Virus W32.Rontokbro@mm được symantec phát hiện từ tháng 10 -2005 và nó lây lan mạnh, đặc biệt trong các mạng LAN, máy bị nhiễm thường tạo ra các folder giống như folder gốc của thu mục chứa nó khi click vào nó thì nó liên kết tới My Docments .Khi vào run gõ lệnh cmd ,regedit ......thì máy sẽ khởi động lại ngay lập tức.
1 số chủng Rontokbro còn tinh quái hơn: khóa luôn Folder Option (hậu quả là các folder tạo thêm sẽ giống hệt folder gốc, mặc dù thực tế thì đó là 1 file EXE). Gan lì hơn, nó thể hiển thị ra 1 thông báo khi bạn mở Internet Explorer, trong đó có tên....chính nó.
Vì đây là Worm, nên mang LAN sẽ bị dính toàn bộ khi 1 máy trong mạng vô tình khởi động con virus, khỏi nói là bạn sẽ phải vất vả ra sao để diệt tên này.
Lưu ý về cách diệt:
- Ngắt mạng trước khi diệt
- Tắt System Restore trước khi diệt
- Nếu không thể download chương trình chống virus (do máy bị restart khi vào các trang web chống virus) thì bạn khởi đông trong chế độ Safe mode with Networking
- Update chương trình trước khi quét, và tốt nhất là quét trong Safe mode
(nếu không cài đặt được chương trình chống virus do xung đột thì bạn tìm cách tắt process của con virus, hoặc đơn giản nhất là sử dụng BKAV - không xung đột và cũng không cần update, chỉ cần download phiên bản nhất là OK)
- Sau khi quét xong, hãy chịu khó rút nguồn điện thay vì restart máy. sau đó vào Safe mode quét lại lần nữa.
- Tới lúc này thì các file do virus tạo ra đã bị delete, việc còn lại của bạn là chỉnh sửa lại Registry. Tìm các khóa sau và xóa sạch sẽ các thông tin trong đó
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\
Policies
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nếu bạn không vào được Registry thì vào Run --> gõ gpedit.msc --> tìm đến User Configuration --> Administrative Templates --> System --> tìm "prevent access to registry editing tool" --> chọn Disable
Đăng ký:
Đăng Nhận xét (Atom)
Không có nhận xét nào:
Đăng nhận xét