Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (65.84 KB, 2 trang )
Giải quyết sự cố khi gặp Virus Autorun
Con này thì khỏi phải nói chắc ai củng biết. Khi mở lên nó có nhửng code rất đơn giản
nhưng khó mà diệt dc nếu chương trình AV ko đủ năng lực.
Code:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com.
KAV 6.0 cũng kô phát hiện ra
Con này phát tán rất nhanh. Mang USB ra quán Net hay tiệm In thì thế nào củng dc tặng
miển phí 1 con đem về sài chơi
Con này Ngoài cái AutoPlay hiện trên đỉnh thì ko có gì đặt biệt hơn.Nên Co thể diệt =
tay(Ẹc min thì chỉ diệt = chương trinh ai rảnh thì mò chơi
Nó tạo ra 2 file %Sysdir%\Kavo.exe và %Sysdir%\Kavo*.dll" (* ký thự này kô nhớ rõ )
Tạo một key trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để
kích hoạt file Kavo.exe khi vào win.
Khi file Kavo.exe được kích hoạt nó sẽ inject file Kavo*.dll vào Process Explore.exe
Khi file Kavo*.dll được ijnect vào Process Explore.exe thì nó tác dụng:
- làm máy kô mở ẩn được bằng cách luôn để value '0' cho key "CheckedValue" trong
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\
Tạo Autorun và file ntdelect.com trong thư mục gốc của các ổ. Và +s +h cho mấy file này
(nếu dùng lệnh attrib để -s -h thì nó lại + lại ngay sau vài giây. xóa cũng thế.)
Đó là các chức năng giúp nó phòng thủ còn các chức năng khác thì mình chưa biết
Diệt nó bằng tay như sau:
Vào Task Manager kill Process Explore.exe rồi lại Open lại để unload file Kavo*.dll ra
khỏi Process Explore.exe > làm virus ngưng hoạt động.(rất đơn giản )
Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue"