Jun 21, 2008
106 Views

Diệt virut Bloodhound.W32.EP

Written by

Thấy USB của mình không thấy chữ Open nữa mà thay = chữ “´ò¿ª(&O)” vậy là dính virus Virus Bloodhound.W32.EP rồi đó

Đích nhiễm:
1. Thư mục C:\Program Files\Common Files và các thư mục con System\ và Microsoft Shared\. Virus tạo ra các tập tin là: tbouhmb.exe, vrrrysp.exe, mwhegbu.exe …
2. Registry: Virus xâm nhập khóa: HKEY_LOCAL_MACHINE\Software\Micosoft\Windows NT\CurrentVersion\, Thêm vào đó khóa Image File Excution Options rồi ghi rất nhiều value

B- Tác Hại

I- Menu tắt (shortcut menu) trên ổ đĩa
Các ổ đĩa “không chính” thức có ký tự lạ ở 2 lệnh trên cùng
Đĩa C là chính thức, các ổ cứng D, E là “không chính thức”.

II- Không nhận tác dụng kích đôi ổ đĩa
Khi kích đôi ổ đĩa “không chính thức” thì thư mục không mở ngay mà hộp thọai Open With hiện ra. Lúc này, bạn phải chọn Internet Explorer. Chú ý: cả ổ USB cũng bị.

Hai dấu hiệu trên cho biết máy chưa khắc phục hết hậu quả do virus để lại. Vì cho dù bạn đã diệt sạch virus (kể cả fomat ổ đĩa C) thì cũng chưa xử ý thư mục gốc của các ổ cứng khác.

Cả 2 tác hại trên là do virus tạo tập tin ẩn Autorun.inf tại thư mục gốc.

Nội dung như sau:

[AutoRun]

open=mwhegbu.exe

shell\open=´ò¿ª(&O)

shell\open\Command=mwhegbu.exe

shell\open\Default=1

shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)

shell\explore\Command=mwhegbu.exe

III- Không cho tái hiện các mục ẩn
Trong Folder Options, tùy chọn Show hidden files and folders bị chyển sang Do not show hidden files and folders. Đổi lại Vô Ích (ngay cả trong Safe Mode) vì nó bị Thiết Lập Lại ngay sau khi kích OK.
Hậu quả là bạn không thể thay đổi thuộc tính ẩn của khỏan mục.

IV- Tự động đóng các cửa sổ (Terminate Process Required)
Khi virus chộp đựơc cửa sổ nào thì trong vòng 2 giây, nó sẽ đóng cửa sổ đó.
Các cửa sổ chương trình (IE, Word…), cửa sổ Thư Mục (Windows Explorer) và ngay cả cửa sổ cài đặt AntiVirus cũng bị đóng làm cản trở việc cài trình chống virus.

C- Khắc Phục Tác Hại

I- Menu tắt trên ổ đĩa
Để khắc phục, bạn boot máy từ đĩa Hiren’sBootCD. Dùng trình 7-ZIP Explorer hoặc mọi trình Explorer khác từ đĩa CD để duyệt thư mục. Thấy tập tin Autorun.inf thì xoá bỏ đi. Trước khi xoá, cũng nên mở (bằng Notepad) xem cho biết nội dung.

II- Không nhận tác dụng kích đôi ổ đĩa
Khắc phục như trên

III- Không cho tái hiện các mục ẩn
Mở Registry (Start > Run > nhập: regedit > )
Thực hiện các thao tác dưới đây:
1. Duyệt đến khóa: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 2. Xóa Value: CheckedValue
3. Tạo value mới:
• Name: CheckedValue
• Type: DWORD
• Data: 1
4. Vào Hộp thọai Folder Options, thiết lập lại Show hidden files and folders

IV- Tự động đóng các cửa sổ
a- Cửa sổ Thư Mục và Tập Tin
Thực hiện 2 thao tác sau đây:
1. Copy khỏan mục bị đóng (thư mục, tập tin) > Paste sang thư mục khác để thay đổi đường dẫn.
2. Đổi tên khỏan mục để tránh sự săn đuổi của virus.
b- Cửa sổ cài đặt Symantec
1. Rất nhiều Hộp cảnh báo “Bạn có chắc rằng bạn muốn thôi cài đặt Symantec không?” hiện ra. Đó là các hộp thọai giả mạo, nhằm mục tiêu lường gạt bạn kích nút OK.
2. Lần lượt kích Cancel cho các hộp cảnh báo. (Thủ thuật nhanh: Bạn để trỏ chuột ở vị trí thường xuất hiện nút Cancel rồi lần lượt nhấn phím Enter.)
3. Chú ý phân biệt các hộp thọai trên với những hộp thọai của chính Symantec.
4. Thiết lập chế độ Enable Auto-Protect cho Symantec.
c- Chạy Scan với Symantec Antivirus
1. Bạn phải nhanh tay hơn virus vì nó sẽ đóng cửa sổ trong vòng 2 giây.
2. Kiên nhẫn chờ scan cho hết > kích phải vào từng dòng báo virus > Chọn Delete Permantly.
3. Hộp thọai hiện ra, kích Start Delete.
4. Thao tác nhiều lần để xóa cho hết.

V- Diệt Virus
1. Có lẽ chỉ Symantec (Norton) diệt được virus này. Cài đặt và Scan theo mục IV-b và IV-c ở trên.
2. Vào Registry, duyệt đến đừơng dẫn HKEY_LOCAL_MACHINE\Software\Micosoft\Windows NT\CurrentVersion\,

xóa khóa Image File Excution Options (cứ mạnh dạn xóa, vì Windows sẽ tạo mới sau khi diệt virus xong)
/////////////////////////////////////////////

Article Tags:
· ·
Article Categories:
Virut/Trojan
    http://linholiver.com

    https://linholiver.com/diary/about/