ... nhớ cập nhật cơ sở dữ liệu mới nhất ! 3. Quét toàn bộ hệ thống gồm ổ đĩa hệ thống và các ổ đĩa dữ liệu khác 4. Mở Regedit (vào Start > Run > gõ regedit)Tìm kiếm đến khóa sau và xóa đi : Mã: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Microsoft File Server Manager 2.36" = "C:\WINDOWS\system32\filesrv32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Heiku - Munist" = "C:\WINDOWS\system32\EraleuH.exe" 5. Đưa về mặc định : Mã: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\Defa ultIcon\"(default)" = "C:\WINDOWS\system32\filesrv32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\"IeakHelpString" = "I will always be with you, Huelar!" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\"EnableHeikus" = "1" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\"InstallDate" = "1/15/2008" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Freak-X Browser" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Local Page" = "[http://]www.hentaisailormoon.com[REMOVED]" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[http://]www.hentaisailormoon.com[REMOVED]" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1" 6. Thoát khỏi regedit và khởi dộng lại máy
Cách diệt Trojan-Downloader.Win32.Delf.cfo Quá trình hoạt động : Khi con trojan này xâm nhập vào máy tính , nó sẽ tiến hành download các chương trình mã độc khác thông qua đường truyền Internet và chạy âm thầm trên máy của nạn nhân mà nạn nhân không hề biết . Con trojan này có dạng là 1 file EXE và có dung lượng 133120 byte Khi hoạt động con Trojan này sẽ copy file thực thi (*.exe) của nó vào thư mục gốc của Windows , chi tiết bên dưới : Mã: %WinDir%\iexplorer.exe Phòng trường hợp người sử dụng dùng các chương trình quản lý khởi động để ngăn ko cho nó khởi động cùng window thì nó sẽ thêm một đường dẫn để file thực thi trong registry hệ thống : Mã: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IE" = "%WinDir%\iexplorer.exe" Con trojan này còn có thêm một trò là vào Windows Firewall để hợp pháp hóa bất kỳ hoạt động bất hợp pháp nào đối với mạng của nó ! vL Sau khi xâm nhập vào máy tính và khi nạn nhân kết nối vào Internet nó sẽ download các file từ những URL mà người viết con trojan này đã định như sau : Mã: http://www.site*****.com/top7_1.gif http://www.site*****.com/top7_2.gif http://www.sugo*****.kr/bbs/icon/pri...ame/top7_1.gif http://www.sugo*****.kr/bbs/icon/pri...ame/top7_2.gif Hiện tại những link này không còn hoạt động nữa Các file sau khi download về sẽ được lưu tại các vị trí sau : Mã: C:\Documents and Settings\All Users\winsql.dat C:\Documents and Settings\All Users\DirectX.aud C:\Documents and Settings\All Users\services.exe C:\Documents and Settings\All Users\comctl64.dll Khi nó đã download thành công các file cần thiết thì các file này sẽ bắt đầu hoạt động ... Khôn ngoan hơn , con Trojan này cũng mở một đường link mà người dùng không hề biết hay đồng ý : Mã: http://pag*****.terra.com.br/arte/so.../cartao059.htm Cách diệt : Diệt bằng tay : 1. Dùng Task Manager để dừng ( End Process ) quá trình hoạt động của chương trình mã độc hoặc các chương trình lạ (Nhấn tổ hợp phím CtrL + ALt + Delete để mở Task Manager) 2. Tiến hành xóa file backdoor gốc ( vị trí file phụ thuộc vào cách nó chui vào máy tính nạn nhân lúc đầu ) , có thể dùng chức năng Search để tìm và diệt ! 3. Xóa các khóa registry mà nó đã khởi tạo : Mã: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IE" = "%WinDir%\iexplorer.exe" 4. Tiếp theo là xóa các file sau : Mã: %WinDir%\iexplorer.exe C:\Documents and Settings\All Users\winsql.dat C:\Documents and Settings\All Users\DirectX.aud C:\Documents and Settings\All Users\services.exe C:\Documents and Settings\All Users\comctl64.dll 5. Tải 1 chương trình diệt virus mạnh như Bitdefende , Kaspersky , NOD32 , Avast ... (nhớ update cơ sở dữ liệu) rồi cho quét toàn bộ hệ thống , sau đó khởi động lại máy !
Nói thêm , nếu bị dính con Trojan nào mà không thể diệt được bằng các chương trình diệt virus thông thường thì có thể ghi lại tên của nó và vào trang web www.symantec.com/avcenter để download tool về mà diệt , đó là những công cụ được viết ra nhằm mục đích tiêu diệt gọn 1 con virus , trojan ... nào đó , rất hiệu quả !
Cách diệt Trojan Vundo Quá trình hoạt động : Khi đã chui vào được máy tính của nạn nhân , nó bắt đầu tạo 1 tập tin thực thi exe với một trong những tên sau : Mã: abr,av,anti,ac,acc,ad,ap,as,bin,bas,bak,cab,cat,cmd,com,cr,c,drv,db,disk,dll,dns,dos,doc,dvd,eula,exp,fax,font,ftp,hard,iis,img,inet,info,ip,java,kb,key,lib,log,main,ms,mc,mfc,mp3,msvc,net,nut,odbc,ole,pc,ps,play,ras,reg,run,sys,srv,svr,svc,s,tapi,tcp,task,un,url,util,vb,vga,vss,xml,wave,web,w,win,wms Tiếp theo , nó sẽ lưu lại và bắt đầu tiến hành kích hoạt các file trên trong các thư mục như : Mã: %Windir%\addins %Windir%\AppPatch %Windir%\assembly %Windir%\Config %Windir%\Cursors %Windir%\Driver Cache %Windir%\Drivers %Windir%\Fonts %Windir%\Help %Windir%\inf %Windir%\java %Windir%\Microsoft.NET %Windir%\msagent %Windir%\Registration %Windir%\repair %Windir%\security %Windir%\ServicePackFiles %Windir%\Speech %Windir%\system %Windir%\system32 %Windir%\Tasks %Windir%\Web %Windir%\Windows Update Setup Files %Windir%\Microsoft\ Kế tiếp nó bắt đầu thay đổi các giá trị trong Registry như sau : *** Xóa các giá trị : Mã: "*MS Setup" Từ các khóa registry : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce *** Thêm các giá trị : Mã: "*WinLogon" = "[Trojan full path file name] ren time:[random number]" đến các khóa sau : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce *** Tạo mới các khóa : Mã: Tạo các khóa registry sau: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State Nó sẽ xâm nhập để tải về và kích hoạt 1 tập tin có sẵn từ địa chỉ IP : 62.4.84.41. Tập tin mà nó tải về là 1 adware module với 1 thành phần dll. Tiếp theo . nó sẽ lưu trữ danh sách các liên kết (URL) và xâm nhập để gửi yêu cầu http cho 1 trong các địa chỉ IP : 62.4.84.53 62.4.84.56 Nó sẽ nhúng vào các dll : %Temp%\[reversed Trojan file name].dat. Tiến hành lây nhiễm các tập tin dll của nhiều chương trình đang thực thi , mỗi chương trình được kích hoạt sau khi "threat" bắt đầu chạy Việc tiếp theo của nó cũng không kém phần quan trọng là tạo các file tạm nguy hiểm : Mã: [reversed Trojan file name].bak1 [reversed Trojan file name].bak2 [reversed Trojan file name].ini Tiếp tục thêm các giá trị vào registry : Mã: "*[Trojan file name]" = "[Trojan full path file name] rerun" Đến khóa registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Lại thêm tiếp : Mã: "[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}" Đến các khóa registry : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID Tạo một loạt các khóa Registry : Mã: Tạo các khóa registry: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCBC-012D-487B-8BF3-865C0929FBEB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib\CLSID\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib.1\CLSID\ HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows \CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1 Sau khi làm xong các việc trên , nó lại bắt đầu hiện các thông tin quảng cáo ở máy bị lây nhiễm ... Kích hoạt lại các thành phần adware nếu các adware đó đã ngưng hoạt động Tiếp theo con trojan này sẽ kích hoạt "rerun" sau khi khởi động lại máy , khi kích hoạt rerun , các giá trị sau được nó nhét thêm vào : Mã: "*[Trojan file name]" = "[Trojan full path file name]" Đến khóa registry : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Việc này có thể chiếm nhiều bộ nhớ ảo của máy tính , nên máy tính của nạn nhân chạy rất chậm vì tốn quá nhiều bộ nhớ ! Cách diệt : Để diệt nó 1 cách hiệu quả thì đầu tiên phải tắt System Restore đi , tải 1 tool của Symantec là FixVundo , download : http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe Vào Safe Mode để bắt đầu diệt ! Vào Start > Run > gõ vào regedit để bắt đầu chỉnh sửa registry ! Vô hiệu các khóa sau ( cho giá trị của nó bằng 0 ) : Mã: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID Xóa khóa : Mã: "[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}" Vô hiệu khóa sau : Mã: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce Hoặc xóa các giá trị ở bên phải khóa sau: Mã: "*WinLogon = "[Trojan full path file name] ren time:[random number]" Vô hiệu khóa sau : Mã: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Xóa khóa : Mã: "*[Trojan file name]" = "[Trojan full path file name] rerun" Vô hiệu khóa sau (gán giá trị bằng 0) : Mã: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ Xóa khóa : Mã: "*[Trojan file name]" = "[Trojan full path file name]" Vô hiệu các khóa sau : Mã: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCBC-012D-487B-8BF3-865C0929FBEB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib\CLSID\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib.1\CLSID\ HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows \CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1 Sau đó thoát khỏi regedit ! Nếu bị nó vô hiệu hóa cái regedit thì vào bằng cmd cũng ok ! Phải truy nhập vào máy tính bằng quyền Admin để có quyền chỉnh sửa , xóa ...
Cách diệt virus Win32.Virut.CE: Tác hại: Khi con Win32.Virut.CE nó chui vào một máy tính của nạn nhân, nó sẽ làm cho máy tính đó chậm hẳn, làm người dùng rất khó chịu -> Lý do để người dùng nghi máy bị nhiễm virus. Khi người dùng cắm USB vào thì liên tục xuất hiện các tập tin autorun.inf Sau khi được kích hoạt, nó sẽ khởi động một số hàm sau: ZwDeviceIoControlFile, ZwCreateFile, ZwOpenFile, ZwCreateProcess, ZwCreateProcessEx, ZwQueryInformationProcess. Nó gọi các hàm trên để làm gì? Chính xác là khi một tiến trình nào đó đang chạy, nó sẽ gọi 1 hàm là CreateFile( tạo tập tin) để mở các tập tin có phần mở rộng là EXE( tập tin thực thi), SCR( Screen Saver) nên khi các tập tin này mở thì nó sẽ lây nhiễm vào toàn bộ máy tính. Ngoài ra, con này cũng sẽ tiến hành kiểm tra các tập tin, nếu tên của tập tin mà bắt đầu bằng WINC, WCUN, WC32, PSTO thì sẽ bỏ qua và không lây nhiễm vào các tập tin đó. Khi đã lây nhiễm vào các tiến trình trong hệ thống, nó sẽ inject một remote thread vào tiến trình winlogon.exe. Thread này sẽ tiến hành kết nối vào các trang web được định sẵn của tác giả phát tán virus và bắt đầu tải các phần mềm độc hại khác về máy và thực thi, tiếp tục cày xới, bới móc ở máy nạn nhân Đặc biệt, ngoài các file có khả năng thực thi thông thường như EXE và SCR thì em nó (Win32.Virut.Ce) cũng "chịu khó" tìm các tập tin có phần mở rộng là PHP, ASP, HTM để chèn vào các iframe có chứa đường link dẫn đến các trang web độc hại có chứa những đoạn mã nguy hiểm( Việc này còn gọi nôm na là "mở cửa sau" để rước các phần tử phá hoại khác tiếp tục chui vào máy tính nạn nhân). Không dừng ở đó, virus còn tìm các ổ cứng di động như USB, điện thoại di động đang kết nối với máy tính bị nhiễm và tạo các file autorun vào các thiết bị đó, để khi đem cắm vào máy khác thì nó tiếp tục lây nhiễm Cách diệt: Download 1 công cụ nhỏ được viết riêng để diệt con này là Win32 Virut Gen Removal: Mã: http://support.cmclab.net/vn/flash/Win32.Virut.Gen.Removal.v0.2.zip Nhớ tắt System Restore trước khi tiến hành quét, kết hợp thêm phần mềm chống Rootkit như CMC Code Walker để hiện các tiến trình ẩn đang chạy.
Virus làm ẩn file trong USB: Dạo này xuất hiện 1 loại virus chuyên làm ẩn dữ liệu trong USB, ổ cứng di động, nhiều người tưởng dữ liệu bị mất nhưng thật ra nó chỉ bị ẩn đi chứ chưa bị mất, cách khắc phục khá đơn giản là cắm Usb vào máy tính, dùng 1 phần mềm diệt virus để quét và diệt con virus đó đi, sau đó dùng phần mềm FixAttrb để bắt đầu hiện lại dữ liệu, mở FixAttrb lên, sau đó nhấn nút "Chọn thư mục" thì chọn cái Usb, sau đó nhấn nút "Hiện các file ẩn" là xong. Download: FixAttrb
Cách loại bỏ Delta Search: Tác hại: Nó sẽ tự chui vào trình duyệt web hiện có trên máy tính, làm tiêu tốn tài nguyên (RAM), có khi dùng Chrome mở có 2 tab mà CPU lên đến 100%, máy chậm không thể tả, làm vài thao tác thôi mà phải chờ rất lâu, dùng thử Opera thì quất 1 quả màn hình xanh Cái này nó rất khó chịu và khó xóa, vì nó có mặt rất nhiều nơi trong máy bị nhiễm. Cách diệt: Chỉ cần download cái AdwCleanner về, Nhấn vào nút Search, nó sẽ tắt trình duyệt web nếu ta đang mở, sau đó nó sẽ tự tìm kiếm tất cả những gì liên quan đến Delta Search, sau khi quá trình tìm kiếm xong, nhấn nút Delete để nó bắt đầu xóa, nó sẽ xóa sạch sẽ, sau khi xóa xong khởi động lại máy tính là được. Hoặc dùng 1 công cụ nhỏ sau: http://malware.fm/url/5srdnb
Cách diệt virus làm ẩn file trên USB: Tác hại: Khi máy tính bị nhiễm, lúc cắm USB vào chỉ thấy mỗi cái shorcut trong đó mà không thấy dữ liệu đâu, người dùng băn khoăn không biết dữ liệu đi đâu hết? Thật ra nó vẫn còn trong usb, đối với những ai cần tài liệu trong usb cho công việc quan trọng thì gặp cái vấn đề này thì khá là mệt và mất thời gian. Tóm lại là rất phiền phức với loại virus này. Cách diệt: Tải file BAT này về và chạy là được, nó sẽ diệt con virus này nhanh chóng và hiệu quả. Đã test trên 3 máy. Sau khi diệt xong thì dùng phần mềm USB Show để hiện lại dữ liệu trong usb là xong.
HFV (Hidden Folder Virus) Cleaner Pro Virus Shorcut khi lây nhiễm nó sẽ tạo ra Shorcut rỗng không, không thấy dữ liệu của mình trên USB và máy tính, con virus đó tên Win32: Atraps-PZ [Trojan], khi lây nhiễm, nó sẽ ẩn file và các thư mục đi, chỉ còn trụi lủi mỗi cái shorcut không thôi làm 1 số người hoang mang vì tưởng dữ liệu bị mất, nhưng thực chất dữ liệu vẫn còn. Phần mềm này có chức năng diệt virus Win32: Atraps-PZ [Trojan] và hiện lại file bị ẩn lại. Download ở cuối bài, xả nén và click chuột phải chọn Run as administrator, lần đầu khởi chạy bạn cần tạo mật khẩu mới (phải nhớ mật khẩu này nhé, nếu quên là mệt đấy, dù nó là portable, chạy trực tiếp không cần cài đặt nhưng khi ta xóa file cũ đi, tải file mới và mở lên nó vẫn hỏi mật khẩu cũ ) Nhấn vào nút Browe để đưa đường dẫn đến ổ đĩa/USB/thư mục cần quét, nút Add dùng để chọn thêm 1 ổ đĩa nữa, nhớ nhấn chọn vào Folder and Subfolders, sau đó nhấn nút Delete Virus để nó tự tìm và diệt con Win32: Atraps-PZ [Trojan], khi phần mềm đã chạy xong, ta nhấn vào nút Unhide Files để hiện lại file, thư mục bị virus nó ẩn đi. Nếu muốn HFV quét tự động thì mở phần mềm HFV lên rồi mới cắm USB vào. Download: Mã: https://sourceforge.net/projects/hfv/