Virus ms-dos.com -"This computer is being hacked"

On Anti Malware

Virus MS-DOS.COM còn có tên nhận dạng là w32.boom.worm
Bạn nào đã từng nhiễm con này rồi thì sẽ cảm thấy....vui cực kỳ đúng hok?
"Em" này nó cứ hiện 1 thông báo "This computer is being hacked" chạy khắp trên màn hình Desktop làm cho máy tính chạy rất chậm, có khi treo máy luôn!

Nghe mọi người nói đã lâu nhưng mới "gặp" nó cách đây vài ngày, chẳng có gì gọi là ghê gớm cả!!  
Nội dung file autorun :

[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com

Thay đổi registry để gọi đến đến file của chính nó khi người dùng chạy các ứng dụng quen thuộc:



3 Process chạy thường trực "núp" trong system32\dllcache\recycled



Thay đổi registry để kích hoạt file boom.vbs khi shutdown và khi logoff:




Chạy 3 Process khi Windows khởi động:



Ngoài ra, khi "em nó" còn vô hiệu hóa gpedit bằng cách....open with :



Tạo ra các file:
C:\MS-DOS.com
c:\autorun.inf
c:\windows\remoteabc.exe
c:\windows\fonts\fonts.exe
c:\windows\fonts\tskmgr.exe
c:\windows\media\rndll32.pif
c:\windows\system\keyboard.exe
c:\windows\cursors\boom.vbs
c:\windows\pchealth\Global.exe
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\system32\drivers\drivers.cab.exe
c:\windows\system32\cdcd.sys
c:\windows\system32\dllcache\default.exe
c:\windows\system32\dllcache\rndll32.exe
c:\windows\system32\dllcache\explorer.exe
c:\windows\system32\dllcache\tskmgr.exe
c:\windows\system32\dllcache\autorun.inf
c:\windows\system32\dllcache\Global.exe
c:\windows\system32\dllcache\svchost.exe
c:\windows\system32\dllcache\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\default.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\rndll32.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\explorer.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\tskmgr.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\autorun.inf
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
----------------------------------
phân tích nhiêu đó chắc đủ rồi! hehe...

Cách diệt:

Do tình hình là bữa đó ko đem theo cái gì ngoài cái USB có chứa ICESword, Autoruns, ProcessXP nên chia sẻ với mọi người phương pháp diệt thủ công như thế này nhé:
B1: Sử dụng IceSword kill cùng lúc 3 Process : system.exe , Global.exe, svchost.exe
B2: Tìm và xóa tất cả các file đã phân tích ở trên
B3: Dùng Autoruns để kiểm tra & xóa hết các key virus tạo ra trong registry
B4: Khởi động lại máy.
B5: Download chương trình antivirus ( bkav chẳng hạn) về quét lại! ( nếu trong máy có chương trình antivirus rồi thì gỡ ra cài lại! )
B6: Mở Run --> CMD : gõ vào sfc /scanow và đưa đĩa xp vào để sửa các file bị lỗi.
B7: Khởi động lại máy. ( nếu cần thiết! )

Có thể sử dụng file .bat đính kèm để thay thế b2 và b3 ! ( do nội dung khá dài nên ko ghi ra đây, các bạn chịu khó download về nhé!)

Download here



Pw: www.lecuong.info
Hava a nice day!!

Share

Lê Cường

DSefa is a blog that's dedicated to bringing you high quality health, lifestyle tutorial and resources on different categories. It's main forus on user experience.