Nối tiếp phần 1, phần 2 sách tiếp tục chia sẻ tới bạn cách tự khắc phục máy khi bị vi rút tấn công ở các mảng nội dung sau: Cách diệt virus W32.WowinziA; cách diệt virus downloader.lozavita; cách diệt trojan.dipian; cách diệt virus W32.mariofev.A; cách diệt virus backdoor robofo A; cách diệt virus WinCE.Infomeit; cách diệt virus W32.SpybotLAVEN; cách diệt virus W32.Imaut... Mời các bạn cùng tìm hiểu.
Trang 1Hệ thống bị ảnh hưởng:Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Chú ý: Những chỉ dẫn sau đây gắn liền với mọi sản phẩm diệt của
Vừus Symantec hiện thời và gần đây, bao gồm chương trình diệt Vừus Symantec và những mặt hàng diệt virus của Norton
1 Tắt chế độ System Restore (Windows Me/XP)
2 Cập nhật những chương trình diệt virus mới
3 Quét toàn bộ hệ thống
4 Xoá những giá trị được ghi vào Registry
Trang 2500\Software\Microsoft\Windows\CurrentVersion\Internet Setlings\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINBSYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirevvallPolicy\StandardProfile\
AuthorizedApplications\List\"[PATH TO TROiAN]" =
"[PATH TO TROJAN]:*:Enabled:ipsec"
5 Thoát khỏi Registry
61 Cách diệt Virus W32.Wowinzi.A
Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Chủ ý: Symantec khuyến cáo người dùng làm những việc sau
khi đã bị nhiễm virus:
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật những chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị ghi vào Registry
Trang 35 Loại bỏ nhưng thư mục có khả năng làm lây lan đến thư mục khác.
Cách diệt
Chủ ý: Symantec khuyến cáo người dùng sao lưu Registry
trước khi có bất cứ sự thay đổi nào
1 Vào Start > Run
2 Gõ Regedit
3 Click OK
Chú ý: Nếu việc truy xuất vào Registry thất bại, bạn có thể
vào link sau để tải công cụ: http://tinvurl.comAVowinzi
4 Tim và xoá các giá trị:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\"Shell" = "%System%\Rundll32.exe
%System%\shell32.dll Control_RunDLL
%Temp%\dat[RANDOM HEX NUMBER].tmp"
HKEY_LOCAL_M ACHINE\SOFTW AR^ata\Config\" http://winzipices.en/i.exe" = "http://winzipices.en/l.exe" HKEY_CURRENT_USER\_reg\"SheH" =
"%System%\Rundll32.exe %System%\shell32.dll
ControLRunDLL %Temp%\dat[RANDOM 4 D IG ư HEX NUMBER].tmp"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Desktop\"RxMru" = [BINARY DATA]
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Desktop\"mrulist" ="
%Temp%Vlat[RANDOM 4 DIGIT HEX NUMBER].tmp" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Desktop\"sysfile" =
"%System%\l exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{
Trang 4E25C29AB-12B9-4523-A53C-324B5FBA648C}\InProcServer32\"(Default Value)" =
"%Temp%\dat[RANDOM HEX NUMBER].tmp"
HKEY_LOCAL_MACHINE\SOFTWARE^icrosoft\Win dows\CuưentVersion\Explorer\ShellExecuteHooks\" {E25 C29AB-12B9-4523-A53C-324B5EBA648C}" = "0"
5 Thoát khỏi Registry
62 Cách diệt Virus Downỉoader.Lozavita
Chú ý: Symantec khuyến cáo người dùng làm những việc sau
khi đã bị nhiễm virus
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật những chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị ghi vào Registry
5 Loại bỏ những thư mục có khả năng làm lây lan đến thư mục khác
Cách diệt
Chú ý: Symantec khuyến cáo người dùng sao lưu Registry
trước khi có bất cứ sự thay đổi nào
1 Vào Slart > Run
2 Gõ Regedit
Trang 5Execution\Options\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\360rpt.exeV'Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHỮ4E\SOFTWAREWlicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\360Safe.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\360tray.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\adam.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWAREvMicrosoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\AgentSvr.exé\"Debugger" =
" % Sy stem%\vista A A exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile
Execution\Options\AppSvc32.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win
Trang 6dows NT\CurrentVersion\Image File
Execution\Options\AvMonitor.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\avp.com\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\avp.exe\"Debugger" =
"% System %\vistaAA exe "
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTACurrentVersionXImage Eile
Execution\Options\CCenter.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionXImage Eile
Execution\Options\ccSvcHst.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACuưentVersionMmage Eile
Trang 7HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File
Execution\Options\HijackThis.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File
Execution\Options\IceSword.exe\"Debugger" =
"%System%\vistaAA.exe”
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\iparmo.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\Iparmor.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\isPwdSvc.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTvCuưentVersionMmage File
Execution\Options\kabaload.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File
Execution\Options\KaScrScn.SCR\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File
Executiori\Options\KASMain.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
Trang 8dows NTXCurrentVersionMmage File
Execution\Options\KASTask.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\KAV32.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWARB\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\KAVDX.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\KAVPFW.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINBSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File
Execution\Options\KA V Setup.exeVDebugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File
Execution\Options\KA V Start.exeVDebugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTvCuưentVersionMmage File
Execution\Options\KlSLnchr.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File
Execution\Options\KMailMon.exe\"Debugger" =
"% System %\vistaAA exe "
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File
Execution\Options\KMFilter.exe\"Debugger" =
Trang 9HKEY_LOCAL_MACHINEVSOFTWAREVvlicrosoft\Win dows NT\CurrentVersion\Image File
Execution\Options\KPFW32.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile
fixecution\Options\KPFW32X.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFrWARĐ\Microsoft\Win dows NTACurrentVersionMmage File
Execution\Options\KPFWSvc.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOFTWARĐvMicrosoft\Win dows NTXCurrentVersionMmage File
Execution\Options\KRegEx.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File
Execution\Options\KRepair.COM\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File
Execution\Options\KsLoader.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREsMicrosoft\Win dows NTXCurrentVersionMmage File
Execution\Options\KVCenter.kxp\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHlNE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File
Execution\Options\KvDetect.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
Trang 10dows NT\CurrentVersion\Image File
Execution\Options\KvfwMcl.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\KVMonXP.kxp\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTVCurrentVersionMmage Eile
Execution\Options\KVMonXP_l.kxp\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\kvol.exe\"Debugger" =
" % System %\vi sta A A exe"
HKEY_LOCAL_MACHINE?\SOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\kvolself.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Executiori\Options\KVStub.kxp\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARESMicrosoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\kvupload.exe\"Debugger" =
Trang 11HKEY_LOCAL_MACHINEVSOFTWAR^Microsoft\Win dows NTXCurrentVersionMmage File
Execution\Options\kvwsc.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\KvXP.kxp\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWĨicrosoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\KWatch.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWAR^Microsoft\Win dows NTVCurrentVersionMmage Eile
Execution\Options\KWatch9x.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\KWatchX.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows NTACurrentVersionMmage Eile
Execution\Options\loaddll.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREVVlicrosoft\Win dows NTACurrentVersionMmage Eile
Execution\Options\MagicSet.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NTACurrentVersionMmage Eile
Execution\Options\mcconsol.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win
Trang 12dows NTXCuưentVersionXImage File
Execution\Options\mmqczj.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\mmsk.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile
Execution\Options\NAVSetup.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\nod32krn.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\nod32kui.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOFrWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile
Execution\Options\PFW.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\PFWLiveUpdate.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File
Execution\Options\QHSET.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINENSOFrWAREXMicrosoft\Win dows NTXCurrentVersionMmage File
Execution\Options\Ras.exe\"Debugger" =
Trang 13HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\lmage File
Execution\Options\Rav.exe\"Debugger" =
"%System%\vistaAA.exe"
HKẼY_LOCAL_MACHlNE\SOFl’WARE\Microsoft\VVin dows NTXCurrentVersionMmage Eile
Execution\Options\RavMon.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREW4icrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\RavMonD.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWlicrosoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\RavStub.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\RavTask.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\RegClean.exe\"Debugger" =
"%System%\vislaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTYCurrentVersionMmage Eile
Execution\Options\rfwcfg.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\RfwMain.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
Trang 14dows NT\CurrentVersion\Image File
Execution\Options\rfwsrv.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINESSOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\RsAgent.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile
Execution\Options\Rsaupd.exe\"Debugger" =
”%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\runiep.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINENSOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\safelive.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\scan32.exe\"Debugger" =
"%System%\vistaAA.exe”
HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\shcfg32.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAR]^icrosoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\SmartUp.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\SREng.exe\"Debugger" =
Trang 15HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File
Execution\Options\symlcsvc.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAR^Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\SysSafe.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOn^WAREW[icrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\TrojanDetector.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\Trojanwall.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFrWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\TrojDie.kxp\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWlicrosoft\Win dows NTXCuưentVersionXImage Eile
Execution\Options\UmxAttachment.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win
Trang 16dows NT\CurrentVersion\Image File
Execution\Options\UmxCfg.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACurrentVersionXImage Eile
Execution\Options\UmxFwHlp.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File
Execution\Options\UmxPol.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File
Execution\Options\UpLive.EXE\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File
Execution\Options\WoptiClean.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINB50FTWAREWIicrosoft\Win dows ISn\CurrentVersion\Image File
Execution\Options\zxsweep.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHlNE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage File
Execution\Options\sos.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image File
Execution\Options\auto.exe\"Debugger" =
"% System %\vi staAA e xe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACuưentVersionXImage File
Execution\Options\UFO.exe\"Debugger" =
Trang 17HKEY_LOCAL_MACHINE^OFTWAREW[icrosoft\Win dows NTACuưentVersionMmage File
Execution\Options\taskmgr.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows N7\CuiTentVersion\Image Eile
Execution\Options\guangd.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\appdllman.exe\"Debugger" =
" % System %\vi sta A A exe''
HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile
Execution\Options\kernelwind32.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows NTYCurrentVersionMmage Eile
Trang 18dows NT\CurrentVersion\Image File
Execution\Options\cross.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACurrentVersionXImage Eile
Execution\Options\regedit.Exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile
Execution\Options\regedit32.Exe\"Debugger" =
"% System %\vistaAA exe"
HKEY_LOCAL_MACHINE\SOFTWAREsMicrosoft\Win dows NTACurrentVersionXImage Eile
Execution\Options\Wsyscheck.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\servet.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTACurrentVersionMmage Eile
Execution\Options\Discovery.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTACurrentVersionMmage Eile
Execution\Options\USBoot.exe\"Debugger" =
Trang 19HKEY_LOCAL_MACHINBASOFl'W AR^icrosoft\W in dows NTXCurrentVersionMmage File
Execution\Options\U.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINEVSOFTWARBsMicrosoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options\SSDtDiscovery.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile
Execution\Options'^agefile.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows Nl\CurrentVersion\Image Eile
Execution\Options\FuckAAAAAAA.exe\"Debugger" =
"%System%\vistaAA.exe"
HKEY_LOCAL_MACHINE^vSOFTWAR^icrosoft\Win dows NTsCurrentVersionMmage Eile
Trang 20Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Chú ý: Symantec khuyến cáo người dùng làm những việc sau
sykhi đã bị nhiêm virus:
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật những chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị ghi vào Registry
5 Loại bỏ những thư mục có khả năng làm lây lan đến thư mục khác
Cách diệt
Chú ý: Symantec khuyến cáo người dùng sao lưu Registry
trước khi có bất cứ sự thay đổi nào
1 Vào Start > Run
2 Gõ Regedit
3 Click OK
Chú ý,- Nếu việc truy xuất vào Registry thất bại, bạn có thể
vào link sau để tải công cụ: http://tinvurl.com/Oipian
4 Tìm và xoá các giá trị;
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\ControK'Newly Created" = ”0"
Trang 21HKEY_LOCAL_MACHINEvSYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\Control\"ActiveS ervice" = "Messenger"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\"Service" =
"Messenger"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\"Legacy" = "1" HKEY_LOCAL_MACHINEVSYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\"ConfigFlags" =
"0"
HKEY_LOCAL_MACHINĐ5YSTEM\ControlSet001\En um\Root\l.EGACY_MESSENGER\0000\"Class" =
"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\"ClassGUID" =
" (8ECC055D-047E-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\0000\"DeviceDesc" =
"Messenger"
HKEY_LOCAL_MACHINEVSYSTEM\ControlSet001\En um\Root\LEGACY_MESSENGER\"NextInstance" = "1" HKEY_LOCAL_MACHINE\SYSTE]VFControlSet001\Ser vices\Messenger\Enum\"0" =
"RootM.EGACY_MESSENGER\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser vices\Messenger\Enum\"Count" = ”1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser vices\Messenger\Enum\"NextInstance" = "I"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Enum\Root\LEGACY_MESSENGER\0000\ControE"New lyCreated" = "0"
HKEY_LOCAL_MACHINE\SYSrEM\CuưentControlSet\ Enum\Root\LEGACY_MESSENGER\0000\"Service" =
Trang 22HKEY_LOCAL_MACHINEVSYSrrEM\CuưentControlSet\ Enum\Root\LEGACY_MESSENGER\OOOƠ\"Legacy" - "1" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Enum\Root\LEGACY_MESSENGER\0000\"ConfigFlags"
= "0"
HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Enum\Root\LEGACY_MESSENGER\0000\"Class" =
"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER\0000\"ClassGUID"
= "{8ECC055D-047E-11D1 A537-0000E8753ED1}" HKEY_LOCAL_MACHINE\SYSrEM\CurrentControlSet\ Enum\Root\LEGACY_MESSENGER\0000\"DeviceDesc"
= "Messenger"
HKEY_LOCAL_MACHINĐ6YSTEM\CuưentControlSet\ Enum\Root\LEGACY_MESSENGER\"NextInstance" = 'T ' HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Services\Messenger\Enum\"0" =
"Root\LEGACY_MESSENGER\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Services\Messenger\Enum\"Count" = "1"
HKEY_LOCAL_MACHINEVSYSTEM\CurrentControlSet\ Services\Messenger\Enum\"NextInstance" = " 1”
5 Khôi phục các giá trị mặc định:
HKEY_LOCAL_MACHINE\SYSrrEM\ControlSet001\Ser vices\Messenger\"Type" = "110"
HKEY_LOCAL_MACHINE\SYSrrEM\ControlSet001\Ser vices\Messenger\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001'^r vices\Messenger\"ImagePath" =
"C:\WINDOW^system32\[ORIGINALLY EXECUTED EILE NAME].exe -k netsvcs"
HKEY_LOCAL_MACHINBSYSTEM\CuưentControlSet\
Trang 23Services\Messenger\"Type" = "110"
HKEY_LOCAL_MACHINE^YSTEM\CuưentControlSet\ ServicesXMessengerVStart" = ”2"
HKEY_LOCAL_MACHINEVSYSTEM\CuưentControlSet\ Services\Messenger\"ImagePath" =
"C:\WINDOW^system32\[ORIGINALLY EXECUTED EILE NAMEJ.exe -k netsvcs"
6 Thoát khỏi Registry
64 C ách diệt Virus W32.Mariofev,A
Chú ý;
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị được ghi vào Registry
5 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác
6 Tìm và tạm dừng những dịch vụ
- Vào Start > Run
- Gõ Services.msc và Click vào OK
- Click vào Action > Properties
- Click vào Stop
- Thay đổi Startup type thành Manual
- Click OK và đóng cửa sổ dịch vụ
- Khởi động lại máy tính
Cách diệt
Chú ý: Symantec khuyến cáo người sử dụng nên sao lưu lại
Registry trước khi có bất cứ có sự thay đổi hay chỉnh sửa nào
1 Vào Start > Run
2 Gõ Regedit
Trang 24= "nvrsma"
IIKEY_LOCAL_MACHINEVSOFTWAREWIicrosoft\Win dows\CurrentVersion\"ccnt" = "[NUMBER OE
INEECTION ATTEMPTS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\"mid" = "[RANDOM HEX DATA]" HKEY_LOCAL_MACHINEsSYXrEM\CuưentControlSet\ ServicesNSCNa
5 Thoát khỏi Registry
65 Cách diệt virus Backdoor.Robofo,A
Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Trang 253 Click OK.
Chú ý: Nếu việc truy xuất vào Registry thất bại thì bạn có thể
dùng các công cụ để có thể thực hiện được bạn có thể tải ở địa chỉ sau: http://www.filesavr.com/dt4regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.Cert.l
HKEY_LOCAL_MACHINESSOFTWARE\Classes\Chilkat.CertChain
HKEY_L0CAL_MACHINĐ60FTWARE\Classes\Chilkat.CertChain.l
HKEY_LOCAL_MACHINEVSOFlYVARE\Classes\Chilkat.CertColl
HKEY_LOCAL_MACHINEsSOFTWARE\Classes\Chilkat.CertColl.l
Trang 26HKEY_LOCAL_MACHINE^OFrWARB\Classes\ChiIka t.CertStore 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CreateCS
HKEY_LOCAL_MACHINESSOFTWARE\Classes\Chilka t.CreateCS 1
HKEY_LOCAL_MACHINB\SOFTWARE\Classes\Chilkat.KeyContainer
HKEY_LOCAL_MACHINEsSOFTWARE\Classes\Chilkat.KeyContainer.l
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.PrivateKey
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.PrivateKey.l
HKEY_LOCAL_MACHINĐ\SOFTWARE\Classes\Chilkat.PublicKey
HKEY_LOCAL_MACHINE^OFTWARE\Classes\Chilkat.PublicKey.l
HKEY_LOCAL_MACHINE^OFTWARE\Classes\ChilkatCertiíicate.ChilkatCert
HKEY_LOCAL_MACHINEVSOFTWARE\Classes\Chilka tCertiíicate.ChilkatCert 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertChain
HKEY_LOCAL_MACHINE\SOFrWARE\Classes\Chilka tCertiíicate.ChilkatCertChain 1
HKEY_LOCAL_MACHINEVSOFTWARE\Classes\ChilkatCertiíicate.ChilkatCertColl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilka tCertiEcate.ChilkatCertCoIl 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertiíicate.ChilkatCertStore
Trang 27HKEY_LOCAL_MACHINE\SOFTWARE\,Classes\Chilka tCertificate.ChilkatCertStore 1
HKEY_LOCAL_MACHINE\SOFTWARB\Classes\ChilkatCertificate.ChilkatCreateCS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilka tCertificate.ChilkatCreateCS 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertiíicate.KeyContainer
HKEY_LOCAL_MACHINE\«SOFTWARE\Classes\Chilka tCertiíicate.KeyContainer 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertiíicate.PrivateKey
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilka tCertiEcate.PrivateKey 1
HKEY_LOCAL_MACHlNE\SOFTWARE\Classes\ChilkatCertiíicate.PublicKey
HKEY_LOCAL_MACHINB50FrWARE\Classes\Chilka tCertiEcate.PublicKey 1
HKEY_LOCAL_MACHINE^OFTWARE\Classes\Interfa ce\| 06544919-E559-4AE5-9001-E903BD8 A84E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interfa ce\{ 3296199A-B3A0-4AFl-8673-3F76C5FD6FD5} HKEY_FOCAL_MACHINE\SOFTWARE\ClassesMnterfa ce\{ 5CE8D2B6-FDE7-41D1-B563-B8E03EE008B9} HKEY_FOCAF_MACHINE\SOFrWARE\Classes\Interfa ce\{ 811AA1E0-4C88-4274-AABB-P8D171444D52} HKEY_FOCAL_MACHINE\SOFTWARE\Classes\Ìnterfa ce\{ AC4A4CB2- 140B-402B-822B-455EEA0A9976} HKEY_LOCAL_MACHINE\SOFrWARE\Classes\Ìnterfa ce\{ C4C23B78-DB98-444C-B601-DCAC6EBBEC54} HKEY_LOCAF_MACHINEsSOFTWARE\Classes\Interfa ce\{ D338B7B4-0478-448E-AFC3-D005E6DFE790 Ị HKEY_FOCAF_MACHINEVSOFTWARE\ClassesMnterfa ce\{ D56C1AF1 -3FDE-471C-9BC2-C52515F260C1}
Trang 28HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeL ib\( 2138BF27-7383-435B-A6F5-89Bl DEAB21301
HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Trac ing\FWCFG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMSELSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMSELSERVICE\0000
HKEY_LOCAL_MACHINESSYSTEM\ControlSet001\Enum\Root\LEGACY_WMSELSERVICE\0000\ControlHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMSELService
HKEY_LOCAL_MACHINESSYSTEM\ControlSet001\Services\WMSELService\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMSELService\Security
HKEY_LOCAL_MACHINĐÌYSTEM\CuưentControlSet\Enum\Root'i.EGACY_WMSELSERVICE
HKEY_LOCAL_MACHINE^SYSrrEM\CuưentControISet\Enum\Root\LEGACY_WMSELSERVICESD000
HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\Enum\Root\LEGACY_WMSELSERVICB£)000\ControlHKEY_LOCAL_MACHINESSYSrEM\CuưentControlSet\Services\WMSELService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMSELService\Enum
HKEY_LOCAL_MACHINESSYSTEM\CurrentControlSet\Services\WMSELService\Security
ì
Trang 29HKEY_USERS\ DEFAULT\Soft ware\Microsoft\Windows
\Current V ersion\Explorer\CLSID\{ 645EE040-5081 -101B- 9F08-00AA002F954E}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows XCuưent Version\Explorer\CLSID\( 645EE040-5081 -101B- 9F08-00AA002F954E }\DefaultIcon
18\Software\Microsoft\Windows\CurrentVersion\Explorer
\CLSID\( 645FF040-5081 -101B-9E08-
OOA A002E954E }\DefaultIcon
5 Khôi phục lại các giá trị mặc định trong Registry:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001NSer vices\SharedAccess\Parameters\FirewallPolicy\StandardPr ofile\AuthorizedApplications\List\C;\WINDOWS\iní\svch ostVsvchost.exe" =
"C:\WINDOWS\inf\svchost\svchost.exe;*:Enabled:svchost" HKEY_LOCAL_MACHINE\SYSrTEM\CuưentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\Standar dProfile\AuthorizedApplications\List\C:\WINDOWS\infVs vchostVsvchost.exe" =
"C:\WINDOWSũní\ivchost\svchost.exe:*:Enabled:svchost"
Trang 30HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser vices\SharedAccess\Parameters\FirewallPolicy\StandardPr ofile\"DoNotAllowExceptions" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewaỉlPolicy\Standar dProfile\"DoNotAllowExceptions" = "0"
6 Thoát khỏi Registry
66 Cách diệt virus WinCE.Infomeiti
Chủ ý: Nếu việc truy xuất vào Registry thất bại thì bạn có thể
dùng các công cụ để có thể thực hiện được bạn có thể tải ở địa chỉ sau: http://www.Filesavr.com/dt5regedit
4 Tim và xóa các giá trị:
HKEY_LOCAL_MACHINESSecurity\Policies\Policies\"0 000101a" = 'T"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"[3G]
" = "%Windir%\mss.zip"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"Mss ver" = "%Windir%\msf.zip"
Trang 31HKEY_LOCAL_MACHINE\Windows\Software\ms\"Fav oritesver" = "%Windir%Vnsa.zip"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"pop configver" = "%Windir%\msw.zip"
5 Thoát khỏi Registry
67 Cách diệt Virus W32.Spybot.AVEN
M ô tả
Kiểu: Sâu
Mức độ lây lan: 1,365,744 Bytes
Hệ thống ảnh hưởng: Windows 2000, Windows NT, WindowsVista, Windows XP
Trang 3200 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00
00 00 00 00 00 00 00 OB 00 1A 00 00 00"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\RunOnce\"YahooServices" = "57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00
5 Thoát khỏi Registry
68 Cách diệt Virus W32.Imaut.CO
M ô tả
Khám phá: Tháng 2 năm 2008
Kiểu: Sâu
Mức độ lây lan: 184,320 Bytes
Hệ thống bị ảnh huởng; Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Cách diệt
1 Vào Start > Run
2 Gõ Regedit
Trang 333 Click OK.
4 Tun và sửa các giá trị:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\"MSN Messengger" =
"%System%\MsRun32.exe"
5 Khôi phục lại các giá trị mặc định:
HKEY_LOCAL_MACHINE\SOFTWARBW[icrosoft\Win dows NT\CuưentVersion\Winlogon\"Shell" =
"Explorer.exe MsRun32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CuưentVersion\Explorer\Advanced\FoIder\Hidden\SHO WALLVCheckedVaỉue" = "0 "
HKEY_CURRENT_USER\Software\Microsofl\Windows\ CurrentVersion\Policies\Explorer\"NofolderOptions” = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Explorer\WorkgroupCrawler\Shares\"shar ed" = "%DriveLetter%\True_Love.exe"
6 Thoát khỏi Registry
69, Cách diệtt Virus W32.Imaut.CN
M ô tả
Khám phá: Tháng 2 nam 2008
Kiểu: Sâu
Mức độ lây lan; 807,338 Bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows NT, Windows Vista, Windows XP
Trang 34HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Winlogon\"system" =
"Winhelp.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\ExpIorer\WorkgroupCrawler\SharesV'Shar ed" = "\New Folder.exe"
5 Khôi phục lại các giá trị mặc định trong Registry;
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CurrentVersion\Winlogon\"Shell" =
"Explorer.exe rundll.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Policies\Explorer\"NofolderOptions” = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System\"DisableTaskMgr" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Schedule\"AtTaskMaxHours" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser vices\Schedule\"NextAtJobId" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser vicesXScheduleVNexlAUobld" = "T'
HKEY_LOCAL_MACHINE^YSTEM\CuưentControlSet\ Services\Schedule\"NextAtJobId" = " 1"
HKEY_LOCAL_MACHlNEsSY5rEM\CuưentConlrolSel\ Services\Schedule\"NextAtJobId" = "2"
6 Thoát khỏi Registry
Trang 3570 Cách diệt W32.Botou
M ô tả
Khám phá: Tháng 2 năm 2008
Kiểu: Sâu
Mức độ lây lan: 184,320 Bytes
Hệ thống bị ảnh huởng; Wmdows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
5 Thoát khỏi Registry
71 Cách diệt Virus Trojan.CIampi
M ô tả
Khám phá: Ngày 16 tháng 1 năm 2008
Cập nhật: Ngày 16 tháng 1 năm 2008 (5:27:20 PM)
Kiểu; Trojan
Mức độ lây lan: 402,952 Bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95,
Trang 36Windows 98, Windows Me, Windows NT, Windows Server
2003, Windows Vista, Windows XP
79 2E 69 6E 66 6F 00 2F 63 67 69 2D 62 69 6E 2F 62 61 6E 67 2E 63 67 69 00 77 69 72 65 64 78 2E 69 6E 00 2F
63 67 69 2D 62 69 6E 2F 64 62 2E 63 67 69 00"
HKEY_USERS\S-1-5-21-816139046-577266240-
1678582812-500\Software\Microsoft\Internet
ExplorerXSettingsVKeyM" = "94 6B EE BC FF A5 BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F
AE BO 57 34 02 59 6F C6 38 9C 7E BD 8F 82 02 9F 36
AB 3F oc 6C B9 4C C3 98 7E E6 77 OA cc 53 20 6F 6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA
79 ED 63 00 04 25 CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E BI 8A C5 51 95 EO 24 B8 7F F5 lA IC 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8 2B A4 58 4E 18 85 A2 9D D3 16 D5 89 E6 5 1 4B 70 90 C9 F3 82 69 13 F1 09 ED 7C 30 86 2A 16 4A 4C A4 06
FA F9 78 C4 7D 72 93 FC 64 D7 48 C5 FB 83 A2 44 OA
98 77 BE CD 4B FE A8 69 A2 16 F2 73 C5 Fl 44 FF 11
38 3E AF 5F 3F 87 05 61 61 FC FF 22 BE 00 D5 46 67
Trang 37AO BA CE 65 A5 C7 32 03 93 11 96 62 7E EB OB 5D 9D 9A 9 2 1B41 10 8 C 2 C 9 B 0 9 A 5 11 84EB 91 CA 34 18
5 Thoát khỏi Registry
72 Cách diệt Virus W 32.D ranyam
M ô tả
Khám phá: Ngày 18 tháng 1 năm 2008
Kiểu: Sâu
Mức độ lây lan: 180,224 Bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95,
Windows 98, Windows Me, Windows NT, Windows Server
2003, Windows Vista, Windows XP
HKEY_LOCAL_MACHINE^OFlAVAREVvlicrosoft\Acti
ve SetupXInstalled Components\{ Y479C6DO-OTRW- U5GH-S1 EE-EOACl 0B4E666}
Trang 385 Khôi phục lại các giá trị mặc định của Registry:
HKEY_LOCAL_MACHINESSOFTWARĐ\Microsoft\Win dows NT\CurrentVersion\Winlogon\"Userinit" =
"userinit.exe,services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\"HideFileExt" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorei\Advanced\"SiowSuperHidden" = "0"
6 Thoát khỏi Registry
73 Cách diệt virus W32.Degnax@mm
Mô tả
Khám phá; Ngày 20 tháng 1 năm 2008
Kiểu: Trojan
Mức độ lây lan: 180,224 Bytes
Hệ thống bị ảnh hưỏíng: Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Run\"Help" = "%Windir%\userinit.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
Trang 39dows\CuưentVersion\Run\"SrvSec" =
"%Windir%\security\logs\svchost.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersionXRunVSysSupport" =
"%System%\WindowsServerService.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Run\"SrvSec" =
"%Windir%\security\logs\svchost.exe''
5 Khôi phục các giá trị mặc định:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\"Hidden" =
"0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Explorer\Advanced\"HideFileExt" =
"0x00000001"
6 Thoát khỏi Registry
74 Cách diệt Infostealer.O nlinegam e
M ô tả
Khám phá: Ngày 10 tháng 1 năm 2008
Kiểu: Trojan
Mức độ lây lan: 120,717 Bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server
2003, Windows Vista, Windows XP
Trang 40HKEY_LOCAL_MACHINE\SOFIWAREsMicrosoft\Win dows\CuiTentVersion\Explorer\ShellExecuteHooks\" ỊIDB D6574-D6D0-4782-94C3-696I9E719765}" = "
Mức độ lây lan: 13,312 Bytes
Hệ thống bị ảnh hưcmg: Windows 2000, Windows 95,
Windows 98, Windows Me, Windows NT, Windows Server
2003, Windows Vista, Windows XP
"%System%\calc.exe"
HKEY_LOCAL_MACHINBSOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\Winlogori\"DllName
" = "%System%\winlogon.dll"
HKEY_LOCAL_MACHlNE\SOFTWARE\Microsoft\Windows
NT\CuưentVersion\Winlogon\Notify\Winlogon\"StartShel 1' = "WinlStartShellEvent"