Trang Web Thử nghiệmDiệt virus phimhot.exe và phimnguoilon.exe
Trang 1 trong tổng số 1 trang
Diệt virus phimhot.exe và phimnguoilon.exe
vecntt Thu Jul 24, 2008 8:05 pm
Ngăn chặn virus secret.exe và phimhot.exe (phimnguoilon.exe,hangdep.exe 
) lây nhiễm qua USB
Đây là 1 dạng keylogger nên nó chỉ có 1 file duy nhất được kích hoạt tự động thông qua 1 key trong registry,(2 process chạy thường trực đó là userinit.exe và system.exe):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], nhìn bên cửa sổ bên phải, bạn sẽ thấy giá trị như sau:
"Userinit"="C:\\WINDOWS\\userinit.exe," (Đây là giá trị sai, máy bị nhiễm)
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," (Đây là giá trị đúng, máy sạch, ko bị nhiễm)
Lưu ý: sau mỗi câu lệnh phải có dấu ,
Cách diệt bằng tay không nè:
Bước 1: (Lưu ý nếu HDD đang định dạng là NTFS thì phải kích hoạt chế độ hỗ trợ đọc NTFS nếu dùng Volkov))
Khởi động bằng Hiren Boot, hoặc là dùng bất kỳ đĩa nào khởi động đc từ DOS. Nếu bạn dùng hiren thì bạn chạy Volkov Commander (có giao diện rất giống NC)
Tìm đến thư mục windows\system32 và copy file userinit.exe chép đè vào file userinit.exe(giống như 1 thư mục) nằm trong windows (nếu bạn nào chắc ăn hơn thì xóa trước khi chép đè). Chuyển sang thư mục windows\system32 và xóa file system.exe đi, và khởi động lại máy ==> Virus chết queo
Bước 2:
Regedit>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Winlogon] và chỉnh lại giá trị đúngcho nó..."Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Tương tự, nếu máy bạn nào bị tình trang logoff liên tục sau khi diệt virus xong thì có thể copy file useinit.exe như bước 1 rồi vào chỉnh lại registry.
Theo kinh nghiệm thì còn một cách diệt virus secret.exe từ windows đang nhiễm:
Bước 1: đổi tên 2 file userinit.exe và system.exe do virus tạo ra (có thể làm được dễ dàng)
Bước 2: chép file userinit.exe thật từ C:\WINDOWS\system32 ra C:\WINDOWS
Bước 3: kill process của virus (dùng ice sword chẳng hạn,k dùng Task manager không được đâu)
Bước 4: xóa 2 file virus đã bị đổi tên
Bước 5: vào regedit chỉnh lại giá trị đúng cho khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bước 6: khởi động lại, xóa file userinit.exe trong C:\WINDOWS
Cách tốt nhất để phòng ngừa các dang virus autorun lây nhiễm qua USB là tắt chế độ autorun của các ổ đĩa đi. Hoặc khi cắm USB vào máy thì bấm giữ đồng thời phím Shift cho đến khi mũi tên xanh ở góc phải màn hình xuất hiện là ok.
[b]
) lây nhiễm qua USBĐây là 1 dạng keylogger nên nó chỉ có 1 file duy nhất được kích hoạt tự động thông qua 1 key trong registry,(2 process chạy thường trực đó là userinit.exe và system.exe):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], nhìn bên cửa sổ bên phải, bạn sẽ thấy giá trị như sau:
"Userinit"="C:\\WINDOWS\\userinit.exe," (Đây là giá trị sai, máy bị nhiễm)
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," (Đây là giá trị đúng, máy sạch, ko bị nhiễm)
Lưu ý: sau mỗi câu lệnh phải có dấu ,
Cách diệt bằng tay không nè:
Bước 1: (Lưu ý nếu HDD đang định dạng là NTFS thì phải kích hoạt chế độ hỗ trợ đọc NTFS nếu dùng Volkov))
Khởi động bằng Hiren Boot, hoặc là dùng bất kỳ đĩa nào khởi động đc từ DOS. Nếu bạn dùng hiren thì bạn chạy Volkov Commander (có giao diện rất giống NC)
Tìm đến thư mục windows\system32 và copy file userinit.exe chép đè vào file userinit.exe(giống như 1 thư mục) nằm trong windows (nếu bạn nào chắc ăn hơn thì xóa trước khi chép đè). Chuyển sang thư mục windows\system32 và xóa file system.exe đi, và khởi động lại máy ==> Virus chết queo
Bước 2:
Regedit>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Winlogon] và chỉnh lại giá trị đúngcho nó..."Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Tương tự, nếu máy bạn nào bị tình trang logoff liên tục sau khi diệt virus xong thì có thể copy file useinit.exe như bước 1 rồi vào chỉnh lại registry.
Theo kinh nghiệm thì còn một cách diệt virus secret.exe từ windows đang nhiễm:
Bước 1: đổi tên 2 file userinit.exe và system.exe do virus tạo ra (có thể làm được dễ dàng)
Bước 2: chép file userinit.exe thật từ C:\WINDOWS\system32 ra C:\WINDOWS
Bước 3: kill process của virus (dùng ice sword chẳng hạn,k dùng Task manager không được đâu)
Bước 4: xóa 2 file virus đã bị đổi tên
Bước 5: vào regedit chỉnh lại giá trị đúng cho khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bước 6: khởi động lại, xóa file userinit.exe trong C:\WINDOWS
Cách tốt nhất để phòng ngừa các dang virus autorun lây nhiễm qua USB là tắt chế độ autorun của các ổ đĩa đi. Hoặc khi cắm USB vào máy thì bấm giữ đồng thời phím Shift cho đến khi mũi tên xanh ở góc phải màn hình xuất hiện là ok.
[b]
vecntt- Tổng số bài gửi : 2
Join date : 17/03/2008
Age : 41
Similar topics» Deep Freeze và các công cụ hạn chế sự tấn công của virus
» Link download các phần mềm quét virus thông dụng
» Link download các phần mềm quét virus thông dụng
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết|
|
|