W32.Virut.R tên chính xác con Virus này , nó nhiểm tất cả các file exe , scr .Khi diệt thì Synmantec quét ra hơn 1000 con vì có khoan 1000 file exe,scr . Vấn đề ở đây là nó nhiểm vào file svchost.exe đây la file của Windows nên ko thể xóa hay cách ly nó đc kể cả trong safe mode

Làm thế nào bi giờ

các bác có giải pháp nào ko vậy?

W32.Virut.R tên chính xác con Virus này , nó nhiểm tất cả các file exe , scr .Khi diệt thì Synmantec quét ra hơn 1000 con vì có khoan 1000 file exe,scr . Vấn đề ở đây là nó nhiểm vào file svchost.exe đây la file của Windows nên ko thể xóa hay cách ly nó đc kể cả trong safe mode

Làm thế nào bi giờ
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
Click OK
Bạn tìm tới khóa sau và xóa nó đi
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\"System handler" = "%System%\~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"StartLoad_[COMPUTER NAME]" = "%System%\~~~OuUuW_YeAh~~~.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Loading_[COMPUTER NAME]" = "%System%\~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Winlogon\"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Winlogon\"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"System" = "%System%\~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\CabinetState\"FullPath" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\CabinetState\"FullPathAddress" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SystemFileProtection\"ShowPopups" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"SFCDisable" = "0xFFFFFF9D"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"SFCScan" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"ReportBootOk" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\"EnableExtensions" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "%System%\~~~OuUuW_YeAh~~~.exe"
4. Thoát khỏi regedit

Ngoài ra mình còn có 1 số thông tin về con virus này như sau :
Phát hiện: August 21, 2007
Cập nhật: August 21, 2007 2:26:05 PM
Kiểu: Worm
Có kick thước khoảng : 78,394 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Windows Vista

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Khởi tạo ra một số file với thuộc tính sau
• %System%\~~~CoUnTeRPaIn~~~.exe
• %System%\~~~MeMoRiEs_In_KaBa~~~.exe
• %System%\~~~OuUuW_YeAh~~~.exe
• %System%\~~~XPDC_KaBa_LoVe~~~.exe
• Other drives on the computer
• %CurrentFolder%
• $IPC shares
• $ADMIN shares
• Tip's Cantik Ala Neni.exe
• Tip's Cantik Ala Nova.exe
• Tip's Cantik Ala Eka.exe
• Tip 's Cantik Ala Riesa
• Administrator.exe
• Tip's Seksi Ala Neni.exe
• Tip's Seksi Ala Nova.exe
• Tip's Seksi Ala Eka.exe
• Tip's Seksi Ala Riesa
• Buku Harian Neni.exe
• Buku Harian Nova.exe
• Buku Harian Eka.exe
• Buku Harian Riesa
• Tip's Hot Ala Neni.exe
• Tip's Hot Ala Nova.exe
• Tip's Hot Ala Eka.exe
• Tip's Hot Ala Riesa
• Teknik Climbing.exe
• Teknik Baca Cuaca.exe
• Teknik Panjat Tebing.exe
• Teknik Pendakian
• Laporan Bulanan.exe
• Laporan Keuangan.exe
• Laporan Gaji.exe
• Laporan Pegawai.exe
• Cara Pakai Counterpain.exe
• Salep Counterpain.exe
• Harga Counterpain.exe
• Guna Counterpain.exe
• BABI.exe
• BABII.exe
• BABIII.exe
• BABIV.exe
• Buku Harian Jayus.exe
• Buku Harian Awliya.exe
• Buku Harian Dimas.exe
• Buku Harian Anggoro
• Buku Harian Arief.exe
• Buku Harian Ucin.exe
• Buku Harian Amien.exe
• Buku Harian Hadi
• Buku Harian Tuja.exe
• ****** Number.exe
• New Source Code.exe
• CD-Key WinXP.exe
• Source Trojan.exe
• Source Brontok.exe
• Dear Diary.exe
• Teknik Penangkal Petir.exe
• Proposal.exe
• Arsip Bulan Juni.exe
• Data Arsip.exe
• Surat Lamaran.exe
• Skripsi.exe
• Tugas Akhir.exe
• BABV.exe
• No Kode ATM.exe
• Contoh Skripsi.exe
• Contoh Tugas Akhir.exe
• Data Skripsi.exe
• Dokumen Rahasia.exe

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\"System handler" = "%System%\~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"StartLoad_[COMPUTER NAME]" = "%System%\~~~OuUuW_YeAh~~~.exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Loading_[COMPUTER NAME]" = "%System%\~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Winlogon\"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Winlogon\"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "explorer.exe"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"System" = "%System%\~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\"DisableRegistryTools" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\"DisableTaskMgr" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"Hidden" = "2"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"HideFileExt" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\CabinetState\"FullPath" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\CabinetState\"FullPathAddress" = "1"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SystemFileProtection\"ShowPopups" = "0"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"SFCDisable" = "0xFFFFFF9D"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"SFCScan" = "0"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"ReportBootOk" = "0"
• HKEY_CURRENT_USER\Software\Microsoft\Command Processor\"EnableExtensions" = "0"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "2"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "%System%\~~~OuUuW_YeAh~~~.exe"

Nếu thấy cóa ích thì đọc hen !!

ko ăn thua , Synmantec thì detect đc nó nhưng ko làm gì đc , "Clean : Fail , Quaranty : Fail" bó tay con gà quay . Còn KAV thì ko thấy nó luôn ,
Tất cả đều update và quét trong safe mode .

Đọc bài bạn port lên muốn mù mắt luôn.Bạn dùng Bitdefender scan online xem, có thể khắc phục được

Đọc bài bạn port lên muốn mù mắt luôn.Bạn dùng Bitdefender scan online xem, có thể khắc phục được
Đúng là hơi khó đọc thiệt vì nó hơi dài nhưng đấy là cách chi tiết nhất để bạn có thể tự làm được theo từng bước!!

Đúng là hơi khó đọc thiệt vì nó hơi dài nhưng đấy là cách chi tiết nhất để bạn có thể tự làm được theo từng bước!!

mình cũng đang mắc phải con này. Diệt trong safe mode không được .
Càng diệt càng ra, vì nó tấn công vào file chạy của sav,bkav
Nó cài vào start up file empty , mỗi lần khởi động máy là bị .
Chắc phải vào registry để xóa từng key một quá .
Có ai còn cách nào hay hơn không ?

Mình có cách này mình đã áp dụng thành công 90%. bạn hãy tháo ổ đĩa cứng ra rồi dùng một máy khác có cài bitdefender 2008 total nhớ update cho nó là chắc chắn diệt được ngay thôi. chúc bạn thành công.