1. Tạo ra các file trong thư mục Windows\System32 :
abc123.txt
fytdlopi.exe
lwmtnlay.inf
xfeoumas.dll
xfeoumas.nls
Đồng thời tạo Autorun.inf và lwmtnlay.exe trong các phân vùng với thuộc tính Hidden.
2. Add các giá trị sau vào Registry :
2.1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager và HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager
"PendingFileRenameOperations"
2.2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
"Debugger"
2.3 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"xfeoumas"
3 Để xử lý con này thực hiện các bước sau :
- Mở TaskManager, vào View - Select Columns ... Tick vào PID (process identifier)
- Xem PID của Explorer.exe và của process có tên là fytdlopi.exe
- Vào cmd, tại của sổ DOS, gõ vào lệnh : Taskkill /F /PID xxx /PID yyy /T trong đõ "xxx" là số PID của Explorer.exe và "yyy" là số PID của fytdlopi.exe
- Sau khi kill 2 processes trên, nhấn Ctrl+Alt+Del mở lại Taskmanger - menu File - New Taskrun ... Gõ vào Explorer.exe để mở lại Explorer.
- Remove các file và các khóa mà malware đã tạo ra trong các phân vùng và registry (chú ý khi truy xuất vào các phân vùng thì nhấn tổ hợp phím Windows+E, tránh click đúp sẽ kích hoạt lại malware)