Gần đây, xuất hiện 1 loại Virus mà khi khi ta đăng nhập vào Yahoo Messenger thì bị out ngay lập tức. Vào một số diễn đàn thấy các bạn bị dính con này khá nhiều và rất ít trường hợp khắc phục thành công. Tôi đã gặp qua 1 số phiên bản của con Virus này và tôi trình bày cách diệt con virus này qua 1 số truờng hợp mà tôi đã gặp. Hy vọng thời gian tới các chương trình diệt virus sẽ diệt được con này.
Trước tiên xin kể ra 1 vài triệu chứng của các máy tính bị nhiễm:
- Khi mở 1 ổ đĩa bất kì bằng Windows Explorer sẽ xuất hiện 1 của sổ Windows Explorer khác.
- Đăng nhập vào Yahoo Messenger thì chương trình chat này bị biến mất ngay lập tức.
Trường hợp 1: Phiên bản đầu tiên tôi gặp của loại này chỉ có tác dụng với user hiện hành, tức là khi ta đăng nhập vào 1 user khác trên máy thì không hề bị dính chưởng nên với trường hợp này ta chỉ cần tạo 1 account khác rồi dùng account đó thay cho account hiện đang bị dính virus là xong.
Trường hợp 2:Với trường hợp này thì bất kể account nào tồn tại trên máy đều bị dính (trường hợp này hiện đang xảy ra với rất nhiều người) do đó không thể dùng cách trên được.
Bước 1: Để xử lý trường hợp này đầu tiên bạn phải cô lập được file kavo.exe, avrp.exe và 1 số file .dll mà tôi không nhớ rõ tên (bạn dùng Hijack This hoặc Autorun của Mac Rusinovich để tìm các file .dll hình như là kavo.dll và kavo0.dll).
- Nếu bạn dùng phân vung NTFS thì bạn chỉ cần đặt quyền truy cập cho các file kavo.exe, avro.exe và các file .dll với nhóm Everyone là Deny là cô lập được nó rồi.
- Nếu bạn dùng phân vùng FAT32 thì vấn đề phức tạp hơn. Bạn vào safe mode rồi dùng Hijack This hoặc Autorun để bỏ chế độ chạy khi khởi động Windows của các file kavo.exe, avrp.exe và 1 số file .dll ở trên đi. Nếu bạn bở được thành công thi chuyển sang bước tiếp theo.
Bước 2: Bạn tải về 1 phần mềm diệt virut
Sau khi download xong, bạn giải nén và chạy chương trình. Bạn mở lần lượt các ổ cứng lên, tìm các file autorun.inf và ntde1ect.com hoặc ntdelect.com (không phải file ntdetect.com của Windows đâu nhé) rồi Shift + delete cho nó chết luôn.
Sau khi delete được tất cả các file autorun.inf và ntde1ect.com rồi thì bạn khởi động lại máy, cài lại Yahoo Messenger rồi đăng nhập thử xem.
Nếu phân vùng bạn đang dùng là NTFS thì đảm bảo sẽ vô hiệu hóa được con này, còn nếu bạn dùng FAT32 thì việc vô hiệu hóa được hay không còn tùy thuộc vào mức độ ăn sâu hiện tại của con virus này vào hệ điều hành của bạn.
======================================...
Thông tin về Kavo:
* Tên malware: W32.Kavo.Worm
* Thuộc họ:W32.Kavo.Worm
* Loại: Worm
* Ngày phát hiện mẫu: 17/09/2007
* Kích thước: 101 KB
* Mức độ phá hoại: Trung bình
Nguy cơ:
* Làm giảm mức độ an ninh của hệ thống.
* Ăn cắp thông tin cá nhân.
Hiện tượng:
* Sửa registry.
* Xuất hiện file ntdelect.com và autorun.inf ở các ổ đĩa.
Cách thức lây nhiễm:
* Tự động lây nhiễm vào USB.
Cách phòng tránh:
* Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.
* Không nên mở file không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat
Mô tả kỹ thuật:
* Ghi giá trị
"kava"="%Sysdir%\Kavo.exe"
Vào key HKCU\SOFTWARE\Microsoft\Windows\CurrentV...
* Copy bản thân thành file %Sysdir%\Kavo.exe
* Tạo ra các file %Temp%\c2jvjzr8.dll, %Sysdir%\Kavo0.dll, %Sysdir%\Kavo1.dll, ...
* Copy bản thân thành file ntdelect.com, tạo ra file Autorun.inf vào các ổ đĩa.
* Ăn cắp tài khoản, thông tin các games online.
code:
http://www.bkav.com.vn/home/Download.aspx
Cách diệt:
Đây là loại virus hệ thống, nó tác động vào registry nên chúng ta không thể bật được các file ẩn lên. Chúng kí sinh ngay trong ổ đĩa và ở System32.
Để diệt loại này trước hêt chúng ta cho hiện các file ẩn lên, bằng cách:
Đầu tiên vào: run-->msconfig--> trong startup bỏ cái thằng kavo (kava) đi
Tiếp theo khởi động lại máy:
Và: run --> regedit --> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi... entVersion\Explorer\Advanced\Folder\Hidd... delete bỏ key CheckedValue rồi tạo lại với tên như vậy (kiểu DWORD) set value là 1
Bây giờ chúng ta có thể cho tất cả các file ẩn và file hệ thống có thể xuất hiện.
Tiếp theo click phải chuột vào từng phân vùng chọn explorer rồi xóa bỏ file autorun.inf, ntdelect.com <-- chú ý trong ổ C có file ntdetect.com là file xịn của Win, đừng xóa nhá.
Và sau cùng bạn xóa file kavo.exe và kavo0.dll trong system32.
Được chưa....rồi, bạn log off máy, và sigin lại....
Xong rùi....
chúc bạn vui
Trả lời kèm Trích dẫn
Đánh dấu