Diet virut lam mat thuoc tinh an file

CÁCH DIỆT VIRUT LÀM MẤT THUỘC TÍNH ẨN FILE

1/ Phim Hot.exe (secret.exe). Kích thước 80.5Kb A/ Hoạt động cơ bản - process chạy của virus: C:windowssystem32system.exe và C:windowsuserinit.exe 2 processes này hoạt động hỗ trợ nhau. (khi kill cái này thì cái kia xuất hiện lại) nên không không thể kill theo cách thông thường bằng task manager hay một số phần mềm giúp kill process khác. -Trong ổ đĩa +Tạo file secret.exe (có icon giống hệt thư mục) và file autorun.inf tương ứng ở ổ USB để được kích hoạt tự động (2 file này có làm nguồn lây nhiễm(thuộc tính ẩn thường) làm nguồn lây nhiễm(+ Tạo một file Phim Hot.exe (có icon giống hệt thư mục) vào trong các thư mục nằm trong USB + Tạo file system volume information.exe và file autorun.inf tương ứng trong ổ thư mục gốc ổ D để được kích hoạt khi truy nhập ổ D theo làm nguồn lây(cách thông thường. (2 file này cũng có tính ẩn thưởng) nhiễm nếu cài lại hệ điều hành. + Tạo file userinit.exe trong C:windows để hoạt động + Tạo file system.exe trong C:windowssystem32 để hoạt động - Làm ẩn file ẩn (và thư mục), file hệ thống, đuôi file khi process virus chạy - Trong registry: Trong khóa HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurent versionWinlogon thay đổi giá trị của userinit từ C:WINDOWSsystem32userinit.exe thành C:WINDOWuserinit.exe để gọi virus khi khởi động. B/ Cách diệt - Chạy phần mềm processxp để kill 2 processes của virus ở đây http://download.sysinternals.com/Files/ProcessExplorer.zip + Khi chạy phần mềm này thì click chuột phải vào system.exe và chọn suspend (làm tương tự với cả userinit.exe). + Lần lượt kill 2 processes này bằng cách click chụột phải chọn kill process. - Copy và paste đè file userinit.exe từ C:windowssystem32.exe sang C:windows - Vào C:windowssystem32 xóa file system.exe - Mở ổ D bằng cách nhấn tổ hợp phím windows + E và truy nhập bằng cây thư mục bên trái, rồi xóa 2 file system volume information.exe và autorun.inf Xong. *Lưu ý: - Hoạt động của virus này không gây các hiện tượng không vào được registry, task manager. Nếu gây ra các hiện tượng trên thì có thể nhiễm thêm một loại virus khác. - Có thể vào registry chỉnh lại giá trị userinit cho đúng với giá trị ban đầu (như đã nêu ở trên) rồi mới vào C:windows xóa file userinit.exe để máy về trạng thái ban đầu. Nếu không làm thì cũng không ảnh hưởng vì virus bị diệt xong rồi và máy chạy bình thường. - Diệt không đúng cách (kể cà dùng phần mềm diệt mà không sửa lại giá trị key userinit) thì sẽ không thể logon vào windows vì máy không thể tìm ra file phù hợp với giá trị userinit. - Với C là ổ cài windows. - Có vô hiệu hóa sự hỗ trợ của 2 processes của virus bằng cách đổi tên 2 file virus đó thay vì dùng process xp rồi kill 2 processes đó theo cách thông thường. - Khi diệt hãy bật chế độ hiện file ẩn, file hệ thống, đuôi file. 2/ Phim nguoi lon.exe (secret.exe). Kích thước 109Kb A/Hoạt động tương tự Phim Hot.exe nhưng chỉ khác 2 điều là không tạo ra file system volume information.exe và autorun.inf tương ứng trong thư mục gốc của ổ D và thay vì tạo file Phim Hot.exe sẽ tạo file Phim nguoi lon.exe