Chủ Nhật, 28 tháng 6, 2015

Một Virus luôn gom file vào trong 1 folder không tên và tạo 1 shortcut

đó là 1 loại trojan, theo như phát hiện của AVG, nhưng trong chế độ bình thường thì AVG không thể diệt được loại này.Avira thì không phát hiện được.
Cách thức hoạt động của nó là tạo ra 1 shortcut đến file chạy của window
C:\Windows\System32\rundll32.exe  A   \ k k s t v k t c t a u j f h v y u k e i n u q h z j x j k q g e h v o x a o z h b z . m o f , k s o k o x j n a i q q e q z q
hãy nhìn xem, nó không có để file chạy trong usb mà là 1 file được tập hợp ngẫu nhiên với phần mở rộng cũng là ngẫu nhiên. Tuy nhiên khi đưa file này vào làm tham số cho rundll32.exe thì nó lại được thực thi, và virus xâm nhập vào máy.
tôi đã thử loại này trên máy tính laptop của mình và thấy rằng nó không hoạt động một cách thức giống nhau ở các máy.
trên máy bàn thì nó lại gom file trong USB lại trong thư mục \u0060 còn trên laptop thì nó lại tạo ra 1 shortcut để khởi chạy file virus trong startup folder, đồng thời khóa quyền xoa thư mục startup, khiến người dùng khó xóa được file shortcut này.
Virus hiện không chạy được trong môi trường SafeMode, nên khi vào SafeMode quét thì virus bị loại bỏ được, hoặc loại bỏ bằng tay.
trước hết là phải vào SafeMode để thực hiện các thao tác.
Loại bỏ cấm xóa folder startup và xóa file shortcut virus.
(bạn vào C:\Users\<your user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ click phải lên thư mục startup và chọn properties, chọn thể security, chọn edit, chọn full control cho nó, ok, ok, ra ngoài và xóa file shortcut của virus)
vào thư mục c:/windows/ xóa file Uweb.exe
vào thư mục user/<youruser>/Appdata/local/temp/ xóa file cdo......dll
vào thư mục user/<youruser>/Appdata/Roaming xóa file chạy virus.
Có trường hợp không tìm thấy file virus khởi động trong startup vì nó thêm vào services file khởi động.
bạn vào msconfig, thẻ service và tìm service lạ và disable nó.
bạn có thể vào regedit, tìm đến:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
để xóa dịch vụ đáng nghi.
Mọi thao tác cần phải được thực hiện một cách cẩn thận
vì Các file của virus này là tập hợp ngẫu nhiên, nên không thể chỉ ra file nào chính xác, chỉ cần biết cách thức hoạt động của nó là xóa được.
Bài viết này dùng cho người có kiến thức máy tính, bạn không nên thực hiện những bước trên nếu không biết được chuyện gì sẽ xảy ra cho máy tính của mình.
* Nếu bạn không làm được thì thử download file này về và chạy xem sao nhé. sau khi tải về thì giải nén ra và chay file cmd trong đó, với Win 7, win 8, win 10 có thể cần chuột phải chọn Run as Administator.
https://app.box.com/s/du08gtu6s9gh4rnuqkgigrm0140zpfix