Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

[hrockvn]

Hôm rồi, có lẽ là nhân lúc tớ download ngoài mạng, một em virus cũng có lẽ là của Trung Quốc đã nhảy vào máy tớ. Sau khi vào máy tớ, ẻm làm máy tớ chậm khủng khiếp, chạy như rùa. Tớ phát hiện ra là em lây lan sang cả USB. Các hàn động của ẻm như sau:
- Ẻm tạo một file SVOHOST.EXE nằm trong C:\Windows\System32 bên cạnh file SVCHOST.EXE lam tớ tí nữa thì nhầm. File SVCHOST.EXE là file hệ thống, còn cái file kia, nó là đồ giả mạo, khac nhau mỗi chứ C mí chữ O. Đểu
- Ẻm tạo file sxs.exe và file autorun.inf trong tất cả các ổ trên máy mà ẻm nhận ra. Điều này lý giải vì sao mỗi lần tớ bung Ghost, cài lại máy,...thì tớ vẫn bị dính em (tớ cài đi cài lại tới 2 lần mới phát hiện ra hành vi của ẻm). Bởi vì có file autorun trong ổ, nên khi nhấn đúp chuột vào ổ nào đấy, nó sẽ thực thi file autorun này. File này sẽ load file sxs.exe và thế là tớ lại tiếp tục dính. Nó giống như khi bạn nhấn đúp chuột vào một đĩa CD cài chương trình, máy sẽ gọi file Autorun và từ đó làm theo lệnh của file autorun này. Tớ đã nghĩ đến trường hợp này khi mà tớ cài lại máy vẫn bị. Có điều chưa dệt được vì chưa biết nó là cái gì.


- Ẻm khóa, không cho tớ hiện các file ẩn. Tớ mở folder options để xem các file ẩn, vì khi tớ xem Processes của máy rõ ràng phát hiện thấy có file SVOHOST.EXE, xem trong StartUp cũng thấy thằng này. Nhưng khi check trong thư mục system32 thì chả thấy mô. Cứ chuyển nó về Show all hiden file cấi thì chỉ cần bấm OK là nó lại giấu đi. Đểu.
- Thỉnh thoảng, khi khởi đông máy em bung ra một hộp con con với cái chữ Runtim Error và thỉnh thoảng ẻ lại mở một trang web của Trung Quốc nào đó. Vì thế mà tớ mới gọi là virus của Trung Quốc. Nhưng ẻm cao tay ở chỗ, ẻm check coi có mạng không em mới mở site này. Còn không có mạng thì chỉ có cái hộp thoại đáng ghét khi khởi động thôi.

==> Kết quản là tớ rất bực mình. Tớ mí lên điễn đàn tin học nhờ các địa gia giúp. Chà, mới post lên cái đã có reply. Một bác chỉ cho tớ cái soft Reguard giá tới mấy chục đô cùng với cái link chỉ rõ là người ta biết diệt con virus đó nhưng cái link này chả nói diệt thế nào :-SS
Một bác bảo tớ diệt bằng AVG, nhưng tớ lại phải tài tới hơn 30Mb bản Pro cùng với mấy chục đô để mua. Hik. Chán. Một bác thì bảo tớ kill processes của nó đi, rùi mở folder options mà cho hiện lại các file ẩn. Hik, tớ đã làm từ lâu, có được mô.

Oài, tớ bực mình quá, chả thu được gì. Nhưng dù sao tớ cũng thử load cái Reguard về cài thử. Hik, nó lại càng khiến máy tớ chậm thêm ngàn lần. Thậm chí nó chậm hơn cả khi tớ không dính virus mà chỉ cài mình nó. Đã thế, mỗi lần khởi động nó lại scan mất tới 3 phút. Ai chờ nổi. Rồi thì nó nhận ra Unikey của tớ là "gián điệp". Hik ~x(
Hik, đành vậy, tớ phải mày mò mà diệt nó thôi.

Trước tiên, tớ biết nó nằm trong Registry nên tớ mới gõ Start +R sau đó gõ regedit để mở registry. Tớ bấm Ctrl +F để mở tìm kiếm. Tớ nhập vào svohost và bắt đầu tìm. Tìm được bất cứ cái nào liên quan đến file này tớ del sạch. Trong đó có khóa Autorun để nó load khi khởi động máy. Rứa là ok, nó không khởi động khi mở máy nữa.

Đến đây tưởng ngon. Ai ngờ nó vẫn còn, vì không thể hiện file ẩn ==> nó vẫn nằm mô đó, mà cụ thể là trong ổ C rôi (lúc đó tớ chưa nghĩ ra nó còn trong cả D mí E của tớ). Xem processes thì không còn nữa. Dù sao cũng bắt đầu khoái ẻm này.

Thế là tớ mí format quách cái ổ C, ngồi cài lại máy. Khi cài lại, khổ cái là ổ C không hề dính. Nhưng khi tớ nháy đúp vô ổ D để lấy bộ cài. Tớ mới phát hiện ra là nó không mở ổ D ra, chỉ nháy cái xong đứng im. Tớ mới tá hỏa, chít rồi, nó có cả mầm mống trong ổ này ==> Chắc chắn ổ E mình cũng dính. Mà khi nãy tớ lại làm cho nó xuất hiện trở lại vào ổ C roài . Rứa là công toi cái việc cài lại máy. Và quả nhiên khi tớ xem lại Processes (bấm Ctrl + Alt + Shift rồi chọn thẻ Processes) mí lại cái Folder Options thì thấy như cũ. Nhấn chuột phải vào ô D và E thấy có lệnh AutoPlay như là ổ CD ý, mặc định Windows làm gì có cái lệnh này ở ổ cứng. Đểu thật.

Oài, Nghĩ mà thấy mình ngu. Cái triệu chứng đó tớ phát hiện lâu rồi, nhưng tớ cứ nghĩ là chuột của mình đểu nên không nhận ra. Hà hà. Thế là đành cài lại máy phát nữa cho nó sạch sẽ. Lần này cài xong, rút kinh nghiệm. Tớ vào Control Panel trước. Mở Foder Options trong đó và bắt hiện tất cả các file ẩn lẫn file hệ thống bằng cách ở thẻ View chọn Show hidden files and folders và bỏ chọn dấu kiểm trước Hide protected operating system files (recommended) . Sau đấy, tớ nhấn menu Start, chọn Search ==> For Files or Folders. Cửa sổ tìm kiếm hiện ra. Tớ nhấn chuột vào All Files an Folder.


Tại khung All or part of the file name tớ gõ svohost.exe và tại phần More Advansed Options tớ chọn Search hidden files and folders. Rùi tớ bấm Enter. Nó search một lúc không ra. Roài, an tâm, chú này đã bị diệt.


Giờ là diệt em virus mầm mống trong cái ổ D và E. Lần này biết là nó có file autorun nên tớ không click đúp nữa. Tớ nhấn chuột phải vào ổ D chọn Open. Hà hà, ổ D mở ra, quả nhiên nó có file autorun.inf ở trong. Tớ del thẳng cánh lun. Mở tiếp ổ E, tớ lại thấy nó. Và bỗng dưng tớ lại thấy thêm một file sxs.exe nữa giống hệt bên ổ D. Thế là tớ mới mở cái file autorun này ra. Quả nhiên là nó gọi đến file sxs này. Giờ tớ mới biết vì sao mà mình lại dính lại virus khi đã cài lại máy. Tớ định del nó đi thì nghĩ lại "tội nghiệp" nó, nó "ăn ở" với mình tới mấy ngày lận. Giờ bỏ đi phí. Thế là tớ Rar anh em nhà nó lại làm kỷ niệm. Ruì sau đó tớ mới del nó đê.

Phù, công việc vẫn chưa xong. Nhấn chuột phải vào ổ D và E vẫn thấy lệnh AutoPlay, nghĩa là nó vẫn đang còn tàn dư trong máy. Tớ phải đảm bảo kô còn mầm mống nào nữa. Mà muốn thế thì cứ vào registry thôi. Tớ lại mở registry như khi nãy. Nhưng ở phần tìm kiếm tớ lại tìm với từ khóa sxs. Ngay lập tức bạn nhận được kết quả đầu tiên có địa chỉ: HKEY_CLASSES_ROOT\Interface\{C7CD7379-F3F2-4634-811B-703281D73E08}
Bên trong nó có khóa:


Ấy, đừng nóng. Đây là khóa của Win, không phải của em virus, đừng có xóa đi. Bấm F3 để tiếp tục tìm kiếm với cái từ khóa sxs. Lần này thì kết quả mong muốn hiện ra. Tại đường dẫn My Computer\HKEY_CURRENT_USER\Sofftware\Microsof\Cunr rentVersion\Explorer\MountPoints2 có tới hai mục con chứa dòng Auto và Command. Nhìn vào hình dưới, bạn có thấy nhánh con 0b1929a2... và ob1929a3.... của MountPoints2 không. Xóa thẳng tay nó đi nhá.


(String của AutoRun, có lệnh đến file sxs.exe trong system32)

Rùi, cuối cùng thì cũng xong rùi. Mệt cả người.

Các bạn thân mến. Tớ viết bài này để nếu anh dính ẻm virus này như tớ thì biết cách mà diệt. Tớ viết như thế này cho đỡ nhàm chứ nhiều khi nói hình sư quá đâm hoảng. Những chỗ tớ in đậm là đáng chú ý hoặc là làm theo như thế. Nếu có thắc mắc thì gọi tớ tớ trả lời. Cuối cùng thì bác mitom_boy ơi, vô đây mà coi cách diệt này (hik, tớ lây em này từ nhà bác mitom_boy nhà ta đấy ạ :-P). Phù, mệt quá. Đi ăn sáng phát. Chúc một ngày tốt lành.