cho hỏi cach diệt con virus này

[anhlateo1108]

bạn ơi vấn đề là mình dùng đia boot vào Volkov Commander nhưng khi làm viêc trên ổ C thì mình không tìm thấy thư mục windows chỉ thấy một số mục như déktop bootcd, graphic, internet ... mình không hiểu bạn chỉ rõ hơn được không

[MuRom92]

tôi đánh C: thì hình như nó chuyển đến ổ đia tui thấy toàn phần mềm ổ đĩa thui

[iwinonline365]

tôi dùng USB disk securiti khi khởi động máy USB securiti báo có file nguy hiểm là ( thực ra tôi vào system32 thì thấy đây là 1 folder ẩn ) system.exe



hình :







sau đó tôi dùng spyware doctor 2007 thì SP doctor luôn báo file đó nguy hiểm : hình







khi quét xong tôi không fix checked được sau khi khởi động nó vẫn hiện lại như cũ lại báo ffile nguy hiểm system.exe

ai biết cách sửa chỉ tôi nha thank

[chungcu_doanquochoan]

Hình như trong diễn đàn trc cũng có bài hỏi về con này rồi thì phải??Bác đọc kỹ cách diệt nhé.

Mặc dù đã có nhiều bài viết trong diễn đàn này cũng như diễn đàn khác về cách diệt virus (hay nói đúng hơn là 1 loại keylogger) mà đặc trưng là tạo ra file system.exe có biểu tượng giống hình thư mục, tuy nhiên tôi thấy ko phải ai cũng có thể diệt nó đc mặc dù đã dùng đến KAV hay BKAV. Nay tôi xin nói rõ thêm về cách hoạt động cũng như cách diệt nó nhanh nhất mà ko cần dùng đến bất kỳ soft anti virus nào cả.

Đặc điểm của con này là, khi lây nhiễm, nó sẽ ngay lập tức chỉnh sửa regisstry và tạo ra 1 file userinit.exe thuộc tính ẩn có biểu tượng giống folder nằm trong thư mục windows ổ đĩa cài đặt win, đồng thời tạo ra 1 file giả mang tên system.exe nằm trong windows\system32, nó cũng có thuộc tính và hình dạng giống như "cha" của nó vậy. Nó cũng có thể đồng thời vô hiệu hóa registry, task manager, giấu luôn mục Folder Options, mục đích là làm cho chúng ta ko thể chình sửa hay tìm kiếm gì cả.

Khi bạn nhiễm con này thì đảm bảo bạn sẽ không dùng Task Manager để kill process, khi kill xong thì lại thấy nó chạy tiếp, bạn có chỉnh sửa registry thì khi thoát ra là nó trả lại giá trị cũ liền, nói tóm lại nếu bạn muốn diệt nó từ trong windows đang nhiễm là ko thể đc vì nó đã đc kích hoạt để chạy thường trú theo windows mà. BKAV không diệt đc nó mặc dù phát hiện ra nó man_in_love.gif, còn KAV thì...im như thóc allgood.gif, nếu bạn có chạy trong SAFE MODE thì kết quả cũng chằng khá hơn. Vì virus này là 1 loại keylogger nên mục đích của nó cũng chỉ là đánh cắp thông tin (thông qua các hoạt động của bàn phím, chuột và chụp ảnh màn hình) nên nó cũng chẳng cần lây nhiễm ồ ạt ra các file .exe làm gì, nó chỉ cần "luồn sâu và trốn kỹ" là an toàn. Con này chủ yếu lây nhiễm qua quá trình autorun của usb, cd hay từ internet xuống là chủ yếu, nếu usb bị nhiễm, bạn dễ dàng thấy 1 file mang tên secret.exe cũng giống hình thư mục, 1 fle mang tên Nguyễn Tử Quảng.exe (cũng giống vậy) nằm trong thư mục gốc của USB bị nhiễm và file autorun dùng để kích hoạt.

Như đã nói ở trên, vì nó là 1 dạng keylogger nên nó chỉ có 1 file duy nhất đc kích hoạt tự động thông qua 1 K.@.y trong registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], nhìn bên cửa sổ bên phải, bạn sẽ thấy giá trị như sau:

"Userinit"="C:\\WINDOWS\\system32\\userinit.ex e," (Đây là giá trị đúng, máy sạch, ko bị nhiễm)

"Userinit"="C:\\WINDOWS\\userinit.exe," (Đây là giá trị sai, máy bị nhiễm)

Cách diệt bằng tay không nè:

Bước 1: (Lưu ý nếu HDD đang định dạng là NTFS thì phải kích hoạt chế độ hỗ trợ đọc NTFS nếu dùng Volkov) hoặc dùng hdd sạch không bị nhiễm khởi động và làm giống như dưới đây)

Khởi động bằng Hiren Boot, hoặc là dùng bất kỳ đĩa nào khởi động đc từ DOS. Nếu bạn dùng hiren thì bạn chạy Volkov Commander (có giao diện rất giống NC), tìm đến thư mục windows\system32 và copy file userinit.exe chép đè vào file userinit.exe nằm trong windows (nếu bạn nào chắc ăn hơn thì xóa trước khi chép đè), chuyển sang thư mục windows\system32 và xóa file system.exe đi, và khởi động lại máy ==> Virus chết queo howareyou.gif

Bước 2:

Vào Windows, vào registry, nếu không vào đc thì làm như sau:

Start-->Run-->Gpedit.msc-->User Configuration-->bấm vào dầu cộng chọn nhánh Administrative Templates-->bấm vào dầu cộng chọn nhánh System-->nhìn cửa sổ bên phải click 2 cái vào Prevent Access to registry editing tools và chọn disable --> thoát ra vào Run-->Regedit-->[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] và chỉnh lại giá trị đúng cho nó...

Tương tự, nếu máy bạn nào bị tình trang logoff liên tục sau khi diệt virus xong thì có thể copy file useinit.exe như trên rồi vào chỉnh lại registry.

Cách fix lỗi gây ra logoff sau khi diệt virus thì rất nhiều website, kể cả microsoft cũng có chỉ vấn đề này, tuy nhiên, nếu bạn làm y như cách chỉ dẫn của họ mà vẫn ko đc thì chắc chắn bạn đã bị nhiễm 1 loại biến thể của nó (Vì tôi đã bị rồi và mất 1 ngày mới tìm ra đc cách fix).

By: hope_open

diendantinhoc.com

[tuanesport]

do bác để ổ C: là định dạng NTFS,khi khởi động VK sẽ hiện thông báo muốn sd NTFS hay gì gì đó kô? Bạn chọn yes.