Tháo gỡ W32/Vulcanbot bằng tay

LƯU Ý: Cách thức tháo gỡ W32/Vulcanbot bằng tay này chỉ dành cho những vị sử dụng máy vi tính thành thạo, quen thuộc với cách vận hành của hệ điều hành Windows. Quý vị nào không phải là người rành rọt những vấn đề này xin đừng theo phương pháp này, mà nên dùng những nhu liệu phòng chống virus để dò và tháo gỡ.

1. Khởi động máy lại trong SafeMode

• Sau khi mở máy vi tính lên, trước khi Windows khởi động, nhấn nút F8 (có thể phải nhấn nút vài lần).
• Sau đó chọn boot vào Windows trong SafeMode

2. Tháo gỡ những hàng Registry mà virus đã gắn vào.

• Nên backup lại Registry trước khi làm
• Chạy regedit
• Tìm các hàng sau đây và nếu thấy thì chỉnh lại giá trị của Usernit là "C:\Windows\system32\userinit.exe"

• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, %UserDir%\Application Data\Java\jre6\bin\jucheck.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Program Files\Adobe\AdobeUpdateManager.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Program Files\Java\jre6\bin\jucheck.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Program Files\Microsoft Office\Office11\OSA.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Windows\system32\Setup\AdobeUpdateManager.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Windows\system32\Setup\jucheck.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Windows\system32\Setup\MPClient.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Windows\system32\Setup\MPSvc.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Windows\system32\Setup\OSA.exe”
• * HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit: “C:\Windows\system32\userinit.exe, C:\Windows\system32\Setup\wuauclt.exe”
• * HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon “Userinit”: "C:\Windows\system32\userinit.exe, C:\Program Files\Adobe\AdobeUpdateManager.exe”
• * HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run “Windows Update “C:\Program Files\Windows NT\Windows Update\wuauclt.exe”

3. Xoá những hồ sơ mà virus cho thêm vào máy:

• %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
• %UserDir%\Application Data\Java\jre6\bin\zf32.dll
• %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
• %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
• %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
• %SysDir%\mscommon.inf
• %SysDir%\msconfig32.sys
• %SysDir%\zf32.dll
• %SysDir%\Setup\AdobeUpdateManager.exe
• %SysDir%\Setup\jucheck.exe
• %SysDir%\Setup\MPClient.exe
• %SysDir%\Setup\MPSvc.exe
• %SysDir%\Setup\OSA.exe
• %SysDir%\Setup\wuauclt.exe
• %SysDir%\Setup\zf32.dll

%UserDir% là ngăn chứa của người dùng. Nếu Windows account của bạn tên là “Nguyen” chẳng hạn thì %UserDir% là C:\Documents and Settings\Nguyen

%RootDir% thường là dĩa C: của bạn

%SysDir% thường là ngăn C:\Windows\system32

Nếu không xóa được thì nhấn Ctrl+Alt+Del để mở Task Manager lên xem coi program có cùng tên đó có đang chạy không. Nếu có thì chọn, bấm End Process để tắt nó đi. Sau đó xóa hồ sơ đó.

4. Khởi động lại Windows. Cập nhật nhu liệu antivirus trong máy rồi cho chạy để rà xét lại lần nữa cho chắc ăn.