1. Trang chủ
  2. » Công Nghệ Thông Tin

giải quyết sự cố khi gặp virus autorun

2 242 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 2
Dung lượng 32 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Giải quyết sự cố khi gặp Virus AutorunCon này thì khỏi phải nói chắc ai củng biết.. Mang USB ra quán Net hay tiệm In thì thế nào củng dc tặng miển phí 1 con đem về sài chơi Con này Ngoài

Trang 1

Giải quyết sự cố khi gặp Virus Autorun

Con này thì khỏi phải nói chắc ai củng biết Khi mở lên nó có nhửng code rất đơn giản nhưng khó mà diệt dc nếu chương trình AV ko đủ năng lực

Code:

[AutoRun]

open=ntdelect.com

;shell\open=Open(&O)

shell\open\Command=ntdelect.com

shell\open\Default=1

;shell\explore=Manager(&X)

shell\explore\Command=ntdelect.com

KAV 6.0 cũng kô phát hiện ra

Con này phát tán rất nhanh Mang USB ra quán Net hay tiệm In thì thế nào củng dc tặng miển phí 1 con đem về sài chơi

Con này Ngoài cái AutoPlay hiện trên đỉnh thì ko có gì đặt biệt hơn.Nên Co thể diệt = tay(Ẹc min thì chỉ diệt = chương trinh ai rảnh thì mò chơi

Nó tạo ra 2 file %Sysdir%\Kavo.exe và %Sysdir%\Kavo*.dll" (* ký thự này kô nhớ rõ ) Tạo một key trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để kích hoạt file Kavo.exe khi vào win

Khi file Kavo.exe được kích hoạt nó sẽ inject file Kavo*.dll vào Process Explore.exe Khi file Kavo*.dll được ijnect vào Process Explore.exe thì nó tác dụng:

- làm máy kô mở ẩn được bằng cách luôn để value '0' cho key "CheckedValue" trong HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\SHOWALL\

Tạo Autorun và file ntdelect.com trong thư mục gốc của các ổ Và +s +h cho mấy file này (nếu dùng lệnh attrib để -s -h thì nó lại + lại ngay sau vài giây xóa cũng thế.)

Đó là các chức năng giúp nó phòng thủ còn các chức năng khác thì mình chưa biết

Diệt nó bằng tay như sau:

Vào Task Manager kill Process Explore.exe rồi lại Open lại để unload file Kavo*.dll ra khỏi Process Explore.exe > làm virus ngưng hoạt động.(rất đơn giản )

Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue" thành '1' rồi vào folder options mở ẩn thường và ẩn System ra

Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address xuống > di chuột đến ổ cần vào > click) chứ kô được vào bằng click đúp lên các ổ! để

kô kích hoạt lại virus

Trang 2

Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdelect.com đi Chú ý ở ổ C có ntdelect.com(chữ thường) của virus và NTDELECT.COM (chữ in hoa) của OS > chỉ xóa ntdelect.com(chữ thường)

Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ

%Sysdir% vào Run nó kô mở System32 ra nhỉ?)

Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Restart lại máy > xong Viết thì dài nhưng làm thì nhanh lắm

Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue" thành '1' thì tìm ở chỗ nào vậy?

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\SHOWALL\

trong đó đấy bạn

Ngày đăng: 11/07/2014, 12:03

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w