On Anti Malware
Định viết 1 bài diệt con này nhưng chưa có thời gian, sưu tầm post cho anh em vậy!grin

Diệt virus Autorun.exe (nó có tên là VBS_RESULOWS.A hay VBS.Zodgila trong các chương trình antivirus)

Hình thức lây lan :
Một loại virus lây chủ yếu từ mạng, từ USB bị nhiễm. Khi nhiễm vào máy mình tạo ra các file: MS32DLL.dll.vbsautorun.inf tại:

%Windir%\MS32DLL.dll.vbs

[DRIVE LETTER]:\MS32DLL.dll.vbs

[DRIVE LETTER]:\autorun.inf

%Windir% là thư mục cài đặt của Windows, theo mặc định, đó là C:\Windows (Windows95/98/Me/XP) hay C:\Winnt (Windows NT/2000).

Nhận biết :

- Tự động chạy Autoplay khi truy xuất vào ổ đĩa cứng, nếu bị nhiễm nặng sẽ gây trì trệ hệ thống.
- Nó làm bạn không thể mở ổ cứng bằng chuột, và bạn sẽ thấy xuất hiện từ Autoplay thay cho từ Open khi click chuột phải vào ổ cứng, và nếu bạn dùng IE, trên title bar của Internet Explorer, sẽ thấy xuất hiện dòng chữ "Hacked by Godzilla"

Máy của bạn có thể cũng diệt được MS32DLL.dll.vbs rồi nhưng chưa thể mở được ổ cứng bằng cách chọn và enter. Kể cả quét bằng BKAV nhưng vẫn không hết hẳn (nó không lây trong máy nữa nhưng không mở ổ cứng với double click được).

Cách diệt :
Đây là loại Virus tương đối khó diệt, vì nếu không biết cách, hoặc sử dụng trình diệt Virus thông thường sẽ tái phát rất nhanh.
1. Bạn tải chương trình AutorunFix tại đây ( 24 Kb)

sau đó chạy chương trình để tự tìm kiếm và xóa các file autorun của các ổ đĩa.

Tiếp tục, mở Explorer của My Computer vào Menu> Tool> Folder Options> View> và bỏ dấu chọn ở các mục :
+ Show hidden files and folders.
+ Hide protected operating system files (Recommended)

Tìm kiếm lần nữa bằng tay rồi xóa file Autorun.inf và thư mục Disk Tool ở các ổ đĩa của bạn (để chắc không còn bỏ sót file autorun nào cả). File này nằm ở ngoài gốc của ổ đĩa, ví dụ nếu bạn có ổ C, D and E, thì vị trí file sẽ là C:\autorun.inf, D:\autorun.inf và E:\autorun.inf
- Bạn cũng cần xoá file chứa virus khỏi hệ thống (C:\WINDOWS\ MS32DLL.dll.vbs)

2. Mở Windows Task Manager (ctrl-alt-del) : và chọn Processes tìm “wscript.exe” and click vào End Process (nếu có nhiều hơn 1 process mang tên này, bạn phải đóng tất cả chúng lại)

3. Mở regedit: (cẩn thận với regitsry)
+ Bấm vào nút Start chọn Run gõ Regedit nhấn Enter.
chọn HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows --> Current Version --> Run. Tìm “MS32DLL” and và delete entry này.

+ Kế đó chọn HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main. Bạn sẽ thấy tựa đề (Window Title) “Hacked by Godzilla” --> delete entry này.

+ Tìm đến khóa sau: HKEY_CLASSES_ROOT\Drive\shell nhấp đúp (Default) và gõ vào none

+ Trong cùng nhánh shell bạn tìm khóa có chữ Auto, nhấp chuột phải và delete nó đi.

+ Đóng registry lại

4. Mở Group Policy : bấm vào nút Start --> Run gõ “gpedit.msc” nhấn “Enter”
+ Chọn User Configuration --> Administrative Templates --> System --> tại đó bạn double click lên “Turn Off Autoplay” --> mở ra 1 cửa sổ và trong cửa sổ này bạn nên chọn enable-- all drives (chọn all turn off autoplay sẽ an toàn hơn vì sẽ ko tái nhiễm virus nữa)

+ Đóng Group Policy  lại.

5. Mở System Configuration Utility : bấm vào nút Start --> Run gõ “msconfig” nhấn “Enter”
+ Bấm vào tab Startup tìm file MS32DLL và delete (nếu ko tìm thấy thì thôi)

+ Đóng “System Configuration Utility” và chọn “Exit Without Restart” when prompt

* Để kết thúc, bạn vào lại My Computer and select “Tools” and “Folder Options” and “View” để chọn ngược lại lúc ban đầu (check chọn “Hide protected operating system file” and “Don’t show hidden files and folders”).

Xoá rác trong recyclebin và khởi động lại máy tính

Chú ý :
Nếu bạn dùng Windows ME and XP , bạn phải disable System Restore để cho phép quét toàn bộ máy.

Phòng chống :

Phòng bệnh hơn chữa bệnh. Sử dụng chương trình diệt Virus nổi tiếng như Kaspersky, Bitdefender... và Update thường xuyên, luôn quét USB hoặc thiết bị lưu trữ khi đưa vào máy
(BẠN SẼ KHÔNG CÒN THẤY TỪ AUTOPLAY TRONG MENU KHI CLICK CHUỘT TRÁI LÊN Ổ ĐĨA NỮA, và bạn có thể mở ổ đĩa bình thường bằng doule click)

p/s: anh em nào dính "em" này thử áp dụng xem hiệu quả không nhé!
Lúc trước tôi có bị con này ,sử dụng IceSword+autoruns+processXP để diệt.Hiện tại đang "nuôi" nó ở nhà nhưng ko có thời gian nghiên cứu kỹ!grin

Nguồn : Updatesoft