Mixa - nhận dạng và diệt

Thảo luận trong 'Kỹ năng xác định sự cố!' bắt đầu bởi integer, 7 Tháng mười hai 2009.

  1. Offline

    integer

    • Tiếu Ngạo Giang Hồ

    • :-?
    Số bài viết:
    1.695
    Đã được thích:
    1.313
    Điểm thành tích:
    900
    Nhận dạng cơ bản nhất - khi mới nhiếm sẽ bật được Tát ma na giơ thấy proces này C:\WINDOWS\Mixa.exe
    mixa là 1 virus tuy không nguy hiểm lắm nhưng hư hỏng window do nó gây ra làm bạn mất nhiều time
    thường nó làm bạn log ra log vô window(giai đoạn nặng - đã biến thể thành Mixa_I) và tự động phát nhạc khi cắm usb(dang nhẹ - mixa). icon virus là 1 file hình búp bê. thế đấy

    * Nếu là con Mixa thì sau 1 khoảng thời gian nhất định, máy sẽ tự phát nhạc.
    * Nếu là Mixa_I (biến thể của Mixa) thì:

    * Tự động Log off khi chạy các công cụ như regedit, gpedit.msc, Task Manager,…
    * Thay đổi khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, giá trị Userinit từ “C:\WINDOWS\system32\userinit.exe,” thành “C:\WINDOWS\system32\systemio.exe,”
    * Sau vài lần đăng nhập vào thì không thể đăng nhập được nữa. Tới màn hình Welcome, nhấp vào Username thì Log on và Log off ngay nên không thể vào Windows.

    Cách diệt:

    * Dùng đĩa Hirent’s Boot (có thể tìm mua tại các cửa hàng tin học)
    * Cho đĩa vào ổ CD, khởi động lại máy.
    * Chờ cho xuất hiện màn hình như hình dưới thì chọn (2) để boot từ CD.
    * Tiếp tục chọn (8) để vào mục File Manager.
    * Tiếp tục nhấn lần lượt (1) để vào Volkov Commander, (Yes) nếu được hỏi có dùng NTFS Dos không, (ReadWrite), (No) nếu được hỏi có muốn Check Disk không, và cuối cùng là (Yes) để chương trình load các phân vùng NTFS.
    * Tại màn hình chính của chương trình, bạn nhấn ALT + F1 để xuất hiện bảng lựa chọn ổ đĩa.
    * Các phím để thao tác: F8 (Delete), F5 (Copy), F6 (Rename hoặc Move).
    * Bạn chọn lần lượt từng phân vùng (ổ C, D,…) và xóa đi các file: autorun.inf, Mixa_I.exe, Mixa.exe (nếu có).
    * Tiếp tục xóa C:\Windows\Mixa.exe, C:\Windows\System32\systemio.exe
    * Copy C:\Windows\System32\Userinit.exe sang ổ X:\Userinit.exe, X là phân vùng nào cũng được trừ C.
    * Đổi tên X:\Userinit.exe thành X:\systemio.exe
    * Chuyển X:\systemio.exe sang C:\Windows\System32\
    * Bây giờ thì bạn đã có thể vào Win được. Hãy khởi động lại để tiếp tục.
    * Khởi động xong, bạn vào Start ~> Run ~> gõ vào regedit ~> nhấn Enter
    * Tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    * xóa giá trị virus bên khung bên phải.
    * Tiếp tục, tại khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    * nhấp đôi vào giá trị Userinit và cho nó giá trị mặc định là “C:\Windows\System32\Userinit,” (có dấu “,” nữa nha)
    * Tiếp tục vào C:\Windows\System32\ và xóa file systemio.exe đi.
    * Khởi động lại máy là xong.


    đây là kinh nghiệm của mình và học hỏi được qua các lần bị nhiễm virus. không có hình ảnh
    integer, 7 Tháng mười hai 2009
    #1
    Rim thích bài này.

Chia sẻ trang này

Advertising: Linux system admin | nukeviet | nukeviet 4 | Upload ảnh miễn phí