Thu12022021

Last update08:41:45 AM GMT

Back Hỏi đáp Cách diệt Virus Giúp mình diệt con virus tạo ra file stsys.exe trong thư mục Application Data

Giúp mình diệt con virus tạo ra file stsys.exe trong thư mục Application Data

Hỏi: Công ty mình đang bị nhiễm con virus, nó tạo file stsys.exe bên trong thư mục Application Data của All Users và thư mục Share Application Data. Rất mong các bác giúp đỡ để diệt con virus này. Cảm ơn nhiều!

Giúp mình diệt con virus tạo ra file stsys.exe trong thư mục Application Data

Đáp: Chào bạn, Chuyên gia xin giải đáp. Hiện tượng bạn gặp phải là do nhiễm virus W32.Gosys. Virus này khi thực hiện sẽ chiếm quyền điều khiển và lây nhiễm khá nhanh qua hệ thống mạng nội bộ LAN

1. Khi xâm nhập vào máy tính chúng phát tán thành các tập tin như:

%UserProfile%\Application Data\mrsys.exe
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\4H67CTM7\3picsys[1].gif
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\GTYN8HUZ\cmsys[1].gif
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\W9UNG1MR\2picsys[1].gif
%UserProfile%\Application Data\stsys.exe
%System%\blsys.bln
%System%\cmsys.cmn

2. Cách diệt virus W32.Gosys:

Đầu tiên, phải tắt bỏ chức năng: System Restore của Windows (Windows Me/XP, Vista). Sau đó Click Start > Run gõ "Regedit" rồi nhấn "OK". Tìm và xóa các cài đặt sau trong Registy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\"StubPath" = "%UserProfile%\Local Settings\Application Data\mrsys.exe MR"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\"StubPath" = "%UserProfile%\Local Settings\Application Data\mrsys.exe MR"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\"Explorer" = "c:\windows\system32\explorer.exe RO"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\"Svchost" = "c:\windows\svchost.exe RO"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Explorer\Process\"LO" = "0"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Explorer\Process\"BL" = "c:\tools\regshot.exe"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Explorer\Process\"NF" = "0"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Svchost\Process\"BL" = "c:\tools\regshot.exe"

3. Phục hồi chức năng hệ thống như sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%Windir%\explorer.exe, c:\windows\system32\explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

Trong quá trình thực hiện nếu có gì khó khăn, bạn hãy đề lại lời nhắn comment bên dưới để được tư vấnhỗ trợ nhé.

CHÚ Ý: để được cảnh báo virus và được Tư vấn Hỗ trợ và nhận Key Download mới nhất của phần mềm diệt Virus này hãy Tham gia nhóm Facebook tại đây

Theo BB.Com.Vn

Khuyen mai Kaspersky
 
  • Liên hệ: 0973.464.139 hoặc 0989.505.375
    hoặc 093.604.6004 - Zalo: 0973464139
    .
  • Địa chỉ 2: Tòa nhà CT10C KĐT Đại Thanh, đường Phan Trọng Tuệ, HN (xem bản đồ đường đi)
  • Địa chỉ 2: Tòa nhà CT10C KĐT Đại Thanh, Cầu Bươu, Hà Đông, Hà Nội (xem bản đồ đường đi)
    .
  • Số 235B Nguyễn Văn Cừ, quận 1, TPHCM
  • Số 298 Cao Lỗ, phường 4, quận 8, TPHCM