tự khắc phục máy tính khi bị virut tấn công: phần 2

Đăng ngày 9/16/2019 9:01:20 AM | Thể loại: | Lần tải: 0 | Lần xem: 5 | Page: 105 | FileSize: 8.46 M | File type: PDF
tự khắc phục máy tính khi bị virut tấn công: phần 2. tiếp nối phần 1, phần 2 với các nội dung như sau: tổng hợp các loại virus worm, trojan, spyvvare; cách diệt và khôi phục máy vi tính bị nhiễm; cách diệt virus w32.randsom.a; cách diệt trojan.fakemess; khôi phục các giá trị gốc trong registry; cách diệt w32.gaut.a; cách diệt trojan.newarxy; cách diệt w32.wecori; cách diệt backdoor bifrose m; cách diệt infostealer bancos ac; cách diệt w32.haraki; cách diệt win32/psw onlinegames nnt... mời các bạn cùng tham khảo để nắm chi tiết nội dung.
Bài 3
TỔNG HỢP CÁC LOẠI VIRUS, WORM, TROJAN, SPYVVARE.
CÁCH DIỆT KHÔI PHỤC MÁY VI TÍNH BỊ NHIỄM
Sau đây chúng tôi sẽ giới thiệu đến độc giả thông tin mô tả,
cách diệt các họ Virus, Wonn, Trojan, Spyvvare... điển hình và
đặc trưng. Bản thân các chương trình diệt vừus có thể sẽ loại bỏ,
tuy nhiên những hư hại, hỏng hóc thì không phải chương trình
nào cũng có thể khắc phục,
Ví dụ: Có thể hiểu đơn giản như tủ bếp của bạn bị một con
chuột phá hoại, nó gặm nhấm thân tủ, ăn các thức ăn trong
tủ... Và bạn đã may mắn dùng bẫy bắt được con chuột đó,
vậy là từ nay chiếc tủ bếp của bạn sẽ an toàn rồi tuy nhiên
làm thế nào mà chiếc bẫy có thể khôi phục lại được tình trạng
ban đầu của cái tủ? Thật khó phải không?
Hiện nay, một số chương trình diệt virus có kết hợp tính
năng tự sửa chữa những tổn hại do virus gây ra tuy nhiên khả
năng là không nhiều và đé mục sở thị việc khôi phục này bạn
có thể sử dụng
các
chương trình sửa chữa chuyên
nghịêp
hoặc tự sửa chữa thủ công bằng tay.
1.
Cách diệt virus W32.Randsom.A
tả
Phát hiện: Tháng 11 năm 2008.
Tên: W32.Randsom.A.
Kiểu: Sâu.
48
Mức độ phát tán: Lây lan.
Hệ thống bị ảnh hưởng:Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows
Server 2003, Windows 2000.
Cách diệt
1. Vào Start > Run.
2. Gõ Regedit.
3. Click chọn OK.
4. Tim và xoá các giá trị:
HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti
ve SetupMnstalled Components\| Y479C6DO-OTRW-
U5GH-S1EE- E0AC10B4E666}\"StubPath" =
"%Windir%\UNINSTLV16.exe"
HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti
ve SetupXInstalIed Components\|F146C9Bl-VMVQ-
A9RC-NUEL-D0BA00B4E999 ÌvStubPath" =
"%Windir%\UNINSTLV16.exe"
HKEY_LOCAL_MACHINE^OFTWAREMorn.exe
5. Thoát khỏi Registry.
2.
Cách diệt W32.Redlofs
tả
Phát hiện; Tháng 11 năm 2008.
Tên; W32.Redlofs.
Kiểu: Sâu.
Mức độ phát tán: 73,000 Bytes.
Hệ thống bị ảnh hưởng; Windows 98, Windows 95, Windows
XP, Windows Me, Windows Vista, Windows NT, Windows
Server 2003, Windows 2000.
49
Cách diệt
1. Vào Start > Run.
2. Gõ Regedit.
3. Click chọn OK.
4. Tim và xoá các giá trị:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
dows\CuưentVersion\Run\" 10.1.08" =
"C:\WINDOWS\10.1.08.exe hlmrun"
HKEY_LOCAL_MACHINE^OFTWARE\Classes\".key"
= "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\key
5. Khôi phục lại các giá trị ban đầu.
HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win
dows NT\CuưentVersion\Winlogon\"Shell" =
"Explorer.exe C:\WINDOWS\l0.1.o8.exe Shell"
HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win
dows NT\CuưentVersion\Winlogon\"Userinit" =
"C:\WINDOWSM0.1.08.exe init"
HKEY_USERSvS-1-5-21-1172441840-534431857-
1906119351-
500\Software\Microsoft\Windows\CuưentVersion\Policies
\Explorer\"NoFolderOptions" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-
1906119351-
500\Software\Microsoft\Windows\CuưentVersion\Policies
\System\"DisableTaskMgr" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-
1906119351-
500\Software\Microsoft\Windows\CuưentVersionXPolicies
\System\"DisableRegistryTools" "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-
1906119351-
50
HƯỚNG DẪN DOWNLOAD TÀI LIỆU

Bước 1:Tại trang tài liệu slideshare.vn bạn muốn tải, click vào nút Download màu xanh lá cây ở phía trên.
Bước 2: Tại liên kết tải về, bạn chọn liên kết để tải File về máy tính. Tại đây sẽ có lựa chọn tải File được lưu trên slideshare.vn
Bước 3: Một thông báo xuất hiện ở phía cuối trình duyệt, hỏi bạn muốn lưu . - Nếu click vào Save, file sẽ được lưu về máy (Quá trình tải file nhanh hay chậm phụ thuộc vào đường truyền internet, dung lượng file bạn muốn tải)
Có nhiều phần mềm hỗ trợ việc download file về máy tính với tốc độ tải file nhanh như: Internet Download Manager (IDM), Free Download Manager, ... Tùy vào sở thích của từng người mà người dùng chọn lựa phần mềm hỗ trợ download cho máy tính của mình  
5 lần xem

tự khắc phục máy tính khi bị virut tấn công: phần 2. tiếp nối phần 1, phần 2 với các nội dung như sau: tổng hợp các loại virus worm, trojan, spyvvare; cách diệt và khôi phục máy vi tính bị nhiễm; cách diệt virus w32.randsom.a; cách diệt trojan.fakemess; khôi phục các giá trị gốc trong registry; cách diệt w32.gaut.a; cách diệt trojan.newarxy; cách diệt w32.wecori; cách diệt backdoor bifrose m; cách diệt infostealer bancos ac; cách diệt w32.haraki; cách diệt win32/psw onlinegames nnt... mời các bạn cùng tham khảo để nắm chi tiết nội dung..

Nội dung

Bài 3 TỔNG HỢP CÁC LOẠI VIRUS, WORM, TROJAN, SPYVVARE. CÁCH DIỆT VÀ KHÔI PHỤC MÁY VI TÍNH BỊ NHIỄM Sau đây chúng tôi sẽ giới thiệu đến độc giả thông tin mô tả, cách diệt các họ Virus, Wonn, Trojan, Spyvvare... điển hình và đặc trưng. Bản thân các chương trình diệt vừus có thể sẽ loại bỏ, tuy nhiên những hư hại, hỏng hóc thì không phải chương trình nào cũng có thể khắc phục, Ví dụ: Có thể hiểu đơn giản như tủ bếp của bạn bị một con chuột phá hoại, nó gặm nhấm thân tủ, ăn các thức ăn trong tủ... Và bạn đã may mắn dùng bẫy bắt được con chuột đó, vậy là từ nay chiếc tủ bếp của bạn sẽ an toàn rồi tuy nhiên làm thế nào mà chiếc bẫy có thể khôi phục lại được tình trạng ban đầu của cái tủ? Thật khó phải không? Hiện nay, một số chương trình diệt virus có kết hợp tính năng tự sửa chữa những tổn hại do virus gây ra tuy nhiên khả năng là không nhiều và đé mục sở thị việc khôi phục này bạn có thể sử dụng các chương trình sửa chữa chuyên nghịêp hoặc tự sửa chữa thủ công bằng tay. 1. Cách diệt virus W32.Randsom.A Mô tả Phát hiện: Tháng 11 năm 2008. Tên: W32.Randsom.A. Kiểu: Sâu. 48 Mức độ phát tán: Lây lan. Hệ thống bị ảnh hưởng:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupMnstalled Components\| Y479C6DO-OTRW-U5GH-S1EE- E0AC10B4E666}\"StubPath" = "%Windir%\UNINSTLV16.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupXInstalIed Components\|F146C9Bl-VMVQ-A9RC-NUEL-D0BA00B4E999 ÌvStubPath" = "%Windir%\UNINSTLV16.exe" HKEY_LOCAL_MACHINE^OFTWAREMorn.exe 5. Thoát khỏi Registry. 2. Cách diệt W32.Redlofs Mô tả Phát hiện; Tháng 11 năm 2008. Tên; W32.Redlofs. Kiểu: Sâu. Mức độ phát tán: 73,000 Bytes. Hệ thống bị ảnh hưởng; Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. 49 Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Run\" 10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun" HKEY_LOCAL_MACHINE^OFTWARE\Classes\".key" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\key 5. Khôi phục lại các giá trị ban đầu. HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\l0.1.o8.exe Shell" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Winlogon\"Userinit" = "C:\WINDOWSM0.1.08.exe init" HKEY_USERSvS-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CuưentVersion\Policies \Explorer\"NoFolderOptions" = "1" HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351- 500\Software\Microsoft\Windows\CuưentVersion\Policies \System\"DisableTaskMgr" = "1" HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CuưentVersionXPolicies \System\"DisableRegistryTools" "1" HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351- 50 500\Software\Microsoft\Windows\CuưentVersion\Run\"l 0.1.08" = "C:\WINDOWS\lo.l.o8.exe hcurun" HKEY_LOCAL_MACHINEsSOFTWARE\ClassesV.bat" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".cmd ” = "exefile" HKEY_LOCAL_MACHINEVSOFTWARE\Classes\".com " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".hta" = "exeíile" HKEY_LOCAL_MACHINB\SOFrWARE\Classes\".js" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".JSE" = "exefile" HKEY_LOCAL_MACHINESSOFTWARE\Classes\".msi" = "exeíile" HKEY_LOCAL_MACHINE\SOFrWARE\Classes\".pif’ = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".reg" = "exefile" HKEY_LOCAL_MACHINEVSOFTWARE\Classes\".scr" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".VBE " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".vbs" = "exefile" HKEY_LOCAL_MACHINESSOFrWARE\Classes\".WSF " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\CIasses\".WS H" = "exeíile" 6. Thoát khỏi Registry. 51 3. Cách diệt Spyware CompuSpy Mô tả Phát hiện: Tháng 11 năm 2008. Tên: CompuSpy. Kiểu: Spyware. Phát triển bởi; Upsilon Dynamics. Mức độ nguy hiểm: Trung bình. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\App Management\ARPCache\CompuSpy KeyLogger HKEY_LOCAL_MACHINE^OFWARE\Microsoft\Win dows\CurrentVersion\App Paths\cswin2008.exe HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows\CuưentVersion\Uninstall\CompuSpy KeyLogger HKEY_LOCAL_MACHINEsSOFTWARÊlJpsilon Dynamics HKEY_LOCAL_MACHINESSOFrWARE\UpsilonDynamics HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Run\"CompuSpy KeyLogger" = "C:\Program Files\CompuSpy\cswin2008.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Run\"CompuSpy" = "C:\Program Files\CompuSpy\CompuSpy.exe" 5. Thoát khỏi Registry. 52 4. Cách diệt Trojan.Fakemess Mó tả Phát hiện: Tháng 11 năm 2008. Tên: Trojan.Fakemess. Kiểu: Trojan. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK.. 4. Tìm và xoá các giá trị: HKEY_LOCAL_MACHINB\SOFTWAREWIicrosoft\Win dows\CuưentVersion\policies\Explorer\run\"sasa" = "[PATH TO TROIAN]" 5. Khôi phục các giá trị gốc trong Registry: HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTVCurrentVersionHmage Eile Execution Options\360Safe.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\360rpt.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\360tray.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREV4icrosoft\Win dows NT\CurrentVersion\Image Eile Execution 53 Options\CCenter.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution Options\IceSword.exé\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWAREMVlicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KASMain.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTXCurrentVersionMmage File Execution Options\KASTask.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution Options\KAV32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACurrentVersionMmage File Execution Options\KAVDX.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution OptionsXKAVStart.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\KISLnchr.exe\"Debugger" = 54 "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution Options\KMFilter.exe\"Debugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINEsSOFrWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution OptionsXKMailMon.exeVDebugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTXCuưentVersionMmage Eile Execution Options\KPFW32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEvSOFrWAR^icrosoft\Win dows NTACurrentVersionMmage Eile Execution Options\KPFWSvc.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREW[icrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\KRegEx.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFrWAR^icrosoft\Win dows NTACurrentVersionXImage Eile Execution Options\KRepair.COM\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREW[icrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KVCenter.kxp\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAREW[icrosoft\Win dows NTACurrentVersionMmage Eile Execution Options\KVMonXP.kxp\"Debugger" = "%System%\svchost.exe" 55 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution Optio ns\KVMonXP_l.kxp\\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\KVSrvXP.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREVV1icrosoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsXKVStub.kxpVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile Execution Options\KWatch.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARBWIicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KWatch9x.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEsSOFTWARĐMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\KWatchX.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREWỈicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KaScrScn.SCR\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsXKsLoader.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win 56 dows NTXCurrentVersionMmage File Execution Options\KvDetect.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTACurrentVersionMmage Eile Execution Options\KvReport.kxp\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KvXP.kxp\"Debugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINE>>SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KvfwMcl.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\NAVSetup.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\PFWLiveUpdate.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image File Execution Options\QQDoctor.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\RStray.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution 57 Options\Ras.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINĐ50FTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\Rav.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREvMicrosoft\Win dows NT\CuưentVersion\Image Eile Execution Options\RavMon.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^50FTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RavMonD.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RavStub.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution OptionX RavTask.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINENSOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RegClean.exe\"Debugger" = "%System%Vsvchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RfwMain.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\RsAgent.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution 58 OptionsXRsaupd.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution Options\SysSafe.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINB\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile Execution Options\Systom.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINĐ50FTWARE\Microsoft\Win dows NTvCuưentVersionMmage Eile Execution OptionsVTNT.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\TrojDie.kxp\"Debugger" = "%System%\svchost.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution Options\TrojanDetector.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution Options\Trojanwall.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\TxoMoU.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution Options\UFO.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAl._MACHINE^OFrWARE\Microsoft\Win 59 dows NTXCurrentVersionMmage File Execution Options\UIHost.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UmxAttachment.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UmxCfg.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\UmxFwHlp.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UmxPol.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\UpLive.EXE\"Debugger" = "%System %\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\WoptiClean.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\avp.com\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACuưentVersionMmage Eile Execution Options\avp.exe\"Debugger" = "%System%\svchost.exe" 60 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\kabaload.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows N1\CurrentVersion\Image Eile Execution OptionsMcvol.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCALjVlACHINE\SOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsNkvolselí.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINENSOFTWAR^icrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\kvupload.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution OptionsMcvvvsc.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\nod32krn.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\nod32kui.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\rfwProxy.exe\"Debugger" = 61 "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFrWARE\Microsoft\Win dows NTACuưentVersionMmage File Execution OptionsVfwcfg.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image Eile Execution Options\rfwsrv.exe\"Debugger" = ”%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution OptionsVuniep.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\scan32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAR^icrosoft\Win dows ]Sn\CuưentVersion\Image Eile Execution OptionsXsvchOst.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAR^icrosoft\Win dows NTACuưentVersionMmage Eile Execution Options\symlcsvc.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\ua80.EXEX"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\zxsweep.exe\"Debugger" = "%System%\svchost.exe" 6. Thoát khỏi Registry. 62 5. Cách diệt W32.Gaut.A Mô tả Phát hiện: Tháng 11 năm 2008 Tên: W32.Gaut.A. Kiểu: Wonn (Sâu). Mức độ phát tán: 281,551 Bytes. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Run\"Yahoo Mes.sengger" = "C:\WINDOWS\system32\chrome.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shar ed" = "\New Folder.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Policies\Explorer\"NofolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System\"DisableRegistryTools" = "1" 5. Khôi phục lại các giá trị ban đầu được ghi trong Registry: HKEY_LOCAL_MACHINESSOFTWAREWIicrosofl\Win dows NT\CurrentVersion\Winlogon\"SheH" = "Explorer.exe chrome.exe" HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Inte 63 rnet Explorer\Main\"Default_Page_URL" = "http://h1■ripwav.com/pooiasharma2/index.html" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Inte rnet Explorer\Main\"Default_Search_URL" = "http://hl.ripwav.com/pooiashanna2/index.html" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Inte rnet Explorer\Main\"Search Page" = "http://hl.ripwav.com/pooiasharma2/index.html" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Inte rnet Explorer\Main\"Start Page" = "http://h1■ripwav.com/pooiasharma2/index.html" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://h1.ripwav.com/pooiasharma2/index.html" HKEY_LOCAL_MACHINE\SYSrrEM\CurrentControlSet\ Services\Schedule\"NextAtJobId" = "2" 6. Thoát khỏi Registry. 6. Cách diệt Trojan.Newarxy Mô tả Phát hiện: Tháng 11 năm 2008. Tên; Trojan.Newarxy. Kiểu: Trojan. Mức độ phát tán: 25,600 Bytes. Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000. 1. Khởi động lại máy sử dụng Windows Recovery Console. - Đưa đĩa cài Windows XP vào ổ đĩa CD-Rom. - Khởi động lại máy từ CD-Rom. 64 - Ân R để bắt đầu sử dụng chương trình Recorvery Console đến màn hình "Welcome to Setup". - Chọn cài đặt nếu bạn muốn cài đặt bằng Recorvery Console. - Chọn administrator và password, sau đó Enter. - Đánh cd c:\windows\system32. - Ấn Enter. - Đánh copy ws2_32_.dll ws2_32.dll. - Ấn Enter. - Gõ Y để ghi đè files. - Ấn Enter. - Gõ Exit. - Ân Enter, Computer sẽ tự động khởi lại. 2. Tắt chế độ System Restore (Windows Me/XP). 3. Cập nhật chương trình diệt virus mới. 4. Scan toàn bộ hệ thống. 5. Xoá các giá trị được ghi vào Registry. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFT WARE\Microsoft\Windows\CuưentVersion\Intemet SettingsVProxyServer" = "http=l27.0.0.1:9191" HKEY_LOCAL_MACHINE^OFTWARE\Classes\SOFT WARE\Microsoft\Windows\CuưentVersion\Internet SettingsVProxyOveưide" = "*.local;" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFT WARE\Microsoft\Windows\CuưentVersion\Intemet 65 SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINE^OFrWARE\Microsoft\Win dows\CurrentVersion\Internet SettingsVProxyServer" = "http= 127.0.0.1:9191" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuirentVersion\Internet SettingsVProxyOveưide" = "*.local;" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Intemet SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINESSYSTEM\CuưentControlSet\ ControI\Se.ssion Managei\"AllowProtectedRenames" = "1" HKEY_LOCAL_MACHINE^YSTEM\CuưentControlSet\ Hardvvare Profiles\0001\Software\Microsoft\Windows\CuưentVersio nXInternet SettingsVProxyServer" = "http=127.0.0.1:9191" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Hardware Profiles\0001\Software\Microsoft\Windows\CuưentVersio nXInternet SettingsVProxyOverride" = "*.local;" HKEY_LOCAL_MACHINEsSYSTEM\CuưentControlSet\ Hardvvare Profiles\Cuưent\Software\Microsoft\Windows\CuưentVer sionMnternet SettingsVProxyServer" = "http=127.0.0.1:9191" HKEY_LOCAL_MACHINE\SYSrrEM\CuưentControlSet\ Hardvvare Profiles\CuưentNSoftware\Microsoft\Windows\CuưentVer sionXInternet SettingsVProxyOverride" = "*.local;" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Services\SharedAcces.s\Parameters\FirewallPolicy\Standar dProfile\AuthorizedApplications\List\"C:\WINDOWSssyst em32\netsh.exe" = "C:\WINDOWSv;ystem32Nnetsh.exe;*:Enabled:TINYPROXY" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ 66 Services\SharedAccess\Parameters\FirewaIlPolicy\Standar dProfile\AuthorizedApplications\List\"C:\Program PilesMnternet Explorer\IEXPLORE.EXE" = "C:\Program EilesMnternet Explorer\IEXPLORE.EXE:*:Enabled;TINYPROXY" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\Standar dProfile\GloballyOpenPorts\List\"9191 :TCP" = "9191 :TCP:*:Enabled:TINYPROXY" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\SFC\"wmiprvse.exe" = " " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\SFC\"netsh.exe" = " " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersion\Explorer\SFC\"IEXPLORE.EXE" = " " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersionMnternet SettingsVProxyServer" = "http-127.0.0.1:9191" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersionMnternet SettingsVProxyOverride" = "*.local;" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersionMnternet SettingsVProxyEnable" = "1" 5.' Khôi phục lại các giá trị ban đầu của Registry. HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Hardvvare Profiles\0001\Software\Microsoft\windows\CuưentVersio nXInternet SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Hardxvare Profiles\Current\Software\Microsoft\windows\CurrentVers ionXlnternet SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINE\SYSrTEM\CuưentControlSet\ 67 Services\SharedAccess\Epoch\"Epoch" = "0x00000B96" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CuưentVersionMnternet SettingsVProxyEnable" = "1" HKEY_LOCAL_MACHINE\SYSTEM\CuưentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\Standar dProfile\AuthorizedApplications\List HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\ExpIorer\SFC 6. Thoát khỏi Registry. 7. Cách diệt W32.WecorI Mô tả Phát hiện: Tháng 11 năm 2008. Tên: W32.Wecorl. Được biết với tên khác: W32ẠVecorl [McAfee], WORM_WECORL.A [Trend]. Kiểu: Sâu (Worm). Hệ thống bị ảnh hưởng: Windows 2000, Windows Sen'er 2003, Windows XP. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK.. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINEsSOFTWARET.icenses\"[M AC ADDRESS]" = "[HEXADECIMAL DATA]" HKEY_LOCAL_MACHINESSOFTWARE\GoogleV[MA c ADDRESS]" = "[HEXADECIMAL DATA]" 5. Thoát khỏi Registry. 68 8. Cách diệt Backdoor Bifrose M http://images.google.com.vn/imgres?imgurl=http://www.ban gdientu.vn/DesktopModules/tNew/Images/12062008PC.ipg& imgrefurl=http://www.bangdientu.vn/Default.aspx%3Ftabid %3D61%26cateId%3Dl%26newĩd%3D61&h=267&w=400 &sz=27&hl-vi&.start=l l&usg= MT-Jz96w5wXpm6Z6sNVPXo3SBak=&tbnid=sIb4h7J6Hv IhM: &tbnh=83&tbnw= 124&prev=/images%3Fa%3DTroian%2Bp c%26gbv%3D2%26hl%3Dvi%26sa%3DG Mô tả Phát hiện: Tháng 10 năm 2008. Tên: Backdoor.Biữose.M. Kiểu: Trojan. Mức độ phát tán: 40,179 Bytes. Hệ thống bị ảnh hưởng: Windows XP, Windows Server 2003, Windows 2000. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tìm và xoá các giá trị: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersionXRunVStartKey" = "%System%\msnmsie.exe" HKEY_LOCAL_MACHINESSOFTWARE\SKav\"nck" = "99 6F D5 66 AO AC EA 5F F7 EC 7F 84 DC 8A DA 00 A8 5F E4 52 AO AC EA 5F F7 EC 7F 84 DC 8A DA 00" HKEY_CURRENT_USER\Software\SKav\"klg" = "00" HKEY_LOCAL_MACHINE\SOFrWARE\Micro.soft\Acti ve SetupMnstalled Components\{ A5CDF7EC-751B-46aa-AD69-4005FE080DE8 ỊVstubpath" = 69 "C:\WINDOWS\system32\msnmsie.exe s\ HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupMnstalled Components\| A5CDF7EC-751B-46aa-AD69-4005FE080DE8} HKEY_LOCAL_MACHINE\SOFTWAREXSKav HKEY_CURRENT_USER\SOFTWARESSkav 5. Thoát khỏi Registry. 9. Cách diệt Infostealer Bancos AC http://images.google.com.vn/imgres?imgurl=http://www.tech shout.com/images/talking-troian.ipg&imgrefurl=http://www.techshout.com/internet/200 7/07/new-talking-virus-botneta-troian-deletes-pc-files-warns-pandalabs/&h=368&w=450&sz=30&hl=vi&start=5&usg= OYrcSOl 2S5vhv 7PgVBTXXOtwA^&tbnid=gDkChKVb8 D3W2M:&tbnh-104&tbnw=127&prev=/images%3Fq%3DT roian%2Bpc%26gbv%3D2%26hl%3Dvi%26sa%3DG Mô tả Phát hiện: Ngày 19 tháng 10 năm 2008. Tên; Infostealer.Bancos.AC. Kiểu; Trojan. Mức độ phát tán: 3,174 Bytes. Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, WindOws Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK.. 70 4. Tìm và xoá các giá trị: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"@#$E$@#n%^a&^%b#$%l^%$e''& %^&B#$%r&^%o$%w@#$s^%$e&*r(*& &*E*^&x$^%t%$#e@#$n&^%s#%i*^o$%An(&*s%^cfe" = ?t yes1» HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Explorer\Browser Helper Objects\{RANDOM CLSIDK'(Default)' = 'Tìoogle Accelerator!" HKEY_CLASSES_ROOT\CLSID\[RANDOM CLSID]\"(Default)" = "Google Accelerator!" hkey1classes_root\clsid\[Random CLSID]\InProcServer32\"(Default)" = "%System%\googlejd.dll" HKEY_CLASSES_ROOTsCLSID\[RANDOM CLSIDNnProcServer32\"ThreadingModer' = "Apartment" 5. Thoát khỏi Registry. 10. Cách diệt W32.Harakit http://images.google.com.vn/imgres?imgurl=http://www.bao matthongtin.com/image.s/news/10.ipg&imgrefurl=http://www .baomatthongtin.com/news.asp%3FPerl.php%3DDetails%26 action%3D365&h=281&w=400&sz=28&hl=vi&start=4&usg ;_6; ĩ7G2CLEilT9b2i4eACml6rdcM=&tbnid=ktIqCsv0Ah53cM: &tbnh=87&tbnw=124&prev-/images%3Fq%3DTroian%2Bp c%26gbv%3D2%26hl%3Dvi%26sa%3DG Mô tả Phát hiện: Tháng 10 năm 2008. Tên: W32.Harakit. 71 Kiểu; Trojan, sâu (Worm). Mức độ phát tán: 454,i 34 Bytes. Hệ thống bịánh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP. Cách diệt 1. Vào Start > Run. 2. Gõ Regedit. 3. Click chọn OK. 4. Tim và xoá các giá trị: HKEY_LOCAL_MACHINEkSOFTWAREW[icrosoft\Win dows\CurrentVersion\policies\Explorer\Run\"cftm" = "C:\WINDOWSvsystem32\cftm.exe" HKEY_LOCAL_MACHINESSOFTWAREWIicrosoft\Win dows\CurrentVersion\policies\Explorer\Run\"csrcs" = "C:\WINDOWS\.system32\csrcs.exe” HKEY_LOCAL_MACHINESSOFrWAR^icrosoft\Win dows\CuưentVersion\Run\"cflm” = "C:\WINDOWSVsystem32\cftm.exe” HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows\CuưentVersion\RunServices\"cftm" = "C:\WINDOWS\system32Vftm.exe" HKEY_LOCAL_MACHINE\SOFT\VAR^icrosoft\DRM HKEY_LOCAL_MACHINE\SOFTWARE\ESETVNod 5. Khôi phục các giá trị sau nếu cần thiết: HKEY_LOCAL_MACHINESSOFTWAREW[icrosoft\Win dows NT\CurrentVersion\Winlogon\"Shell" = "ExpIorer.exe csrcs.exe"HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorei\Advanceđ\"ShowSuperHid den"="0" 6. Thoát khỏi Registry.

Tài liệu liên quan