Professional Documents
Culture Documents
7- Tiếp theo vào xóa các file Kavo.exe và Kavo*.dll trong c:\windows\System32
8- Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong
HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\Curren tVersion\Run
Nếu xóa luôn file ntdetect.com trong phân vùng chứa Win thì khi khởi động lại nó sẽ
báo ntdetect failed và ko vào được Win
Cứ bình tĩnh đâu còn có đó,
- kiếm cái đĩa Win nhét vô, khởi động từ cd
vào chế độ Repair console (nhấn phím R)
- chọn phân vùng cần repair nếu như máy cài nhiều OS, còn nếu chỉ có 1 thì táng số
1 rồi enter
-nhập pass (nếu có)
-gõ dòng sau: copy <tên ổ đĩa cd>:\i386\ntldr <tên ổ chứa win>:\
copy <tên ổ đĩa cd>:\i386\ntdetect.com <tên ổ chứa win>:\
vd iem cài win ở phân vùng C, ổ cd là F
copy F:\i386\ntldr C:\
copy F:\i386\ntdetect.com C:\
- lấy đĩa cd ra khỏi ổ (ném bỏ nếu cảm thấy thích), type exit
Để tránh việc xóa nhầm file ntdetect.com trong phân vùng cài win thì trước khi xóa
các pác phải chuột vào file đó xem properties, cái nào có ngày khởi tạo mới hơn thì
đó file cần xóa, còn nếu xóa nhầm thì làm như trên...
Goodluck
Hoạt động:
Tạo các file:
* %sysdir%\passwd.log ( lưu các passwords lấy được)
* %sysdir%\wincab.sys ( rootkit )
* %sysdir%\kavo.exe ( bản sao của virus )
* %sysdir%\kavo0.dll ( thư viện hook password )
* %sysdir%\tf.dll ( thư viện hook password )
* %sysdir%\[random_name].dll ( thư viện hook password )
xóa file nguồn khi chạy file %sysdir%\kavo.exe
tạo các file: autorun.inf,NTDELCT.COM trên tất cả các phân vùng ổ cứng, kể cả USB
nếu có, mỗi khi double-click lên các phân vùng, hệ thống dựa vào file autorun.inf để
chạy file NTDELCT.COM, do vậy nội dung file autorun.inf sẽ có dòng:
[autorun]
open=NTDELCT.COM
(có thể có biến thể khác).
khi NTDELCT.COM được kích hoạt, nó sẽ kiểm tra sự tồn tại của process kavo.exe,
nếu chưa chạy nó sẽ kiểm tra tiếp sự tồn tại của file %sysdir%\kavo.exe. Nếu ko tồn
tại file này,NTDELCT.COM sẽ tạo ra file kavo.exe và chạy nó.
khi file kavo.exe chạy:
liên tục chỉnh sửa key:HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--
Advance--Folder--Hidden-SHOWALL về giá trị 0.
liên tục tạo các file trên ở mọi phân vùng - (việc tạo qua lại giữa các file đảm bảo cho
virus tồn tại).
Chỉ thực hiện thao tác truy xuất ổ bằng Explorer bar, không double-click vào bất cứ
phân vùng nào, tránh tình trạng tái khởi động virus,
đọc file autorun.inf nếu có, tìm file có tên trong dòng "open=" ở từng phân vùng, xóa
file đó và file autorun.inf.
Xóa các file được liệt kê ở phần trên cùng bài này, kiểm tra và làm sạch thư mục
Temp và Temp Internet Files trong Documents and Settings/User Name/Local
Settings/.
Note: Tốt nhất nên thay đổi thói quen double-click trực tiếp lên các phân vùng, nên
sử dụng Explorer Bar để truy xuất vào các phân vùng ổ cứng.