Thứ Năm, 12 tháng 3, 2009

Chặn + diệt con SafeSyS.exe

Đặc điểm :
- Đường lây nhiễm : Qua USB hoặc các trang web độc hại.
- Khi được kích hoạt sẽ ghi một đoạn mã độc vào BootSector của ổ cứng (điều này làm nhiều anh em lầm tưởng là máy tính của mình bị virus xuyên thủng băng). Nói dễ hiểu là nếu máy của bạn đóng băng, bạn vẫn sẽ bị nhiễm con này nếu kích hoạt nó.
- Đoạn mã độc ghi vào BootSector trên có khả năng gọi kết nối internet ngoài Dos và duy trì kết nối đó. (Đây chính là đường lây nhiễm LAN và Online). Nhưng các bạn yên tâm, nó không phải ăn Router (modem) của bạn, nên bạn ko cần reset lại router làm gì, mà chỉ cần tắt router đi thôi là OK rồi !
- Một đoạn REG được ghi vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> để có thể chạy vào lúc khởi động Windows.
- Một file Safesys.exe được lưu trong C:\Program Files\Common Files để có thể lây nhiễm qua USB và nằm chờ thời trong ấy để có thể hoàn hành trở lại một lần nữa.

Cách diệt :
1. Tắt router.
2. Boot bằng đĩa Hiren --> Vào Dos --> đánh lệnh fdisk/mbr (lệnh này để làm lại bootsector cho ổ cứng) ==> nếu máy tính của bạn đang đóng băng, chỉ cần chạy tới đây là OK rồi, khởi động lại máy và vào windows bình thường.
3. Khởi động lại máy, vào Safemod của Windows --> vào Regedit xoá keyname Safesys tại : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Dùng trình tìm kiếm của windows để search file (tất cả các file, kể cả file ẩn) (Lưu ý bạn nên set folder option của mình là hiện tất cả các file, kể cả phần mở rộng và tập tin hệ thống). Tìm kiếm lần lượt và xoá sạch đi những file Aurorun.inf, Safesys.exe trên tất cả các ổ đĩa.
5. Vào C:\Program Files\Common Files xoá file Safesys.exe còn lại

Vậy là sạch rồi đó, bạn đã diệt đựoc virus Safesys.exe này.

Cách tránh: ( không cần Antivirus )

1. Start -- > Run --> gõ vào Gpedit.msc.
2. Computer Configuration --->Windows Settings -->Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level để mặc định là : Disallowed
Người đăng: At
Nhãn:

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)