[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
24/02/2007 01:28:38 (+0700) | #1 | 42636 |
vib_bank
Member
|
0 |
|
|
Joined: 23/02/2007 13:09:28
Messages: 3
Offline
|
|
Các huynh đệ làm ơn cho tôi hỏi chút:
máy của tôi cài XP máy hôm nay bị con FUN.exe và con DC.exe, WIN.exe
Toi không thể end task được. xóa cũng ko kể cả vào regedit. Đặc biệt là nó lây qua mạng LAN rất nhanh.
Đã dùng các bản diệt virus sau nhưng ko diệt được:
- NORTON COMPORATE
- AVAST 4
- COUNTERSPY
- BITDEFENDER 9
- AGV
Diệt cả trong DOS vẫn ko xong.
Có huynh đệ nào đã từng trị dược nó làm ơn chỉ giao giùm tôi với.
|
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
24/02/2007 02:06:53 (+0700) | #2 | 42642 |
|
Durza
Member
|
0 |
|
|
Joined: 07/02/2007 20:23:29
Messages: 177
Location: UnderGround World
Offline
|
|
1. Bạn vào msconfig tắt không cho nó chạy trước khi khởi động rồi sau đó tìm xem nó load từ chỗ nào ra và xóa nó đi
2. Dùng các chương trình hỗ trợ End Task mạnh hơn Task Manager mà kill thử hay dùng task kill trong Command cũng được : taskkill /pid .... /f
3. Dùng Bkav giệt mấy con virus nội dễ hơn đấy bạn
4. Xem thử con virus đó nằm ở chỗ nào ??? Nếu vào đến nơi mà thấy nó ko hiện ra thì thử tắt các chế độ ẩn của win thử , kể cả chế độ ẩn của file system .
=> Restart lại máy |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
24/02/2007 06:20:54 (+0700) | #3 | 42696 |
|
kienmanowar
HVA Friend
|
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
|
|
Chào bạn tôi cũng có gặp qua mấy con virus này rồi và cũng đã viết lại sơ bộ quá trình tôi remove nó. Bạn có thể tham khảo ở đây :
http://blog.360.yahoo.com/blog-gfHMZDUlaae0Jy6UTm1QLZxnxvmX2Uap_9Q-?cq=1&p=49
Hi vọng bài viết của tôi sẽ có ích cho bạn.
Best Regards
kienmanowar |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
25/02/2007 00:32:46 (+0700) | #4 | 42859 |
thuy12813
Member
|
0 |
|
|
Joined: 24/02/2007 11:19:08
Messages: 1
Offline
|
|
Dùng cách của kienmanowar cung good đó nhưng còn cách nữa là bạn dùng đĩa Hiren Boot rồi tìm mấy ảnh để xóa thì cũng OK rồi. Nhưng sau khi khởi động lại thì nó sẽ báo mấy cái Registry lỗi thì theo mấy cái nó báo xóa luôn là xong rồi.
Fun.exe C:\windows\systems\fun.exe
dc.exe c:\windows\dc.exe
sviq.exe c:\windows\sviq.exe
windows.exe C:\Documents and Settings\Sinhvd81\Start Menu\Programs\Startup\windows.pif
lsass.exe "C:\Documents and Settings\Sinhvd81\Local Settings\Application Data\lsass.exe"
explorer.exe Explorer.exe C:\WINDOWS\system32\WinSit.exe
explorer.exe "C:\Documents and Settings\Sinhvd81\Application Data\explorer.exe"
Other.exe C:\windows\inf\Other.exe
Win.exe C:\Windows\system32\config\win.exe
Chúc thành công nhé. |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
27/02/2007 01:04:19 (+0700) | #5 | 43233 |
vib_bank
Member
|
0 |
|
|
Joined: 23/02/2007 13:09:28
Messages: 3
Offline
|
|
huynh kienmanowar ơi
khi vào safe mode nó vẫn chạy và cũng ko end task được.
đệ tìm được đường dẫn để xóa thì nó lại hiện lên. ko xóa được. kể cả khi boot bằng đĩa CD và vào DOS để xoá. khi vào Win nó vẫn chạy.( Nhưng mới xóa được 2 file thôi, đệ sẽ thử tất cả các file như của huynh nữa)
Huynh Durza oi
cái BKAV ko hạ được nó đâu. vì trong list của BK chưa có FUN
|
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
27/02/2007 04:52:31 (+0700) | #6 | 43277 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Mấy con này chưa phải loại dữ dằn lắm, chưa có cảnh báo lớn nào về nó ở Việt Nam hết. Nguyên tắc cơ bản là diệt cái process của con đó. Sau đó mới tính tới các key trong registry/file lây nhiễm. Forum có vô số câu hỏi về mấy con đó. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
27/02/2007 12:28:46 (+0700) | #7 | 43383 |
|
kienmanowar
HVA Friend
|
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
|
|
vib_bank wrote:
huynh kienmanowar ơi
khi vào safe mode nó vẫn chạy và cũng ko end task được.
đệ tìm được đường dẫn để xóa thì nó lại hiện lên. ko xóa được. kể cả khi boot bằng đĩa CD và vào DOS để xoá. khi vào Win nó vẫn chạy.( Nhưng mới xóa được 2 file thôi, đệ sẽ thử tất cả các file như của huynh nữa)
Huynh Durza oi
cái BKAV ko hạ được nó đâu. vì trong list của BK chưa có FUN
Tôi Boot máy ở chế độ Safe Mode (Command line). Lúc này chỉ hiện thị màn hình cmd thôi. sau đó bạn tìm cách chạy msconfig, regedit, và delete các file như tôi đã nói là hoàn toàn ok.
Best Regards
kienmanowar |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
01/03/2007 06:23:48 (+0700) | #8 | 43770 |
|
delua
Locked
|
0 |
|
|
Joined: 28/12/2006 00:48:39
Messages: 102
Offline
|
|
vib_bank wrote:
Các huynh đệ làm ơn cho tôi hỏi chút:
máy của tôi cài XP máy hôm nay bị con FUN.exe và con DC.exe, WIN.exe
Toi không thể end task được. xóa cũng ko kể cả vào regedit. Đặc biệt là nó lây qua mạng LAN rất nhanh.
Đã dùng các bản diệt virus sau nhưng ko diệt được:
- NORTON COMPORATE
- AVAST 4
- COUNTERSPY
- BITDEFENDER 9
- AGV
Diệt cả trong DOS vẫn ko xong.
Có huynh đệ nào đã từng trị dược nó làm ơn chỉ giao giùm tôi với.
FUN.exe là worm W32.Israz@mm.
- Tắt process của nó
- Xóa :
%System%\vShell.exe
%System%\OSSMTP.dll
%Temp%\Fun.exe
%Temp%\FAQ.exe
%Temp%\Support.exe
%Temp%\Q322593.exe
Xóa đăng ký tự chạy trong registry.
Còn win.exe hình như xuất xứ từ Nga.bkav diệt được con này.
Con dc.exe trốn trong \system\32\dc.exe
Nhớ tìm xóa đăng ký trong registry của nó.
|
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
02/03/2007 05:33:37 (+0700) | #9 | 43990 |
dungcoi_vb
Member
|
0 |
|
|
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
|
|
con worm fun.exe yếu như con sên vậy mà mấy vậy cứ nói gì phức tạp vậy :
1. www.Bkav.com.vn
2. http://www.fortiguardcenter.com/ve?vid=317648
3. http://www.trendmicro-middleeast.com/smb/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_AGENT.KIC
4. http://msn.ahnlab.com/info_virus_view.asp?list=/virus_info_list.asp&seq=6831
5. http://acc.moe.go.kr/virus_view.asp?list=/newvirus.asp&seq=6831
6. http://virusinfo.prevx.com/pxparall.asp?PX5=44c31263003243cfe0f800a3dc352000ccefde6c&psection=filepath
Good luke |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
02/03/2007 23:45:26 (+0700) | #10 | 44163 |
virus13
Member
|
0 |
|
|
Joined: 24/03/2004 18:12:24
Messages: 7
Offline
|
|
dùng Mcafee Virusscan Enterprise 8.5I (update xong) là diệt sạch. mình thử rồi |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
03/03/2007 00:20:48 (+0700) | #11 | 44176 |
|
kienmanowar
HVA Friend
|
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
|
|
dungcoi_vb wrote:
con worm fun.exe yếu như con sên vậy mà mấy vậy cứ nói gì phức tạp vậy :
1. www.Bkav.com.vn
2. http://www.fortiguardcenter.com/ve?vid=317648
3. http://www.trendmicro-middleeast.com/smb/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_AGENT.KIC
4. http://msn.ahnlab.com/info_virus_view.asp?list=/virus_info_list.asp&seq=6831
5. http://acc.moe.go.kr/virus_view.asp?list=/newvirus.asp&seq=6831
6. http://virusinfo.prevx.com/pxparall.asp?PX5=44c31263003243cfe0f800a3dc352000ccefde6c&psection=filepath
Good luke
Cái này không phải là phức tạp hay là không mà vấn đề là ở chỗ nếu như bạn là người dính đầu tiên và trên các site khác chưa có thông tin về cách diệt thì thử hỏi bạn làm thế nào? Tôi dám cá chắc là bạn sẽ hoang mang vì bạn đâu biết mức độ nguy hiểm của nó. Topic lập ra để giúp bạn gì đó remove virus ra khỏi hệ thống do đó nếu bạn có lòng thì nên chia sẻ kinh nghiệm để hỗ trợ. Chẳng ai dám phát biểu một con virus là yếu như con sên khi người ta chưa biết tí gì về nó đâu )
Best Regards
kienmanowar |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
03/03/2007 00:50:17 (+0700) | #12 | 44183 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Tui mà gặp con này, tự mày mò, hoang mang chi cho mệt mỏi. Mấy trang web coi cách diệt. Thực tế là họ show ra các thao tác con virus để lại trên hệ thống. Còn nguyên tắc diệt thì phải tìm hiểu. Làm theo các bước mà bà con đưa ra, đa phần là không tiêu diệt được. Ví dụ như cái list do delua,kienmanowar đưa ra. Chỉ show ra như mấy hảng phần mềm diệt virus , rất khó diệt.
Hầu hết bà con chỉ , thiếu chỉ nguyên tắc, toàn chỉ bước, làm sao người ta hiểu được. Hầu như ai cũng biết cách search thông tin virus, bà con đừng reply info từ ngoài vào HVA chi cho tốn kém. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
03/03/2007 01:40:27 (+0700) | #13 | 44200 |
|
kienmanowar
HVA Friend
|
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
|
|
Hì đôi khi không phải lúc nào chúng ta cũng có đủ thời gian để mày mò, nghiền ngẫm. Khi bạn đi làm, máy của công ty hay phía đối tác bị dính virus. Thậm chí là khi máy các sếp bị dính virus chẳng hạn, nó ảnh hưởng tới công việc của người ta. Họ muốn làm cách nào đó không cần biết (vì hầu hết những người bị dính cũng không hiểu là dính virus từ đâu) miễn sao nhiệm vụ của anh là giải quyết nó ngay lập tức, làm sao hạn chế và cô lập một cách nhanh nhất để mọi người còn ổn định làm việc. Khi đó những cách mà mọi người và tôi nói ở trên là một hướng đi để những người bị các trường hợp tương tự có thể từ đó mà lần theo và tự tìm ra hướng giải quyết riêng.
Như bạn nói các trang Web chỉ show ra các thao tác con virus để lại trên hệ thống. Còn nguyên tắc diệt thì phải tìm hiểu. Nhưng theo tôi thì họ show cho chúng ta các thao tác đó chính là thứ quí giá lắm rồi, lần theo đó chúng ta có thể biết được chúng ta sẽ phải làm gì, sử dụng công cụ gì để remove virus ra khỏi hệ thống. Đôi khi chúng ta bị dính virus nhưng trên các trang Web chưa có thông tin về nó thì sao, thì lúc đó chính bản thân chúng ta phải tự thân vận động, và khi chúng ta đã có thể giải quyết được vấn đề thì có thể chia sẻ chút kinh nghiệm đó cho mọi người.
Best Regards
kienmanowar |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
03/03/2007 02:25:48 (+0700) | #14 | 44202 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Bạn nào dính mấy con tương tự vậy có thể độc một số topic trong box virus và hiểu cách diệt mấy con virus đó. Nếu không hiểu nguyên tắc trong các topic, làm theo các bước liệt kê, sẽ không diệt được. Bạn vib_bank bị tình trạng tương tự rồi. Nên chỉ nguyên tắc, biết nt rồi thì dẽ6 làm lắm. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
08/03/2007 23:25:04 (+0700) | #15 | 45388 |
vib_bank
Member
|
0 |
|
|
Joined: 23/02/2007 13:09:28
Messages: 3
Offline
|
|
Cảm ơn các Bác đã quan tâm đến vấn đề này. Bác kienmanowar nói đúng đấy. Chúng ta la dân IT thường xuyên phải đi sửa máy cho khách hoặc cho các xếp, do vậy chúng ta cần có biện pháp nhanh nhất và tốt nhất. |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
09/03/2007 01:11:08 (+0700) | #16 | 45413 |
dungcoi_vb
Member
|
0 |
|
|
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
|
|
|
|
[Question] Re: Máy nhiễm Virus FUN.exe, DC.exe, |
09/03/2007 05:39:21 (+0700) | #17 | 45470 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
da'm ca' con na`y la` daknong gi` do'. To' doa'n dungcoi_vb da~ nghiÊn cứu qua con này rồi.
@dungcoi_vb:
- Đề nghị dungcoi_vb hướng dẫn cách diệt cụ thể nhé.
- NDM.txt chứa cái gì trong đó vậy??? :wink:
PS.
Lượm được 1 cái topic trùng: /hvaonline/posts/list/7744.html. Ro~ kho^? |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
09/03/2007 06:24:17 (+0700) | #18 | 45477 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Công nhận con worm này đúng "sên", chỉ có 1 chổ nó sửa cái key trong registry, thay userinit.exe thành win.exe là hơi "nhớt". Diệt xong mà không sửa cái key , "té" đau.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
09/03/2007 06:26:39 (+0700) | #19 | 45479 |
dungcoi_vb
Member
|
0 |
|
|
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
|
|
hì hì
đựoc một "Người nổi" tiếng như anh IQ "Hỏi thăm" thì sao em ko trả lời đựoc chứ
Để em phân tích : Thực ra các file Fun.exe và dc.exe và cả sviq.exe đều được 2 dòng worm YMDungCoi (Tên gốc là DungCoi) và dòng worm DakNong (Tên gốc là RealWorm) sử dụng
Tuy nhiên, trong worm DungCoi phạm phải một lỗi code chí tử khiến cho RAM bị ngốn kinh khủng và nguyên tắc bảo vệ của nó cũng thấp hơn rất nhiều so với ReamWorm
Cách phân biệt cơ bản của worm DungCoi và RealWorm là kiểm tra Key Userinit trong Regedit (Đọc bài viết "Virus toàn tập" để hiểu về key này nhá) hoặc kiểm tra khả năng "Tự bảo" vệ của sviq.exe
Còn về file NDM = Nội Dung Mail . Đây là file chỉ có worm DungCoi tạo ra với mục đích gửi mail tới nạn nhân kết tiếp thông qua OE của PC đó
Cách diệt cụ thể của worm DungCoi là Kill hàng loạt file và xóa nó cộng với xóa thêm vài key. Nếu bạn lười thì sài cái Remove DungCoi tui viết hồi trước nè : http://rapidshare.com/files/19484036/Remove_DungCoi.zip.html
Diệt ReamWorm cũng tương tự cũng có thể dùng Remove DungCoi để tiêu diệt, tuy nhiên sau đó cần phải phục hồi lại Key UserInit theo bằng dự liệu file path như sau : C:\Windows\System32\Userinit.exe
Okie. Good luke. Bi giờ có lẽ các bạn đã biết tui là cái gì của mấy con worm này rùi chứ
hì hì |
|
|
|
|
[Question] Máy nhiễm Virus FUN.exe, DC.exe, |
09/03/2007 07:15:00 (+0700) | #20 | 45483 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
Nhắc nhở chung:
- Không được lợi dụng diễn đàn để truyền bá virus lẫn source code.
- Đảm bảo các phần mềm / chương trình mà bản thân giới thiệu 100% free of malware.
|
|
|
|