PHẦN 1
Virus Win32/Pacex (hay Win32/PSW.Agent.NDP trojan) không phá hủy hay làm mất dữ liệu trên máy tính của bạn, nhưng lại làm tốc độ máy giảm rõ rệt, nhiều lúc gần như treo cứng, không hoạt động được.
Các file chính của virus này: ntde1ect.com, autorun.inf, apv0.dll, apvo.exe
Một số triệu chứng của máy tính mắc phải virus này:...
* Máy tính chạy rất chậm. hoặc treo cứng.[/font]
[FONT='Tahoma','sans-serif']* Trong nhiều trường hợp khi bạn nháy đúp vào ổ cứng (C, D, ...) trong cửa sổ explorer, windows tự động mở ra một cửa sổ mới.
* Lây lan sang bất cứ ổ USB hay ổ đĩa nào hoạt động trong windows nhiễm virus.
* Ngăn cản không cho bạn thay đổi thiết lập trong Folder Options
Virus này lây lan chủ yếu giữa các máy tính qua đường USB. Nó tự động tạo một file autoplay.inf trong ổ, vì thế khi ta truy cập bằng phương pháp thông thường (nhắp đúp trong cửa sổ Explorer) vào ổ đĩa đã bị lây virus, nó tự nhân bản và lây lan sang toàn bộ các ổ đĩa khác hiện đang họat động trong máy.
Để diệt được tận gốc virus này, ta cần xóa hết các file của nó (ntde1ect.com, autorun.inf, apv0.dll, apvo.exe) và gỡ bỏ nó trong list start up. Thực hiện điều này không đơn giản, vì các files này đều đã được đặt thuộc tính Hidden (ẩn) và System (hệ thống). Bạn không thể bắt chúng hiện ra trong explorer, vì virus đã tác động khiến bạn không thể chỉnh tùy chọn trong Folder Options.
Sau đây là 2 cách đơn giản nhất để diệt Virus trên:
Cách 1
1) Chạy Task Manager (Ctrl-Alt-Del)
2) Nếu wscript.exe đang chạy, hãy End nó trong tab Processes
3) End EXPLORER.EXE
4) Nhấn vào File | New Task (Run) trong cửa sổ Task manager
5) Chạy cmd
6) Chạy dòng lệnh sau trong cửa sổ cmd, lần lượt thay "C:" bằng các ổ khác của bạn để xóa hết các file autorun.inf
del c:\autorun.* /f /a /s /q
7) Tới thư mục Windows\System32 bằng cách chạy lệnh "cd c:\windows\system32" (không có dấu nháy kép)
8) Chạy lệnh "dir /a avp*.*"
9) Nếu bạn thấy các files có tên dạng avp0.dll hay avpo.exehay avp0.exe, dùng lệnh sau để xóa từng file một:
attrib -r -s -h avpo.exe
del avpo.exe
10) Dùng run từ Task Manager để chạy regedit
11) Tìm đến HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
12) Nếu có avpo.exe, bạn hãy xóa đi.
13) Khởi động lại máy
Cách 2
Sử dụng đĩa Hiren Boot CD, cách này chỉ áp dụng cho ổ đĩa phân vùng FAT32:
1) Cho đĩa vào ổ CD, khởi động lại máy, chú ý đặt thiết lập BIOS cho máy boot bằng đĩa CD
2) Chạy Mini Windows
3) Truy cập vào từng ổ đĩa bằng cách: vào My Computer, nhấn chuột phải vào từng ổ chọn Open
4) Xóa files ntde1ect.com và autorun.inf
5) Đi tới thư mục windows>system32 trong ổ đĩa chứa windows bị virus.
6) Tìm và xóa files apv0.dll, apvo.exe và apv0.exe (nếu có)
7) Bỏ đĩa CD ra khỏi ổ, khởi động lại máy, vào windows, chạy regedit
8) Tìm tới HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
9) Xóa avpo.exe nếu có
Nếu ổ cứng của bạn ở định dạng NTFS, hãy chạy Vodk Commander (support NTFS) trong đĩa Hirent Boot và thực hiện xóa các files kể trên. [/font]
[FONT='Tahoma','sans-serif']Trên Máy tính của các bạn có các hiện tượng trên thì đó chính là triệu chứng bị nhiễm virus bạn có thể thực hiện các thao tác trên là đã khắc phục được virus. Nhưng để cho chắc chắn hơn chúng tôi khuyến cáo các bạn nên dùng các chương trình diệt virus có bản quyền như : Kaspersky, Norton, Bittoren… để thường xuyên quét và phòng ngừa virus xâm nhập.[/font]
PHẦN 2
Diệt virus "autorun" (VBS_RESULOWS.A) tận gốc
Đó là con virusVBS_RESULOWS.A hay VBS.Zodgila
con này khi nhiễm vào máy mình tạo các file : MS32DLL.dll.vbs và autorun.inf tại:
%Windir%\MS32DLL.dll.vbs
[DRIVE LETTER]:\MS32DLL.dll.vbs
[DRIVE LETTER]:\autorun.inf
%Windir% là thư mục cài đặt của Windows,theo mặc định, đó là C:\Windows (Windows 95/98/Me/XP) hay C:\Winnt (Windows NT/2000).
Nó làm bạn ko thể mở ổ cứng bằng chuột, và bạn sẽ thấy xuất hiện từ Autoplay thay cho từ open khi click chuột phải vào ổ cứng, và nếu bạn dùng IE, trên title bar của Internet Explorer, sẽ thấy xuất hiện dòng chữ "hacked by Godzilla"
Máy của bạn có thể cũng diệt được MS32DLL.dll.vbs rồi nhưng chưa thể mở được ổ cứng bằng cách chọn và enter. tôi cũng gặp con này, đã làm như các bạn chỉ , kể cả BKAV nhưng vẫn ko hết hẳn (nó ko lây trong máy nữa nhưng ko mở ổ cứng với double click được).
Sau đây là cách diệt tận gốc con này
tiếng Việt và tiếng Anh (để bạn tham khảo thêm)
1* mở My Computer/ Tools/ Folder Options/ View/ và bỏ dấu chọn ở mục :
+ Show hidden files anh folders
+ Hide protect operating system files
(điều này quan trọng để tìm được các file và delete chúng)
2*mở Windows Task Manager (ctrl-alt-del) và chọn “Processes” tìm “wscript.exe” and click vào “End Process” (nếu có nhiều hơn 1 process mang tên này, bạn phải đóng tất cả chúng lại)
3*Mở my computer, search for “autorun.inf" -->file này gắn vào gốc của ổ đĩa,ví dụ nếu bạn có ổ C D and E, thì vị trí file sẽ là C:\ autorun.inf hay/và D:\autorun.inf hay/và E:\autorun.inf
–> Delete file autorun.inf file ( như vậy sẽ ko còn file này trên ổ C or D or E đã sửa)
-bạn cũng cần xoá virus khỏi hệ thống (C:\WINDOWS\ MS32DLL.dll.vbs)
4* giai đoạn kế mở regedit (cẩn thận với regitsry)
-Click on “Start” và chọn “Run” và gõ “Regedit” rồi nhấn “Enter”.
chọn HKEY_LOCAL_MACHINE --> Software -->Microsoft -->Windows --> Current Version --> Run. Find there “MS32DLL” and và delete entry này.
-Kế đó chọn HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main. Tở đó bạn sẽ thấy tựa đề(Window Title) “Hacked by Godzilla””--> delete entry này.
-đóng registry
5*kế đến vào, Start --> Run vào gõ “gpedit.msc” , nhấn “Enter” để mở "group policy"
chọn User Configuration --> Administrative Templates --> System -->
tại đó bạn double click lên “Turn Off Autoplay” --> mở ra 1 cửa sồ
và trong cửa sổ này bạn nên chọn enable và all drives (tuy nhiên, nếu bạn chọn all turn off autoplay sẽ an toàn hơn vì sẽ ko tái nhiễm virus nữa)
- đóng Group Policy. lại
* Kế đến, vào Start --> Run và gõ “msconfig” nhấn “Enter”để mở “System Configuration Utility”.
Click on “Startup” gõ và tìm file MS32DLL và delete (nếu ko tìm thấy thì thôi)
-đóng “System Configuration Utility” và chọn “Exit Without Restart” when prompt
*để kết thúc, bạn vào lại my Computer and select “Tools” and “Folder Options” and “View” để chọn ngược lại lúc ban đầu ( check chọn “Hide protected operating system file” and “Don’t show hidden files and folders”).
Xoá rác trong recyclebin và khởi động lại máy tính
CHÚ Ý :
Nếu bạn dùng Windows ME and XP , bạn phải disable System Restore để cho phép quét toàn bộ máy.
BẠN SẼ KHÔNG CÒN THẤY TỪ AUTOPLAY TRONG MENU KHI CLICK CHUỘT TRÁI LÊN Ổ ĐĨA NỮA, và bạn có thể mở ổ đĩa bình thường bằng doule click
Các Cách Delete file autorun.inf
kieuphong ST
TOP