[Question] virus foto http://xxxx.xxxx/image.php |
03/05/2010 21:44:36 (+0700) | #1 | 210258 |
vjru5zl0v3
Member
|
0 |
|
|
Joined: 13/10/2007 16:17:21
Messages: 13
Offline
|
|
trên mạng lại xuất hiện virus auto send mới
khi victim bị nhiễm sẽ tự động gửi thông điệp với nội dung "foto http://xxxx.xxxx/image.php"
4rum chưa thấy ai nói cái này
cho mình hỏi cách diệt nó với,
đã tham khảo một số chỗ nhưng rường rà quá
có bạn nào rành thì chỉ cho mình với
|
|
|
|
|
[Question] virus foto http://xxxx.xxxx/image.php |
03/05/2010 22:27:28 (+0700) | #2 | 210261 |
ducthe88
Member
|
0 |
|
|
Joined: 14/06/2008 17:04:26
Messages: 4
Offline
|
|
Theo mình tìm hiểu được và đã làm rất hiệu quả là bạn nên down tool fix registry của BKAV sau đó tìm và xoá những file sau:
C:\Windows\mds.sys
C:\Windows\mdt.sys
C:\Windows\winbrd.jpg
C:\Windows\net.exe
C:\Windows\infocard.exe
Và vào regedit xoá:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [b] [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [b] [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe” |
|
|
|
|
[Question] virus foto http://xxxx.xxxx/image.php |
04/05/2010 19:46:17 (+0700) | #3 | 210302 |
hathecuong
Member
|
0 |
|
|
Joined: 21/03/2010 08:16:33
Messages: 9
Offline
|
|
http://www.quantrimang.com.vn/baomat/virus-spyware/67418_Xuat-hien-sau-moi-tan-cong-qua-Yahoo-Messenger.aspx |
|
^_^ HTC ^_^ |
|
|
|
[Question] virus foto http://xxxx.xxxx/image.php |
04/05/2010 22:30:05 (+0700) | #4 | 210316 |
Hp93
Member
|
0 |
|
|
Joined: 29/03/2009 22:42:37
Messages: 1
Offline
|
|
Cho mình hỏi chút ko hiểu virus này hoạt động kiểu j` mà khi mình down về rồi kick đúp vô thì phần mềm Microsoft security essentials lại tự động tắt (chế độ realtime protection và tường lửa...)
Như vậy ko biết phần mềm AV này có tốt ko nhỉ?
Sau đấy khi restart máy lại, turn on MSE, kill process infocard.exe, update và quick scan thì cuối cùng máy cũng bình thường lại rồi
p.s. mình mởi chuyển qua dùng phần mềm này vì nghe nói nó tương thích với win tốt hơn và nhẹ hơn các AV khác nên rất thắc mắc |
|
|
|
|
[Question] virus foto http://xxxx.xxxx/image.php |
05/05/2010 05:30:23 (+0700) | #5 | 210323 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Nếu gặp virus quảng cáo này thì có thể dùng CMCAV: http://pcu.cmclab.net/download/setupCMCIS.exe
Nhớ cập nhật trứơc khi quét toàn máy.
Virus này có nhiều biến thể, nếu bạn gặp mẫu nào CMCAV chưa diệt được thì có thể gửi tin nhắn và mẫu cho mình. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] virus foto http://xxxx.xxxx/image.php |
05/05/2010 14:10:31 (+0700) | #6 | 210362 |
mr.tee
Member
|
0 |
|
|
Joined: 20/10/2009 01:18:07
Messages: 58
Offline
|
|
Sáng nay mình có làm theo hướng dẫn của ducthe88, nhưng khôn thành công. Registry của máy không bị disable, mình chỉ tìm được 2 giá trị registry đầu tiên và xoá đi, những cái phía sau không có. Đặc biệt là các file bạn liệt kê thì không tìm được file nào =,=
Mình cũng đã thử dùng CMC scan máy nhưng không ăn thua, CMC không cảnh báo bất kì điều gì khác thường, nên không gửi mẫu cho bolzano_1989 được |
|
Après la pluie, le beau temps |
|
|