Chào các bạn,
Dạo này cực kỳ bận nên TuanAnh37 không có thời gian chạy mẫu malware lây
từ FB đã mấy hôm nay rồi, vì nhiều người kêu quá nên bỏ chút ít thời
gian eo hẹp ra chạy cái mẫu xem như nào, có gì sai sót mong các bạn bỏ
qua vì thời gian thực sự không có nhiều.
-Chạy file mẫu: August26-Picture12-JPG.exe
-Trình duyệt tự động mở website [You must be registered and logged in to see this link.]
-Cách thức lây nhiễm, tự động send link "[You must be registered and logged in to see this link.] chứa
malware tới list bạn bè trên Facebook thông qua tin nhắn và ứng dụng
chat của facebook.
Cách diệt virus facebook này:
Bước 1: Mở Task manager lên (Ctrl+Shift+Esc), tìm tiến trình "smss.exe" và nhấn End Process
Chú ý kiểm tra không xóa nhầm file smss.exe ở trong System32 (Windows session manager) của Windows nhé.
Bước 2: Cho hiện tất cả các file ẩn lên, kể cả file hệ thống, truy cập vào "x:\Users\Public" và "x:\Windows" tìm và xóa file "smss.exe" (x: là tên phân vùng cài hđh của các bạn, thường là "C:"), đối với WinXP thì xóa file ở C:\Windows\smss.exe là được.
Bước 3: Truy cập vào registry (Bấm Windows+R và gõ regedit rồi enter), tìm khóa sau:
Code:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
và xóa giá trị "Windows System Controler"
Truy cập đến khóa:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
và xóa giá trị "Windows System Controler"
Truy cập tới khóa:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
và xóa giá trị "Windows System Controler"
Bước 4: Bấm Windows+R, gõ %temp% rồi enter, vào Temp rồi chọn xóa tất cả đi, file nào không cho xóa thì kiểm tra và chấp nhận bỏ qua, chủ yếu xóa mấy file .exe ở trong thư mục %Temp% là được.
Như vậy cơ bản malware đã được loại bỏ khỏi máy tính rồi nhé!
--------------------------------------------------------------
Mình có chạy thử 1 mẫu bên tài khoản limited thì thấy nó tạo ra 3 file tpx.exe, cbr.exe, nld.exe
ở trong temp và 3 tiến trình của nó cũng hoạt động luôn, vì thế các
bạn kiểm tra kỹ trong temp luôn nhé, mặc định nó sẽ ẩn 3 file này.
Dạo này cực kỳ bận nên TuanAnh37 không có thời gian chạy mẫu malware lây
từ FB đã mấy hôm nay rồi, vì nhiều người kêu quá nên bỏ chút ít thời
gian eo hẹp ra chạy cái mẫu xem như nào, có gì sai sót mong các bạn bỏ
qua vì thời gian thực sự không có nhiều.
-Chạy file mẫu: August26-Picture12-JPG.exe
-Trình duyệt tự động mở website [You must be registered and logged in to see this link.]
-Cách thức lây nhiễm, tự động send link "[You must be registered and logged in to see this link.] chứa
malware tới list bạn bè trên Facebook thông qua tin nhắn và ứng dụng
chat của facebook.
Cách diệt virus facebook này:
Bước 1: Mở Task manager lên (Ctrl+Shift+Esc), tìm tiến trình "smss.exe" và nhấn End Process
Chú ý kiểm tra không xóa nhầm file smss.exe ở trong System32 (Windows session manager) của Windows nhé.
Bước 2: Cho hiện tất cả các file ẩn lên, kể cả file hệ thống, truy cập vào "x:\Users\Public" và "x:\Windows" tìm và xóa file "smss.exe" (x: là tên phân vùng cài hđh của các bạn, thường là "C:"), đối với WinXP thì xóa file ở C:\Windows\smss.exe là được.
Bước 3: Truy cập vào registry (Bấm Windows+R và gõ regedit rồi enter), tìm khóa sau:
Code:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
và xóa giá trị "Windows System Controler"
Truy cập đến khóa:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
và xóa giá trị "Windows System Controler"
Truy cập tới khóa:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
và xóa giá trị "Windows System Controler"
Bước 4: Bấm Windows+R, gõ %temp% rồi enter, vào Temp rồi chọn xóa tất cả đi, file nào không cho xóa thì kiểm tra và chấp nhận bỏ qua, chủ yếu xóa mấy file .exe ở trong thư mục %Temp% là được.
Như vậy cơ bản malware đã được loại bỏ khỏi máy tính rồi nhé!
--------------------------------------------------------------
Mình có chạy thử 1 mẫu bên tài khoản limited thì thấy nó tạo ra 3 file tpx.exe, cbr.exe, nld.exe
ở trong temp và 3 tiến trình của nó cũng hoạt động luôn, vì thế các
bạn kiểm tra kỹ trong temp luôn nhé, mặc định nó sẽ ẩn 3 file này.