KINH NGHIỆM DIỆT VIRUS OLHRWEF

Các tập tin olhrwef.exe là một vi-rút tập tin phức tạp .. Tập tin này thường được gọi
Malware: W32.Kavoonn.Worm
• Thuộc họ: W32.Kavoo.Worm
• Loại: Worm
• Xuất xứ: Hoa Kỳ
• Ngày phát hiện mẫu: 07/03/2009
• Kích thước: 106Kb
• Mức độ phá hoại:Cao
Nguy cơ:
• Lấy cắp thông tin của người dùng.
Hiện tượng:
• Sửa registry.
• Không hiện được các file ẩn.
Cách thức lây nhiễm:
• Tự động lây nhiễm vào USB và các thiết bị lưu trữ khác.

TRIỆU CHỨNG
- Không mở được tập tin ẩn
- Có các tập tin lạ như: olhrwef.exe, nmdfgds0.dll, klif.sys (ngay cả khi Kasperky Antivirus không cài trên máy)…

PHÁT HIỆN
Vì cơ chế họat động của virus là khóa không cho mở tập tin ẩn, nên khó nhận biết hệ thống bị virus xâm nhập, do đó để kiểm tra:
-Vào Start > Run , gỏ lệnh MSCONFIG chuyển đến tab Startup. Nếu thấy có trình OHLRWEF.EXE được chọn khởi động cùng Windows có nghĩa là HĐH của bạn đã bị nhiễm virus.

PHƯƠNG PHÁP DIỆT
Bước 1:
Vào start > Run > gỏ MSCONFIG vào tab Startup bỏ ô chọn khởi động tập tin OLHRWEF.EXE, click OK nhưng chọn Exit Restart Later (khởi động hệ thống lại sau).

Bước 2
Vào Start > Run gỏ CMD để chuyển đến ổ C (dùng lệnh chuyển “cd”),
ví dụ: C:\Documents and Setting\ My Name\ cd C:\
-Sau khi vào ổ C gỏ tiếp lệnh “C:\ATTRIB –h –s *.* “để mở hết các tập tin hệ thống ẩn.
Trở lại My Computer, mở ổ C, lúc này tất cả tập tin ẩn xuất hiện, xóa các tập tin “lạ” như “autorun.inf.bak” , “p.exe”. “j3…bat”, “olhrwef.exe”…và tiếp tục chuyển qua các ổ kế tiếp xóa cho hết các tập tin như trên (nếu có).
-Xóa tập tin “klif.sys” chứa trong c:\Windows\system32\driver\..

Bước 3
Vào Start > Run > gỏ REGEDIT , mở hộp thọai Registry Editor, vào tab Edit > Find gỏ OLHRWEF ,nhấn Find Next để tìm xóa hết các key đăng ký của virus, cho đến khi có thông báo hoàn tất.
Vẫn ở hộp thoại Registry Editor, tìm đến khóa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Click phải vào giá trị “CheckedValue”, chọn Modify chỉnh số 0 thành 1 (mở lại tính chất hiên tập tin ẩn)
Tiếp mở khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSconfig\startup folder, xóa toàn bộ thư mục “cdoosoft”
Đóng hộp thoại Registry Editor.

Bước 4
Khởi động lại, chạy trình diệt virus mới nhất như BKAV 2399 hoặc BitDefender…

PHÒNG NGỪA
- Không cho ổ USB tự chạy và phải scan virus khi gắn ổ USB vào máy.
- Khi tải Games Online free nên tìm hiểu trước, để tránh bị cài virus này
- Tránh double click vào ổ dĩa, nên mở bằng Explorer
- Thường xuyên cập nhật trình diệt virus và scan hằng ngày, để phòng tránh biến thể của virus này.

Ghi chú: Nếu không thực hiện Bước 3 thủ công thì tài tập tin RestoreRegistry tại đây, sau khi tải về click phải chọn "Merge" hộp thoại yêu cầu xác nhận click OK, đóng ht lại

Nguyễn Hiếu