Cách khắc phục lỗi sau khi bị nhiễm virus W32.Sality.a

[PKMinh]

Máy tính của mình bị nhiễm con virus Sality. Hiện tại máy mình không còn virus chạy nhưng cái đống dữ liệu có đuôi là *.exe của mình bị tiêu tùng (bị BKAV phát hiện là virus). Nhưng đó là những file bị virus thêm vào các đoạn mã độc. Bạn nào chỉ giùm mình cách phục hồi các file đó. Cảm ơn rất nhiều.

[bathanhit]

mình bị con virus này khủng wa, bạn có thể tham khảo cách diệt, mình mới copy dc
MÔ TẢ
W32.HLLP.Sality là một loại virus với khả năng ghi hoạt động bàn phím và tạo cổng sau. Nó có thể lây nhiễm những file bằng cách thêm đoạn mã vào file host.

Lây nhiễm vào các hệ điều hành: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Kích thước: 34,816 bytes.

Khi W32.HLLP.Sality hoạt động, nó thực hiện các công việc sau:
Thêm một trong những file sau vào thư mục %System% hoặc %Temp%:
SYSLIB32.DLL
OLEDSP32.DLL
SYSDLL.DLL

Ghi chú:
%System% là thư mục System, mặc định C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).
%Temp% là thư mục chứa file tạm thời của Windows, mặc định là C:\Windows\TEMP (Windows 95/98/Me/XP) hoặc C:\WINNT\Temp (Windows NT/2000).
Tạo một file câm với tên "KUKU300a" cho phép chỉ một phiên bản của virus được chạy trong máy.
Kiểm tra giờ hệ thống và có thể kích hoạt nó nếu phút bằng giờ và nếu ngày là 1/5 hoặc 10, 12 mỗi tháng.
Có thể kích hoạt và hiển thị thông điệp với đặc điểm sau:

Tiêu đề: Win32.HLLP.Kuku v[VERSION_NUMBER]
Thông điệp:
<<<<<Hey, Lamer! Say "Bye-bye" to your data! >>>>>
'Copy[REMOVED]tor'
Có thể thêm dữ liệu cấu hình vào file WINDOWS%\SYSTEM.INI bằng việc thêm những dòng sau vào file đó:

[TFTempCache]
id=[RANDOM_NUMBER]
RtlMoveMeory=[RANDOM_NUMBER]
PING=[NUMBER]
TIME=[TIME]
Có thể kiểm tra khả năng kết nối bằng việc thêm liên hệ với máy chủ sau:

www.microsoft.com
Sử dụng khả năng ăn trộm gõ bàn phím để thu thập những thông tin sau từ máy tính bị nhiễm virus:
Địa chỉ IP, tên người sử dụng và tên máy chủ
Thông tin dễ bị tấn công của máy tính như là kích thước bộ nhớ, những ổ cứng, phiên bản Win và chìa khóa sản phầm
Tài khỏan quay số RAS
Mật khẩu chia sẻ mạng
Chương trình chạy khởi động
Những file WebMoney
Ghi lại thông tin thu thập được vào file được mã hóa sau:

%System%\TFTempCache
Có thể gửi thông tin tới một vài địa chỉ email xác định ở Nga sử dụng máy dịch vụ SMTP server qua TCP cổng 25:

msx.mail.ru

Email này có những đặc điểm sau:

Từ: CyberMazafaka@mailru.com

Tới: sector2007@list.ru, bespontovik@list.ru

Chủ đề: Administrator

File đính kèm:
readme.tjc
TFTempCache.tjc
Có thể mở cổng sau trong máy tính bị nhiễm virus bằng việc kết nối tới máy dịch vụ sau:

rinet.msk.wenet.ru
Cho phép kẻ tấn công từ xa thực hiện các hoạt động khác nhau mà không được cho phép trong máy tính bị nhiễm.
Có thể lây nhiễm những file hoạt động bằng việc thêm đoạn mã vào file chủ. Dù sao tất cả những biến thể của virus cũng lây nhiễm bằng đường này.
Có thể xóa những file có những đuôi mở rộng sau khi tìm thấy những file bị lây nhiễm:
.vdb
.avc
.key
Có thể xóa những file đó nếu bắt đầu với những chuỗi kí tự sau:
KAV
NOD
ANTI
SCAN
ZONE
ANDA
TROJ
TREN
ALER
CLEAN
OUTP
GUAR
AVP
TOTAL
CÁCH DIỆT

1. Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus không quét được thông tin trên phần Restore của Windows.

Bấm vào nút Start.
Bấm phải chuột vào My Computer, chọn Properties.
Tại System Restore tab, bấm Turn off System Restore hoặc Turn off System Restore on all drives như hình vẽ dưới:





Bấm Apply. Thông báo như sau hiện ra:




Bấm nút Yes .
2. Cập nhật các thông tin chống virus mới nhất vào chương trình chống virus.

3. Khởi động lại với chế độ Safemode (Bấm F8 khi khởi động Windows) vào thực hiện chương trình quét virus, xoá những tệp bị nhiễm. Nhớ chọn chế độ quét tất cả các tệp chứ không chỉ quét riêng tệp .exe

4. Xoá các khoá trong registry. Các giá trị cần xoá đã liệt kê ở trên.

Bạn có thể Download chương trình chống virus khá nhỏ của Sysmantec tại đây SAVCECLT.EXE
Bạn có thể Download chương trình chống spyware và rootkit của Microsoft tại đây Antispyware

[ham_tim_hieu]

Con này khi nhiếm còn khóa chức năng Task Manager và Regedit
Bật Kasperky sau khi bị nhiễm nó sẽ vô hiệu tắt luôn cả KAS

[Mahakaruna]

Sality.A có modify header của file exe, bạn nên dùng các CT AV mạnh hơn như kasp để disinfect. File nào ko thể disinfect đc thì bỏ luôn đi, hư rồi.

p/s : Khả năng disinfect của BKAV cực tệ