Diệt W32.Spybot.Worm
Diệt W32.Spybot.Worm
1. Tắt System Restore 2. Cập nhật Antivirus mới nhất. 3. Restart the computer in Safe mode 4. Run a full system scan, and delete all files that are detected as W32.Spybot.Worm.
Diệt W32.Spybot.Worm
1. Tắt System Restore
2. Cập nhật Antivirus mới nhất.
3. Restart the computer in Safe mode
4. Run a full system scan, and delete all files that are detected as W32.Spybot.Worm.
5. Delete the value that was added to the registry.
Vào registry
Tìm đến khoá sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tìm và xoá những gì bạn thấy dính dáng đến W32.Spybot.Worm
Tiếp tục tìm đến các khoá sau và lại làm như trên
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunOnce
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices
+ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thoát registry.
6. Delete any zerobyte files in the Startup folder (xoá tất cả các file có dung lượng bằng 0 trong
startup folder).
On the Windows taskbar, click Start > Search.
Click "All files and folders."
In the "All or part of the file name" box, type, or copy and paste, the following file name: tftp*.*
Verify that "Look in" is set to "Local Hard Drives" or to (C:).
Click "More advanced options."
Check "Search system folders."
Check "Search subfolders."
Click Search.
Xoá tất cả các file có dung lượng 0 byte chứa trong bất cứ folder nào có tên kết thúc bằng
Startup
7. Khởi động lại và... ok.
Tham khảo thêm:
W32.Spybot.Worm là một loại sâu virus dễ dàng bị lây nhiễm qua phần mềm chat của
Microsoft MSN Messenger. Khi bị nhiễm virus này, MSN Messenger sẽ tự động gửi tới tất cả
các nick trong danh sách của nó địa chỉ
hot pic!!~ [Link to a Web site on the mxtnetworkz.com domain]/parishilton.pif~
Khi đó người nhận bắt buộc phải chọn liên kết đó để download và chạy file parishilton.pif.
Lúc đó máy bạn đã bị nhiễm và sâu W32.Spybot sẽ thả các file Link.exe, mafia.exe một biến
thể khác của W32.Spybot.Worm vào thư mục mà nó nằm trong đó.
W32.Spybot.Worm copy biến thể của nó vào %System%\lsassx.exe và đặt file này ở chế độ
hidden, read only và system.
Nhập chuỗi "Windows Taskmanager" = "lsassx.exe" vào các thư mục dưới đây trong Registry
của Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Và nó sẽ được kích hoạt mỗi khi Windows được khởi động. Khi kích hoạt nó sẽ kết nối với một
máy chủ IRC qua TCP cổng 8080 tới một hoặc hai địa chỉ bla.m0ker.com, bla.w00pie.nl.
W32.Spybot sẽ mở cổng hậu để các hacker có thể truy cập được vào máy tính của bạn.
Loại bỏ Virus
Vào Start > Run rồi gõ regedit sau đó nhấn nút OK
Vào các thư mục
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Sau đó xoá
"Windows Taskmanager" = "lsassx.exe"
Thoát khỏi Registry.
Update virus cho các ứng dụng quét virus (Norton Antivirus chẳng hạn)
Khởi động lại máy tính ở chế độ Safe Mode. Quét lại toàn bộ máy và xoá hết các file nhiễm
W32.Spybot.
2. SymbOS.Dampig.A
Symbian là hệ điều hành cho những thế hệ điện thoại di động cao cấp. Tuy nhiên nhiều người
sử dụng đã dính phải những con virus đầu tiên cho hệ điều hành này. Chúng tôi xin giới thiệu
một loại virus mới đã xuất hiện và gây tác hại cho những dòng máy điện thoại di động cao cấp
sử dụng Symbian
SymbOS.Dampig.A là một Symbian Trojan horse làm tê liệt các ứng dụng và cài đặt một số biến
thể mới của sâu SymbOS.Cabir trên các thiết bị sử dụng Symbian series 60.
Nó được cài trong phần mềm Full Screen Caller phiên bản 3.2 có thể nhận thấy bởi file vir.sis.
Khi được kích hoạt nó sẽ cài đặt các files dưới đây và ghi đè vào các thư mục trong các ứng
dụng được cài thêm vào máy làm tê liệt mọi ứng dụng trong điện thoại. \system\install\vir.sis ,
\system\install\autoexecdaemon.sis
Ngoài ra, mọi ứng dụng sẽ được cài thêm các files dưới đây:
\system\apps\[FolderName]\[appname]_CAPTION.R13
\system\apps\[FolderName]\[appname]_CAPTION.r01
\system\apps\[FolderName]\[appname].R13
\system\apps\[FolderName]\[appname].R01
\system\apps\[FolderName]\[appname].APP
\system\apps\[FolderName]\[appname].aif
\system\apps\[FolderName]\flo.mdl
trong đó [FolderName]là tên thư mục của ứng dụng được cài đặt trong máy, [appname]là tên
phần mềm được cài trong máy nằm trong thư mục [FolderName]. Mọi thư mục đểu bị nhiễm
virus và sẽ chứa các files dạng như trên Đó chính là những biến thể của sâu SymbOS.Cabir:
SymbOS.Cabir.C
SymbOS.Cabir.D
SymbOS.Cabir.E
SymbOS.Cabir.Q
SymbOS.Cabir.S
SymbOS.Cabir.T Lo ại b ỏ virus SymbOS.Dampig.A kh ỏi đi ện tho ại:
Cài đ ặt ch ương trình qu ản lý file (c ụ th ể là ch ương trình File manager) vào đi ện tho ại
Kích ho ạt ch ế đ ộ hi ển th ị các file/th ư m ục h ệ th ống (system).
Tìm và xoá các file có ph ần m ở rộng là .aif.