banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Kíu khẩn cấp với, con virus này mình không trị được  XML
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 12/12/2006 13:01:41 (+0700) | #1 | 30010
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Có có bạn nào biết cách mở write protect của loai usb chống thấm nước có vỏ bọc nhựa không?
Hiện tại usb loại chống thấm nước của tôi bị khóa write protect ( do virus), các chương trình diệt virus nhận ra nó nhưng không diệt được, chỉ ngăn chặn nó chứ không xóa được do usb bị khóa write protect, bên trong usb có file xsx.exe( virus- các trương trình diệt báo là một loại trojan), nếu kích cho usb chạy thì lập tức có file svohot.exe được copy vào c:\windows\systern32\svohot.exe( con này thì mình diệt được), chủ yếu bây giờ là làm thế nào để mở write protect của usb để diệt virus trong đó( loại usb này không có lẫy gạt như usb vỏ thép), có ai biết cách không chỉ mình với chứ không chắc chỉ có format trong dos thôi.


u see u teach me
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 12/12/2006 13:55:49 (+0700) | #2 | 30018
[Avatar]
ghostshadow189
Member

[Minus]    0    [Plus]
Joined: 23/08/2004 01:33:43
Messages: 59
Location: user 80183 of HVA
Offline
[Profile] [PM]
bạn bít là format trong dos rồi sao ko thử , hoặc là bạn có thể vào linux để xóa file đó

gud luck
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 12/12/2006 15:12:25 (+0700) | #3 | 30025
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
con này tạo sxs.exe và 1 file autorun.inf trên USB, trên các ổ cứng(trừ ổ C). Loại này cũng dễ giết. Nó có tạo SVOHOST.exe chạy cùng với windows.Đầu tiên giết được cái SVOHOST.exe(nó nằm trong windows\system32, sau đó tới mấy thằgn sxs.exe và autorun.inf ở mấy chổ nói trên. Dùng quyền administrator, xóa tay thằng SVOHOST.exe(tắc process rồi xóa tay). COn này lây cũng nhanh lắm.

Mấy cái USB có chứ năng khóa bằng pass, rất mệt mõi, ra ngoài DOS được cũng không format được nó, DOS đó có hỗ trợ đọc USB.
Tắc chức năng autoplay USB ở máy nào đó, cắm cái USB vào rồi format nó, thử cách này, không được nửa thì chịu, ...
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 13/12/2006 13:27:40 (+0700) | #4 | 30245
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Kìa các cao thủ về virus, có cách nào phá mã write protect của loại usb này không bảo mình với, cần gấp lắm rồi.











u see u teach me
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 14/12/2006 06:07:26 (+0700) | #5 | 30353
[Avatar]
darthtuan
HVA Friend

Joined: 10/08/2003 11:57:02
Messages: 312
Location: Trại cai nghiện
Offline
[Profile] [PM] [WWW]
Vào Folder Option rồi bỏ mấy lựa chọn Hide extensions.. và Hide protected operating.. để xem mấy file ẩn trong USB.
Nhấn Ctrl+ Alt+Del và End Task mấy file trong USB đang chạy.Sau khi tắt đi rồi thì có thể xóa được mấy file trong USB đó thôi.
Tiếp đến quét virus cho máy.
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 14/12/2006 13:30:15 (+0700) | #6 | 30427
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Cám ơn mr darthtuan(Validating Moderator) nhé, nhưng "Nhấn Ctrl+ Alt+Del và End Task mấy file trong USB đang chạy" có thể nói rõ hơn được không.
Còn "Vào Folder Option rồi bỏ mấy lựa chọn Hide extensions.. và Hide protected operating.. để xem mấy file ẩn trong USB. " cái này thì tôi bỏ suốt và cũng rất hay ngắm các process trong End Task nhưng thấy có gì lạ cả. Có phải nó chạy ẩn không, hay do tôi không nắm rõ file chạy của USB vậy, xin nói rõ hơn hộ nhé.


[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 14/12/2006 13:42:15 (+0700) | #7 | 30431
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
À xin bổ xung là sau khi lây con virus này thì cái USB 512 này đã sinh ra thêm một phân vùng phụ và có nhãn dung lượng lên đến 7G (ảo thôi, hoành tráng thật). và bên trong có chứa con sxs.exe và bổ xung thêm phần báo write protect( thế mới khổ)- không gi, không xóa nhưng vẫn copy được.hay thật. Mọi người giúp với đã thử format trong DOS nhưng vẫn chưa được.
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 15/12/2006 11:49:29 (+0700) | #8 | 30602
quanlypho
Member

[Minus]    0    [Plus]
Joined: 01/07/2006 21:19:20
Messages: 95
Offline
[Profile] [PM]
Bạn tải chương trình AntiVirus xịn này:
http://www.yourfilelink.com/get.php?fid=228300

Giải nén, rồi Cài đặt theo hướng dẫn trong đó. Sau đó khởi động lại máy và quét virus.

Chúc may mắn,
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 20/12/2006 23:13:40 (+0700) | #9 | 31595
binhantlt
Member

[Minus]    0    [Plus]
Joined: 20/12/2006 11:08:18
Messages: 1
Offline
[Profile] [PM]
có cách khác là dùng chương trình unlocker click chọn tất cả các file trong usb bấm chuuột phải chọn unlocker,nó hiện lên thì nhấn unlock allsau đó xóa bình thường.Nếu cái nào cứng đầu thì nó sẽ xóa sau khi restart
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 21/12/2006 13:20:49 (+0700) | #10 | 31750
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
hehe, cai USB đó của đứa bạn tôi trả lại nó rồi, đã thử mọi cách nhưng không ăn thua kể cả boot vao Dos để format mọi kiểu nhưng cũng không được( nếu chỉ là vius thì sao lại không format hoàn toàn trong Dos được? cái này thì chịu.). Mình cũng đã nhờ thêm 1 anh hay nghịch máy sửa dùm nhưng cũng chịu --> trả lại không cố nữa. Xin nói rõ thêm về hiện trạng của USB là: khi cắm vào máy hỏi: continue, retry, cancel, ấn cancel no vấn đề, ấn continue thì sxs.exe nhảy vào các ổ, svohost nhảy vào systern32( thế là lại phải xóa), máy mình dùng ZA và kaspersky(cái này báo del liên tục với sxs.exe nhưng không diệt được hết). nháy chuột fai vào ổ USB để xóa mấy file xsx.exe và autorun.inf( chỉ có 2 file ẩn này thôi+ desktop.ini) thì báo can't del vì write protect. Boot vào Dos xem partition của nó thì thấy bên cạnh vùng nhớ của USB 512( dung luong 498) xuất hiện 1 phân vùng phụ có dung luong ảo lên đến 7G. Đã thử format nhưng không có kết quả vẫn bị báo là không thể format.
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 21/12/2006 13:26:21 (+0700) | #11 | 31752
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Nếu ai bít cách gì hay, hay dùng phần mền nào có thể sửa được nó thì bảo mình với để mình lại mượn lại nghịch xem sao. Xin nói thêm là USB vần cho copy các file ra nhưng không cho copy file vào hay xóa file bên trong.
Có người đã bảo là nó hỏng phần cứng rồi, có thể hỏng 1 chân vào hay 1 diot gì đó bên trong, cái này thì mình cũng chịu.
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 21/12/2006 18:16:32 (+0700) | #12 | 31781
thienminh
Member

[Minus]    0    [Plus]
Joined: 19/12/2006 12:55:40
Messages: 17
Offline
[Profile] [PM]
Cách diệt của tui như sau(đã thành công rất nhiều):
Thông tin tôi được biết về con này là khi bạn kích đúp vào một ổ đĩa đã nhiễm nó thì nó sẽ như là bạn kích hoạt nó.
Những loại virus này thường có 2 file là file autorun.inf và file thi hành dạng xxx.exe trong đó xxx là tên vi rút.
Để tránh lây lan, tốt nhất bạn nên kích chuột phải chọn Explorer để truy cập vào ổ đĩa_ cách này rất hiệu quả với các loại vi rút lây qua các ổ đĩa.
Sau khi đó bạn hãy xóa file autorun.inf hoặc rename nó.....
Tiếp theo bạn chạy task manager sau đó chọn processes
Sau đó bạn sẽ nhìn thấy một loạt các file tiến trình dạng exe của hệ thống đang chạy với use đang login
chú ý là trong processes thông thường là những tiến trình đang sử dụng tài nguyên hệ thống của bạn, thường user name là Local Service, System, Network Service và account đang login
Bạn hãy tắt các image Name(in Processes) mà chạy với User Name là acount đang login(có user name khác Local Service, System, Network Service) những tiến trình bạn nghi ngờ là virut. con xsx gì đó thì file của nó là SOVHOS.exe hoặc tương tự (ko phải là svchost.exe hoặc spoolsv.exe) và file xsx.exe hoặc sxs.exe có thể bạn phải tắt cả rundll32.exe
Sau đó bạn hãy chuột phải và chọn explorer với từng ổ đĩa và xóa các tập tin là autorun.inf và xsx.exe(hoặc sxs.exe). Chú ý là các tập tin này thường ẩn vì thế bạn hãy chọn chức năng hiển thị tất cả các tập tin trong Tools\Folder OPtions
Tiếp theo hãy vào regedit và ấn Ctrl+F rồi tìm kiếm với tên file hoặc virus vừa tìm ở trên(sovhost.exe ,sxs.exe,xsx.exe) và del nó đi
sau đó logout hoặc restart lại máy là được

Trong thời gian ngồi trên mạng vì tiền có ít nên chỉ nói được sơ sài như thế, nếu có chỗ nào chưa đạt mong các cao thủ chỉ giáo thêm và bổ xung vào bài cho hoàn chỉnh để hoàn thiện hơn....



[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 21/12/2006 18:21:48 (+0700) | #13 | 31782
thienminh
Member

[Minus]    0    [Plus]
Joined: 19/12/2006 12:55:40
Messages: 17
Offline
[Profile] [PM]
Tui quên mất cách trên là cách diệt bằng tay
ko thì bạn down thằng BKAV bản mới nhất hoặc thằng kaspersky là xong được thui mà!


[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 22/12/2006 00:08:55 (+0700) | #14 | 31831
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Hehe cach của bạn thienminh xưa cũ rồi, dù sao cũng cám ơn bạn đã chỉ bảo tui.Có điều cái USB của tui bị khóa write protect nên không xóa đc, van để chỉ là làm sao để mở write protect của loại USB không có gạt bảo vệ ( đây là loại vỏ bọc chống va đập). Còn bạn bảo tôi search ẩn để tìm diệt thì cũng tùy con thôi. Có con nó thay toàn bổ các process của bạn như: services.exe; svchost.exe;spoolsv.exe; explorer.exe.... khi đó bạn có search ẩn đến sáng mai cũng chẳng thấy nó. Điều tôi muốn nói là bạn phải nhìn thấy được địa chỉ của các process đang dùng, cái này thì có rất nhiều phần mền hỗ trợ, win cũng có.




u see u teach me.
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 22/12/2006 04:43:37 (+0700) | #15 | 31924
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cách nào giết được thì chẳng có cũ /mới gì hết cả. Còn bạn than_thinh bên trên nói ghê quá, con virus đó thần kỳ vậy . Mấy cái USB không có khoá ngoài, một số có chương trình khóa bên trong, nhỏ thôi, có mật khẩu, cho nhập vài ký tự. Trường hợp này chỉ có ai ngớ ngẫn, đặt pass bảo vệ rồi quên thôi .Còn chuyện nó bảo writed protected trong khi owner chẳng có đặt, do mấy chú virus tạo process ngăn.

Kiểu bạn nói nó "thay đổi" mấy cái services của windows , thì chắc là bạn nên format luôn cái ổ C, cài lại windows, giết tàn dư trên các ổ khác. Hơi đâu mà hỏi bí người ta . Hỏi kiểu của bạn là huề cờ, tự hỏi, tư bắt bẻ ý kiến bà con.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 22/12/2006 07:06:52 (+0700) | #16 | 31983
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Thì như bạn tmd nói đó có 1 số USB có chương trình khóa bên trong, nhỏ thôi, có mật khẩu, cho nhập vài ký tự. Thì mình cũng không rõ (do mình không phải ownercuar USB) nên không bít có ai đặt không, nhưng dù sao cũng phải có cách mở nó chứ, dù mình đã có format nhưng không đc. Còn nếu ro mấy chú virus tạo process ngăn thì mình cũng không chắc ( vì tất cả những process trong máy mình đang dùng mình đều bít nó là của thằng nào- có thể trừ những process ẩn chăng?).
Còn con virus mình nói thay các process là có đấy chứ, nó là prototok(nhớ không rõ tên lắm), khi bật systerninfo lên thấy mấy process đấy không nắm trong systern32 nữa mà nằm ở 1 địa chỉ do nó tạo ra, và nếu bạn vào tìm nó bằng cách nháy vào bình thương thì sẽ không thấy nó kể cả search ẩn, con nếu bạn vào bằng địa chỉ address- ghi theo địa chỉ thì vào được nó. Con đấy khống chế Endtask, run cmd, regitry, msconfig, bật các chương trình chạy.
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 26/12/2006 04:46:45 (+0700) | #17 | 32749
[Avatar]
venus_007
Elite Member

[Minus]    0    [Plus]
Joined: 27/03/2003 13:40:09
Messages: 158
Location: Sài Gòn
Offline
[Profile] [PM]
Đối với USB không có chức năng Write Protect mà bị báo lỗi write protect thì phần nhiều do hư hỏng phần cứng!

Còn con sxs.exe nếu bạn không diệt được theo các cách trên thì có một các mà mọi người gọi là dĩ độc trị độc.

Lúc mình bị con này thì bkav chưa diệt được, mấy phần mềm khác cũng ko hiệu quả! nên mình dùng cách là chép con virus RavMoonE.exe vào ÚB đã bị nhiễm sxs.exe, do RavMoonE.exe cũng tạo file autorun giống con kia, nên khi vào nó chép chồng file autorun cuả nó lên, khi đó bạn xoá tay con sxs.exe, nó ko sinh ra lại, còn con RavMoonE.exe thì khá phổ biến và BKAV có thể diệt nó ( hoặc diệt bằng tay)

Bạn thử xem!
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 29/12/2006 01:02:32 (+0700) | #18 | 33225
dqavh
Member

[Minus]    0    [Plus]
Joined: 18/07/2006 21:34:44
Messages: 16
Offline
[Profile] [PM] [Yahoo!]
nói thêm là con Sxs.exe khóa luông chức năng xem file ẩn. cho dù có chọn xem file ẩn trong folder/option nhưng cũng trở lại như ban đầu. có thể dùng NC để xem.
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 30/12/2006 04:48:58 (+0700) | #19 | 33386
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Những con như sxs.exe hay flashy.exe có rất nhiều biến thể- vì có con flashy.exe thay đổi đc pass có con lại không, có con thì khống chế rất mạnh, có con thì chẳng khống chế gì cả. Vì đối với người thạo về lập trình thì chỉ cần sửa hoặc thêm 1 chút trong code là có thể có ngay 1 vius mới.
Còn chuyện cái USB chắc là hỏng phần cứng rồi nên mình củng khong cố nữa.
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 30/12/2006 04:56:03 (+0700) | #20 | 33388
[Avatar]
tban_thinh
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Tiện vui kể chút chuyện diệt tay: Hôm nọ mang tài liệu ra hàng phô tô để in. Thấy trong máy có con flashy, ngứa tay thế là ngồi diệt, diệt xong con này vào nhìn lại process thấy ngay còn 3 con dc.exe; svqr.exe;fun.exe.( con fun.exe thì lúc ẩn lúc hiện trong process),đã tìm ra địa chỉ của từng con, ngồi diệt từng con, tắt process của 1 trong 3 con lập tức nó lại hiện lại ngay. Đành chơi kiểu để sẵn nút hỏi khi ấn xóa trước, ấn endprocess xong là ok ngay, thế là xóa dc. Nhưng khi xem lại thì thấy nó đã sống lại. Vì đã xem địa chỉ từng process trong end task nên nghĩ ngay là 1 trong 3 con đã kíu lại( đã thử lần lượt với từng con nhưng vẫn như cũ) -> 3 con có vai trò như nhau và tự kíu nhau lại ( phỏng đoán). Mà mình thì không thể tăt cùng lúc 3 process đc--> Pó tay --> Diệt tay mà không có các công cụ hỗ trợ thì nhiều khi cũng bí.
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 30/12/2006 10:38:03 (+0700) | #21 | 33426
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
10 cái usb có tới 9 cái dính virus,->100 cái pc có 99 cái dính virus lây từ 9 cái usb kia. icesword là phần mềm khá tốt để diệt trojan, virus lây usb khá.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 22/03/2007 00:00:02 (+0700) | #22 | 48348
anhmilksop
Member

[Minus]    0    [Plus]
Joined: 17/09/2006 22:02:32
Messages: 1
Offline
[Profile] [PM]
nếu bạn muốn diệt thì liên hệ với minh nhe conrua_vang@yahoo.com
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 22/03/2007 01:02:31 (+0700) | #23 | 48365
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Sao kô post cách diệt lên luôn đi ? chắc gì đã diệt được mà dấu nghề thía :lolsmilie
[Up] [Print Copy]
  [Question]   Kíu khẩn cấp với, con virus này mình không trị được 22/03/2007 06:52:05 (+0700) | #24 | 48441
theory1
Member

[Minus]    0    [Plus]
Joined: 15/04/2006 14:59:07
Messages: 24
Offline
[Profile] [PM]

dqavh wrote:
nói thêm là con Sxs.exe khóa luông chức năng xem file ẩn. cho dù có chọn xem file ẩn trong folder/option nhưng cũng trở lại như ban đầu. có thể dùng NC để xem.
 

vào regedit để xem file ẩn nè
-[HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\explorer\advanced
\folder\hidden\showall]
- Delete the following CheckdValue formed ‘REG-SZ’.
- Set 'CheckedValue = 1' - Generate same CheckedValue into 'REG_DWORD'
[Up] [Print Copy]
  [Question]   Re: Kíu khẩn cấp với, con virus này mình không trị được 22/03/2007 11:02:14 (+0700) | #25 | 48498
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hay quá smilie) lại biết thêm một khóa hay ho nữa của registry smilie)
Rất cám ơn bác theory1 smilie)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|