luckyluke113
19-02-2008, 12:52
Cách tiêu diệt Virus Win32.Xorer đơn giản nhất
Con Virus này có lẽ là con mà mình gặp nhiều nhất (cắm cái USB vào máy nào bị nhiễm là có cái mà đem về , thỉnh thoảng lâu lâu nó còn “tự đẻ” ra nữa chứ , mặc dù mấy bữa đó mình ko online , ko copy dữ liệu từ máy khác, chắc là lần trước diệt chưa triệt để) . Search thử xem nào , toàn mấy câu trả lời tào lao (“cài lại win thôi bạn ơi” , “format lại ổ đĩa đi” , “lấy chương trình diệt virus mạnh mạnh mà quét”) , chỉ tìm đc 2 cái diễn đàn này là đáng quan tâm (cái trang benhvientinhoc.com ko hiểu sao vào ko đc) :
http://www.1stvn.com/ (của DDTH.com thì phải)
http://www.hvaforum.net/ (của hvaonline thì phải) -> toàn dân pro
Thật ra thì con này có nhiều cách diệt , trong bài viết này mình đưa ra cách mà theo mình là đơn giản nhất.
Triệu chứng : con này cũng hiền thôi , nó chẳng khóa cái ứng dụng nào cũng hệ thống cả , ngoại trừ làm biến mất cái “Hide protected operating system files” và… gởi thông tin cá nhân của nạn nhân cho 1 địa chỉ nào đó ,cái này thì mình ko chắc , chỉ thấy cái FireWall nó báo như vậy :
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_05Feb140934.gifhttp://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_03Feb140930.gif
Cách diệt :
Download thằng Process Explorer về
link : Process Explorer (http://www.divshare.com/download/3744602-e1d)
Mirror: Process Explorer (http://files.myopera.com/luckyluke113/files/Proces***plorer.zip)
Bật nó lên , nếu dính virus này rồi thì sẽ thấy có chương trình LSASS.EXE đang chạy (LSASS viết in hoa đó nghe , còn lsass viết thường là của hệ thống) :
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_02Feb140921.gif
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_01Feb140920.gif
Nếu bạn End Task bình thường thì nó sẽ tự động “đẻ” lại cái mới . Ko sao , right-click vào nó , chọn Kill Process Tree , Yes .
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_03Feb141000.gif
Thế là tắt đc cái chương trình đó rồi , bây giờ là tiêu diệt tận gốc nó thôi .
Con virus này sẽ tạo ra 2 file : autorun.inf và pagefile.pif (nó ẩn rồi) tại “mặt tiền” của tất cả phân vùng ổ đĩa trong máy (USB mà cắm vào là dính ngay) và 3 file : LSASS.EXE , SMSS.EXE và netcfg.dll trong C:\WINDOWS\system32\Com .
Phải phục hồi chức năng hiện file ẩn cái đã . Download cái VNFix này về làm cho nhanh
Link : VNFix (http://www.divshare.com/download/3745523-c3b)
Mirror : VNFix (http://files.myopera.com/luckyluke113/files/vnfix.rar)
Bật VNFix lên , click vào Scan , nó sẽ báo có 1 sự thay đổi trái phép , muốn xem đó là thay đổi gì thì click vào Show , để phục hồi lại sự thay đổi đó thì click vào Fix Now .
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_06Feb102152-1.gif
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_04Feb141001.gif
Giờ là lúc delete tất cả những file mà virus tạo ra : đầu tiên phải cho hiện file ẩn lên đã :
Bật Windows Explorer lên (hotkey : Windows_E) , vào menu Tools >Folder Options >
Chọn tab View > click vào “Show hidden files and folders” , bỏ chọn Hide protected operating system files (nó hỏi gì thì cứ Yes) . Ok
Delete những file sau : autorun.inf và pagefile.pif tại “mặt tiền” của tất cả phân vùng ổ đĩa . LSASS.EXE , SMSS.EXE và netcfg.dll trong C:\WINDOWS\system32\Com .
Finished .
Lưu ý (đây là những thứ mình lượm lặt trên mạng , chưa thử) :
_ Nếu bạn dùng chương trình quét virus thì có thể nó sẽ phát hiện ra nhưng ko xóa đc
_ Dùng Firelion fasthelper quét có thể diệt được, nó báo là Trojan Xorer.
http://fasthelper.fire-lion.com
_ Vào safe mode quét là hết
Mọi đóng góp , thắc mắc xin vui lòng liên hệ với mình qua e-mail : luckyluke1080@yahoo.com
Con Virus này có lẽ là con mà mình gặp nhiều nhất (cắm cái USB vào máy nào bị nhiễm là có cái mà đem về , thỉnh thoảng lâu lâu nó còn “tự đẻ” ra nữa chứ , mặc dù mấy bữa đó mình ko online , ko copy dữ liệu từ máy khác, chắc là lần trước diệt chưa triệt để) . Search thử xem nào , toàn mấy câu trả lời tào lao (“cài lại win thôi bạn ơi” , “format lại ổ đĩa đi” , “lấy chương trình diệt virus mạnh mạnh mà quét”) , chỉ tìm đc 2 cái diễn đàn này là đáng quan tâm (cái trang benhvientinhoc.com ko hiểu sao vào ko đc) :
http://www.1stvn.com/ (của DDTH.com thì phải)
http://www.hvaforum.net/ (của hvaonline thì phải) -> toàn dân pro
Thật ra thì con này có nhiều cách diệt , trong bài viết này mình đưa ra cách mà theo mình là đơn giản nhất.
Triệu chứng : con này cũng hiền thôi , nó chẳng khóa cái ứng dụng nào cũng hệ thống cả , ngoại trừ làm biến mất cái “Hide protected operating system files” và… gởi thông tin cá nhân của nạn nhân cho 1 địa chỉ nào đó ,cái này thì mình ko chắc , chỉ thấy cái FireWall nó báo như vậy :
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_05Feb140934.gifhttp://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_03Feb140930.gif
Cách diệt :
Download thằng Process Explorer về
link : Process Explorer (http://www.divshare.com/download/3744602-e1d)
Mirror: Process Explorer (http://files.myopera.com/luckyluke113/files/Proces***plorer.zip)
Bật nó lên , nếu dính virus này rồi thì sẽ thấy có chương trình LSASS.EXE đang chạy (LSASS viết in hoa đó nghe , còn lsass viết thường là của hệ thống) :
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_02Feb140921.gif
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_01Feb140920.gif
Nếu bạn End Task bình thường thì nó sẽ tự động “đẻ” lại cái mới . Ko sao , right-click vào nó , chọn Kill Process Tree , Yes .
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_03Feb141000.gif
Thế là tắt đc cái chương trình đó rồi , bây giờ là tiêu diệt tận gốc nó thôi .
Con virus này sẽ tạo ra 2 file : autorun.inf và pagefile.pif (nó ẩn rồi) tại “mặt tiền” của tất cả phân vùng ổ đĩa trong máy (USB mà cắm vào là dính ngay) và 3 file : LSASS.EXE , SMSS.EXE và netcfg.dll trong C:\WINDOWS\system32\Com .
Phải phục hồi chức năng hiện file ẩn cái đã . Download cái VNFix này về làm cho nhanh
Link : VNFix (http://www.divshare.com/download/3745523-c3b)
Mirror : VNFix (http://files.myopera.com/luckyluke113/files/vnfix.rar)
Bật VNFix lên , click vào Scan , nó sẽ báo có 1 sự thay đổi trái phép , muốn xem đó là thay đổi gì thì click vào Show , để phục hồi lại sự thay đổi đó thì click vào Fix Now .
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_06Feb102152-1.gif
http://i259.photobucket.com/albums/hh284/luckyluke113/ScreenHunter_04Feb141001.gif
Giờ là lúc delete tất cả những file mà virus tạo ra : đầu tiên phải cho hiện file ẩn lên đã :
Bật Windows Explorer lên (hotkey : Windows_E) , vào menu Tools >Folder Options >
Chọn tab View > click vào “Show hidden files and folders” , bỏ chọn Hide protected operating system files (nó hỏi gì thì cứ Yes) . Ok
Delete những file sau : autorun.inf và pagefile.pif tại “mặt tiền” của tất cả phân vùng ổ đĩa . LSASS.EXE , SMSS.EXE và netcfg.dll trong C:\WINDOWS\system32\Com .
Finished .
Lưu ý (đây là những thứ mình lượm lặt trên mạng , chưa thử) :
_ Nếu bạn dùng chương trình quét virus thì có thể nó sẽ phát hiện ra nhưng ko xóa đc
_ Dùng Firelion fasthelper quét có thể diệt được, nó báo là Trojan Xorer.
http://fasthelper.fire-lion.com
_ Vào safe mode quét là hết
Mọi đóng góp , thắc mắc xin vui lòng liên hệ với mình qua e-mail : luckyluke1080@yahoo.com