Virus.Win32..virus.n

[hocnauan]

Ai Thể Giúp Tui Kill Virus.Win32..virus.n Này Với =.= [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/yociexp63.gif[/IMG] [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/yociexp63.gif[/IMG]

[mm22mm]

Ai Thể Giúp Tui Kill Virus.Win32..virus.n Này Với =.= [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/yociexp63.gif[/IMG] [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/yociexp63.gif[/IMG]

Bạn làm theo cách sau thử xem:

Bài viết này được lấy từ trang Web Quản trị mạng.



Đây là một cách diệt virus lây lan quan Yahoo! Messenger bằng tay. Phương pháp này mình đã có lần trình bày ở 1 bài viết trước. Tuy nhiên, vì virus rất đa dạng, đa hình nên một phương pháp tổng quát áp dụng cho mỗi trường hợp riêng lại có những biến thể riêng của nó. Bài viết này là 1 ví dụ.



Dưới đây là bài viết:



Máy tính bạn hoặc cơ quan bạn đang bị virus Yahoo W32 Yautoit N lây qua Yahoo! Messeger tấn công, khiến mọi người dở khóc dở cười. Nếu bạn bị vi rút W32 Yautoit N ám ảnh thì hãy tham khảo cách một cách xử lý nhanh gọn...



Thông thường bạn có thể dung phiên bản Symantec và McAfee mới nhất để tiêu diệt vi rút W32 Yautoit N. Tuy nhiên nếu như bạn chưa kịp nhật phần mền diệt virus mới thì có thể tiến hành các thao tác thủ công sau:



Mở Start vào Run và gõ lệnh regedit.



Sau khi gõ lệnh này, nếu hiển thị hộp thư thoại thông báo không thể kích hoạt được regedit, điều này cũng có nghĩa là bạn không thể sử dụng được tổ hợp lệnh: Alt + Ctrl + Del. Nếu vậy, bạn hãy cóp dòng code sau rồi save lại với đuôi reg (ví dụ virus.reg):



CODE

Windows Registry Editor Version 5.00



[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies]



[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000091

"NoInternetIcon"=dword:00000000

"ClearRecentDocsOnExit"=dword:00000001

"NoLowDiskSpaceChecks"=dword:00000001

"NoSaveSettings"=dword:00000000

"NoFolderOptions"=dword:0000000



[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000



[HKEY_CURRENT_USER\Software\Policies\

Microsoft\Internet Explorer\Restrictions]

"NoBrowserOptions"=dword:00000000



Tiếp theo, bạn cóp dòng code sau rồi sau đó lưu lại file dưới dạng đuôi là vbs, ví dụ “regedit.vbs”.



CODE

'Enable/Disable Registry Editing tools

'© Doug Knox - rev 12/06/99



Option Explicit



'Declare variables

Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers

Dim enab, disab, jobfunc, itemtype



Set WSHShell = WScript.CreateObject("WScript.Shell")

p = "HKCU\Software\Microsoft\Windows\CurrentVersio n\

Policies\System\"

p = p & "DisableRegistryTools"

itemtype = "REG_DWORD"

mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"

enab = "ENABLED"

disab = "DISABLED"

jobfunc = "Registry Editing Tools are now "



'This section tries to read the registry K.@.y value. If not present an

'error is generated. Normal error return should be 0 if value is

'present

t = "Confirmation"

Err.Clear

On Error Resume Next

n = WSHShell.RegRead (p)

On Error Goto 0

errnum = Err.Number



if errnum <> 0 then

'Create the registry K.@.y value for DisableRegistryTools with value 0

WSHShell.RegWrite p, 0, itemtype

End If



'If the K.@.y is present, or was created, it is toggled

'Confirmations can be disabled by commenting out

'the two MyBox lines below



If n = 0 Then

n = 1

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)

ElseIf n = 1 then

n = 0

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)

End If



Sau đó kích đúp chuột lần lượt vào hai file trên để kích hoạt lại công cụ chỉnh sửa regedit.



Tiếp theo, tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá:

CODE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\

Winlogon



và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.



Tìm đến khoá: CODE

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Run



Xoá mục “Yahoo Messenger = RVHOST.exe”.



Tìm đến khoá: CODE

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Explorer



Xoá mục WorkgroupCrawler\Share=”[SHARED DRIVE]\New Folder.exe”.



Tìm đến khoá: CODE

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Policies\System



Xoá mục “Disable Registry Tools” = “1”.



Tìm đến khoá: CODE

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Policies\Explorer



Xoá mục “NofoderOption”.



Tìm đến khoá: CODE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Schedule



Xoá mục “AtTaskMaxHours”.



Tìm đến khoá: CODE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion



Xoá mục “Run”= “BkavFw”.



Tìm đến khoá: CODE

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion



Xoá mục “Run”=”IEProtection”.



Đóng Registry lại và khởi động lại máy tính.



Lời bình:







Phương pháp trên can thiệp vào Registry để chỉnh sửa lại những tác động mà virus gây nên. Trong này cũng nói đến trường hợp bị khóa Registry và Task Manager, và phải mở nó thông qua việc dùng file VBS, tức VB Script. Về các phương pháp để truy cập Registry, mọi người có thể tham khảo thêm ở bài viết này để biết thêm các phương pháp khác, và dùng chúng khi cần thiết.



Cách làm trên khiến mình hơi băn khoăn 1 chút, đó là nó chỉ khắc phục những tác hại của virus gây ra, mà không thấy nói về cách diệt trừ hoàn toàn được virus đó. Diệt trừ ở đây ý mình muốn nói đến là cách phát hiện ra file chạy nguồn của nó và xóa nó ra khỏi máy. Thêm nữa, cũng không nhắc đến việc phải kill process của con virus này (hoặc có thể con virus này đơn giản quá và không cần phải kill process? - mình chưa gặp nó nên chưa chắc chắn được về điểm này). Các bạn có thể xem ở đây để biết những công đoạn mình đang nói đến một cách chi tiết hơn.



Dù sao bài viết này cũng đã cho chúng ta thêm kinh nghiệm để đối phó với loại virus thế này. Với cách thức tương tự như thế chúng ta có thể khắc phục được khá nhiều virus lây lan qua Yahoo! Messnger.