Rất nguy hiểm mọi người nên cẩn thận nhé! Ở dưới đây là một bài hướng dẫn mình vừa tìm được bên BKAV để trị con Virus này.
Trước tiên anh em sẽ cần đến phần mềm PChunter Link: https://forum.bkav.com.vn/forum/may-tinh/kinh-nghiem-thu-thuat/13603-update-64bit-cong-cu-ho-tro-diet-virus-bang-tay-sieu-manh-xuetr-anti-virus-rootkit?13191-Update-64bit-Cong-cu-ho-tro-diet-Virus-bang-tay-sieu-manh-XueTr-Anti
Loại 1: mediafire. com/*******/img**. jip. exe hoặc . pif
Loại này có đặc điểm, chúng sẽ tạo ra file svchosts.exe giả mạo tại thư mục appdata (vista +7) hoặc application data (XP).
Nhìn trên công cụ, các bạn có thể thấy svchosts được in xanh trong hình, đó chính là svchosts giả mạo. Vậy giờ làm gì đây? Kích chuột phải vào nó, chọn delete file after termination rồi kích chuột phải lần nữa, chọn force kill là xong.
À mà chưa xong. Bạn bấm windows R để vào hộp thoại run, gõ regedit rồi enter. Truy cập theo đường dẫn:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run- Xóa key microsoft corp (có đường dẫn virus)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run
HKEY_USERS\S-1-5-21-1292428093-436374069-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run
Loại 2: k22. su, file có dạng tháng + ngày + picture + số (Ví dụ: April20Picture36-JPG)
Loại này hơi khác chút, nó sẽ tạo ra file iqs.exe tại C:\windows
Virus này mạo danh microsoft nên ko in màu như trong hình, nhưng cũng không thoát được. Một số trường hợp vẫn có màu xanh.
Kill tương tự như loại 1, Kích chuột phải vào thằng iqs, chọn delete file after termination rồi kích chuột phải lần nữa, chọn force kill.
Cũng lại sửa registry lẫn nữa. Bạn bấm windows R để vào hộp thoại run, gõ regedit rồi enter. Truy cập theo đường dẫn:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run
HKEY_USERS\S-1-5-21-1292428093-436374069-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run
Xóa key microsoft firevall engine (có đường dẫn virus)
Đường dẫn
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List
Xóa C:\windows\iqs.exe
* Chú ý: để mở thư mục appdata các bạn chọn RUN và gõ lệnh: %APPDATA% Sau đó nhấn Enter
Nguồn : Nguyễn Lương Duy






























0 bình luận