giải quyết sự cố khi gặp virus autorun
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (65.84 KB, 2 trang )
Giải quyết sự cố khi gặp Virus Autorun
Con này thì khỏi phải nói chắc ai củng biết. Khi mở lên nó có nhửng code rất đơn giản
nhưng khó mà diệt dc nếu chương trình AV ko đủ năng lực.
Code:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com.
KAV 6.0 cũng kô phát hiện ra
Con này phát tán rất nhanh. Mang USB ra quán Net hay tiệm In thì thế nào củng dc tặng
miển phí 1 con đem về sài chơi
Con này Ngoài cái AutoPlay hiện trên đỉnh thì ko có gì đặt biệt hơn.Nên Co thể diệt =
tay(Ẹc min thì chỉ diệt = chương trinh ai rảnh thì mò chơi
Nó tạo ra 2 file %Sysdir%\Kavo.exe và %Sysdir%\Kavo*.dll" (* ký thự này kô nhớ rõ )
Tạo một key trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để
kích hoạt file Kavo.exe khi vào win.
Khi file Kavo.exe được kích hoạt nó sẽ inject file Kavo*.dll vào Process Explore.exe
Khi file Kavo*.dll được ijnect vào Process Explore.exe thì nó tác dụng:
- làm máy kô mở ẩn được bằng cách luôn để value '0' cho key "CheckedValue" trong
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\
Tạo Autorun và file ntdelect.com trong thư mục gốc của các ổ. Và +s +h cho mấy file này
(nếu dùng lệnh attrib để -s -h thì nó lại + lại ngay sau vài giây. xóa cũng thế.)
Đó là các chức năng giúp nó phòng thủ còn các chức năng khác thì mình chưa biết
Diệt nó bằng tay như sau:
Vào Task Manager kill Process Explore.exe rồi lại Open lại để unload file Kavo*.dll ra
khỏi Process Explore.exe > làm virus ngưng hoạt động.(rất đơn giản )
Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue"
thành '1' rồi vào folder options mở ẩn thường và ẩn System ra.
Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address
xuống > di chuột đến ổ cần vào > click) chứ kô được vào bằng click đúp lên các ổ! để
kô kích hoạt lại virus.
Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdelect.com đi. Chú ý ở ổ C có
ntdelect.com(chữ thường) của virus và NTDELECT.COM (chữ in hoa) của OS > chỉ
xóa ntdelect.com(chữ thường)
Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ
%Sysdir% vào Run nó kô mở System32 ra nhỉ?)
Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Restart lại máy > xong Viết thì dài nhưng làm thì nhanh lắm
Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue"
thành '1' thì tìm ở chỗ nào vậy?
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\
trong đó đấy bạn
