Please login or register.

Login with username, password and session length

Author Topic: Hướng dẫn diệt IEXPLORERS.exe  (Read 2953 times)

12 Tháng Hai, 2009, 04:34:03 PM
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Con này hình như có lâu rồi nhưng giờ mới gặp nên giờ mới viết bài hướng dẫn được (thực ra là có mẫu của nó cách đây hơn hai tháng :D nhưng do lười nên :l>).

*********************************************
Biểu hiện của nó như sau:
- Thấy xuất hiện folder Bi mat với dung lượng là 244KB


- Không vào được Registry


Thử chạy Hijackthis nhưng không được, thử qua qua Process Explorer, bộ công cụ FastHelper của Lê Vũ Hoàng .... cũng thế, cứ hiện ra là biến mất, thậm chí có lúc còn không có phản ứng gì. Đổi tên cho mấy thằng (như bên virusvn nói) cũng không ăn thua :D

Không dùng được thằng này thì dùng thằng khác. Chạy qua thử IceSword thì ngon lành, thử tiếp với System Explorer cũng thế, cả hai chạy tốt. Nhưng dùng IceSword cho nó máu :))

Trước khi làm cần phải tắt System Restore và ngắt mạng <=== lúc nào cũng phải nghĩ đến nó đầu tiên  :D
************************************************
Đầu tiên, chọn Process để xem nó có những gì? Đây rồi, nó đây: IEXPLORERS.exe và thấy ngay vị trí của nó (xem cột PathName) --> ghi lại đường dẫn này:
C:\Windows\system32\IEXPORERS.exe



Giờ ta phải tắt cái Process này của nó đi thì mới làm ăn tiếp được. Chuột phải và Terminate Process --> Đã xong :))

Giờ thì theo đường dẫn đã ghi lại ở trên và Shift + Del nó đi:



Quay trở lại nơi phát hiện folder Bi mat kia và cũng Shift + Del luôn cho an toàn (nên dùng Winrar hoặc Total Comander).

Giờ tiếp tục vào Registry để xem nó có làm thay đổi gì ở trong đó không? Nhưng Registry đang bị khóa thì phải làm sao đây? Không lo, ta có hai cách:

1. Dùng ngay IceSword - nó đa năng lắm, có thể sục ngay vào Registry mà không cần quan tâm có bị khóa hay không.


2. Dùng VnFix - Công cụ tuyệt vời của người Việt :x


Sau khi lấy lại được Registry thì vào tìm các khóa Run, Runonce, Winlogon... trong các HKEY_CURRENT_USER và HKEY_LOCAL_MACHINE để xem. Sau một hồi tìm kiếm ta phát hiện thấy nó làm thay đổi key Winlogon trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersions.
Cụ thể là đây:
Shell giá trị đã bị thay đổi như trong hình: (thêm IEXPLORERS.exe).



Xóa giá trị thừa đi và giữ lại mỗi explorer.exe thôi.

Để giải quyết những hậu quả của nó (những file, folder do nó tạo ra) tránh nhiễm lại ta dùng ngay đến công cụ Search của Windows.
Start --> Search --> All files and folders
Ở ô: All or part of the file name gõ: *.exe
Look in: chọn tất cả các ổ
More advanced options: All files and foldes
Check vào cái: Search hidden files and folders
Và Search <=== đợi nó một tý.



Như trong hình, ta thấy nó tạo cả một con ở C:\Windows với dung lượng là 245KB <=== chỉ việc Shift + Del mà không cần quan tâm :))

Thế là đã xong đời con IEXPLORERS.exe :))

************************************************
Note: Ở đây, nếu ta dùng System Explorer và dùng tiện ích Snapshots (xem lại Tut hướng dẫn bên topic Ebook - Tài Liệu) để chụp lại sự thay đổi thì có thể thấy ngay sự thay đổi trong Registry mà con này đã làm (cụ thể là key Winlogon trong Windows NT). Nhưng thôi, ta làm mò cũng hay, càng hiểu về hệ thống :))
************************************************
Đang băn khoăn là không biết có nên upload mẫu lên đây cho mọi người mang về thử không? Vì như bạn nào đó cần kiểm nghiệm chẳng hạn...
************************************************






« Last Edit: 12 Tháng Hai, 2009, 04:38:37 PM by Linkin Park »

13 Tháng Hai, 2009, 09:55:45 AM
Reply #1
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em


Hình ảnh trong System Explorer để thấy sự thay đổi trong Registry <--> sẽ không còn phải mò từng key một nữa!

**********************************************
Một số hình ảnh về việc giả dạng icon của file ảnh :))