Đọc bản PDF online tại đây http://www.scribd.com/doc/18539139/P...e-WwwthtndcOrg , đầy đủ hình ảnh hướng dẫn, màu mè.
Dưới đây chỉ có tếch không, không có ảnh :D
Ngày 08/08/2009, hackers đã đánh phá website của Tập Hợp Thanh Niên Dân Chủ www.thtndc.org. và Tạp chí Phía Trước www.phiatruoc.net
Trong một số trường hợp, người xem có thể bị hackers mời gọi cài đặt một số virus vào máy mà không biết, các chương trình này có thể đánh cắp, xóa bỏ thông tin cá nhân.
Tài liệu dưới đây do thành viên THTNDC biên soạn nhằm phân tích các kỹ thuật hackers đã sử dụng, cách hoạt động của virus, biện pháp khắc phục.
Mời các bạn xem và góp ý trao đổi thêm với ban Kỹ Thuật tại thtndc@gmail.com, hoặc với tác giả Trần Chinh Nhân tran.chinh.nhan@gmail.com
Tài liệu dành cho người sử dụng nắm rõ về hệ điều hành Windows.
1 DẤU HIỆU NHẬN BIẾT VIRUS
Trước khi tiến hành, hãy chỉnh Windows Explorer có thể show ra các file có thuộc tinh ẩn (hidden) và thuộc thính hệ thống (system) bằng cách vô Windows Explorer >> chọn Tools/Folder Option >> chọn tab View. Chọn show hidden files and folders và bỏ chọn hide protected operation system files (recommended).
Sau đó Kiểm tra sự tồn tại của các files sau:
c:\drv\cp.vbs
c:\drv\chatpols.exe
c:\drv\cpolsvc.exe
c:\drv\cpol.exe
và
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong 2 thư mục C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
!!! NẾU MÁY TINH CÓ CHỨA MỘT SỐ TRONG CÁC FILE TRÊN THÌ MÁY TINH ĐÃ BỊ NHIỄM VIRUS!
Ngoài ra virus còn lưu 1 file nữa dưới ngụy trang dưới dạng một Windows Service của Yahoo là Yahoo Auto Updater.
Kiểm tra bằng cách kiểm tra sự tồn tại của file sau :
C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Hoặc có thể vào Control Panel/Administrative Tool/Services, kiểm tra xem service này có tồn tại và đã được start hay không.
2 Cách thức hoạt động của virus.
Cách thức virus lây nhiễm vào máy tính nạn nhân có thể thay đổi và rất đa dạng. Dưới đây là cách thức hacker đã tiến hành đối với www.thtndc.org.
Trang chủ www.thtndc.org bị mất quyền kiểm soát, hacker sẽ chèn 2 đoạn mã vào trang chủ, 2 đoạn mã này có chứ năng tương tự nhau.
Đoạn mã thứ nhất được viết bằng VBSCRIPT có chức năng download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg
Đây là 2 file .exe nhưng có đuôi là .jpg để ngụy trang.
Sau đó đổi đuôi 2 files này thành .exe và thực thi 2 file này nhằm lây nhiễm virus vào máy người dùng.
Đoạn mã thứ hai chứa các lênh DOS thông thường để tạo tập tin C:\drv\cp.vbs
Tập tin CP.VBS này khi thực thi sẽ download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg
Đoạn mã thứ 2 này chính là các lênh DOS được nhúng trong tham sô truyền cho 1 JAVA APPLET có tên là CHATROOMCLIENT.JAR. JAVA APPLET này sẽ thực thi đoạn mã DOS được truyền vào nhằm tạo C:\drv\cp.vbs
Process = Runtime.getRuntime().exec(s);
Sau đó C:\drv\cp.vbs sẽ được thực thi. Và CP.VBS hoạt động tương tự như đoạn mã thứ nhất đó là download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg. Sau đó đổi đuôi 2 files này thành .exe và thực thi 2 file này nhằm lây nhiễm virus vào máy người dùng.
Mục đích của việc sử dụng JAVA APPLET là trong trường hợp người dùng không dùng trinh duyệt Internet Explorer thì đoạn mã thứ nhất không được thực thi >>> đoạn mã thứ nhất vô tác dung. Nhưng nếu người dùng sử dụng trinh duyệt khác và có hỗ trợ JAVA thì đoạn mã thứ 2 này sẽ được thực thi và virus vẫn được lây nhiễm vào máy tính.
Files CPOL.EXE khi thực thi sẽ tạo ra các file sau:
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
Sau đó CPOL.EXE sẽ trao quyền điều khiển cho MSASCui32.exe, MSASCui32.exe sau đó sẽ chạy SERVICES32.EXE, MOBSYNCH.EXE, WUAUCLT32.EXE
Các tiến trình này được ngụy trang dưới dạng Windows Update Manager for NT, MS Synchronization Manager, Services and Controller app, Windows Defender UI. Nên bình thường rất khó phát hiện ra chúng.
Tất cả các tiến trinh trên đều có thể gọi lẫn nhau, nếu 1 trong các tiến trinh trên bị kill thì tiến trình còn lại sẽ tạo tại lại nó nên dù người dung có tắt đi 1 tiến trình thì cũng không ảnh hưởng gì.
Ngoài ra các tiến trinh này còn tạo các khóa trong registry nhằm kích hoạt chính nó mỗi khi máy tính khỏi động. Các khóa sau sẽ được tạo trong registry.
Trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong
[HKEY_USERS\S-1-5-21-1780768457-1098002935-3264248638-1006\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong các tiến trình trên thì MSASCUI32.EXE và WUAUCLT32.EXE sẽ đóng vai trò liên lạc tới máy chủ thu thập dữ liệu và điều khiển của chủ nhân virus này. Còn SERVICES32.EXE, MOBSYNCH.EXE sẽ đóng vai trò bảo vệ cho MSASCui32.exe và WUAUCLT32.EXE một khi chúng bị kill.
MSASCUI32.EXE và WUAUCLT32.EXE sẽ tạo kết nối tới
59.36.101.217 (dmv00138.lunarservers.com)
209.200.238.221 (dmv00058.lunarservers.com)
Qua 1 trong 2 cổng tại server là 8585 và 2121
Giao thức là TCP
LUNARSERVERS.COM là một nhà cung cấp dịch vụ chuyên cho thuê server,
ngoài ra MSASCui32.exe có khả năng còn liên lạc đến các server sau:
danchimviet.dnsalias.org:8585
yahoo.blogdns.net:8585
voanews.ath.cx:8585
ymail.ath.cx:8585
MSASCUI32.EXE và WUAUCLT32.EXE có thể sẽ thu thập thông tin cá nhân, thông tin bảo mật từ máy người dùng để chuyển tới server hoăc có thể nhận chỉ thị từ server để thực hiên theo yêu cầu của chủ nhân virus.
File CPOLSVC.EXE khi thực thi sẽ tự động tạo 1 file ngụy trang dưới dạng trình update của Yahoo Messenger nằm trong C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Sau đó CPOLSVC.EXE sẽ cài đặt YUPDATER.EXE dưới dạng 1 Windows Service. Tên là Yahoo Auto Updater.
YUPDATER.EXE cũng thiết lập kết nối tơi
59.36.101.217 (dmv00138.lunarservers.com)
209.200.238.221 (dmv00058.lunarservers.com)
Qua 1 trong 2 cổng tại Server là 8585 và 2121
Và có chức năng tương tự như MSASCui32.exe
Mục đích của việc cài đặt thêm YUpdater.exe dưới dạng Windows Service của Yahoo là nhằm tránh bị chương trinh Anti Virus phát hiện.
Toàn bộ mã nguồn virus được viết bằng Visual Basic 6 có sử dụng thư viện Winsock để giao tiếp mạng. Virus này hoạt đông tương tự virus từ trang www.mangykien.net nhưng cách thức lây nhiễm về máy có khác đôi chút.
3 Cách khắc phục virus
Trước tiên cần kill các process virus đang chạy đó là MSASCUI32.EXE, SERVICES32.EXE, MOBSYNCH.EXE, WUAUCLT32.EXE. phải kill MSASCUI32.EXE vì MSASCui32.exe là cha của 3 process còn lại và đồng thời kill luôn 3 process còn lại.
Do MSASCui32.exe có thể không nhìn thấy được trong Task Manager và chúng ta cần phải kill đông loạt các tiến trinh trên cùng một lúc nên chúng ta cần 1 công cụ khác để làm điều này.
Cách đơn giản nhất là dùng phần mềm Procexp download tại http://technet.microsoft.com/en-us/s.../bb896653.aspx (link từ Microsoft.com có thể bảo đảm)
Sau khi chay Procexp, chúng ta sẽ thấy các process virus như hình sau. Click chuột phải vô MSASCui32.exe >>> chọn Kill Process Tree. Tự động 3 process con của nó cũng sẽ bị kill.
Sau đó vào Control Panel/Administrative Tool/Services, Stop và disable Service Yahoo Auto Updater.
Hoặc có thể uninstall service này luôn băng cách tải công cụ installutil.exe từ Microsoft
Sau đó chạy lệnh sau để uninstall : installutil /u YUpdater.exe
Sau đó xóa các file virus trong các thư mục sau:
c:\drv\cp.vbs
c:\drv\chatpols.exe
c:\drv\cpolsvc.exe
c:\drv\cpol.exe
và
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong 2 thư mục C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
Và xóa C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Cuối cung là xóa các khóa sau trong registry.
Trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Chinh Nhân
Thành viên Tập Hợp Thanh Niên Dân Chủ
tran.chinh.nhan@gmail.com
-------
<<::: coi xem có bị nhiễm không ??? nhìn virus thấy ớn ... >>>>
Dưới đây chỉ có tếch không, không có ảnh :D
Ngày 08/08/2009, hackers đã đánh phá website của Tập Hợp Thanh Niên Dân Chủ www.thtndc.org. và Tạp chí Phía Trước www.phiatruoc.net
Trong một số trường hợp, người xem có thể bị hackers mời gọi cài đặt một số virus vào máy mà không biết, các chương trình này có thể đánh cắp, xóa bỏ thông tin cá nhân.
Tài liệu dưới đây do thành viên THTNDC biên soạn nhằm phân tích các kỹ thuật hackers đã sử dụng, cách hoạt động của virus, biện pháp khắc phục.
Mời các bạn xem và góp ý trao đổi thêm với ban Kỹ Thuật tại thtndc@gmail.com, hoặc với tác giả Trần Chinh Nhân tran.chinh.nhan@gmail.com
Tài liệu dành cho người sử dụng nắm rõ về hệ điều hành Windows.
1 DẤU HIỆU NHẬN BIẾT VIRUS
Trước khi tiến hành, hãy chỉnh Windows Explorer có thể show ra các file có thuộc tinh ẩn (hidden) và thuộc thính hệ thống (system) bằng cách vô Windows Explorer >> chọn Tools/Folder Option >> chọn tab View. Chọn show hidden files and folders và bỏ chọn hide protected operation system files (recommended).
Sau đó Kiểm tra sự tồn tại của các files sau:
c:\drv\cp.vbs
c:\drv\chatpols.exe
c:\drv\cpolsvc.exe
c:\drv\cpol.exe
và
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong 2 thư mục C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
!!! NẾU MÁY TINH CÓ CHỨA MỘT SỐ TRONG CÁC FILE TRÊN THÌ MÁY TINH ĐÃ BỊ NHIỄM VIRUS!
Ngoài ra virus còn lưu 1 file nữa dưới ngụy trang dưới dạng một Windows Service của Yahoo là Yahoo Auto Updater.
Kiểm tra bằng cách kiểm tra sự tồn tại của file sau :
C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Hoặc có thể vào Control Panel/Administrative Tool/Services, kiểm tra xem service này có tồn tại và đã được start hay không.
2 Cách thức hoạt động của virus.
Cách thức virus lây nhiễm vào máy tính nạn nhân có thể thay đổi và rất đa dạng. Dưới đây là cách thức hacker đã tiến hành đối với www.thtndc.org.
Trang chủ www.thtndc.org bị mất quyền kiểm soát, hacker sẽ chèn 2 đoạn mã vào trang chủ, 2 đoạn mã này có chứ năng tương tự nhau.
Đoạn mã thứ nhất được viết bằng VBSCRIPT có chức năng download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg
Đây là 2 file .exe nhưng có đuôi là .jpg để ngụy trang.
Sau đó đổi đuôi 2 files này thành .exe và thực thi 2 file này nhằm lây nhiễm virus vào máy người dùng.
Đoạn mã thứ hai chứa các lênh DOS thông thường để tạo tập tin C:\drv\cp.vbs
Tập tin CP.VBS này khi thực thi sẽ download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg
Đoạn mã thứ 2 này chính là các lênh DOS được nhúng trong tham sô truyền cho 1 JAVA APPLET có tên là CHATROOMCLIENT.JAR. JAVA APPLET này sẽ thực thi đoạn mã DOS được truyền vào nhằm tạo C:\drv\cp.vbs
Process = Runtime.getRuntime().exec(s);
Sau đó C:\drv\cp.vbs sẽ được thực thi. Và CP.VBS hoạt động tương tự như đoạn mã thứ nhất đó là download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg. Sau đó đổi đuôi 2 files này thành .exe và thực thi 2 file này nhằm lây nhiễm virus vào máy người dùng.
Mục đích của việc sử dụng JAVA APPLET là trong trường hợp người dùng không dùng trinh duyệt Internet Explorer thì đoạn mã thứ nhất không được thực thi >>> đoạn mã thứ nhất vô tác dung. Nhưng nếu người dùng sử dụng trinh duyệt khác và có hỗ trợ JAVA thì đoạn mã thứ 2 này sẽ được thực thi và virus vẫn được lây nhiễm vào máy tính.
Files CPOL.EXE khi thực thi sẽ tạo ra các file sau:
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
Sau đó CPOL.EXE sẽ trao quyền điều khiển cho MSASCui32.exe, MSASCui32.exe sau đó sẽ chạy SERVICES32.EXE, MOBSYNCH.EXE, WUAUCLT32.EXE
Các tiến trình này được ngụy trang dưới dạng Windows Update Manager for NT, MS Synchronization Manager, Services and Controller app, Windows Defender UI. Nên bình thường rất khó phát hiện ra chúng.
Tất cả các tiến trinh trên đều có thể gọi lẫn nhau, nếu 1 trong các tiến trinh trên bị kill thì tiến trình còn lại sẽ tạo tại lại nó nên dù người dung có tắt đi 1 tiến trình thì cũng không ảnh hưởng gì.
Ngoài ra các tiến trinh này còn tạo các khóa trong registry nhằm kích hoạt chính nó mỗi khi máy tính khỏi động. Các khóa sau sẽ được tạo trong registry.
Trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong
[HKEY_USERS\S-1-5-21-1780768457-1098002935-3264248638-1006\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong các tiến trình trên thì MSASCUI32.EXE và WUAUCLT32.EXE sẽ đóng vai trò liên lạc tới máy chủ thu thập dữ liệu và điều khiển của chủ nhân virus này. Còn SERVICES32.EXE, MOBSYNCH.EXE sẽ đóng vai trò bảo vệ cho MSASCui32.exe và WUAUCLT32.EXE một khi chúng bị kill.
MSASCUI32.EXE và WUAUCLT32.EXE sẽ tạo kết nối tới
59.36.101.217 (dmv00138.lunarservers.com)
209.200.238.221 (dmv00058.lunarservers.com)
Qua 1 trong 2 cổng tại server là 8585 và 2121
Giao thức là TCP
LUNARSERVERS.COM là một nhà cung cấp dịch vụ chuyên cho thuê server,
ngoài ra MSASCui32.exe có khả năng còn liên lạc đến các server sau:
danchimviet.dnsalias.org:8585
yahoo.blogdns.net:8585
voanews.ath.cx:8585
ymail.ath.cx:8585
MSASCUI32.EXE và WUAUCLT32.EXE có thể sẽ thu thập thông tin cá nhân, thông tin bảo mật từ máy người dùng để chuyển tới server hoăc có thể nhận chỉ thị từ server để thực hiên theo yêu cầu của chủ nhân virus.
File CPOLSVC.EXE khi thực thi sẽ tự động tạo 1 file ngụy trang dưới dạng trình update của Yahoo Messenger nằm trong C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Sau đó CPOLSVC.EXE sẽ cài đặt YUPDATER.EXE dưới dạng 1 Windows Service. Tên là Yahoo Auto Updater.
YUPDATER.EXE cũng thiết lập kết nối tơi
59.36.101.217 (dmv00138.lunarservers.com)
209.200.238.221 (dmv00058.lunarservers.com)
Qua 1 trong 2 cổng tại Server là 8585 và 2121
Và có chức năng tương tự như MSASCui32.exe
Mục đích của việc cài đặt thêm YUpdater.exe dưới dạng Windows Service của Yahoo là nhằm tránh bị chương trinh Anti Virus phát hiện.
Toàn bộ mã nguồn virus được viết bằng Visual Basic 6 có sử dụng thư viện Winsock để giao tiếp mạng. Virus này hoạt đông tương tự virus từ trang www.mangykien.net nhưng cách thức lây nhiễm về máy có khác đôi chút.
3 Cách khắc phục virus
Trước tiên cần kill các process virus đang chạy đó là MSASCUI32.EXE, SERVICES32.EXE, MOBSYNCH.EXE, WUAUCLT32.EXE. phải kill MSASCUI32.EXE vì MSASCui32.exe là cha của 3 process còn lại và đồng thời kill luôn 3 process còn lại.
Do MSASCui32.exe có thể không nhìn thấy được trong Task Manager và chúng ta cần phải kill đông loạt các tiến trinh trên cùng một lúc nên chúng ta cần 1 công cụ khác để làm điều này.
Cách đơn giản nhất là dùng phần mềm Procexp download tại http://technet.microsoft.com/en-us/s.../bb896653.aspx (link từ Microsoft.com có thể bảo đảm)
Sau khi chay Procexp, chúng ta sẽ thấy các process virus như hình sau. Click chuột phải vô MSASCui32.exe >>> chọn Kill Process Tree. Tự động 3 process con của nó cũng sẽ bị kill.
Sau đó vào Control Panel/Administrative Tool/Services, Stop và disable Service Yahoo Auto Updater.
Hoặc có thể uninstall service này luôn băng cách tải công cụ installutil.exe từ Microsoft
Sau đó chạy lệnh sau để uninstall : installutil /u YUpdater.exe
Sau đó xóa các file virus trong các thư mục sau:
c:\drv\cp.vbs
c:\drv\chatpols.exe
c:\drv\cpolsvc.exe
c:\drv\cpol.exe
và
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong 2 thư mục C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
Và xóa C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Cuối cung là xóa các khóa sau trong registry.
Trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Chinh Nhân
Thành viên Tập Hợp Thanh Niên Dân Chủ
tran.chinh.nhan@gmail.com
-------
<<::: coi xem có bị nhiễm không ??? nhìn virus thấy ớn ... >>>>
