Lỗi autoplay

**vuminhhai** · 16-12-2006, 06:24 PM

Phiền nhất là mỗi khi quen tay click đúp mouse vào ổ đĩa là nó lại báo virus.
Vi rus giờ nhiều quyas, diệt không xuể.
to Hrockvn: Anh đã dùng bkav thử diệt lâu rồi nhưng không hiệu quả, diệt xong lại có lại thôi. Chú xem có phần mềm nào diệt triệt để không?

**hrockvn** · 17-12-2006, 11:24 AM

Gửi bởi Pisces

Con Virus cũng ko gây ra hậu quả gì phiền phức lắm :/

Với người dùng bình thường và không có mạng thì chẳng có gì phiền. Nhưng với dân IT, sẽ không thể hiển thị các file ẩn. Với người dùng mạng thì thỉnh thoảng nó nhảy ra một site của TQ. Bực không.

Gửi bởi vuminhhai

Phiền nhất là mỗi khi quen tay click đúp mouse vào ổ đĩa là nó lại báo virus.
Vi rus giờ nhiều quyas, diệt không xuể.
to Hrockvn: Anh đã dùng bkav thử diệt lâu rồi nhưng không hiệu quả, diệt xong lại có lại thôi. Chú xem có phần mềm nào diệt triệt để không?

Đây là info về chú này:

%windir%\svohost.exe
SVOHOST.EXE is a Trojan.Joex.
SVOHOST.EXE changes the Internet Explorer home page.
SVOHOST.EXE disables the Windows Task Manager.
Related files:
%Windir%\SVOHOST.EXE
%System%\commamd.exe
%System%\lsasa.exe
Adds the value:
"ctfnom.exe" = "%Windir%\SVOHOST.exe"
"Shell" = "Explorer.exe commamd.exe"
"command" = "%System%\lsasa.exe "%1""
to the Windows startup registry keys.
More info: http://securityresponse.symantec.com/avc...
Removal:
Kill SVOHOST.EXE process and remove SVOHOST.EXE from Windows startup using RegRun Startup Optimizer.

(Tài liệu trên mạng)
ANh có thể dùng RegRun để diệt nhưng cái này không free. AVG thấy bảo diệt đc nhưng em chưa test.
Nếu không đc thì cứ làm bằng tay như em hướng dẫn. Thế cũng đc, hơi mất công tí chút. Chú BKAV chỉ nhận ra đc thôi, vào SafeMode cũng không diệt đc.
http://www.greatis.com/appdata/d/_/_...xe_Removal.htm
Đây là một cách khác (thật ra giống cái em vừa ghi ở trên nhưng cụ thể hơn)

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing at startup.

If the registry entries below are not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
In the right panel, locate and delete the entry:
SoundMam = "%System%\SVOHOST.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP and Server 2003.)
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL
In the right panel, locate the entry:
CheckedValue = "0"
Right-click on the said entry and choose Modify. Change the value to:
CheckedValue = "1"
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\srservice
In the right panel, locate the entry:
Start = "4"
Right-click on the said entry and choose Modify. Change the value to:
Start = "2"
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\wscsvc
In the right panel, locate the entry:
Start = "4"
Right-click on the said entry and choose Modify. Change the value to:
Start = "2"
Close Registry Editor.

Restoring AUTORUN.INF
Right-click Start then click Search... or Find..., depending on the version of Windows you are running.
In the Named input box, type:
AUTORUN.INF
In the Look In drop-down list, select the drive that contains Windows, then press Enter.
Once located, select the file and check if it is the located in the drive where the malware was detected earlier.
Once verified, open using Notepad. Note that this malware drops the said file in all available removable drives.
Delete the following entries created by the malware:

[AutoRun]
open = sxs.exe
shellexecute= sxs.exe
shell\Auto\command=sxs.exe
Close the file and click Yes when prompted to save.

Xem Hồ sơ · 17-12-2006, 03:36 PM

Gửi bởi hrockvn

Với người dùng bình thường và không có mạng thì chẳng có gì phiền. Nhưng với dân IT, sẽ không thể hiển thị các file ẩn. Với người dùng mạng thì thỉnh thoảng nó nhảy ra một site của TQ. Bực không.

Thì nhà em cũng dùng mạng mà :

. Cái chuyện file ẩn, em luôn cho nó hiển thị từ sau khi cài win nên ko ảnh hưởng gì

, phát hiện ra ngay.
Cái này cũng chỉ là 1 dạng virus quảng cáo nên ko gây ra hậu quả gì đáng kể lắm.