banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Nokia8800  XML
Profile for Nokia8800 Messages posted by Nokia8800 [ number of posts not being displayed on this page: 0 ]
 
Mình tìm trong regestry và thấy boswedbo có mặt ở một số chỗ, đã Delete hết, thành công bạn ạ. Rồi nó khởi động lên chỉ dừng ở màn hình Welcome hehe.
Mình đang ghost lại xem ^^
Win xp - Nó có đường dẫn thế này anh em ơi:
C:\Documents and Settings\admin\Start Menu\Programs\Startup\boswedbo.exe 

Mình bỏ tick trong Startup mà sao khởi động lại nó cứ hiện lên @@
Anh em cho mình hỏi cái này có phải là virus không, và có ảnh hưởng gì không? Và giúp mình bỏ nó đi cái @@
Mình dùng Malwarebytes Anti-Malware không phát hiện nó là cái gì.
Máy mình đang dùng Avira chỉ phát hiện được ADSPY/AdSpy.Gen2 trong C:\ProgramFiles\Questbrowse\questbrowse.dll nhưng không remove được.
Mình cũng tìm tới file đó nhưng ko Delete được. Ai biết phần mềm nào có thể diệt được con này giúp mình với.
Cảm ơn nhiều!
Mấy bạn ơi máy mình mấy bữa nay tự nhiên xuất hiện thư mục Phim Sex ở trong ổ đĩa D, trong nó là một loạt các tệp film nhỏ toàn 0kb - không xem được ^^! Mà bực cái là cứ xóa đi vài giây nó lại như cũ smilie.
Cho mình hỏi làm sao diệt được con virus này đây, mình dùng anh Bkav nhà ta nhưng không được!
Help me.... Thank nhìu!
Code:
Bkav1225 (14/09/2007) cập nhật lần thứ 1: Pefcoo, InfostealerG...
Malware cập nhật mới nhất:
Tên malware: W32. Pefcoo.Worm
Thuộc họ: W32. Pefcoo.Worm
Loại: Worm
Ngày phát hiện mẫu: 13/09/2007
Kích thước: 8 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Lấy cắp password của các games online, các trình ftp...
Đánh lừa người dùng mua chương trình diệt virus
Hiện tượng:
Sửa registry.
Hiện thông báo giả, đánh lừa người dùng mua chương trình diệt virus
Cách thức lây nhiễm:
Lây nhiễm qua các trang web đen, các chương trình hack, crack
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Tạo ra các files:
%sysdir%\cmcache.dll ( thư viện hook ăn cắp mậ khẩu)
Tạo ra các bản sao của virus:
%sysdir%\WinAvXX.exe
%sysdir%\system.exe
%sysdir%\print.exe
%startmenu%\startup\autorun.exe
Hook các hàm của thư viện winsock để lấy password :
WSAConnect,
connect
send
Hiện thông báo: "Windows Security Alert - Warning! Potential Spyware Operation", lừa người dùng vào trang http://avsystemcare.com/data/[removed] để mua phần mềm diệt virus
Ghi vào registry:
WinAVX = %sysdir%\WinAvXX.exe vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinAVX = %sysdir%\WinAvXX.exe vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run
AppInit_DLLs=cmdcache.dll vào key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
Bkav1179 (17/08/2007) cập nhật lần thứ 1: WinAV, RunAutoB...
Malware cập nhật mới nhất:
Tên malware: W32.WinAV.Trojan
Thuộc họ:W32.WinAV.Trojan
Loại:Trojan
Ngày phát hiện mẫu: 16/08/2007
Kích thước: 16 KB
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Sửa file hosts.
Hiện thông báo "Your computer is infected!" ở khay hệ thống.
Hiện thông báo ""'Warning! Potential Spyware Operation!" và yêu cầu tải chương trình từ URL http://go.win[Removed].com/MTY2NjU=/2/6018/ax=1/ed=1/ex=1/348/ về hệ thống.
Không truy nhập được một số website: www.kaspersky.com, www.viruslist.com, mcafee.com, avp.com, microsoft.com, ...
Các trang mặc định, trang tìm kiếm của trình duyệt Internet Explorer bị sửa thành www.google.com hoặc www.google.com/ie
Cách thức lây nhiễm:
Do malware khác download về.
Phát tán qua các trang web độc hại.
Cách phòng tránh:
Không nên mở file không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.
Mô tả kỹ thuật:
Copy bản thân thành file
%SysDir%\WinAvXX.exe
%SysDir%\printer.exe
%Startup%\System.exe
%CommonStartup%\Autorun.exe
Ghi giá trị
"WinAVX"="%SysDir%\WinAvXX.exe"
Vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run và HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được tự động chạy khi khởi động hệ thống.
Ghi giá trị
"Shell"="Explorer.exe %SysDir%\printer.exe"
Vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Tự động bypass firewall của Windows
Sửa file hosts thành
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 download.microsoft.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
...
để ngăn người sử dụng truy nhập vào các website trên
Ghi các giá trị
"Start Page"="www.google.com"
"Search Page"="www.google.com"
"Default_Search_URL"="www.google.com/ie"
"Search Bar"="www.google.com/ie"
Vào key HKLM\Software\Microsoft\Internet Explorer\Main và HKCU\Software\Microsoft\Internet Explorer\Main


Nó làm mất Controlpanel (khi vào Start -> Settings-> không có biểu tượng controlpanel)của em, không chỉnh giờ cho đồng hồ được
nó hiện nên khi dup vào tgian ở thanh taskbar là:
Code:
Restrictions
This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.

Ở Desktop chuột phải để vào Properties cũng thế.

Thỉnh thoảng nó lại hiện lên:
Code:
Windows Security Alert
Warning! Potential Spyware Operation!
Your computer if making unauthorized copies of your system and Internet files. Run full scan now...

.............

Seii TaiShogun wrote:
CTRL + ALT + DEL
End Process : ntsystem.exe 
Thường DWK nó chặn cả CTRL + ALT + DEL nhấn tổ hợp phím là mất luôn.
Vào đây tải phần này về:
http://phamloi.thefreehost.biz/files/Duyetweb.zip
(88,5 kb)
sau đó tìm ntsystem.exe nhấn KILL là xong.
Một số có thể là dksystem.exe hoặc . . .
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|