Hướng dẫn diệt Virus www.53best.com hay còn gọi là W32.Elirt

  • Thread starter sontran73
  • Ngày gửi
S

sontran73

Sĩ Khùng
6/7/04
98
0
6
Hà Nội &.....
Virus này gây ra không ít phiền toái cho người dùng máy tính thậm chí nó còn nhiễm cả vào các Yahoo Messenger.

Để diệt virus W32.Elirt này bạn cần thực hiện theo các bước sau:

1. Tải phần mềm :Bấm vào đây để tải chương trình Bkav595 (324 KB)

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav,chọn quét tất cả các file, tất cả các ổ đĩa nhưng chưa chạy Bkav ngay mà dùng Windows TaskManager để đóng process "Explore.exe". Sau đó quét bằng bkav như bình thường. (Hoặc gọi điện thoại đến số: 8683583 để xin tư vấn).

5. Khởi động lại máy tính.

6. Nếu máy tính vẫn còn virus, bạn có thể làm theo các thao tác sau:

Đóng tiến trình Explorer.exe trong Windows 2000/XP:

Click chuột phải vào thanh Taskbar rồi chọn Task Manager (hoặc : có thể dùng tổ hợp phím tắt Ctrl + Shift + Esc để mở Task Manager)
Trong cửa sổ Task Manager, chọn tab "Processes"
Tìm trong cột "Image Name" tên tiến trình "explorer.exe", click chuột phải vào đây và chọn "End Process".
Sau khi đóng tiến trình "explorer.exe", tất cả các cửa sổ sẽ biến mất (kể cả thanh Taskbar). Bạn đừng lo lắng, trên màn hình lúc này còn lại cửa sổ "Windows Task Manager", bạn hãy chọn "File", chọn tiếp "New Task", click vào Browse rồi tìm file chạy của BKAV (phiên bản mới nhất), thông thường chương trình chạy BKAV sẽ nằm ở \Program files\BKAV2002\ . Sau đó bạn tiến hành diệt virus như bình thường.

Khi diệt virus xong, bạn khởi động lại máy là hoàn tất công việc.


Một số đặc điểm của virus W32.Elirt

1. Virus này viết ra với mục đích quảng cáo cho trang web 53best.com có nguồn gốc từ Trung Quốc, được viết bằng Delphi. Hiện tượng một máy tính khi bị nhiễm virus này là: Khi người dùng sử dụng Yahoo Messenger, những ký tự lạ kèm với đường link tới trang 53best.com được tự gửi lên các cửa sổ hội thoại đang được kích hoạt. Nếu người được nhận các thông điệp loại này bấm vào đường link, virus W32.Elirt sẽ kích hoạt và lây nhiễm vào máy của họ. Ngoài ra virus còn có chức năng như 1 keylogger để ăn cắp password của người dùng.

2. Copy virus vào thư mục %System%\ với những tên sau

msapi.exe
msapi.dll
msapi*.exe ( "*" là các số ngẫu nhiên)
down1.exe
snet.exe
3. Khi virus được thi hành, file msapi.exe được gắn trong tiến trình Explorer.exe như một thành phần của window explorer, vì vậy để diệt được triệt để bạn cần đọc lại bước 6 trong phần hướng dẫn diệt virus ở trên.

4. Tạo key run:

Shell= ......%System%\msapi.exe

trong HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Do đó virus được nạp mỗi khi khởi động.

5. Kiểm tra sự tồn tại và đóng các tiến trình sau trong máy:

.Symantec AntiVirus
RavMon.exe
.ZoneAlarm
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
Ngoài ra nó còn kiểm tra và đóng 7 chương trình diệt virus khác của Trung Quốc

6. Thu thập thông tin trên máy nạn nhân và gửi về qua mail cho người viết virus.

Theo QTM
 
Khóa học Quản trị dòng tiền

Xem nhiều

Webketoan Zalo OA