Diệt Virus như trong hình kèm

[sealand]

Máy của mình Symantec báo dính Virus như hình kèm theo. Các bạn hướng dẫn cách diệt với.

 

[DOSNET]

Đây là thông tin và cách diệt chú Trojan horse này (Theo 911.com)

MÔ TẢ

Trojan.Satiloler.D là một loại Trojan horse. Nó ăn cắp tên người dùng, mật khẩu và một số thông tin khác và cũng thử mở một máy dịch vụ đại diện thông qua một cổng TCP bất kỳ.

Lây nhiễm vào các hệ điều hành: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Kích thước: 38,670 bytes.

Khi Trojan.Satiloler.D hoạt động, nó thực hiện các công việc sau:

1. Tạo ra file câm (mutex)và chỉ cho phép 1 phiên bản duy nhất của virus chạy trên máy tính nạn nhân:
   
   _Toolbar_Class_32
2. Tạo một bản backup của file hệ thống %System%\userinit.exe:
   
   %Windir%\system\userinit.exe
   
   Trojan sau đó sẽ copy chính nó với tên sau, ghi đè lên file %System%\userinit.exe file trong quá trình:
   
   %System%\userinit.exe
   
   Chú ý:
   
   %System% là chỉ thư mục system32 của win2000, winxp, win2003 hoặc chỉ thư mục system của win95, win98, winMe
   %Windir là chỉ thư mục cài đặt windows thường là C:\Windows, C:\WinNT
3. Copy chính nó với tên sau:
   • %ProgramFiles%\Common Files\system\lsass.exe
   • %Windir%\system\ctfmon.exe
     
     Ghi chú: %ProgramFiles% là thư mục Program Files, mặc định là C:\Program Files.
4. Tạo những file sau:
   • %System%\divx5.dll
   • %System%\h323.txt
     
     Chú ý: File thư viện%System%\divx5.dll la fmột rootkit ẩn quá trình họat động của tiện ích Windows Task Manager .
5. Thêm giá trị:
   
   "ctfmon.exe" = "%Windir%\system\ctfmon.exe"
   
   vào khóa registry:
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   và chạy nó mỗi khi Windows khởi động.
6. Thêm giá trị:
   
   "Userinit" = "%ProgramFiles%\Common Files\system\lsass.exe"
   
   vào khóa registry:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   và chạy nó mỗi khi Windows khởi động.
7. Thêm giá trị:
   
   "tvr" = "[PATH TO TROJAN EXECUTABLE]"
   
   vào khóa registry:
   
   HKEY_LOCAL_MACHINE\SOFTWARE
   
   họat động như một khóa đánh dấu lây nhiễm.
8. Thêm giá trị:
   
   "gold" = "[RANDOM ID]"
   
   vào khóa registry:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
   
   họat động như một khóa đánh dấu lây nhiễm.
9. Thêm giá trị:
   
   "%Windir%\system\ctfmon.exe" = "%Windir%\system\ctfmon.exe:*:Enabled:ctfmon"
   "%System%\userinit.exe" = "%System%\userinit.exe:*:Enabled:userinit"
   
   vào khóa registry:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
   
   để vượt qua in Windows Firewall.
10. Sửa giá trị:
    
    "SFCDisable" = "FFFFFF9D"
    "SFCScan" = "0"
    
    trong khóa registry:
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    
    để vô hiệu hóa Windows File Protection.
11. Thêm giá trị:
    
    "System" = ""
    
    vào khóa registry:
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
12. Xóa tất cả các giá trị dưới khóa registry:
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Explorer\Browser Helper Objects
13. Tải file cấu hình từ một trong những tên miền sau:
    
    [http://]www.certdreams.com/cm[REMOVED]
    [http://]www.certdreams.com/pm[REMOVED]
    [http://]www.certdreams.com/down[REMOVED]
    
    Alternatively, the Trojan may use a domain configured under the following registry entry:
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"d" = "[DOMAIN NAME]"
14. Ghi file này với tên sau:
    
    %System%\cmd.txt
15. Sửa file hosts với dữ liệu được copy từ file cấu hình tải về, %System%\hst.txt.
16. Sửa file .dll sau và bất kì file backup nào trong thư mục %Windir%\dllcache, để vô hiệu hóa System File Protection:
    • %System%\sfc_os.dll
    • %System%\sfc.dll
17. Thử đóng tất cả các cửa sổ có tiêu đề sau:
    • Norton Personal Firewall
    • Create rule for %s
    • Un processus cache requiert une connexion reseau.
    • Ne plus afficher cette invite
    • Un proceso oculto solicita acceso a la red
    • Aceptar
    • Warning: Components Have Changed
    • &Make changed component shared
    • Hidden Process Requests Network Access
    • Ein versteckter Prozess verlangt Netzwerkzugriff.
    • PermissionDlg
    • &Remember this answer the next time I use this program.
    • &Yes
    • Windows Security Alert
    • Allow all activities for this application
    • Kerio Personal Firewall Alert
    • Create a rule for this communication and don't ask me again.
18. Kết thúc các quá trình:
    • WINLDRA.EXE
    • NETSCAPE.EXE
    • OPERA.EXE
    • FIREFOX.EXE
    • MOZILLA.EXE
    • M00.EXE
    • WINTBPX.EXE
    • SWCHOST.EXE
    • SVOHOST.EXE
    • SVC.EXE
    • WINSOCK.EXE
19. Vô hiệu hóa những chương trình sau:
    • C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
    • C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
20. Ăn trộm thông tin sau và nhớ vào file %System\h323.txt:
    • Tên sử dụng POP3
    • Mật khẩu tự điền trong Internet Explorer
    • Tài khỏan MSN Explorer
    • File cấu hình của chương trình Bat!
21. Tìm kiến những chuỗi kí tự sau trong trình duyệt Web:
    • cahoot
    • egg
    • if.com
    • smile
    • first
    • nation
    • abbey
    • natwest
    • citi
    • barclay
    • allianc
    • bank
    • hsbc
    • lloyd
    • nwolb
    • online
    • hali
    • npbs
    • marbles
    • trade
    • e-gold
    • rbs.
22. Ghi lại những dữ liệu sau, liên quan đến những hoạt động duyệt Web trong %System\h323.txt:
    • Những địa chỉ URL đã vào
    • Trạng thái những nút và dấu check
    • Ghi lại hoạt động gõ bàn phím
      
23. Gửi tất cả những file log nó tạo ra tới một trang Web xác định bởi kẻ tấn công từ xa. Trojan có khả năng gửi dữ liệu sau thu thập được từ máy tính bị nhiễm virus tới tran Web sau:
    • Tên người sử dụng
    • Cổng được mở
    • Kiểu kết nối (modem hoặc LAN)
      
24. Mở một dịch vụ đại diện trong một cổng TCP ngẫu nhiên.

Và cách diệt

CÁCH DIỆT

1. Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus không quét được thông tin trên phần Restore của Windows.

1. Bấm vào nút Start.
2. Bấm phải chuột vào My Computer, chọn Properties.
3. Tại System Restore tab, bấm Turn off System Restore hoặc Turn off System Restore on all drives như hình vẽ dưới:
   
   
   

   ​
   
   
4. Bấm Apply. Thông báo như sau hiện ra:
   
   
   

   ​
5. Bấm nút Yes .

2. Cập nhật các thông tin chống virus mới nhất vào chương trình chống virus.

3. Khởi động lại với chế độ Safemode (Bấm F8 khi khởi động Windows) vào thực hiện chương trình quét virus, xoá những tệp bị nhiễm. Nhớ chọn chế độ quét tất cả các tệp chứ không chỉ quét riêng tệp .exe.
4.Xóa các khóa được thêm vào registry.

Bạn có thể Download chương trình chống virus khá nhỏ của Sysmantec tại đây SAVCECLT.EXE
Bạn có thể Download chương trình chống spyware và rootkit của Microsoft tại đây Antispyware

 

[anhlinhtre_0310]

Mình ko biết nhiều về virut.Nhưng nghe nói Mcafee diệt rất tốt.Ko biêt tải phần mềm miễn phí như thế nào nhỉ.Chỉ cho mình với]

 

[sealand]

Sáng nay mình chưa kịp sử lý thì máy treo cứng, phải thoát máy và không thể khởi động được phải vào tiệm. Toàn bộ dữ liệu mất sạch.