Cách duyệt virus

doc 11 trang phuongnguyen 4810
Bạn đang xem tài liệu "Cách duyệt virus", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • doccach_duyet_virus.doc

Nội dung text: Cách duyệt virus

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crsss" = "C:\WINDOWS\system32\Systom.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedVa lue" = "0" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows \CurrentVersion\Policies\System\"DisableTaskMgr" = "1" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows \CurrentVersion\Policies\WindowsUpdate\"DisableWindowsUpdateAccess" = "1" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced\"Hidden" = "0" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced\"HideFileExt" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crsss" = "C:\WINDOWS\system32\Systom.exe" HKEY_USERS\S-1-5-21-1150637735-552541835-915212665- 500\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_USERS\S-1-5-21-1150637735-552541835-915212665- 500\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\"DisableWindowsUpdateAccess" = "1" HKEY_USERS\S-1-5-21-1150637735-552541835-915212665- 500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0" HKEY_USERS\S-1-5-21-1150637735-552541835-915212665- 500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1" Trojan.Fotomoto.E Mức độ nguy hiểm : Cao Tốc độ lây lan : Cao Kích thước : Khoảng 100 kb Thời điểm xuát hiện : 19/10/2007 Kỹ Thuật Phần Mềm @ 11/15/2007 | 7 Views | 0 Comments Trojan.Fotomoto.E (Trang 1 trong 1) Đóng Trojan.Fotomoto.E Mức độ nguy hiểm : Cao Tốc độ lây lan : Cao Kích thước : Khoảng 100 kb Thời điểm xuát hiện : 19/10/2007 1 Các triệu chứng khi bị nhiễm: Virus đặt một khóa với tên "DomainService" trong hệ thống với đường dẫn sau : "HKLM\Sytem\CurentControlSet\Services". Với hình thức chạy trong hệ thống như là một ứng dụng nào đó của Window ,với cái tên xuát hiện trong Task Manager là “DDC”. 2 Thông tin kĩ thuật: Trojan.Fotomoto là một Trojan được kết hợp các thành phần như : Phần mềm theo dõi, phần mềm quảng cáo và có
  2. chức năng tự động mở nhiều cửa sổ các trang web lạ mà bạn không hề truy cập đến. Nếu máy tính của bạn không may nhiễm phải Trojan này thì máy bạn sẽ có những triệu chứng sau: A: Nó sẽ làm công việc truy cập ngẫu nhiên các file được chứa trong thư mục tạm của hệ thống ở vị trí sau “%windows%\temp”. Và dựa vào những thông tin cá nhân mà nó lấy được trong các file chứa trong thư mục tạm này như: Thông tin cấu hình máy,user,password,mã pin, mã tài khoản Các thông tin này sẽ được chuyển lên internet và truyền đến người chủ của Trojan này nhằm phục vụ cho những ý đồ xấu như : Lấy cắp tài khoảng ngân hàng, quảng cáo các trang web đen dựa vào địa chỉ I P đã được lập trình sẵn ví dụ như (23.244.141. ) ,trojan sẽ chuyển đến chính xác nơi nó cần đến. B: Nó sửa đổi một vài vị trí trong registry như HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "SFCDisable" = "4" Với việc sửa đổi này nó có thể tắt chức năng kiểm tra các file lạ của Window và có thể thay đổi cấu hình trong hệ thống . C: Nó khởi tạo một số khóa mới trong Rygistry : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService\db_number HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService\domains_list HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService\installation_id HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService\internal_affiliate_id HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService\next_url_post_time HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService\user_id HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\Description with value “DomainService” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\DisplayName with value “DomainService” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\ErrorControl HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\FailureActions HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\ImagePath with the value of the executed malware HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\ObjectName HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\Start HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\Type HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DomainService\Security D: Nó tạo ra một số một số process và chạy chúng như một ứng dụng ,và liên tục chạy các process của nó làm cho hệ thống của bạn ì ạch hơn. Nếu bạn tắt các process này thì hệ thống sẽ tự khởi động lại ,vì các process này đã được chuyển đổi giống như các process quan trong của Window. E: Nó liên tục tải xuống các phần mềm có hại khác và chứa trong “%Temp%\aupddc.exe” và chuyển các file này vào “HKCU\Software\Microsoft\Windows\CurrentVersion\Run của Rygistry. Các file này sẽ chạy mỗi khi máy máy của bạn khởi động. 3 Cách diệt Trojan này :
  3. Bạn có thể diệt Trojan này bằng cách xóa chúng bằng tay, dựa vào thông tin bên trên bạn có thể tìm đến nơi có chứa Troyjan xóa các khóa mà nó tạo ra ,hay vào file tạm xóa các file mà nó dowload xuống, nhớ tắt chức năng System Restore trong System properties ,tốt nhất là vào safe mode để thực hiện công việc này. Cách 2 hiệu quả và nhanh hơn :Bạn chọn một chương quét virus nào đó phù hợp với cấu hình máy bạn sau đó cài đặt,update và quét,nếu máy có cấu hình mạnh thì có thể dùng Bitdefender ,kapersky, nếu máy hơi yếu thì dùng Nod32,antivir Theo Bitdefender xuyendc This malware may arrived in the system as a file downloaded from the Internet, as a file copied into a removable disk drives or maybe dropped by other malicious files in the system. Upon execution, this malware infects all .EXE files in the system. It drops the following malicious component files in the system. C:\autorun.inf C:\setup.exe %Windows%\Logo1_.exe %Windows%\uninstall %Windows%\uninstall\rundl132.exe %Windows%\system\internat.exe It then creates the following registry entry to be able to execute itself every start-up. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run load "C:\WINDOWS\uninstall\rundl132.exe" This malware also drops a copy of itself as setup.exe in all drives and removable disk drives in the system. It then attempts to download other Trojan Spyware files at this URLs below. {BLOCKED}.com/mylm.exe {BLOCKED}.com/mhlm.exe {BLOCKED}.com/00001.exe {BLOCKED}.com/00002.exe {BLOCKED}.com/00003.exe {BLOCKED}.com/00004.exe {BLOCKED}.com/00005.exe {BLOCKED}.com/00006.exe {BLOCKED}.com/00007.exe W32/Hybris-F Worm
  4. Summary Name W32/Hybris-F Worm Type Protection available since August 2001 Detected by All versions of Sophos Anti-Virus Included in our products from September 2001 (3.49) Description Recovery Summary Description Recovery This section tells you how to remove the threat. Please follow the instructions for removing worms. Windows NT/2000/XP To close the spiral in Windows NT/2000/XP press Ctrl-Alt-Del to access the Task Manager, select the relevant process and then click the "End Task" button. The process will have a name consisting of eight random characters, e.g. FHJENJXE. A file with this name (and a .EXE extension) will be in the Windows system directory. This should be deleted. Also, in the win.ini file, which can be found in the Windows directory, there will be a run= line that points to this EXE file. Delete the file name from that line. Now remove any other worm files using the Windows NT/2000/XP instructions for removing worms. You will need to replace WSOCK32.DLL. Copy it from your original installation media or a clean computer. Windows 95/98/Me To close the spiral you will have to go into DOS mode and you will need SWEEP for DOS. Either download the Emergency SAV distribution and unzip it, or create a folder 'Sophtemp' and copy the contents of the DOS folder on the CD into it. a) On Windows 95/98 Go to the Start menu and select Shut Down. Choose the option "Restart the computer in DOS mode". Starting a Command Prompt (a DOS window) is not enough.
  5. b) On Windows Me You cannot go directly into MS-DOS mode in Windows Me. You must create a startup disk to boot from. At the Windows taskbar, select Start|Settings|Control Panel. Click on "Add/Remove Programs". Select the "Startup Disk" tab and press the "Create Disk" button. When you have created the startup disk, write-protect it. Place it in the A: drive and reboot to a command prompt. At the DOS prompt type C: CD \ CD SOPHTEMP SWEEP *: -REMOVEF Say 'Yes' when prompted to delete a file (provided it is a W32/Hybris-B file). Make a note of its name. Reboot to Windows. In the win.ini file, which can be found in the Windows directory, there will be a run= line that points to the file that you deleted above. Delete the file name from that line. You will need to replace WSOCK32.DLL. Copy it from your original installation media or a clean computer. Other platforms Please follow the instructions for removing worms. Cách diệt W32.Mabezat.A Phát hiện: July 23 2007 3:22:12 PM Kiểu: Spyware Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau: • %System%\salo.exe • %SystemDrive%\1.txt • %DriveLetter%\My documents .exe • %DriveLetter%\Readme.doc .exe • %DriveLetter%\tazebama.exe Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit,salo.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" Tiếp theo nó sẽ khởi tạo file sau vào tất cả các file trên ổ cứng • %DriveLetter%\My documents .exe
  6. • %DriveLetter%\Readme.doc .exe • %DriveLetter%\tazebama.exe %DriveLetter%\autorun.inf Phá hủy tất cả các file có đuôi mở rộng • .hlp • .pdf • .html • .txt • .aspx.cs • .aspx • .psd • .mdf • .rtf • .htm • .ppt • .php • .asp • .pas • .h • .cpp • .xls • .doc • .rar • .zip Những khuyến cáo: - Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống : Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server. - Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng. - Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp. - Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính. - Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr). - Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy. - Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
  7. Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ quét 1. Click Start > Run. 2. Type regedit 3. Click OK. 4. Tìm đến file và chỉnh sủa lại khóa sau HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit,salo.exe" Thoát khỏi regedit Cách diệt W32.Proyo Phát hiện: November 2, 2007 Cập nhật: November 3, 2007 1:10:11 AM Kiểu: Virus Có kích thước khoảng : 45,056 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau: %System%\oyo.exe Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.com\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\"Debugger" = "0"
  8. · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.com\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rav.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe\"Debugger" = "0" · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\"Debugger" = "0"
  9. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\S HOWALL\"CheckedValue" = "0" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1- 08002BE10318} Virut tìm kiếm tất cả các file có đuôi mở rộng .exe and .scr trên tất cả các ổ đĩa và khởi tạo file có size 45,056 bytes · WINDOWS · WINNT · COMMON FILES Và khởi tạo thêm file sau %DriveLetter%\oyo.exe: %DriveLetter%\autorun.inf Mỗi lần Windows khởi động sẽ tự động mở file sau OPEN=oyo.exe Những khuyến cáo: - Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống : Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server. - Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng. - Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp. - Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính. - Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr). - Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy. - Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
  10. Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét 1. Click Start > Run. 2. Type regedit 3. Click OK. 4. Tìm đến và chỉnh sửa lại regedit HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1- 08002BE10318} 5. Tìm đến và chỉnh sửa lại regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\S HOWALL\"CheckedValue" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.com\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.com\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rav.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
  11. Options\RavTask.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe\"Debugger" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\"Debugger" = "0" 6. Thoát khỏi regedit