Hướng dẫn diệt virus tự send tin nhắn qua Facebook - Cập nhật liên tục.

Trước hết bạn bị nhiễm loại virus nào thì cũng down PChunter free (Trừ mẫu this video belongs to you), download tại đây và chạy công cụ.

Nếu dưới đây ko có loại virus bạn đang nhiễm, hãy gửi dạng link virus và file virus cho mình. (Nén lại, up lên host bất kỳ rồi send tin nhắn cho mình)

Vì dạo này mình ko được rảnh nên ko thể hỗ trợ 24/24 được, rất xin lỗi những bạn pm mình để tìm trợ giúp.

Mẫu virus mới nhất: This video belong to you

Mẫu virus này xử lý khá dễ dàng, ko cần pchunter hay gì cả, chỉ tác dụng với chrome.

B1. Tại chrome bấm shift esc, sẽ hiện lên task manager của chrome. Chọ tiến trình tiện ích mở rộng facebook video plugins, kill process đó đi. Bước này quan trọng vì virus này sẽ ngăn ko cho bạn mới tab extension.

B2. Vào cài đặt, extension xóa facebook video plugins đi là xong. Khởi động lại chrome.

Firefox và IE tạm thời miễn nhiễm với virus này.

Một số mẫu virus cũ:

Mẫu virus catalog.chaosium.com/?**********=*********

Mẫu down về có dạng Spring-Holiday-IMG-Shared-SET001.JPEG.exe

Cách xử lý:

-Khi bạn mở pchunter, có thể bạn sẽ gặp thông báo sau, bấm yes để tiếp tục:

-Bạn chọn thẻ startup info.

Bạn tìm đến {toàn số là số}.exe, đường dẫn tới start/program/startup như trong hình, kích chuột phải, chọn delete (Startup and File).

Đừng dại dội xóa những thứ khác. Và nếu ko thấy cái mình yêu cầu thì thôi.

-Trở về tab process

Kích chuột phải vào 1 thằng bất kỳ, chọn delete file after termination.-Sau đó kích chuột phải vào regsvr64.exe như trong hình, chọn force kill. CHú ý đường dẫn chuẩn và có màu xanh. Ngoài ra những file exe nào nằm vị trí với regsvr64.exe (application data) thì bạn cũng force kill nốt. (Trên máy mình thử còn 0001F16F.exe)

Xong khởi động lại máy và kiểm tra.

Loại 1: mediafire.com/*******/img**.jip.exe hoặc .pif (như này)

Loại này có đặc điểm, chúng sẽ tạo ra file svchosts.exe giả mạo tại thư mục appdata (vista +7) hoặc application data (XP).

Nhìn trên công cụ, các bạn có thể thấy thằng svchosts đc in xanh trong hình, đó chính là svchosts giả mạo.

Bản PC Hunter mới có thể sẽ nhóm các svchosts vào, cho thằng giả mạo ra rìa nên các bạn nhớ kiểm tra hết tất cả chứ đừng nhìn mỗi nhóm svchosts ko thấy xanh rồi hỏi lại. Nó thường nằm gần dưới cùng.

Vậy h làm gì đây?

Kích chuột phải vào nó, chọn delete file after termination rồi kích chuột phải lần nữa, chọn force kill là xong

À mà chưa xong. Bạn bấm tổ hợp phím windows + R để vào hộp thoại run, gõ regedit rồi enter. Truy cập theo đường dẫn:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run

HKEY_USERS\S-1-5-21-1292428093-436374069-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run

Xóa key microsoft corp (có đường dẫn virus)

Loại 2: k22.su, file có dạng tháng + ngày + picture + số (Ví dụ: April20Picture36-JPG)

Loại này hơi khác chút, nó sẽ tạo ra file iqs.exe tại C:\windows

Thằng này mạo danh microsoft nên ko in màu như trong hình, nhưng cũng chả thoát đc đâu

Một số trường hợp vẫn có màu xanh.

Kill tương tự như loại 1,

Kích chuột phải vào thằng iqs, chọn delete file after termination rồi kích chuột phải lần nữa, chọn force kill

Cũng lại sửa registry lẫn nữa. Bạn bấm windows R để vào hộp thoại run, gõ regedit rồi enter. Truy cập theo đường dẫn:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run

HKEY_USERS\S-1-5-21-1292428093-436374069-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run

Xóa key microsoft firevall engine (có đường dẫn virus)

Đường dẫn

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List

Xóa C:\windows\iqs.exe

Loại 3: tuvaustriahellas.gr, huhmagazine, eng.su.ac.th, ecuadorenvivo.com

File virus down về có dạng Photo_***-www.facebook.com.exe

Cách diệt:

Bạn mở Pchunter lên, chọn thẻ startup info.

Bạn tìm đến lsass.exe như trong hình, kích chuột phải, chọn delete (Startup and File)

Sau đó khởi động máy là xong mọi việc.