Máy bị nhiễm kvosoft.exe

 

* Triệu chứng:

              Start\Run\Msconfig->chọn tab startup sẽ phát hiện có thằng kvosoft.exe đang chạy

              Ở cửa sổ My Computer khi nhấp vào các ổ C, D, E… thì các ổ này sẽ được mở ra trên 1 cửa sổ mới

              Không xem được các file ẩn

              Máy chạy rất chậm, Windows thường báo lỗi có kvosoft.exe đang hoạt động


* Nguyên lý hoạt động của con này: virus khi vào máy nạn nhân khởi tạo 


kvosoft.exe
dsetwem0.dll
dsetwem1.dll nằm trong %windir%/system32

và 2 file được sao chép sang các ổ khác là
lbb.com và autorun.inf 

* Cách diệt: theo kinh nghiệm của mình thì nên làm tuần tự theo 3 bước sau

B1: Chép Bkav Home phiên bản mới nhất về quét toàn bộ máy

B2: Click chạy file kill_kvosoft.bat

Cách tạo file kill_kvosoft.bat

Mở Notepad, copy và paste đoạn code sau:

 

taskkill /f /im explorer.exe
Del /Q /F /A s %windir%\system32\kvosoft.*
Del /Q /F /A s %windir%\system32\dsetwem?.*

Del /Q /F /A s %windir%\system32\sool0.dll

Del /Q /F /A s %windir%\system32\sool1.dll

Del /Q /F /A s %windir%\system32\ulso0.dll

Del /Q /F /A s c:\autorun*
Del /Q /F /A s d:\autorun*
Del /Q /F /A s e:\autorun*
Del /Q /F /A s f:\autorun*
Del /Q /F /A s g:\autorun*
Del /Q /F /A s h:\autorun*
Del /Q /F /A s i:\autorun*
Del /Q /F /A s j:\autorun*
Del /Q /F /A s k:\autorun*
Del /Q /F /A s l:\autorun*
Del /Q /F /A s m:\autorun*
Del /Q /F /A s n:\autorun*
Del /Q /F /A s o:\autorun*
Del /Q /F /A s p:\autorun*
Del /Q /F /A s q:\autorun*
Del /Q /F /A s r:\autorun*
Del /Q /F /A s s:\autorun*
Del /Q /F /A s t:\autorun*
Del /Q /F /A s u:\autorun*
Del /Q /F /A s v:\autorun*
Del /Q /F /A s w:\autorun*
Del /Q /F /A s x:\autorun*
Del /Q /F /A s y:\autorun*
Del /Q /F /A s z:\autorun*

Reg Add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Shell /t REG_SZ /d Explorer.exe /f
Reg Add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Userinit /t REG_SZ /d C:\WINDOWS\system32\userinit.exe, /F
Reg Add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\Hidden\SHOWALL” /v CheckedValue /t REG_DWORD /d 1 /f
Reg Add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\Hidden\SHOWALL” /v DefaultValue /t REG_DWORD /d 2 /f
Reg Add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\Hidden\SHOWALL” /v Type /t REG_SZ /d radio /f

reg delete “HKU\S-1-5-21-861567501-1844237615-725345543-1003\Software\Microsoft\Windows\CurrentVersion\policies”

Del /Q /F /A s c:\lbb.com
Del /Q /F /A s d:\lbb.com
Del /Q /F /A s e:\lbb.com
Del /Q /F /A s f:\lbb.com
Del /Q /F /A s g:\lbb.com
Del /Q /F /A s h:\lbb.com


explorer

 

Save với tên kill_kvosoft.bat rồi đóng lại

Sau khi chạy file kill_kvosoft.bat thì virus đã bị diệt nhưng khi mở Windows Explorer\Tools\Folder Options\View -> click chọn Show hidden files and folders thì Windows luôn trả về là Do not show hidden files and folders. Vì vậy ta hãy qua bước 3

 

B3: Start\Run\regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
Tìm đến key “CheckedValue” sủa thành 2 (nếu không có thì thêm vào New->DWORD value)
Tìm đến key “DefaultValue ” sủa thành 1 (nếu không có thì thêm vào New->DWORD value)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll
Tìm key “CheckedValue” sửa thành 1 (nếu không có thì thêm vào New->DWORD value)
LoggOff hoặc Restart là okie
                                           (tham khảo từ nguồn http://www.virusvn.com)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s

%d bloggers like this: