Virus Facebook – Kỳ 4: Bí kíp tiêu diệt virus nâng cao

Tháng Chín 1, 2016
Chuyên mục: Facebook, Hướng dẫn bảo mật Facebook

kỳ 3: Bí kíp tiêu diệt virus cơ bản mình có chia sẻ với các bạn một số các để các bạn loại bỏ virus phổ thông thường gặp trên Facebook, nhưng có một số loại khó diệt hơn nhiều, và các bạn không thể diệt nó bằng cách thông thường được vì nó “bám rể” rất sâu vào hệ thống máy tính của các bạn. Hôm nay mình sẽ chia sẻ với các bạn vài cách để tiêu diệt tận gốc rể những loại virus này. Công cụ để sử dụng là phần mềm PCHunter miễn phí tại đây

Lưu ý: Cách này chỉ dành cho những bạn đã có kiến thức kha khá về máy tính thôi nhé. Nếu không mình khuyên các bạn nên cài lại máy và áp dụng các bước phòng tránh ngay từ đầu.

1. Virus Facebook tự động send link dạng mediafire.comxxx

Virus này có đặc điểm là đi kèm file .tmp và file .bat giả mạo. Sau khi nạn nhân kích vào link nhiễm. Virus bắt đầu âm thầm tải file image-xxx.bmp… và tác dụng lên Task Manager khiến cho chuột của bạn nhấp nháy liên tục.

Khi hoạt động rồi. Virus tiếp tục tạo 2 file .tmp và file .bat, nhưng thực chất thì file .bat mới chính là virus thực sự. Nó giả mạo những mã lệnh lằng quằng đã được mã hóa. Tiếp đến virus sẽ cấy mã lệnh này vào hệ thống của Windows và thông qua trình duyệt Internet để nhân bản virus. Đồng thời đăng nhập tài khoản FB và chèn KeyLogger trên máy nạn nhân. Cuối cùng virus tạo ra khóa Regedit để kích hoạt với nhiều khóa khác nhau nhằm bảo vệ file svchosts.exe gồm có:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Corp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Microsoft Corp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion Terminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRunMicrosoft Corp
HKEY_USERSS-1-5-21-1292428093-436374069-854245398-1003 SoftwareMicrosoftWindowsCurrentVersionRunMicrosoft Corp

Cách diệt: Khi diệt virus này thì các bạn cần phải chú ý vì không hề đơn giản ở chỗ. Nó có thể ẩn sau file svchosts.exe của hệ thống nên các bạn phải cẩn thận.

Các bạn chạy chường trình PCHunter và làm theo các bước sau nhé:

pc-hunter

  • Bước 1: Kill và xóa nhanh chóng các file tmp, nigC0.tmp.bat… trước đã. Phải xử lý rất nhanh để virus không triển khai và phát tán tiếp.
  • Bước 2: Sau đó mới Kill tiến trình exevà nig120.tmp.bat ở thư mục Application Data. Bạn nên xóa trực tiếp, chứ không được kích hay động vào nó nhé. Loại này rất tinh vi. Bạn cần theo đường dẫn “C:Documents and Settings%username%Application Data” để xóa cho đúng. Nhớ là xóa thật nhanh, chứ nếu bạn chậm vài giây sẽ không xử lý được đâu.
  • Bước 3: Cuối cùng, xóa các khóa Regedit do virus tạo ra. Đồng thời xóa triệt để tàn dư ở “C:Documents and Settings%username%Application Data” nếu có.
  • Bước 4: Khi xử lý xong tàn dư của virus, bạn hãy dọn dẹp trình duyệt cũng như bảo mật lại tài khoản Facebook.
  • Bước 5: Nên cài 1 phần mềm diệt virus có chức năng phát hiện cũng như loại bỏ Keylogger hiệu quả như Avast nhé

2. Virus Facebook dạng xxxPicturexx-JPEG.zipCách diệt:

 Cũng tương tự như trên, nhưng lần này Kill đơn giản hơn.

pchunter

  • Bước 1: Bạn truy cập vào thư mục C:WINDOWS và tìm rồi xóa file C:WINDOWSiqs.exe
  • Bước 2: Xóa tiếp các khóa Regedit tạo ra. Bao gồm:
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Firevall Engine
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Microsoft Firevall Engine
  • Bước 3: Khi xử lý xong tàn dư của virus, bạn hãy dọn dẹp trình duyệt cũng như bảo mật lại tài khoản Facebook.
  • Bước 4: Nên cài 1 phần mềm diệt virus có chức năng phát hiện cũng như loại bỏ Keylogger hiệu quả như Avast nhé

3. Mẫu virus với dạng link mediafire.comphoto-xxx…

Khác với loại virus mediafire.com ở trên, biến thể mới này có nhiều sự thay đổi hơn. Virus mới này có đặc điểm là đi kèm file jpg và file exe. Sau khi nạn nhân kích vào link nhiễm. Virus bắt đầu âm thầm tải file Photo-xxx.jpg… và tác dụng lên Task Manager khiến cho chuột của bạn nhấp nháy liên tục.

Khi hoạt động rồi. Virus tiếp tục tạo các file photo.jpg… Nhưng thực chất thì file Obpspg mới chính là virus thực sự. Nó ẩn và chạy sau file photo.jpg. Tiếp đến virus sẽ tạo file ảnh chứa nội dung không lành mạnh vào hệ thống của Windows và thông qua trình duyệt Internet để nhân bản virus. Đồng thời đăng nhập tài khoản FB và chèn KeyLogger trên máy nạn nhân. Phát tàn những nội dung không lành mạnh. Cuối cùng virus tạo ra khóa Regedit để kích hoạt với nhiều khóa khác nhau nhằm bảo vệ file Obpspg.exe. Bao gồm:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Splinter Cells
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Obpspg.exe

Cách diệt:

  • Bước 1: Kill và xóa nhanh chóng 3 file jpg, B8.exe, Obpspg.exetrước đã. Phải xử lý rất nhanh để virus không triển khai và phát tán tiếp.
  • Bước 2: Bạn nên xóa trực tiếp, chứ không được kích hay động vào nó nhé. Bạn cần theo đường dẫn “C:Documents and Settings%username%Application Data” để xóa cho đúng. Nhớ là xóa thật nhanh, chứ nếu bạn chậm vài giây sẽ không xử lý được đâu.
  • Bước 3: Cuối cùng, xóa các khóa Regedit do virus tạo ra. Đồng thời xóa triệt để tàn dư ở “C:Documents and Settings%username%Application Data” nếu có.
  • Bước 4: Khi xử lý xong tàn dư của virus, bạn hãy dọn dẹp trình duyệt cũng như bảo mật lại tài khoản Facebook.
  • Bước 5: Nên cài 1 phần mềm diệt virus có chức năng phát hiện cũng như loại bỏ Keylogger hiệu quả như Avast nhé

Ban biên tập