Cách diệt bằng tay một số loại virut máy tính phổ biến hiện nay

Diệt virus Secret.exe (phimnguoilon.exe)
Dấu hiệu :
1. Tạo file autoruns.inf (File này được thiết lập chế độ ẩn) trong USB với nội dung :

Code:
[AutoRun]
open=Secret.exe
;shell\open=Open(&O)
shell\open\Command=Secret.exe
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=Secret.exe2. Sẽ thấy có sự xuất hiện của File Secret.exe trong USB ở thư mục gốc (Tập tin này ẩn), và file phimnguoilon.exe ở một thư mục con bất kỳ nào trong USB (Thư mục này không bị ẩn)
3. Xuất hiện 2 process lạ với những cái tên “không lạ” :




4. Xuất hiện những thay đổi trong key khởi động quan trọng là UserInit:






Tiêu diệt :

Cách 1 :
Dùng ProcessXP, Suspend cả 2 tiến trình userinit.exe và system.exe (Bạn đừng nhầm với các tiến trình hệ thống nhé, 2 tiến trình này có Icon giả Icon thư mục và có các path là : C:\windows\userinit.exe và c:\windows\system32\system.exe )

Okie. Sau đó bạn Kill từng tiến trình (Nhấn chuột phải và chọn Kill Process)

Bạn cũng có thể dùng các phần mềm cho phép kill cùng lúc nhiều tiến trình như Simple Kill Process (Bạn có thể tìm thấy trên VirusVN.com) hoặc PrcViewer để thực hiện việc này.

Khôi phục dữ liệu :
Do virus này ko thay đổi giá trị làm ngăn việc truy cập registry nên bạn vẫn có thể truy cập vào đây để chỉnh sửa nó :
Bạn chọn Start -> Run... -> regedit -> Bạn tìm địa chỉ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, với nhãn UserInit và chỉnh sửa lại với gia trị là : c:\windows\system32\userinit.exe

Cách 2:
http://dungnguyenle.googlepages.com/QuickRemove.zip
Tài nó về, bạn Browse đến file Secret.qrd lưu trong thư mục Sample
Chọn Remove là Okie

Nếu máy bạn báo thiếu thư viên thì tải tập tin sau về và giải nén :
http://dungnguyenle.googlepages.com/Control.zip
===============================================
Trojan.Win32.Pakes




Virus này được biết đến với những tên sau:

Win32/Seenbot.{FR, FU, FX} [Computer Associates], Backdoor.Win32.IRCBot.{ln, ny} [Kaspersky Lab], Backdoor.Win32.Pakes [Kaspersky], Trojan.Win32.Pakes [Kaspersky] , W32/IRCbot.worm.gen [McAfee], W32/Opanki.worm [McAfee], W32/Sdbot.worm.gen.bh [McAfee], W32/Opanki-Y [Sophos], W32/Rbot-Fam [Sophos], BKDR_IRCBOT.CW [Trend Micro], WORM_OPANKI.{BF, BH} [Trend Micro]

Trong cơ sở dữ liệu của Symantec, nó có tên là W32.Loxbot.D

W32.Loxbot.D là một worm, khi lây nhiễm vào máy, nó sẽ mở cổng sau (backdoor) cho phép kẻ tấn công từ xa đưa ra những lệnh khác nhau để truy cập trái phép vào hệ thống và nó lây lan qua AOL Instant Messenger. Worm này cũng sử dụng khả năng của rootkit để ẩn tác vụ của nó trong bộ nhớ.

Khi W32.Loxbot.D thi hành, nó sẽ thực hiện những hành vi sau:

1. Tự sao chép nó theo đường dẫn: %System%\lockbar.exe
%System% dùng để chỉ thư mục hệ thống. Theo mặc định, nó là:
C: \Windows\System (Windows 95/98/Me)
C: \Winnt\System32 (Windows NT/2000)
C: \Windows\System32 (Windows XP)

2.Thêm vào giá trị : "freexstyle" = "lockbar.exe" vào các khóa trong Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Vì vậy, nó có thể chạy mỗi khi Windows khởi động.

3.Thay đổi giá trị trong Registry : "EnableFirewall" = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\
Parameters\FirewallPolicy\StandardProfile

nên Windows Firewalls sẽ bị vô hiệu hóa.

4.Thi hành tập tin C: \xz.bat để vô hiệu hóa những dịch vụ sau:

Windows Security Center
SharedAccess
Windows Firewall/Internet Connection Sharing (ICS)

5. Cài đặt trình điều khiển vào %System%\msdirectx.sys

6. Tạo ra những dịch vụ cho trình điểu khiển với những thuộc tính sau:
Tên dịch vụ: msdirectx
Tên hiển thị: msdirectx

7. Mở cổng sau và tiếp xúc với máy chủ IRC irc.q8devils.com thông qua TCP port 1751 và cho phép kẻ tấn công thực hiện những hành động sau:

- Ngắt kết nối và kết nối lại với máy chủ.
- Download và thi hành các tập tin.
- Tạo một nick name ngẫu nhiên mới.
- Tự cập nhật những phiên bản mới của worm.

8. Gửi đường link chứa bản copy của worm tới tất cả những nickname online trên AOL Instant Messenger.





Phương hướng giải quyết:

- Vào Safe mode (nhớ vô hiệu hóa System Restore)
- Truy cập registry và xóa giá trị "freexstyle" = "lockbar.exe" trong:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
để ngăn worm khởi động cùng Windows

- Cập nhật Anti-Virus và quét toàn bộ hệ thống.
- Khởi động lại các dịch vụ đã bị worm vô hiệu hóa.

===============================================
worm VBS.Zodgila




MS32DLL.dll.vbs là tập tin của worm VBS.Zodgila trong cơ sở dữ liệu của Symantec. Worm này có khả năng tự copy chính nó lên ổ đĩa rời. Ổ đĩa của bạn đã từng bị nhiễm loại sâu này và nó đã bị diệt nhưng chưa tận gốc, vẫn còn tập tin autorun.inf nằm ẩn trong ổ đĩa của bạn chứa nội dung

Code:
[AutoRun]
shellexecute=wscript.exe MS32DLL.dll.vbs
với nhiệm vụ kích hoạt worm khi bạn truy cập vào ổ đĩa. Tập tin MS32DLL.dll.vbs không còn trên ổ đĩa của bạn nên hệ thống đưa ra thông báo lỗi là không tìm thấy tập tin trên.
Vì vậy, bạn chỉ cần xóa tập tin autorun.inf trong ổ đĩa của bạn là xong.

Nhiều nguy cơ máy bạn cũng đã bị nhiễm loại sâu này nhưng chưa được diệt tận gốc.
Khi VBS.Zodgila xâm nhập vào máy tính của bạn, nó sẽ thực hiện những hành vi sau

1. Tạo ra các tập tin


Code:
%Windir%\MS32DLL.dll.vbs
[DRIVE LETTER]: \MS32DLL.dll.vbs
[DRIVE LETTER]: \autorun.inf2. Thêm giá trị

Code:
"MS32DLL" = "%Windir%\MS32DLL.dll.vbs"vào khóa registry

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runvì vậy worm có thể khởi động cùng Windows.

3. Thêm giá trị Code:
"Window Title" = "Hacked by[REMOVED]"
vào khóa registry

Code:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mainvì vậy nó có thể sửa đổi thiết lập trong Internet Explorer.

4. Copy chính nó lên các ổ đĩa di động và tiến hành tạo mới registry entries sau mỗi 200 giây.

Để diệt tận gốc loại worm này, bạn làm như sau:

- Tắt System Restore.
- Cập nhật mới nhất cho trình duyệt virus của bạn vào quét toàn bộ hệ thống.
- Tiến hành sửa đổi registry như sau:
+ Xóa giá trị

Code:
"MS32DLL" = "%Windir%\MS32DLL.dll.vbs"trong


Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run+ Xóa giá trị

Code:
"Window Title" = "Hacked by[REMOVED]"trong

Code:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main===============================================
Spyware.UltimateKeylog
I)Mô tả

Phát hiện : Ngày 30 tháng 07 năm 2008
Cập nhật : Ngày 30 tháng 07 năm 2008 11:28:00 AM
Kiểu : Spyware
Mức độ nguy hiểm : Trung bình
Tên: Spyware.UltimateKeylog
Viết bởi :KRyLack Software
Phiên bản:1.00
Sự ảnh hưởng : Cao

Hệ thống bị ảnh hưởng : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Những chỉ dẫn sau đây gắn liền với mọi sản phẩm diệt virut của Symantec hiện thời và gần đây, bao gồm chương trình diệt virut Symantec và những sản phẩm dịêt virus của Norton 1 Tắt chế độ System Restore (Windows Me/XP)

2 Cập nhật chương trình diệt virus mới


3 Scan toàn bộ hệ thống

4 Xoá các giá trị được ghi vào Registry

II)Cách diệt
1 Click Start > Run

2 Đánh Regedit

3 Click chọn OK

4 Tìm và xoá các giá trị
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run"ukl" = "C:\documents and Settings\All Users\Application Data\uklpr\wmpusrvc.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Shell Extensions\Approved\{E4F2CA1F-7ED0-25CB-5EEF-F26D9921AC33}

HKEY_CURRENT_USER\Software\ukl

HKEY_CLASSES_ROOT\CLSID\{E4F2CA1F-7ED0-25CB-5EEF-F26D9921AC33}
5 Thoái khỏi Registry
===============================================
RegistryDoctor2008
I)Mô tả
Phát hiện : Ngày 30 tháng 07 năm 2008
Cập nhật : Ngày 30 tháng 07 năm 2008 1:11:42 PM
Kiểu : Lỗi chương trình ứng dụng
Mức độ nguy hiểm : Trung bình
Tên: RegistryDoctor2008
Viết bởi :NewBonn, Inc.
Phiên bản:1.0.6.0
Sự ảnh hưởng : Trung bình

Hệ thống bị ảnh hưởng : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Những chỉ dẫn sau đây gắn liền với mọi sản phẩm diệt virut của Symantec hiện thời và gần đây, bao gồm chương trình diệt virut Symantec và những sản phẩm dịêt virus của Norton

1 Tắt chế độ System Restore (Windows Me/XP)

2 Cập nhật chương trình diệt virus mới

3 Scan toàn bộ hệ thống

4 Xoá các giá trị được ghi vào Registry

II)Cách diệt

1 Click Start > Run

2 Đánh Regedit

3 Click chọn OK

4 Tìm và xoá các giá trị
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run"RegistryDoctor2008" = "43 00 3A 00 5C 00 50 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 46 00 69 00 6C 00 65 00 73 00 5C 00 52 00 65 00 67 00 69 00 73 00 74 00 72 00 79 00 44 00 6F 00 63 00 74 00 6F 00 72 00 32 00 30 00 30 00 38 00 5C 00 72 00 65 00 67 00 69 00 73 00 74 00 72 00 79 00 64 00 6F 00 63 00 74 00 6F 00 72 00 2E 00 65 00 78 00 65 00 00 00 00 00 0D 00 00 00 0A 00 00 00 A4 00 01 00 0C 00 00 00 00 00 00 00 00 00 00 00 46 00 00 00 54 00 00 00 57 00 00 00 41 00 00 00 52 00 00 00 45 00 00 00 5C 00 00 00 4D 00 00 00 69 00 00 00 63 00 00 00 72 00 00 00 6F 00 00 00 73 00 00 00 6F 00 00 00 66 00 00 00 74 00 00 00 5C 00 00 00 57 00 00 00 69 00 00 00 6E 00 00 00 64 00 00 00 6F 00 00 00 77 00 00 00 73 00 00 00 5C 00 00 00 43 00 00 00 75 00 00 00 72 00 00 00 72 00 00 00 65 00 00 00 6E 00 00 00 74 00 00 00 56 00 00 00 65 00 00 00 72 00 00 00 73 00 00 00 69 00 00 00 6F 00 00 00 6E 00 00 00 5C 00 00 00 52 00 00 00 75 00 00 00 6E 00 00 00 00 00 00 0 0 59 00 69 00 B5 00 D6 00 0E 00 00 00 0D 00 00 00 C8 00 10 00 66 00 00 00 E8 00 01 00 15 00 00 00 E8 00 01 00 15 00 00 00 5A 00 AC 00 E3 00 26 00 7F 00 61 00 C2 00 12 00 B9 00 BD 00 20 20 0E 00 F7 00 40 00 61 00 31 00 3A 20 D1 00 31 00 C5 00 1C 00 92 01 7D 01 AD 00 68 00 61 00 F4 00 92 01 03 00 43 00 3B 00 41 00 4D 00 4F 00 73 00 CE 00 6F 00 76 00 0E 00 19 20 CD 00 66 00 E8 00 F7 00 CD 00 F3 00 A3 00 B0 00 57 00 EF 00 DB 00 CE 00 F3 00 D6 00 22 20 A1 00 E0 00 37 00 FA 00 F1 00 08 00 CB 00 25 00 7F 00 29 00 1A 20 B3 00 D8 00 30 00 76 00 3A 20 09 00 0C 00 2F 00 0F 00 BE 00 8F 00 0F 00 C5 00 7B 00 53 01 4D 00 C2 00 C4 00"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\RegistryDoctor2008

5 Thoát khỏi Registry
===============================================
Trojan.Win32.Agent.dcc
Chi tiết kỹ thuật

Cài đặt

Khi được khởi chạy, Trojan sẽ sao chép chính bản thân file thực thi của nó vào vị trí sau:
%System%\drivers\runtime.sys

Để đảm bảo rằng Trojan sẽ khởi chạy mỗi khi hệ thống được bật, nó tạo một dịch vụ hệ thống với tên gọi “Runtime”, dịch vụ này sẽ chạy file thực thi của Trojan mỗi khi Windows được tải. Khóa registry sau sẽ được tạo:
[HKLM\System\CurrentControlSet\Services\runtime]

Sau khi cài đặt thành công, Trojan sẽ xóa file gốc của chính nó. Trojan này có tải mã độc. Nó là một file Windows EXE có dung lượng 20480 byte.

Hoạt động

Trojan có chứa một driver rootkit, nó sẽ che giấu sự hiện diện của các file Trojan trong ổ cứng và cũng che dấu cả các file sau:
%System%\ntoskrnl.exe
%System%\ntkrnlpa.exe
%System%\ntkrnlmp.exe
%System%\ntkrpamp.exe

Đồng thời, có chũng che giấu cả các hoạt động diễn ra của các file. Trojan khởi chạy một quá trình ẩn dưới tên "iexplore.exe". Nó tiêm nhiễm mã đọc của nó vào trong quá trình này và sau đó download các file từ những địa chỉ sau:
208.66.194.***
66.246.252.***
208.66.195.***
74.53.42.***
74.53.42.***

Các file được download về được lưu tại:
%TEMP%\<rnd>.exe

Với <rnd> là một chuỗi số ngẫu nhiên. Sau khi download thành công, các file này sẽ bắt đầu quá trình hoạt động.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Sử dụng Task Manager để dừng quá trình hoạt động của chương trình mã độc

2. Xóa khóa registry hệ thống sau:
[HKLM\System\CurrentControlSet\Services\runtime]

3. Xóa file sau:
%System%\drivers\runtime.sys

4. Xóa các file có trong thư mục %Temp%

5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.
===============================================
Trojan-Downloader.Win32.Banload.dcd
Thể Loại : Trojan Downloader
Tiến trình Cài đặt của Trojan

Khi được kích hoạt, Trojan sẽ copy nó vào thư mục Windows program files "lsass.exe":

Code:
%Program Files%\Microsoft Studio Files\lsass.exeĐể chắc chắn trojan có thể chạy tự động mỗi lần hệ thống reboot, Trojan đăng ký trong registry của hệ thống :

Code:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"Sau đó trojan sẽ tạo file với tên "vcdg.bat" trong cùng thư mục:


Code:
%Program Files%\Microsoft Studio Files\vcdg.batNó sẽ ghi những chuỗi sau trong file này :


Code:
netsh.exe firewall add allowedprogram PROGRAM="%Program Files%\Microsoft Studio
Files\lsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALLBằng cách đó, Trojan đã sửa thiết lập của Windows XP firewall, chấp nhận tất cả các kết nối hoạt động tạo bởi tiến trình của trojan này:
"%Program Files%\Microsoft Studio Files\vcdg.bat" sẽ được kích hoạt

Khi được cài, Trojan sẽ download những file này về :


Code:
http://www.club-vw.cl/*****/modules/...api_apache.tar
http://www.*****-consult.net/rcss.res
http://www.photo-*****.ru/images/exh...5_file0031.jpg
http://www.cemm*****ac.at/img/nav/plus19a_RO.jpgCách gỡ virut

Sử dụng Task Manager để đóng tiến trình của Trojan.
Xoá những khoá trong registry của hệ thống :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"
Xoá file Trojan nguồn
Xoá thư mục và tất cả nội dung của thư mục trong: %Program Files%\Microsoft Studio Files
Xoá tất cả file từ %Temporary Internet Files%
Cập nhật phần mềm diệt virus mới nhất và diệt
===============================================
Cách diệt W32.Redlofs
I)Mô Tả
Phát hiện: 18 tháng 11 năm 2008
Cập nhật: 18 tháng 11 năm 2008 10:55:02 AM
Tên: W32.Redlofs
Kiểu : Sâu
Mức độ phát tán: 73,000 máy

Hệ thống bị ảnh hưởng :Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Những chỉ dẫn sau đây gắn liền với mọi sản phẩm diệt virut của Symantec hiện thời và gần đây, bao gồm chương trình diệt virut Symantec và những sản phẩm dịêt virus của Norton

1 Tắt chế độ System Restore (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Scan toàn bộ hệ thống
4 Xoá các giá trị được ghi vào Registry

II)Cách diệt
1 Click Start > Run
2 Đánh Regedit
3 Click chọn OK
4 Tìm và xoá các giá trị


Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run"10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".key" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key

5 Khôi phục lại các giá trị ban đầu

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = "Explorer.exe C:\WINDOWS\1o.1.o8.exe shell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = "C:\WINDOWS\10.1.08.exe init"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer"NoFolderOptions" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\System"DisableTaskMgr" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\System"DisableRegistryTools" "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Run\ "1o.1.o8" = "C:\WINDOWS\1o.1.o8.exe hcurun"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".bat" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".cmd" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".com" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".hta" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".js" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".JSE" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".msi" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".pif" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".reg" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".scr" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".VBE" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".vbs" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".WSF" = "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes".WSH" = "exefile"
6 Thoát khỏi Registry