Hỏi: Công ty mình đang bị nhiễm con virus, nó tạo file stsys.exe bên trong thư mục Application Data của All Users và thư mục Share Application Data. Rất mong các bác giúp đỡ để diệt con virus này. Cảm ơn nhiều!
Giúp mình diệt con virus tạo ra file stsys.exe trong thư mục Application Data
Đáp: Chào bạn, Chuyên gia xin giải đáp. Hiện tượng bạn gặp phải là do nhiễm virus W32.Gosys. Virus này khi thực hiện sẽ chiếm quyền điều khiển và lây nhiễm khá nhanh qua hệ thống mạng nội bộ LAN
1. Khi xâm nhập vào máy tính chúng phát tán thành các tập tin như:
%UserProfile%\Application Data\mrsys.exe
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\4H67CTM7\3picsys[1].gif
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\GTYN8HUZ\cmsys[1].gif
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\W9UNG1MR\2picsys[1].gif
%UserProfile%\Application Data\stsys.exe
%System%\blsys.bln
%System%\cmsys.cmn
2. Cách diệt virus W32.Gosys:
Đầu tiên, phải tắt bỏ chức năng: System Restore của Windows (Windows Me/XP, Vista). Sau đó Click Start > Run gõ "Regedit" rồi nhấn "OK". Tìm và xóa các cài đặt sau trong Registy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\"StubPath" = "%UserProfile%\Local Settings\Application Data\mrsys.exe MR"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\"StubPath" = "%UserProfile%\Local Settings\Application Data\mrsys.exe MR"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\"Explorer" = "c:\windows\system32\explorer.exe RO"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\"Svchost" = "c:\windows\svchost.exe RO"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Explorer\Process\"LO" = "0"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Explorer\Process\"BL" = "c:\tools\regshot.exe"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Explorer\Process\"NF" = "0"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Svchost\Process\"BL" = "c:\tools\regshot.exe"
3. Phục hồi chức năng hệ thống như sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%Windir%\explorer.exe, c:\windows\system32\explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
Trong quá trình thực hiện nếu có gì khó khăn, bạn hãy đề lại lời nhắn comment bên dưới để được tư vấn và hỗ trợ nhé.
CHÚ Ý: để được cảnh báo virus và được Tư vấn Hỗ trợ và nhận Key Download mới nhất của phần mềm diệt Virus này hãy Tham gia nhóm Facebook tại đây
Theo BB.Com.Vn
Các tin khác liên quan cùng chủ đề
- Giúp diệt con Virus trên thẻ nhớ tạo nhiều file ảo vài GB
- Virus trong các file Exe trong System32 làm sao diệt được
- Giúp mình diệt virus ẩn file trên USB và thẻ nhớ
- Virus tự tạo file Setup.exe trong tất cả các thư mục chia sẻ - Shared trên mạng Lan
- Chạy 3 phần mềm diệt virus Bkav, Anti-Malware và MSE mà máy vẫn nhiễm virus
- Cách diệt tận gốc virus trong máy tính
- Cách diệt virus nhiễm file Excel XLS không gửi email được
- Diệt virus trong Program x86 có làm hỏng hệ thống, lỗi Win không?
- Hỏi cách diệt virus siêu đa hình W32.Sality.PE khoảng hơn 1000 con nhiễm vào máy
- KIS diệt virus xong ăn luôn file của Windows gây lỗi máy
- Nhiễm con virus HelpCtr.exe, ko diệt được, không cài được phần mềm Kaspersky
- Phần mềm diệt Virus cưỡng bức ép người dùng phải quét Virus
