Bkav gọi virus này là W32.KavoESSys.worm, còn Kaspersky Antivirus thì gọi là Trojan.Generic vì nó có hành vi điển hình của một trojan: tự đăng ký một bản sao của chính nó với Windows như là một thành phần được quyền tự khởi động khi boot máy.
Khi máy bắt đầu bị nhiễm thường có một thông báo xuất hiện. Khi đó, nếu máy có cài Bkav Home thì bạn sẽ nhận được thông báo máy bị nhiễm virus và đã diệt, nhưng sự thật là nó vẫn tồn tại. Muốn diệt được virus này, bạn phải dùng các chương trình có bản quyền, nhưng không phải chương trình nào cứ có bản quyền là diệt được. Các chương trình miễn phí có khi chỉ phát hiện mà không diệt, hoặc diệt được virus nhưng cũng làm mất nhiều dữ liệu hoặc hỏng cả hệ điều hành. Hiện nay, virus này đang hoành hành dữ dội, nhưng lại không có nhiều chương trình diệt được nó, vì vậy việc cảnh giác là cần thiết. Khi nhiễm virus này, máy tính của bạn có triệu chứng không thể hiển thị được các file và folder có thuộc tính ẩn. Nếu mở My Computer > Tool > Folder Options > View, chọn Show hidden files and folders, sau vào lại thì thấy lựa chọn đã bị tự động nhảy sang Do not show hidden files and folders, do vậy không thể cho hiển thị được các file và folder có thuộc tính ẩn.
Biến thể tạm gọi là 1 của loại virus này tạo ra các file Autorun.inf, Ntdelect.com, và Kavo.exe. Biến thể 2 cũng tạo ra Autorun.inf và Kavo.exe nhưng thay thế Ntdelect.com bằng Ntdeiect.com (gõ chữ thường hay chữ in đều được). Chú ý: các file mở đầu bằng chữ Nt kể trên là do virus xảo quyệt tạo ra để ngụy trang, nhằm làm cho người dùng không chú ý tưởng lầm đó là file Ntdetect.com - một file hệ thống của Windows (chỉ khác chữ l hay chữ i so với chữ t). Không loại trừ khả năng máy bị nhiễm cả 2 biến thể cùng một lúc. Bài viết này trình bày cách diệt cả hai. Đây là các bước thực hiện dành cho Windows XP, khi đã nắm vững nguyên tắc chung để diệt loại virus này, bạn có thế làm tương tự trên Windows Vista.
Nguyên tắc chung là tắt System Restore, tìm xóa các file Ntdelect.com, Ntdeiect.com, Autorun.inf và Kavo.exe ở trên hệ thống và trong Registry, sau đó sửa lại Registry để phục hồi các option hiển thị file và folder ẩn. Các bước thực hiện như sau:
1. Tắt System Restore
- Nếu System Restore chưa bị virus vô hiệu hóa: bạn bấm phải vào biểu tượng My Computer > Properties > System Restore, đánh dấu chọn Turn off System restore on all drives > OK, không khởi động lại, và bạn cũng đừng bấm vào chỗ này chỗ nọ một cách không cần thiết để tránh làm cho virus phát tán trở lại.
- Nếu System Restore đã bị virus vô hiệu hóa, làm cho các chữ và dấu chọn bị mờ đi không thể thay đổi gì được, bạn vào Start > Run, gõ gpedit.msc, bấm OK. Trong giao diện mới mở ra của Group Policy, bạn bấm theo đường dẫn: Computer Configuration \ Administrative Templates \ System \ System Restore. Bấm vào System Restore và nhìn sang bên phải, bạn bấm đôi vào Turn off System Restore, chọn Enable rồi OK. Thoát khỏi Group Policy mà không khởi động lại máy.
2. Xử lý trong Registry
- Bạn vào Start > Run, trong hộp thoại Run gõ regedit, bấm OK để chạy trình soạn thảo Registry Editor. Sau khi giao diện của Registry Editor hiện ra, chọn thẻ Edit, vào Find, gõ vào hộp Find what nội dung tìm kiếm là NTdelect.com, đánh dấu chọn vào các mục Keys, Values và Data rồi bấm Find Next để bắt đầu tìm kiếm. Mỗi khi highlight (vệt thẫm) dừng tại giá trị nào thì bạn xóa ngay giá trị ấy bằng cách bấm phải vào chính chỗ có highlight và chọn Delete hoặc bấm phím Delete rồi Enter để xóa. Tiếp tục bấm F3 để tìm tiếp và xóa cho đến khi việc tìm kiếm kết thúc (khi có thông báo: Finished searching through the registry).
- Bạn làm tương tự cho từ tìm kiếm là Kavo.exe và Ntdeiect.com (chữ hoa và chữ thường như nhau). Xóa tất cả các khóa tìm được.
3. Xử lý trong hệ thống
Dùng đĩa Hiren’s boot CD khởi động máy tính (nhớ thiết lập trong BIOS Setup để máy có thể khởi động từ đĩa CD), chọn File Managers > Volkov Commander, chọn Yes với câu hỏi Do you want to use NTFS DOS để hỗ trợ các ổ cứng format theo định dạng NTFS (các ổ format theo định dạng FAT32 có thể chọn No), tiếp theo chọn Readwrite, chọn No cho câu hỏi Do you want to run CHKDSK (không quét đĩa). Chọn Yes cho câu hỏi Do you want to mount NTFS Pro with VC để hiển thị các ổ định dạng NTFS lên giao diện của Volkov Commander.
- Sau khi giao diện của VC hiện ra, bấm Alt+F1 hoặc Alt+F2 để làm xuất hiện menu chọn ổ rồi vào thư mục gốc của các ổ logic để xóa tất cả các file Ntdelect.com, Ntdeiect.com và Autorun.inf. Ví dụ: đối với ổ C, ta tìm và xóa được C:\Ntdeiect.com, và C:\Autorun.inf... (đặt highlight vào các file này rồi bấm F8).
- Xóa các file Ntdelect.com-xxxxxxxx.pf trong C:\Windows\Prefetch (trong đó mỗi dấu x đại diện cho một chữ cái hoặc một số nào đó). Cũng trong thư mục này, bạn tìm xóa các file Ntdeiect.com-xxxxxxxx.pf và Kavo.exe-xxxxxxxx.pf (nếu có).
- Xóa Kavo.exe trong C:\Windows\ System32 (nếu ổ đĩa cài hệ điều hành là ổ C). Máy của tôi cài cả XP và Vista thì vào C:\Windows\System32.
- Xóa C:\Window\System32\Kavo0.dll.
4. Chỉnh sửa trong Registry
- Khởi động lại máy. Lúc này, nếu máy có cài Bkav, tính năng tự bảo vệ của Bkav không còn báo virus nữa nhưng nếu vào Folder Options để cho hiển thị các file ẩn thì vẫn chưa được vì trước đó virus đã làm thay đổi registry, và sau khi virus bị diệt thì vẫn chưa được tái lập lại. Bạn chạy Registry Editor lên, bấm chuột theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\windows\CurrentVersion \Explorer\Advanced\Folder\Hidden \SHOWALL. Sau khi bấm vào SHOWALL, bạn hãy nhìn sang bên phải sẽ thấy tại cột Name, mục CheckedValue đang có giá trị bằng số trong ngoặc đơn là 0 (ở cột Data). Bạn hãy bấm đôi vào CheckedValue và gõ 1 vào ô Value data rồi bấm OK. Khởi động lại máy là hoàn tất. Lúc này, virus đã chết, việc hiển thị các file ẩn đã có thể tái lập theo ý bạn, và bạn có thể bật lại System Restore.
Xử lý flash usb bị nhiễm virus kavo
Theo kinh nghiệm của người viết bài, đối với virus Kavo, khi đã biết một đĩa flash USB bị nhiễm virus này, bạn đừng nghĩ có thể tránh cho máy khỏi nhiễm virus bằng cách giữ phím Shift trước rồi mới cắm vào để tránh làm kích hoạt tính năng Autorun. Thật ra, ngay sau khi bạn bấm chuột phải vào biểu tượng ổ USB và bấm Open để mở thì lập tức xuất hiện thông báo máy đã bị nhiễm virus rồi! Để tránh tình trạng này, bạn hãy làm như sau:
- Truy cập vào USB trong môi trường DOS, vốn không phải là đất dụng võ của Kavo để xóa 3 file trong thư mục gốc của ổ USB là Autorun.inf, Ntdeiect.com, Ntdelect.com (thường chỉ tìm thấy một cặp gồm Autorun.inf cùng với một trong hai file bắt đầu bằng chữ Nt). Muốn chạy được driver của USB trong DOS, bạn làm như sau: cho đĩa Hiren’boot CD 9.3 (hoặc cũ hơn) vào ổ CD và khởi động lại máy. Ở giao diện Startup Menu, bạn đặt highlight vào lựa chọn 2 (Start Boot CD) rồi cắm USB flash vào cổng USB, bấm Enter rồi lần lượt theo các bước sau (nếu không phải đĩa Hiren’boot CD version 9.3 thì có thể khác đôi chút):
- Chọn 9. Next...
- Chọn 7. DOS...
- Chọn 1. USB support...
- Chọn 2. Load usb drivers NO EMM386.
- Enable IDE/SCSI CDROM support? (chọn YES).
- Load SCSI drivers? (chọn NO).
- Load standard CDROM driver? (chọn YES).
- Trong bảng USB OPTIONS, chọn mục 1 (gõ 1).
- Ở bảng cấu hình kế tiếp hiện ra, nếu PC của bạn là đời mới, bạn chọn vào dòng trên cùng (EHCI USB...) và bỏ chọn tất cả các dòng còn lại rồi bấm OK. Nếu PC của bạn là đời cũ thì chỉ chọn dòng thứ 3 (UHCI USB...), bỏ chọn tất cả các dòng còn lại rồi bấm OK. Tiếp đó, 4 hộp thoại lần lượt hiện ra, bạn đều chọn NO. Sau khi quá trình nạp driver kết thúc, xuất hiện giao diện dòng lệnh dạng R:\>, bạn gõ vào chữ m rồi gõ Enter.
- Chọn File Manager > Volkov Commander. Kể từ đây thì lại theo các bước giống như ở bước 3 (xử lý trong hệ thống). Sau khi giao diện của VC hiện ra, bạn vào ổ S (chính là ổ USB) và xóa các file Autorun.inf, Ntdelect.com hoặc Ntdeiect.com giống như phần trước. Rút USB ra là xong.
Theo cách nêu trên, bạn có thể dùng ngay cả một máy tính đã bị nhiễm Kavo để làm sạch cho một ổ flash USB bị nhiễm cùng loại virus này.
Chú ý:
- Nếu mở My Computer > Folder Options > View mà không thấy một trong hai mục chọn Do not show hidden files and folders và Show all hidden files and folders thì bạn tạo lại bằng cách: trong giao diện trên của Registry Editor, bạn bấm phải chuột vào vùng trống ở bên phải chọn New/DWORD Value và gõ vào vùng con trỏ đang nhấp nháy cụm từ CheckedValue hoặc DefaultValue tùy theo bạn mất mục chọn nào, rồi bấm đôi vào mục vừa tạo để đưa vào các giá trị trong ngoặc đơn là 1 đối với CheckedValue (mất Show all files and folders) và là 2 đối với DefaultValue (mất Do not show hidden files and folders).
- Vì Registry là vùng nhạy cảm, Windows dễ bị hư luôn nếu thao tác sai nên bạn phải thận trọng sao lưu Registry trước khi xử lý nó (trên giao diện của Registry Editor vào Files > Export rồi gõ tên file bạn tự đặt vào ô File name vừa xuất hiện, chọn Save để lưu file vào thư mục My Documents phòng khi hữu sự thì sẽ import ngược trở lại. Nếu không kịp sao lưu, bạn có thể bấm liên tục F8 trong khi khởi động, và chọn Last known good configuration để phục hồi lại Registry trong trường hợp Windows bị trục trặc sau khi chỉnh sửa Registry.
- Bạn không nhất thiết tìm thấy file bị nhiễm trong tất cả các phép tìm kiếm và tại tất cả các vị trí đã nêu trên, mà tùy theo mức độ lây nhiễm của từng máy, kết quả có thể khác biệt chút ít, nhưng nếu bạn nắm vững nguyên tắc đã trình bày trên đây, nhất định các bạn sẽ thành công.
Theo KHPT
Nguồn: duyphuong.net
Khi máy bắt đầu bị nhiễm thường có một thông báo xuất hiện. Khi đó, nếu máy có cài Bkav Home thì bạn sẽ nhận được thông báo máy bị nhiễm virus và đã diệt, nhưng sự thật là nó vẫn tồn tại. Muốn diệt được virus này, bạn phải dùng các chương trình có bản quyền, nhưng không phải chương trình nào cứ có bản quyền là diệt được. Các chương trình miễn phí có khi chỉ phát hiện mà không diệt, hoặc diệt được virus nhưng cũng làm mất nhiều dữ liệu hoặc hỏng cả hệ điều hành. Hiện nay, virus này đang hoành hành dữ dội, nhưng lại không có nhiều chương trình diệt được nó, vì vậy việc cảnh giác là cần thiết. Khi nhiễm virus này, máy tính của bạn có triệu chứng không thể hiển thị được các file và folder có thuộc tính ẩn. Nếu mở My Computer > Tool > Folder Options > View, chọn Show hidden files and folders, sau vào lại thì thấy lựa chọn đã bị tự động nhảy sang Do not show hidden files and folders, do vậy không thể cho hiển thị được các file và folder có thuộc tính ẩn.
Biến thể tạm gọi là 1 của loại virus này tạo ra các file Autorun.inf, Ntdelect.com, và Kavo.exe. Biến thể 2 cũng tạo ra Autorun.inf và Kavo.exe nhưng thay thế Ntdelect.com bằng Ntdeiect.com (gõ chữ thường hay chữ in đều được). Chú ý: các file mở đầu bằng chữ Nt kể trên là do virus xảo quyệt tạo ra để ngụy trang, nhằm làm cho người dùng không chú ý tưởng lầm đó là file Ntdetect.com - một file hệ thống của Windows (chỉ khác chữ l hay chữ i so với chữ t). Không loại trừ khả năng máy bị nhiễm cả 2 biến thể cùng một lúc. Bài viết này trình bày cách diệt cả hai. Đây là các bước thực hiện dành cho Windows XP, khi đã nắm vững nguyên tắc chung để diệt loại virus này, bạn có thế làm tương tự trên Windows Vista.
Nguyên tắc chung là tắt System Restore, tìm xóa các file Ntdelect.com, Ntdeiect.com, Autorun.inf và Kavo.exe ở trên hệ thống và trong Registry, sau đó sửa lại Registry để phục hồi các option hiển thị file và folder ẩn. Các bước thực hiện như sau:
1. Tắt System Restore
- Nếu System Restore chưa bị virus vô hiệu hóa: bạn bấm phải vào biểu tượng My Computer > Properties > System Restore, đánh dấu chọn Turn off System restore on all drives > OK, không khởi động lại, và bạn cũng đừng bấm vào chỗ này chỗ nọ một cách không cần thiết để tránh làm cho virus phát tán trở lại.
- Nếu System Restore đã bị virus vô hiệu hóa, làm cho các chữ và dấu chọn bị mờ đi không thể thay đổi gì được, bạn vào Start > Run, gõ gpedit.msc, bấm OK. Trong giao diện mới mở ra của Group Policy, bạn bấm theo đường dẫn: Computer Configuration \ Administrative Templates \ System \ System Restore. Bấm vào System Restore và nhìn sang bên phải, bạn bấm đôi vào Turn off System Restore, chọn Enable rồi OK. Thoát khỏi Group Policy mà không khởi động lại máy.
2. Xử lý trong Registry
- Bạn vào Start > Run, trong hộp thoại Run gõ regedit, bấm OK để chạy trình soạn thảo Registry Editor. Sau khi giao diện của Registry Editor hiện ra, chọn thẻ Edit, vào Find, gõ vào hộp Find what nội dung tìm kiếm là NTdelect.com, đánh dấu chọn vào các mục Keys, Values và Data rồi bấm Find Next để bắt đầu tìm kiếm. Mỗi khi highlight (vệt thẫm) dừng tại giá trị nào thì bạn xóa ngay giá trị ấy bằng cách bấm phải vào chính chỗ có highlight và chọn Delete hoặc bấm phím Delete rồi Enter để xóa. Tiếp tục bấm F3 để tìm tiếp và xóa cho đến khi việc tìm kiếm kết thúc (khi có thông báo: Finished searching through the registry).
- Bạn làm tương tự cho từ tìm kiếm là Kavo.exe và Ntdeiect.com (chữ hoa và chữ thường như nhau). Xóa tất cả các khóa tìm được.
3. Xử lý trong hệ thống
Dùng đĩa Hiren’s boot CD khởi động máy tính (nhớ thiết lập trong BIOS Setup để máy có thể khởi động từ đĩa CD), chọn File Managers > Volkov Commander, chọn Yes với câu hỏi Do you want to use NTFS DOS để hỗ trợ các ổ cứng format theo định dạng NTFS (các ổ format theo định dạng FAT32 có thể chọn No), tiếp theo chọn Readwrite, chọn No cho câu hỏi Do you want to run CHKDSK (không quét đĩa). Chọn Yes cho câu hỏi Do you want to mount NTFS Pro with VC để hiển thị các ổ định dạng NTFS lên giao diện của Volkov Commander.
- Sau khi giao diện của VC hiện ra, bấm Alt+F1 hoặc Alt+F2 để làm xuất hiện menu chọn ổ rồi vào thư mục gốc của các ổ logic để xóa tất cả các file Ntdelect.com, Ntdeiect.com và Autorun.inf. Ví dụ: đối với ổ C, ta tìm và xóa được C:\Ntdeiect.com, và C:\Autorun.inf... (đặt highlight vào các file này rồi bấm F8).
- Xóa các file Ntdelect.com-xxxxxxxx.pf trong C:\Windows\Prefetch (trong đó mỗi dấu x đại diện cho một chữ cái hoặc một số nào đó). Cũng trong thư mục này, bạn tìm xóa các file Ntdeiect.com-xxxxxxxx.pf và Kavo.exe-xxxxxxxx.pf (nếu có).
- Xóa Kavo.exe trong C:\Windows\ System32 (nếu ổ đĩa cài hệ điều hành là ổ C). Máy của tôi cài cả XP và Vista thì vào C:\Windows\System32.
- Xóa C:\Window\System32\Kavo0.dll.
4. Chỉnh sửa trong Registry
- Khởi động lại máy. Lúc này, nếu máy có cài Bkav, tính năng tự bảo vệ của Bkav không còn báo virus nữa nhưng nếu vào Folder Options để cho hiển thị các file ẩn thì vẫn chưa được vì trước đó virus đã làm thay đổi registry, và sau khi virus bị diệt thì vẫn chưa được tái lập lại. Bạn chạy Registry Editor lên, bấm chuột theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\windows\CurrentVersion \Explorer\Advanced\Folder\Hidden \SHOWALL. Sau khi bấm vào SHOWALL, bạn hãy nhìn sang bên phải sẽ thấy tại cột Name, mục CheckedValue đang có giá trị bằng số trong ngoặc đơn là 0 (ở cột Data). Bạn hãy bấm đôi vào CheckedValue và gõ 1 vào ô Value data rồi bấm OK. Khởi động lại máy là hoàn tất. Lúc này, virus đã chết, việc hiển thị các file ẩn đã có thể tái lập theo ý bạn, và bạn có thể bật lại System Restore.
Xử lý flash usb bị nhiễm virus kavo
Theo kinh nghiệm của người viết bài, đối với virus Kavo, khi đã biết một đĩa flash USB bị nhiễm virus này, bạn đừng nghĩ có thể tránh cho máy khỏi nhiễm virus bằng cách giữ phím Shift trước rồi mới cắm vào để tránh làm kích hoạt tính năng Autorun. Thật ra, ngay sau khi bạn bấm chuột phải vào biểu tượng ổ USB và bấm Open để mở thì lập tức xuất hiện thông báo máy đã bị nhiễm virus rồi! Để tránh tình trạng này, bạn hãy làm như sau:
- Truy cập vào USB trong môi trường DOS, vốn không phải là đất dụng võ của Kavo để xóa 3 file trong thư mục gốc của ổ USB là Autorun.inf, Ntdeiect.com, Ntdelect.com (thường chỉ tìm thấy một cặp gồm Autorun.inf cùng với một trong hai file bắt đầu bằng chữ Nt). Muốn chạy được driver của USB trong DOS, bạn làm như sau: cho đĩa Hiren’boot CD 9.3 (hoặc cũ hơn) vào ổ CD và khởi động lại máy. Ở giao diện Startup Menu, bạn đặt highlight vào lựa chọn 2 (Start Boot CD) rồi cắm USB flash vào cổng USB, bấm Enter rồi lần lượt theo các bước sau (nếu không phải đĩa Hiren’boot CD version 9.3 thì có thể khác đôi chút):
- Chọn 9. Next...
- Chọn 7. DOS...
- Chọn 1. USB support...
- Chọn 2. Load usb drivers NO EMM386.
- Enable IDE/SCSI CDROM support? (chọn YES).
- Load SCSI drivers? (chọn NO).
- Load standard CDROM driver? (chọn YES).
- Trong bảng USB OPTIONS, chọn mục 1 (gõ 1).
- Ở bảng cấu hình kế tiếp hiện ra, nếu PC của bạn là đời mới, bạn chọn vào dòng trên cùng (EHCI USB...) và bỏ chọn tất cả các dòng còn lại rồi bấm OK. Nếu PC của bạn là đời cũ thì chỉ chọn dòng thứ 3 (UHCI USB...), bỏ chọn tất cả các dòng còn lại rồi bấm OK. Tiếp đó, 4 hộp thoại lần lượt hiện ra, bạn đều chọn NO. Sau khi quá trình nạp driver kết thúc, xuất hiện giao diện dòng lệnh dạng R:\>, bạn gõ vào chữ m rồi gõ Enter.
- Chọn File Manager > Volkov Commander. Kể từ đây thì lại theo các bước giống như ở bước 3 (xử lý trong hệ thống). Sau khi giao diện của VC hiện ra, bạn vào ổ S (chính là ổ USB) và xóa các file Autorun.inf, Ntdelect.com hoặc Ntdeiect.com giống như phần trước. Rút USB ra là xong.
Theo cách nêu trên, bạn có thể dùng ngay cả một máy tính đã bị nhiễm Kavo để làm sạch cho một ổ flash USB bị nhiễm cùng loại virus này.
Chú ý:
- Nếu mở My Computer > Folder Options > View mà không thấy một trong hai mục chọn Do not show hidden files and folders và Show all hidden files and folders thì bạn tạo lại bằng cách: trong giao diện trên của Registry Editor, bạn bấm phải chuột vào vùng trống ở bên phải chọn New/DWORD Value và gõ vào vùng con trỏ đang nhấp nháy cụm từ CheckedValue hoặc DefaultValue tùy theo bạn mất mục chọn nào, rồi bấm đôi vào mục vừa tạo để đưa vào các giá trị trong ngoặc đơn là 1 đối với CheckedValue (mất Show all files and folders) và là 2 đối với DefaultValue (mất Do not show hidden files and folders).
- Vì Registry là vùng nhạy cảm, Windows dễ bị hư luôn nếu thao tác sai nên bạn phải thận trọng sao lưu Registry trước khi xử lý nó (trên giao diện của Registry Editor vào Files > Export rồi gõ tên file bạn tự đặt vào ô File name vừa xuất hiện, chọn Save để lưu file vào thư mục My Documents phòng khi hữu sự thì sẽ import ngược trở lại. Nếu không kịp sao lưu, bạn có thể bấm liên tục F8 trong khi khởi động, và chọn Last known good configuration để phục hồi lại Registry trong trường hợp Windows bị trục trặc sau khi chỉnh sửa Registry.
- Bạn không nhất thiết tìm thấy file bị nhiễm trong tất cả các phép tìm kiếm và tại tất cả các vị trí đã nêu trên, mà tùy theo mức độ lây nhiễm của từng máy, kết quả có thể khác biệt chút ít, nhưng nếu bạn nắm vững nguyên tắc đã trình bày trên đây, nhất định các bạn sẽ thành công.
Theo KHPT
Nguồn: duyphuong.net
