Dấu hiệu :
1. Tạo file autoruns.inf (File này được thiết lập chế độ ẩn) trong USB với nội dung :
[AutoRun]
open=Secret.exe
;shell’open=Open(&O)
shell’open’Command=Secret.exe
shell’open’Default=1
;shell’explore=Manager(&X)
shell’explore’Command=Secret.exe
2. Sẽ thấy có sự xuất hiện của File Secret.exe trong USB ở thư mục gốc (Tập tin này ẩn), và file phimnguoilon.exe ở một thư mục con bất kỳ nào trong USB (Thư mục này bất bị ẩn)
3. Xuất hiện 2 process lạ với những cái tên “không lạ”.
Tiêu diệt :
Cách 1 :
Dùng ProcessXP, Suspend cả 2 tiến trình userinit.exe và system.exe (Bạn đừng nhầm với các tiến trình hệ thống nhé, 2 tiến trình này có Icon giả Icon thư mục và có các path là : C:\WINDOWS\system32\userinit.exe,và C:\WINDOWS\userinit.exe,)
Okie. Sau đó bạn Kill từng tiến trình (Nhấn chuột phải và chọn Kill Process)
Bạn cũng có thể dùng các phần mềm cho phép kill cùng lúc nhiều tiến trình như Simple Kill Process hay PrcViewer để thực hiện chuyện này.
Khôi phục dữ liệu :
Do virus này không thay đổi giá trị làm ngăn chuyện truy cập registry nên bạn vẫn có thể truy cập vào đây để chỉnh sửa nó :
Bạn chọn Start -> Run… -> regedit -> Bạn tìm đất chỉ : HKEY_LOCAL_MACHINE’SOFTWARE’Microsoft’Window s NT’CurrentVersion’Winlogon, với nhãn UserInit và chỉnh sửa lại với gia (nhà) trị là : C:\WINDOWS\system32\userinit.exe,
Cách 2:
Dùng chương trình QuickRemove
Tài nó về, bạn Browse đến file Secret.qrd lưu trong thư mục Sample
Chọn Remove là Okie
Nếu máy bạn báo thiếu thư viên thì tải tập tin sau về và giải nén :
You must be registered for see links
Sau đó bạn có thể xóa các tập tin virus trong hệ thống (Nếu muốn). Và phục hồi các thuộc tính khác của hệ thống bằng VNFix (Bạn có thể tìm trên Blog)