secmask wrote:

à, em mới xem lại, trên fedora (và có lẽ trên các distro khác nữa) thì các entry set manual được được nháy thêm cái "PERM"

chắc là tương đương với cái "static" bên windows
 

Đúng rồi em. PERM là viết tắt của từ Permanent.

PS:
- Trên Linux, sao không copy đoạn lệnh em gõ, đưa vào giữa tag [ code ] [ /code ] cho nhanh, lại mất công chụp màn hình rồi up lên photobucket làm gì em?
- Command Prompt ở Windows thì dùng chế độ Mark, copy-paste như thường. 

Con này tự kích hoạt khi vào win bằng cách để một file ~.exe (100kb) trong startup.

Cách diệt:
1.1: Vào DOS del cái file ~.exe, autorun.inf và các file pagefile.pif trong các ổ ròi khởi động lại máy là ok.

1.2: Vào tới win rồi thì tìm tất cả các file được tạo ra trong ngày trong C:\WINDOWS rồi del hết hoặc dùng KAV mới update quét để dọn nốt mấy file của nó trong. Nghe nói nó còn lây cả file nhưng máy của mình kô thấy. chắc là do mình diệt nó hơi sớm nên nó chưa kip phá

2. Nếu kô muốn vào DOS thì dùng Local Security Policy của Window để khóa cái file pagefile.pif rồi restart lại máy --> tìm đến các ổ xóa autorun.inf, pagefile.pif, và startup xóa ~.exe. --> quay lại bước 1.2

Đơn giản thế thôi . chán, chả có ai chơi trò này cùng mình thiệt là mất hứng.

Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C )
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này

2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.

2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).

2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa )
- Nhấn OK.
- Restart lại máy. (Xong) 

- Trên dấu cách đánh lệnh netstat -an (Thảm khảo các lệnh vể NET có thể đánh thêm lệnh NET HELP)
- Nếu trên Command Prompt xuất hiện rất nhiều kết nối đến các địa chỉ IP khác nhau thì chứng tỏ máy bạn có nhiễm loại virus chiếm dung lượng đường chuyền.


Một vài y kiến, Chúc bạn thành công.
 

rất ý nghĩa cho mình đấy

Hoàng nhận được khá nhiều thắc mắc là tại sao quét rồi, đã phát hiện và diệt rồi nhưng quét lại vẫn bị.

Hoàng đề nghị thực hiện theo các bước sau trước khi tiến hành khi quét virus:
1. Ngắt máy tính ra khỏi mạng (để tránh lây từ các máy khác)
2. Rút các thiết bị lưu trữ USB (như Flash Drive)
3. Tắt chế độ System Restore
4. Khởi động vào Safe Mode
5. Scan máy