Diệt virus tạo file System.exe

Mặc dù đã có nhiều bài viết trong các diễn đàn khác về cách diệt virus (hay nói đúng hơn là 1 loại keylogger) mà đặc trưng là tạo ra file system.exe có biểu tượng giống hình thư mục, tuy nhiên tôi thấy ko phải ai cũng có thể diệt nó đc mặc dù đã dùng đến KAV hay BKAV. Nay tôi xin nói rõ thêm về cách hoạt động cũng như cách diệt nó nhanh nhất mà ko cần dùng đến bất kỳ soft anti virus nào cả.

Đặc điểm của con này là, khi lây nhiễm, nó sẽ ngay lập tức chỉnh sửa regisstry và tạo ra 1 file userinit.exe thuộc tính ẩn có biểu tượng giống folder nằm trong thư mục windows ổ đĩa cài đặt win, đồng thời tạo ra 1 file giả mang tên system.exe nằm trong windows\\system32, nó cũng có thuộc tính và hình dạng giống như "cha" của nó vậy. Nó cũng có thể đồng thời vô hiệu hóa registry, task manager, giấu luôn mục Folder Options, mục đích là làm cho chúng ta ko thể chình sửa hay tìm kiếm gì cả.

Khi bạn nhiễm con này thì đảm bảo bạn sẽ không dùng Task Manager để kill process, khi kill xong thì lại thấy nó chạy tiếp, bạn có chỉnh sửa registry thì khi thoát ra là nó trả lại giá trị cũ liền, nói tóm lại nếu bạn muốn diệt nó từ trong windows đang nhiễm là ko thể đc vì nó đã đc kích hoạt để chạy thường trú theo windows mà. BKAV không diệt đc nó mặc dù phát hiện ra nó , còn KAV thì...im như thóc , nếu bạn có chạy trong SAFE MODE thì kết quả cũng chằng khá hơn. Vì virus này là 1 loại keylogger nên mục đích của nó cũng chỉ là đánh cắp thông tin (thông qua các hoạt động của bàn phím, chuột và chụp ảnh màn hình) nên nó cũng chẳng cần lây nhiễm ồ ạt ra các file .exe làm gì, nó chỉ cần "luồn sâu và trốn kỹ" là an toàn. Con này chủ yếu lây nhiễm qua quá trình autorun của usb, cd hay từ internet xuống là chủ yếu, nếu usb bị nhiễm, bạn dễ dàng thấy 1 file mang tên secret.exe cũng giống hình thư mục, 1 fle mang tên Nguyễn Tử Quảng.exe (cũng giống vậy) nằm trong thư mục gốc của USB bị nhiễm và file autorun dùng để kích hoạt.

Như đã nói ở trên, vì nó là 1 dạng keylogger nên nó chỉ có 1 file duy nhất đc kích hoạt tự động thông qua 1 key trong registry:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon], nhìn bên cửa sổ bên phải, bạn sẽ thấy giá trị như sau:
"Userinit"="C:\\\\WINDOWS\\\\system32\\\\userinit.ex e," (Đây là giá trị đúng, máy sạch, ko bị nhiễm)
"Userinit"="C:\\\\WINDOWS\\\\userinit.exe," (Đây là giá trị sai, máy bị nhiễm)

Cách diệt bằng tay không nè:

Bước 1: (Lưu ý nếu HDD đang định dạng là NTFS thì phải kích hoạt chế độ hỗ trợ đọc NTFS nếu dùng Volkov) hoặc dùng hdd sạch không bị nhiễm khởi động và làm giống như dưới đây)
Khởi động bằng Hiren Boot, hoặc là dùng bất kỳ đĩa nào khởi động đc từ DOS. Nếu bạn dùng hiren thì bạn chạy Volkov Commander (có giao diện rất giống NC), tìm đến thư mục windows\\system32 và copy file userinit.exe chép đè vào file userinit.exe nằm trong windows (nếu bạn nào chắc ăn hơn thì xóa trước khi chép đè), chuyển sang thư mục windows\\system32 và xóa file system.exe đi, và khởi động lại máy ==> Virus bị loại ra khỏi vòng chiến đấu không thể lên tiếng nào.

Bước 2:
Vào Windows, vào registry, nếu không vào đc thì làm như sau:
Start-->Run-->Gpedit.msc-->User Configuration-->bấm vào dầu cộng chọn nhánh Administrative Templates-->bấm vào dầu cộng chọn nhánh System-->nhìn cửa sổ bên phải click 2 cái vào Prevent Access to registry editing tools và chọn disable --> thoát ra vào Run-->Regedit-->[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] và chỉnh lại giá trị đúng cho nó...
Tương tự, nếu máy bạn nào bị tình trang logoff liên tục sau khi diệt virus xong thì có thể copy file useinit.exe như trên rồi vào chỉnh lại registry.
Cách fix lỗi gây ra logoff sau khi diệt virus thì rất nhiều website, kể cả microsoft cũng có chỉ vấn đề này, tuy nhiên, nếu bạn làm y như cách chỉ dẫn của họ mà vẫn ko đc thì chắc chắn bạn đã bị nhiễm 1 loại biến thể của nó (Vì tôi đã bị rồi và mất 1 ngày mới tìm ra đc cách fix).

Diệt virus tạo file System.exe

Diệt virus tạo file System.exe

Diệt virus tạo file System.exe :: Comments