English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Anti-virus không thể diệt được virus!  XML
  [Question]   Anti-virus không thể diệt được virus! 13/10/2008 02:38:37 (+0700) | #1 | 154991
[Avatar]
 sunrise_vn
Member
[Minus]    0    [Plus]
Joined: 10/03/2008 21:06:26
Messages: 179
Location: Kim Quyên's heart
Offline
[Profile] [PM]
Do vô ý nên máy của sunrise_vn bị nhiễm virus, hậu quả là nó báo lỗi khi vào cặp, vùng ổ đĩa:



Sunrise_vn đã thử dùng Kaspersky 2009, BitDefender Antivirus 2008, BKAV Home 2006 nhưng vẫn không diêt được. Sunrise_vn xin nói thêm là khi dùng IE, nó tự động nhảy qua một trang web đen, tự động tải gói phần mềm mà nó cho là "trình diệt virus".
Ai biết giúp sunrise_vn khắc phục với. Cảm ơn!
What is love?
What real love can do?
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 02:43:54 (+0700) | #2 | 154992
[Avatar]
 sunrise_vn
Member
[Minus]    0    [Plus]
Joined: 10/03/2008 21:06:26
Messages: 179
Location: Kim Quyên's heart
Offline
[Profile] [PM]
Link virus làm trình duyệt nhảy vào:
http://sc.videofreeforonline.com/id/4912933/4/1/
Link tải xuống "trình diệt virus":
http://89.187.48.178/TotalSecure2009.exe
What is love?
What real love can do?
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 05:54:20 (+0700) | #3 | 155008
mediocre-ninja
Member
[Minus]    0    [Plus]
Joined: 06/10/2008 17:56:32
Messages: 26
Offline
[Profile] [PM] [MSN]
Bạn nên thử một số anti-virus khác xem sao:
* FireLion của bác Hoàng,
* Moon Secure của bác Đức

Còn phần mềm AV của nước ngoài vẫn còn NOD32 và Symantec, F-prot, ...
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 08:28:31 (+0700) | #4 | 155022
KuNghi
Member
[Minus]    0    [Plus]
Joined: 26/07/2007 02:18:00
Messages: 11
Offline
[Profile] [PM]
Tớ nghĩ ngoài Kaspersky cậu cài thử NOD32 xem , NOD32 cũng mạnh lắm đấy ...
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 10:49:52 (+0700) | #5 | 155038
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Lại 1 chú Spy xạo xạo smilie

sunrise_vn wrote:
Do vô ý nên máy của sunrise_vn bị nhiễm virus, hậu quả là nó báo lỗi khi vào cặp, vùng ổ đĩa: 

_Bạn còn giữ cái mầm, nguyên nhân đầu tiên bạn bị dính ko? Gửi lên đây nhé.
_Dùng Winrar coi ở ổ C: D: E: F: có file autorun.inf và file lạ nào không? Gửi lên đây file autorun.inf và mớ file lạ đó luôn.
_Bạn đã down file TotalSecure2009.exe của nó chưa? (down rồi thì hơi mệt đây smilie )

_Con này SPY, bạn thử dùng http://www.esnips.com/doc/5da04c63-243e-4798-bba4-be08d02dea01/Portable-Spyware-Doctor-5.0.1.200-Multilang để khử nó xem.

Ac, file TotalSecure2009.exe down chậm thế nhỉ, ~500 bytes/s smilie (thằng này kibo ghê)
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 21:25:09 (+0700) | #6 | 155055
[Avatar]
 sunrise_vn
Member
[Minus]    0    [Plus]
Joined: 10/03/2008 21:06:26
Messages: 179
Location: Kim Quyên's heart
Offline
[Profile] [PM]

kamikazeq wrote:
Lại 1 chú Spy xạo xạo smilie

sunrise_vn wrote:
Do vô ý nên máy của sunrise_vn bị nhiễm virus, hậu quả là nó báo lỗi khi vào cặp, vùng ổ đĩa: 

_Bạn còn giữ cái mầm, nguyên nhân đầu tiên bạn bị dính ko? Gửi lên đây nhé.
_Dùng Winrar coi ở ổ C: D: E: F: có file autorun.inf và file lạ nào không? Gửi lên đây file autorun.inf và mớ file lạ đó luôn.
_Bạn đã down file TotalSecure2009.exe của nó chưa? (down rồi thì hơi mệt đây smilie )

_Con này SPY, bạn thử dùng http://www.esnips.com/doc/5da04c63-243e-4798-bba4-be08d02dea01/Portable-Spyware-Doctor-5.0.1.200-Multilang để khử nó xem.

Ac, file TotalSecure2009.exe down chậm thế nhỉ, ~500 bytes/s smilie (thằng này kibo ghê) 

Link download của virus:
http://gensoftdownload.com/get/7xxx3913555/Keygen.VMware.Server.v1.0.7.Build.108231.-.FREEWARE.exe
What is love?
What real love can do?
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 22:00:16 (+0700) | #7 | 155061
[Avatar]
 louisnguyen27
Member
[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

sunrise_vn wrote:

Link download của virus:
http://gensoftdownload.com/get/7xxx3913555/Keygen.VMware.Server.v1.0.7.Build.108231.-.FREEWARE.exe 

Tớ down thử con này bị Kapersky 7.0 đập khỏe re: Trojan Dropper Win32 Agent xtc. nhưng tớ vẫn thắc mắc là tại sao KAV 2009 lại bó tay???? Có thể là nó đập được con này nhưng lại bỏ qua cái malware mà bạn down về.
Con này là một dạng downloader để down malware về máy và hình như bạn sun đã down rồi thì phải.
Mới tìm hiểu xong cu này, để từ từ tìm hiểu cậu totalsercure2009.
Tốt nhất sunrise nên quét từ bootable CD.
-------------------------------------------------------
Sau khi tìm hiểu cậu totalsercure2009:
Cậu này là một chương trình anti-spy dỏm, luôn tạo ra các báo cáo giả và yêu cầu user download tiếp tục các trojan khác về máy.
Sun có thể xóa bằng tay như sau:
Xóa Registry:
Code:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run totalsecure2009
HKEY_CURRENT_USER\software\totalsecure2009 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\total secure 2009 
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run totalsecure2009

Xóa File
Code:
%program_files%\totalsecure2009
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 22:26:32 (+0700) | #8 | 155065
[Avatar]
 sunrise_vn
Member
[Minus]    0    [Plus]
Joined: 10/03/2008 21:06:26
Messages: 179
Location: Kim Quyên's heart
Offline
[Profile] [PM]
@louisnguyen27: Còn chuyện tự nhiên nhảy qua web đen trong IE là sao bạn?
What is love?
What real love can do?
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 22:32:32 (+0700) | #9 | 155066
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

sunrise_vn wrote:
@louisnguyen27: Còn chuyện tự nhiên nhảy qua web đen trong IE là sao bạn? 

"Tự nhiên nhảy qua" nghĩa là thế nào?
Hay là nó đã chiếm mất Homepage?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 22:35:11 (+0700) | #10 | 155067
[Avatar]
 sunrise_vn
Member
[Minus]    0    [Plus]
Joined: 10/03/2008 21:06:26
Messages: 179
Location: Kim Quyên's heart
Offline
[Profile] [PM]
@quanta: Không chiếm mấy homepage. Khi dùng IE lướt web, sau một thời gian (khoảng 4 -5 giây) tự nhiên nhảy sang trang web khác.
What is love?
What real love can do?
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 22:48:26 (+0700) | #11 | 155069
[Avatar]
 louisnguyen27
Member
[Minus]    0    [Plus]
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
[Profile] [PM]

sunrise_vn wrote:
@louisnguyen27: Còn chuyện tự nhiên nhảy qua web đen trong IE là sao bạn? 

Search giúp mình trên máy của bạn có 3 file này không nhé: ieav.exe, ie-av.exe, ieavinstaller.exe
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 22:51:56 (+0700) | #12 | 155070
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

sunrise_vn wrote:
@quanta: Không chiếm mấy homepage. Khi dùng IE lướt web, sau một thời gian (khoảng 4 -5 giây) tự nhiên nhảy sang trang web khác. 

- Mọi lần đều wwwect về 1 site?
- Tắt System Restore
- Check khoá Run và RunOnce trong Registry
- Bạn đọc cái http://www.google.com.vn/search?hl=vi&q=Hijack+This+site%3Ahvaonline.net&btnG=T%C3%ACm+v%E1%BB%9Bi+Google&meta= và post full log lên đây.
- Thử luôn thằng vx2finder xem
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 13/10/2008 23:46:28 (+0700) | #13 | 155078
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
@sunrise_vn: Với 2 con đầu bạn làm như sau:
_Down http://files.myopera.com/kamikazeq/files/AvengerSPY.rar và giải nén.
_chạy trình Avenger -> chọn Load Script .. From File -> tìm tới file INFOvirus.txt (nằm ngay đó) -> Open.
_nhấn Execute -> Yes .. OK .. OK .. -> máy tự Restart.
_Sau khi vào lại win là 2 con đó die.

Dưới đây là log mình quan sát được.
Code:
Files to delete:
C:\Documents and Settings\%username%\Desktop\Cheap Pharmacy Online.url
C:\Documents and Settings\%username%\Desktop\Search Online.url
C:\Documents and Settings\%username%\Desktop\VIP Casino.url
C:\Documents and Settings\%username%\Favorites\Cheap Pharmacy Online.url
C:\Documents and Settings\%username%\Favorites\Search Online.url
C:\Documents and Settings\%username%\Favorites\VIP Casino.url
C:\Documents and Settings\%username%\Start Menu\Cheap Pharmacy Online.url
C:\Documents and Settings\%username%\Start Menu\Search Online.url
C:\Documents and Settings\%username%\Start Menu\VIP Casino.url
%windir%\system32\c.ico
%windir%\system32\m.ico
%windir%\system32\s.ico
%windir%\system32\lsystipl64.dll
%windir%\system32\sv.exe
%windir%\k.txt

Folders to delete:
C:\Program Files\TS2009

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Secure 2009
HKLM\SOFTWARE\Classes\CLSID\{1F88A6F5-908C-4C28-9A81-829953C5F5C5}
HKLM\SOFTWARE\Classes\Interface\{06360872-0310-49C1-8EDA-953E73941E3E}
HKLM\SOFTWARE\Classes\Interface\{419803E0-EBB5-418E-BCDD-8EA63647EC5E}
HKLM\SOFTWARE\Classes\Kiolld
HKLM\SOFTWARE\Classes\TypeLib\{10026069-7A5F-4531-811E-C8DF20643BEE}
HKLM\SOFTWARE\Classes\gs23d1.Bho


------------
@sunrise_vn & louisnguyen27:
Lúc cài xong và run cái TotalSecure2009.exe, 2 bạn có bị giống mình không?






------------
@sunrise_vn:
Bạn có chạy mấy file game của nó tạo không?
Khi nó kêu update & Install , bạn có bị lỗi không?

Chắc bạn đã làm gì đó thêm. Nhớ lại thử xem smilie.
Web tự nhảy vào quảng cáo hoài thì chắc phải có 1 Process đang làm việc đó.
Bạn làm theo hướng dẫn của bác quanta xem.

------------
@louisnguyen27:
Tớ down thử con này bị Kapersky 7.0 đập khỏe re: Trojan Dropper Win32 Agent xtc. nhưng tớ vẫn thắc mắc là tại sao KAV 2009 lại bó tay???? Có thể là nó đập được con này nhưng lại bỏ qua cái malware mà bạn down về.  

Có khi nào Spy dính trước thì KAS 2009 khó phát hiện không ?
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Anti-virus không thể diệt được virus! 14/10/2008 06:44:01 (+0700) | #14 | 155145
c0mm3nt
Member
[Minus]    0    [Plus]
Joined: 26/09/2008 17:21:14
Messages: 15
Offline
[Profile] [PM]
Có một câu đọc được đâu đó trong CEH đại ý rằng: Khi hệ thống của bạn bị tấn công (hacker, virus, rootkit...) bạn không thể tin tưởng nó nữa!
Nếu máy bạn bị nhiềm virus trước, rồi mới cài phần mềm AV thì nó hoàn toàn có thể "xử lý" AV đó
Hoặc nếu rootkit mà lên trước drive của AV (nhảy lên trước nhất tại Ring 0) thì AV không thể xóa nó
Tốt nhất bạn xác định file virus. rồi dùng đía boot mà xóa file cho nhanh.
Regard.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|