Chia sẻ kiến thức tin học

Virus W32.Rontokbro.X@mm là một phiên bản mới nhất của virus Rontokbro được Hãng bảo mật Symantec phát hiện từ tháng 6 –2006 và nó thật sự lây lan mạnh máy bị nhiễm thường tạo ra các folder giống như folder gốc của thu mục chứa nó khi click vào nó thì nó liên kết tới My docment. Loại virus này gần đây lây lan đặc biệt mạnh tại Việt Nam. Theo thống kê của trung tâm 911 (www.911.com.vn) thì có tới 60% máy tính của các doanh nghiệp (khoảng gần 200.000 máy) bị nhiễm. Khi máy tính bị nhiễm thì sẽ chạy rất chậm do bị chiếm nhiều tài nguyên và băng thông mạng nội bộ, đồng thời virus cũng chặn không cho người dùng truy cập vào tài nguyên hệ thống và có thể ăn cắp thông tin của người sử dụng.

Người dùng có thể kiểm tra xem máy tính của mình có bị nhiễm virus Rotokbro không bằng cách:

- Bấm vào nút Start chọn Run và gõ vào lệnh MSCONFIG và bấm OK , nếu thấy máy tính bị khởi động lại thì tức là máy tính đã bị nhiễm virus.

- Bấm phải chuột vào nút Start chọn mục Explorer, sau đó bấm và menu Tools, nếu không thấy mục Folder Options tức là máy tính bị nhiễm virus.

Cách diệt :

1.Diệt phần nhân khởi động của Virus: Bạn chuẩn bị 1 đĩa CD khởi động với đĩa hiren tốt nhất là đĩa hiren boot (Bạn có thể xem cách tạo đĩa Hiren Boot tại đây http://www.911.com.vn/news_details.asp?newsID=NEW_051123204149 ) , sau đó bạn khởi động máy bằng đĩa CD bạn chọn khởi động bằng win98 mini có sẵn trong đĩa này dùng chức năng find của win98mini tìm các files có dung lượng nhỏ 45 KB có đuôi lần lượt là *.exe và *.com và *.scr và *.pif các files này thường có dung lượng là 43 KB hoặc 42 KB và nó thường là các files
csrss.exe
lsass.exe
msvbvm60.dll
services.exe
smss.exe
winlogon.exe
nó thường ở trong các thư mục
C:\Windows\PIF\CVT.exe
%UserProfile%\APPDATA\IDTemplate.exe
%UserProfile%\APPDATA\services.exe
%UserProfile%\APPDATA\lsass.exe
%UserProfile%\APPDATA\inetinfo.exe
%UserProfile%\APPDATA\csrss.exe
%UserProfile%\APPDATA\winlogon.exe
%UserProfile%\Programs\Startup\Empty.pif
%UserProfile%\Templates\A.kotnorB.com
%System%\3D Animation.scr

Chú ý :

%System% là kí hiệu tới thư mục System . ví dụ nó được mặc định là C:\Windows\System (Windows 95/98/Me),và là C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).
%UserProfile% là đường dẫn profile folder hiện tại . mặc định ở trong: C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP).
2. Sau khi khởi xóa xong các files nhân của virus bạn khởi động máy tính trong chế độ safemode và tiếp tục thực hiện các bước sau

3.Bước chỉnh sửa lại registry
Đầu tiên bạn download đoạn code này
http://www.911.com.vn/download/khoa_regedit.vbs
về chạy nó sau đó bạn vào trong run gõ regedit sau đó bạn tìm tới những key sau và xóa tất cả những gì có trong đó đi

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\
Policies
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4.Sau khi chỉnh sửa xong regedit bạn khởi động trong chế độ bình thường cài chuơng trình diệt 1.Trước hết bạn tải phần mềm diệt virus của hãng symantec về :
http://www.911.com.vn/download/savceclt.exe

Sau khi cài chương trình symantec xong thì chạy bản updates virus và bản cập nhật mới nhất. Sau đó quét toàn bộ hệ thống

5. Như vậy là bạn sẽ diệt được loại virus này. Lưu ý bước 1 (xoá nhân khởi động của virus) là quan trọng nhất, bạn phải làm được bước này thì mới có thể diệt được virus vì loại virus này rất mạnh.