- Biển số
- OF-5750
- Ngày cấp bằng
- 15/6/07
- Số km
- 3,900
- Động cơ
- 578,485 Mã lực
- Nơi ở
- Bốn biển là nhà
- Website
- hieplucjsc.fpt.in
1.256.000 máy tính tại Việt Nam đã bị nhiễm virus W32.Kavo (virus có xuất xứ từ Trung Quốc) và các biến thể của loại virus này trong tháng 06/2008. Đây chính là nguyên nhân của hiện tượng mà rất nhiều người sử dụng Yahoo! Messenger tại Việt Nam đã gặp phải trong thời gian qua: Mỗi khi người sử dụng đăng nhập (sign in) vào Yahoo! Messenger, phần mềm này sẽ tự động bị kết thúc (crash).
Có tới 639 biến thể mới của virus W32.Kavo xuất hiện trong tháng 06/2008, trung bình 21,3 biến thể mỗi ngày, đây là một kỷ lục mới tốc độ biến thể của một virus.
Xuất hiện từ ngày 11/09/2007, đến nay đã có 3.191 biến thể của W32.Kavo liên tục được phát tán lên mạng. Các máy tính khi bị nhiễm loại mã độc này không những bị chiếm quyền điều khiển, bị mất mát thông tin cá nhân, không thể hiển thị được cái file có thuộc tính ẩn, mà còn không thể sử dụng được chương trình chat Yahoo! Messenger.
Virus W32.Kavo sử dụng kỹ thuật Hook Message (kỹ thuật chặn thông điệp của hệ thống) để được nạp vào bộ nhớ của tất cả các tiến trình có giao diện GUI (Graphical User Interface) đang được thực thi trên máy tính.
Với cách này, Kavo có thể “lùng sục” trong bộ nhớ của các tiến trình để dò tìm mật khẩu tài khoản của người sử dụng. Tuy nhiên, do mắc một lỗi trong lập trình, nên khi Kavo can thiệp vào bộ nhớ của Yahoo! Messenger, mã lệnh của virus tự sinh ra lỗi truy xuất bộ nhớ (memory exception) kéo theo đổ vỡ toàn bộ tiến trình này.
1. Chạy Task Manager
Bấm chuột phải vào thanh Taskbar ở dưới góc phải màn hình, chọn Task Manager, bạn sẽ thấy hiển thị ra cửa sổ của Task Manager
Hình 1: Chạy Task Manager
Tắt bỏ WScript.exe & Explorer.exe nếu 2 chương trình này đang chạy
Hình 2: Đóng wscript.exe
Hình 3: Đóng explorer.exe
2. Xóa bỏ các file Autorun.inf
Đặc điểm của con Kavo này là sinh ra các file Autorun nằm trong các thư mục gốc của các ổ đĩa cứng. Các file này giúp cho virus được kích hoạt khi nạn nhân nháy đúp chuột vào ổ cứng. Để tránh việc tái kích hoạt virus, một trong những điều đầu tiên là bạn phải xóa bỏ các file Autorun trong thư mục gốc của các ổ (Ở máy của tôi là ổ C, D, E)
Trong cửa sổ Task Manager bạn chọn File > New Task (Run...)
Hình 4: Mở hộp thoại run để thi hành 1 chương trình
Màn hình sẽ thị hộp lệnh Run, bạn gõ cmd để mở màn hình console, thực hiện các lệnh DOS
Hình 5: Chạy lệnh CMD
Trong console bạn lần lượt thực hiện các lệnh sau đây:
Hình 6: Màn hình Consonle để thi hành các dòng lệnh
DEL c:\autorun.* /f /a /s /q
DEL d:\autorun.* /f /a /s /q
DEL e:\autorun.* /f /a /s /q
3. Xóa bỏ virusDEL d:\autorun.* /f /a /s /q
DEL e:\autorun.* /f /a /s /q
Trong cửa sổ console bạn gõ các lệnh sau:
CD c:\windows\system32
DIR /a avp*.*
Bạn sẽ thấy hiển thị các file avpo.exe hoặc avpo0.dllDIR /a avp*.*
Tiếp tục gõ
ATTRIB -r -s -h avpo.exe
DEL avpo.exe
hoặc DEL avpo.exe
ATTRIB -r -s -h avpo0.dll
DEL avp0.dll
Tiếp tục gõDEL avp0.dll
DIR /a kavo*.*
Nếu xuất hiện 1 hoặc các file kavo.exe và kavo0.dll hay kavo1.dll
Thực hiện các lệnh xóa
ATTRIB -r -s -h kavo.exe
DEL kavo.exe
ATTRIB -r -s -h kavo.dll
DEL kavo.dll
ATTRIB -r -s -h kavo1.dll
DEL kavo1.dll
Tiếp tục gõ trong consoleDEL kavo.exe
ATTRIB -r -s -h kavo.dll
DEL kavo.dll
ATTRIB -r -s -h kavo1.dll
DEL kavo1.dll
CD\
ATTRIB -r -s -h ntde1ect.com
DEL ntde1ect.com
4. Chỉnh sửa Regedit ATTRIB -r -s -h ntde1ect.com
DEL ntde1ect.com
Trong cửa sổ Task Manager, Chọn File > New Task (Run...) (Hình 4)
Hiển thị hộp lênh Run, bạn gõ regedit
Hình 7: Thi hành chương trình Regedit
Hình 8: Cửa sổ regedit
Hình 9: Xóa avpo.exe
Bạn vào HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
Trong panel bên trái của cửa sổ Regedit, nếu trong đó có dòng avpo.exe, bạn click chuột phải vào và xóa bỏ dòng chữ đó đi
Kết thúc quá trình, bạn khởi động lại máy.
Vào lại windows, nếu chưa thấy hiển thị các file ẩn (do ảnh hưởng của virus) bạn có thể tải file Windows Registry sau về và chạy nó http://www.quantrimang.com/data/fixHiddenFiles.reg
Vào Statup bằng cách vào Run > gõ msconfig
Hình 10: Chạy MsConfig
Hình 11: Bỏ check Kavo, hoặc Avpo
Khởi động lại máy tính của bạn lần nữa.
Theo: Quản trị mạng
