banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Help: Autorun.inf (wscript.exe win.vbe)  XML
  [Question]   Help: Autorun.inf (wscript.exe win.vbe) 08/04/2008 04:08:06 (+0700) | #1 | 123895
nohandsome
Member

[Minus]    0    [Plus]
Joined: 19/11/2007 12:01:59
Messages: 9
Offline
[Profile] [PM]
Chào các Bro...!
Em làm việc cho 1 công ty liên doanh,biết 1 tí tẹo về tin học,nhưng không biết tí nào về lập trình cũng như các đoạn mã...Mà chúng nó lại tìm đến em để làm quen = 1 con Autorun.inf mà em chưa gặp bao giờ ...Em đã hỏi nhiều diễn đàn , nhưng chưa có pác nào tìm được phương pháp nào để thanh toán con này . Dưới đây là hình cụ thể của con Autorun này :





Mong các bro xem, rồi chỉ giúp em cách xử lý đ/c Autorun này....hic hic! smilie
Thanks!
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 08/04/2008 04:17:29 (+0700) | #2 | 123898
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Bạn đã thấy 3 file đi kèm, tạm thời upload 3 file đó ở trang cuuhomaytinh.vn (nếu bạn không phiền) để gửi cho bác LeVuHoang cập nhận firelion. Muốn biết các hảng antivirus khác có nhận dạng tụi nó chưa, bạn dùng virustotal.com,upload để biết thêm thông tin 3 file đó. Nếu có, dùng trình duyệt nào mà bạn hay sài. Để cho hiệu quả, bạn dùng mcafee(nếu có update rồi) để quét ngoài DOS(bạn tìm hiểu cách download file DAT cập nhật mới của mcafee, đã có bàn tán trên diễn đàn), hoặc quét ổ cứng(tháo ra) ở một máy khác(gắn vào máy này) dùng bất kỳ trình duyệt nào đã phát hiện ra 3 file đó(kết quả từ virustotal.com).
UPload 3 file đó lên đâu đó, rồi post link lên đã bà con tự khám phá(nếu bạn muốn).
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 20:40:18 (+0700) | #3 | 124203
nohandsome
Member

[Minus]    0    [Plus]
Joined: 19/11/2007 12:01:59
Messages: 9
Offline
[Profile] [PM]
Đây có thể là câu trả lời cho bác,em nghĩ là thế...!





Vì máy của em xài KAV nên con này không vào đc , nhưng mấy máy khác thì dính con này không thể có cách nào khác ngoài việc format hết HDD rồi ghost lại win,nhưng là như thế chỉ đc 1 thời gian ngắn vì các máy khác trong lan cũng bị con này sẽ lại lây trở lại, tệ hại nhất là 1 cái ổ chứa tài liệu dùng chung của bọn em cũng bị con này,cho nên cần phải có 1 cách để diệt nó, còn format + ghost chỉ là hạ sách.Nhưng nếu tới HVA cũng không có ai xử lý đc thì còn chỗ nào có hy vọng nữa,???
smilie
==> Đành phải chịu khó format và ghost mấy chục con máy kia thoi smilie
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 21:29:00 (+0700) | #4 | 124205
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cách làm là trên kia, dùng chấm câu. Nên tạo policy tắt chức năng autoplay cdrom +usb (nếu có môi trường domain, hoặc làm thủ công), cài đồng loạt một loại trình duyệt như symantec client + server, cập nhật IE 7 nếu xài IÊ để lướt nét, cập nhật windows thường trực cho tới gói service pack 3( ý kiến riêng, bằng đường cập nhật lụi sài soft crack qua mặt phần mềm kiểm tra bản quyền, nếu không sợ kiểm tra bản quyền bởi bộ văn hóa thông tin).

Upload lên cái trang trên kia để biết mcafee,symantec,... có cập nhật chưa, chưa thì gửi cái mẫu đó cho các hảng đó, để họ cập nhật. File thực thi chính cho mọi hoạt động phá hoại có thể là cái win.bat , thực thi gián tiếp qua file win.vbe bằng wscript của windows.

Tự động lây lại, = usb, = ổ đĩa dùng chung, = nhiều đường khác mà bạn không biết(box này có nói).

Tấc nhiên là "người tham gia HVA không có ai xử lý được", vì chẳng có ai dính ngoài bạn, hoặc có người dính nhưng không có nói(diệt được hoặc không hoặc format cho êm thấm).
PS: Upload mẫu cho mr Levuhoang để cập nhật cái firelion(lâu ngày vắng bóng)
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 21:37:29 (+0700) | #5 | 124206
nohandsome
Member

[Minus]    0    [Plus]
Joined: 19/11/2007 12:01:59
Messages: 9
Offline
[Profile] [PM]
Mình đang dùng KAV,nó diệt = cách xóa hẳn 4 thằng đó đi, rồi sau đó khi vào các ổ cứng sẽ có báo lỗi
Báo thiếu file win.vbe ....Còn thằng win.bat ...Như bạn nói thì nó chính là thằng chính trong 4 thằng này...Khi kết nối vào ổ dùng chung nếu như bạn không đồng ý chạy nó thì bạn sẽ không vào đê sử dụng các tài liệu trong ổ dùng chung đc...(Ổ dùng chung này chạy trên nên win server 2000).
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 21:42:55 (+0700) | #6 | 124207
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Vì còn cái file .inf, và luật mặc định chạy .inf của windows trên các ổ cứng chưa tắt.

Sau khi xóa sạch 3 file kia trên các máy, xóa sạch autorun.inf, nếu lở truy cập ổ đĩa thì vẫn cứ xóa sạch và tắt explorer.exe rồi chạy lại(hoặc xóa rồi khởi động lại). Xong chuyện.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 21:46:48 (+0700) | #7 | 124208
nohandsome
Member

[Minus]    0    [Plus]
Joined: 19/11/2007 12:01:59
Messages: 9
Offline
[Profile] [PM]
Mình đang dùng KAV,nó diệt = cách xóa hẳn 4 thằng đó đi, rồi sau đó khi vào các ổ cứng sẽ có báo lỗi
Báo thiếu file win.vbe ....Còn thằng win.bat ...Như bạn nói thì nó chính là thằng chính trong 4 thằng này...Khi kết nối vào ổ dùng chung nếu như bạn không đồng ý chạy nó thì bạn sẽ không vào đê sử dụng các tài liệu trong ổ dùng chung đc...(Ổ dùng chung này chạy trên nên win server 2000).Nhưng theo mình thì con này nó ăn sâu trong regestry thì nếu có diệt = Anti thì cũng ảnh hưởng ít nhiều tới win == và có thể tạo ra các lỗi cho win...Nên điêu này cần 1 cao thủ về script thì mới có thể khử...Còn các hãng hàng đầu họ không quan tâm lắm đâu...Vì mình cũng nghe lời khuyên của vài người như bạn rồi..Và làm cũng không ít lần nhưng không ăn thua...Vì thực tế là phần mềm diệt virus vào cũng có phần cảnh báo cho người sử dụng về con autorun này khi sử dụng USB :"có đồng ý cho chay file nhiễm virus(or đã phát hiện ra autorun) và hỏi bạn có diệt hay không)".Nhưng với những người mới sử dụng hoặc máy không sử dụng hay quên chưa cài 1 phần mềm diệt virus nào thì những chú autorun này mới có cơ hội.Vấn đề ở đây không phải là cảnh báo và ngăn nữa như bạn hướng dẫn mình upload lên các trang chủ của các hãng anti hàng đầu nữa,mà là làm thế nào để diệt nó khi bị nhiễm vào rồi ...
smilie smilie
Nói chung cách của bạn mình làm trước khi bạn có lời khuyên rồi,nhưng không có hiệu quả...Anyway thanks!
Còn cái firelion như bạn nói thì mình nghĩ cũng chưa chắc Mr.hoang đã làm đc.
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 21:58:40 (+0700) | #8 | 124209
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Một số sai lầm cơ bản thường dính phải của bà con,
1. không có ăn sâu vào registry, chỉ thêm vào 1 số cái gì đó(chưa biết vì không có win.bat để coi cho biết). Windows không vì đó mà Hư luôn. Bạn đâu có nói nó hư windows ? Windos chạy rồi hư ? Hư là như thế nào ?

2. Các hảng đều quan tâm nếu có ai đó gửi mẫu. Chuyện này có tỷ lệ gửi là 1/100000(có khi 1/1 triệu), rất ít người gửi.

3. Làm không ít lần, chưa hẳn là làm đúng cách hoặc đúng quy trình hoặc thiếu. Vì thế mới có chuyện hỏi

4. Sai lầm tai hại là không có khuyến cáo , hoặc thông báo cấp đỏ trong công ty. Chuyện này không phải chuyện đùa. Còn nhiều thứ còn tệ hại hơn nửa.

5. Chuyện quên cài, nếu trong môi trường làm việc chung, ai quên cài người đó lảnh trách nhiệm(hoặc người có trách nhiệm lảnh đủ).

6. "Cho tui mẫu tui làm cho". Một câu nói mà các chú bác chuyên làm chuyện này hay nói. Nếu không thì diệt bằng NIỀM TIN. smilie .

Làm như thế nào ? câu trả lời là đọc và suy nghĩ ở những chổ bạn thấy có box giống như box này.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 22:04:10 (+0700) | #9 | 124212
nohandsome
Member

[Minus]    0    [Plus]
Joined: 19/11/2007 12:01:59
Messages: 9
Offline
[Profile] [PM]
Cảm ơn bạn....
Mình đã tìm đc 1 cách có thể nói là cũng tương đối dễ và có hiệu quả
Và 1 phần mềm của Trung Quốc...Vì mình nghĩ con này là nguồn gốc từ Trung Quốc... smilie
Và đúng như vậy,trên các trang của TQ có rất nhiều tài liệu về con này, còn Việt Nam chưa có ngoài ở trong topic này smilie
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/04/2008 22:10:24 (+0700) | #10 | 124214
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Chuyện dọn rác rến có trong registry của windows là chuyện người ta thường làm sau khi diệt hết phiên bản malware.
PS: Đọc và suy nghĩ thường xuyên các box thảo luận để có hiểu biết là cách phòng ngừa hiệu quả nhất, để biết cách diệt hiệu quả nhất.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 27/05/2008 03:15:26 (+0700) | #11 | 132903
[Avatar]
kinglove_hut
Member

[Minus]    0    [Plus]
Joined: 21/05/2008 20:29:38
Messages: 1
Location: tuong lai
Offline
[Profile] [PM]
Để sử ly cái autorun ban tải cáinayf và giải nén dubngf thử cái nhé
http://forums.techguy.org/attachments/103784d1177191675/clean-autoruns.zip
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 09/10/2008 12:06:33 (+0700) | #12 | 154561
sunlight
Member

[Minus]    0    [Plus]
Joined: 13/02/2004 03:53:31
Messages: 15
Offline
[Profile] [PM]
Mình cũng đã từng gặp và xử lý thành công Virus dạng này. Điểm dễ nhận biết nhất khi bị nhiễm con virus này là tốc độ xử lý các công việc có truy cập mạng ( Dù là mạng Lan hay Internet) đều rất chậm và trên dòng tiêu đề của IE sẽ có thêm chữ Goodey Mae.
Nếu chỉ đơn thuẩn các bạn diệt bằng phần mềm hoặc diệt bằng tay thì sau khi xóa hết các file liên quan, thậm chí làm sạch cả Registry nhưng khi khởi động lại virus sẽ được kích hoạt trở lại.
Sau đây là cách làm của mình để xử lý triệt để vấn đề này

- Đầu tiên: Sử dụng đĩa Hiren't Boot boot vào Dos - Dùng Volkov Commander (có hỗ trợ NTFS )
- Tìm và xóa tất cả các File liên quan như win.vbe, sleep.vbe, win.bat......
- Mở file Autoexec.bat và xóa các dòng lệnh liên quan (Thông thường sẽ xóa toàn bộ các câu lệnh); Đây chính là mấu chốt vấn đề khi mở ra Virus này được tái tạo
- Khởi động lại máy tính
- Mở Regedit và tìm khóa nào có chứa các phần đại loại như: .....;wscript.exe
Ví dụ như các key này:
.......shell\open\Command
........shell\explore\Command
........shell\find\Command
(Chú ý chỉ xóa chữ wscript.exe thôi nhé
Bây giờ thì khởi động lại và dùng một tool AV nào đó để xóa những file trung gian do con virus này tạo ra


[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 16/10/2008 13:54:58 (+0700) | #13 | 155433
phuongnc1010
Member

[Minus]    0    [Plus]
Joined: 15/10/2008 18:40:36
Messages: 2
Offline
[Profile] [PM]
con này dễ diệt không mà!mình bị nó nhiều rồi xong diệt đươc hết,,cài kav 2009 có key thì tốt nhất,,nếu không thì lên mạng dow cái eater autorun 2.2 ấy,chạy một lúc là hết ngay ma!nó là phần mềm chuyên diệt autorun ma!thế nhé!
[Up] [Print Copy]
  [Question]   Re: Help: Autorun.inf (wscript.exe win.vbe) 26/10/2008 06:09:07 (+0700) | #14 | 156610
[Avatar]
darkKid
Member

[Minus]    0    [Plus]
Joined: 14/10/2008 12:22:41
Messages: 2
Offline
[Profile] [PM] [Yahoo!]
hjx hjx cãm ơn các pro cứu ! smilie smilie em gặp con này pó tay thật ko ngờ nó phá hoại kinh wé !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|