[Question] Virus ssvichosst.exe |
29/03/2007 07:59:32 (+0700) | #1 | 50245 |
channhua
Elite Member
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
cho thằng em muọn máy cắm usb vào nó tò mò chạy cái folder gì đó thì
bung ra cái box erro báo no disk hoài, trong khi vẫn duyệt ổ usb được.
không tắt được luôn
biết ngay là dính virus , thử mở taskmgr lên không đc, msconfig, và regedit không được.
lấy taskmgr khác thì thấy có process ssvichosst.exe đang chạy. del nó phải chục lần mới xong.
Còn có 2 process khác nữa là skcvhost.exe và cái gì quên rồi, del nó luôn mới del được cái box phía trên
vào system 32 coi file SKCVHOSTr.exe và skcvhost.exe mới tạo ngày hôm nay biết chú này rồi del nốt vẫn chưa xong, tìm tiếp chú skcvhostr.dll del luôn. không biết tới đây đã ổn chưa trong khi vẫn chưa tìm được file chính ssvichosst.exe
Coi trong process thấy có cái agrsmmsg.exe là softmodem message applet không biết làm gì del luôn.
Quái nó vẫn dính khi del xong, mới del chỉ là tạm thời
Thằng này được viết bằng autoit v3.
vào cmd coi thử nó có mở port lạ không coi chừng mất yim
tìm được nó trong system32 nhưng biết ngay là nó ẩn rồi mở ẩn thì thằng này hide luôn cái folder option .
copy cái code này vào và đặt tên có đuôi là vbs
'togglefolderopts.vbs - Enables/Disables Folder Options settings
'in Win95/98
'© Doug Knox - rev 12/02/99
'Thanks to Max Spyridakis for his suggestions
Option Explicit
On Error Resume Next
Dim WSHShell, itemtype, n, MyBox, p, p1, p2, t, mustboot, errnum, vers
Dim urladdr
Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
p1 = "NoFolderOptions"
p2 = p & p1
itemtype = "REG_DWORD"
t = "Toggle Folder Options"
mustboot = "Log off and back on, or restart your pc to"
mustboot = mustboot & vbCR & "effect the changes"
'This section tries to read the registry key value. If not present an
'error is generated. Normal error return should be 0 if value is
'present
t = "Enable/Disable Folder Options"
Err.Clear
n = WSHShell.RegRead (p2)
errnum = Err.Number
if errnum <> 0 then
'Create the registry key value for NoFolderOptions with value 0
WSHShell.RegWrite p2, 0, itemtype
End If
'If the key is present, or was created, it is toggled
'Confirmations can be disabled by commenting out
'the two MyBox lines below
If n = 0 Then
n = 1
WSHShell.RegWrite p2, n, itemtype
Mybox = MsgBox("Folder Options are now DISABLED" & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
n = 0
Mybox = MsgBox("Folder Options are now ENABLED" & vbCR & mustboot, 4096, t)
WSHShell.RegWrite p2, n, itemtype
End If
chạy, xong là mở lại được
ò, ai mà bị dis task thì mở notepad chèn cái này vào và đôi tên thành taskmanager.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"**del.DisableTaskMgr"=" "
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DisableCAD"=dword:00000000
để enable lại[code] |
|
|
|
|
[Question] Virus ssvichosst.exe |
29/03/2007 10:31:29 (+0700) | #2 | 50287 |
Zeros
Member
|
0 |
|
|
Joined: 30/07/2006 14:51:42
Messages: 121
Location: ...o0o...
Offline
|
|
bác channhua cho em hỏi cái, đoạn code của bác chỉ có tác dụng với con Virus này thôi hay là tất cả các con khác có chức năng tương tự (khóa folder option, reg, task,...) ??? |
|
|
|
|
[Question] Virus ssvichosst.exe |
29/03/2007 10:37:16 (+0700) | #3 | 50288 |
channhua
Elite Member
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
Tương tự bạn, à nó còn nằm 1 chỗ nữa là trong c:\windows bạn diệt cho sạch là được |
|
|
|
|
[Question] Virus ssvichosst.exe |
29/03/2007 10:45:52 (+0700) | #4 | 50293 |
channhua
Elite Member
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
à quên bạn vào file autorun.ini để del nó luôn, để khi restart lại nó khỏi báo lỗi không tìm thấy con này.
[Autorun]
Open=SSVICHOSST.exe
Shellexe cute=SSVICHOSST.exe
Shell\Open\command=SSVICHOSST.exe
Shell=Open
del hết luôn nha |
|
|
|
|
[Question] Virus ssvichosst.exe |
30/03/2007 14:21:50 (+0700) | #5 | 50513 |
channhua
Elite Member
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
con này ghi đầy registry và vào yIM, quên béng giữ lại 1 cái mổ bụng ra coi nó làm gì ? |
|
|
|
|
[Question] Virus ssvichosst.exe |
30/03/2007 14:26:27 (+0700) | #6 | 50514 |
channhua
Elite Member
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
à cái chú có process svohost.exe mới search thì ra là con w32.nsanti.trojan. Máy yếu làm biếng dùng antivirus mà lâu lâu cho người khác dùng mới bị, duyệt mệt quá. con này không cho hiện file ẩn đó cứ mở folder option set rồi ok thì cũng như ban đầu, set attri cũng không được luôn...nhiều trò thiệt |
|
|
|
|
[Question] Virus ssvichosst.exe |
01/04/2007 11:12:45 (+0700) | #7 | 50871 |
Zeros
Member
|
0 |
|
|
Joined: 30/07/2006 14:51:42
Messages: 121
Location: ...o0o...
Offline
|
|
to channhua : bác spam bài nhiều wá, em hỏi 1 câu thui mà )
thanks bác nhìu, em đi làm gặp nhiều trường hợp như thế lắm, cứ áp dụng như vậy là khỏe re ) |
|
|
|
|
[Question] Virus ssvichosst.exe |
01/04/2007 11:36:58 (+0700) | #8 | 50878 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Ba con cứ trưng bày vài món hàng để decode, ... giải mã cái file worm cho bà con biết. Mày mò một hồi là không có ngại con nào hết. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: Virus ssvichosst.exe |
13/04/2007 05:14:03 (+0700) | #9 | 53333 |
ngochien2207
Member
|
0 |
|
|
Joined: 12/04/2007 17:50:35
Messages: 1
Offline
|
|
Bac chanchua cho em hoi la em da diet xong con nay rui nhung moi khi khoi dong lai may no lai bao la ko tim thay con virus(file) ssvichosst nay ,bac noi la vao autorun.ini xoa no di nhung em kiem mai ko co cai autorun.ini trong may e ke ca khi vao folder option chinh show file an . |
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
08/05/2007 04:37:42 (+0700) | #10 | 57696 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Em đã thực hiện như trên: kill process SSVICHOSST.exe, xóa file trong WINDOWS chạy file vba để enable regedit, task Manager...
logoff, logon
Nhưng vẫn thấy xuất hiện process SSVICHOSST.exe
Mặt khác khi bật được regedit thì search SSVICHOSST toàn bị down máy.
Hix, ko bít còn virus nào nữa ko, toàn làm CPU 100%
Help me... :cry:
Đây là thông tin máy em:
Logfile of HijackThis v1.99.1
Scan saved at 2:56:03 PM, on 5/7/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\BLuPro\BLuPro.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\SSVICHOSST.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Setup\procexp.exe
C:\Setup\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O4 - HKLM\..\Run: [BLuPro] C:\Program Files\BLuPro\BLuPro.exe
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe
O4 - Global Startup: EmEditor.lnk = C:\Program Files\EmEditor\emedtray.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{655162ED-A7C8-4F88-B1F9-C7F61F265225}: NameServer = 203.162.0.181,203.210.142.132
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Fast User Switching Compatibility FastUserSwitchingCompatibilityCOMSysApp (FastUserSwitchingCompatibilityCOMSysApp) - Unknown owner - C:\WINDOWS\system32\l_intlp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
|
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
09/05/2007 02:55:19 (+0700) | #11 | 57878 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Hix, ai biết kứu em với???
Như trên thì qttask.exe của QuichTime chiếm >90%CPU mà ko xoá được, em đã vào chế độ safe-mode xoá đi rùi. Đặt restore-system == off. Quét lại máy bằng Semantic update 07/05 rùi. Dọn dẹp khá sạch nhưng thế nào mà vẫn còn con gắn vào Windows/system32/svchost.exe kô loại được, đây là file hệ thống ko xoá được vì nó chạy một số process cần thiết .
Làm thế nào bây giờ nhỉ??
Help me...
PS: :cry: Em ngại cài lại lắm rùi, khéo phải chuẩn bị sẵn 1 ổ mà gost cho nhanh thui, lắm virus quá ( |
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
09/05/2007 03:17:06 (+0700) | #12 | 57882 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
@monster55: Bạn thử làm như sau xem có diệt được kô.
C:\WINDOWS\system32\SSVICHOSST.exe Đây là đường dẫn của Process SSVICHOSST.exe. Phải vào xóa sau khi kill xong process SSVICHOSST.exe
F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe Key này có tác dụng kích hoạt file SSVICHOSST.exe trong C:\WINDOWS\SSVICHOSST.exe khi máy khởi động. Hình như con này vẫn hoạt động khi bạn khởi động ở chế độ safe mode. Bạn hãy tick vào dòng này trong chương trình HijackThis khi vừa scan xong, chuẩn bị Fix.
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs
C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O4 - HKLM\..\Run: [BLuPro] C:\Program Files\BLuPro\BLuPro.exe
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe
Trên đây là những khóa có tác dụng start virus (có thể cả một vài chương trình nào đó kô phải virus) Nếu bạn nhận ra chương trình nào do mình cài ra thì để lại, kô thì cứ Fix, ko ảnh hửong tới System đâu )
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Key này có tác dụng khóa Registry. Tick vô. Fix xong, registry sẽ mở được mà ko cần chạy file vbs để enable.
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll tick tiếp dòng này
O23 - Service: Fast User Switching Compatibility FastUserSwitchingCompatibilityCOMSysApp (FastUserSwitchingCompatibilityCOMSysApp) - Unknown owner - C:\WINDOWS\system32\l_intlp.exe tick nốt
Bây giờ thì Ấn nút Fix Checked để hijackthis làm việc.
Trước khi fix phải kill process SSVICHOSST.exe đã bạn nhá. nếu kô, có thể nó sẽ tạo lại những key của nó ngay đấy.
Bây giờ thì khởi động lại máy xem có còn SSVICHOSST.exe kô.
C:\Program Files\BLuPro\BLuPro.exe: Đây là chương trình gì thế bạn?
|
|
|
|
|
[Question] Virus ssvichosst.exe |
09/05/2007 03:46:45 (+0700) | #13 | 57887 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Máy này dính 2 trojan downloader(MS32DLL.dll.vbs, rpcc.exe) với con 1 worm SSVICHOSST.exe
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs
C:\WINDOWS\boot.ini
cái này tạo điều kiện chạy cái MS32DLL.dll.vbs
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe kiểu này là dính con này từ nhấn link yahoo rồi.
Các file khác coi info của file để coi nó có thông tin của nsx hay gì đó, nếu không có thì cứ xóa nó đi.
Kill Process con worm đầu tiên, chạy fix_reg.vbs của bkav để nó sửa một vài thứ bị worm nó fix này nọ, khỏi tốn công chỉnh tay.
Sau đó kill 2 cái con trojan kia, hai con này không có nv gì khác ngoài download thức khác vào máy bạn.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: Virus ssvichosst.exe |
09/05/2007 10:32:47 (+0700) | #14 | 57965 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
C:\Program Files\BLuPro\BLuPro.exe: Đây là chương trình gì thế bạn?
Đó là chương trình BKAV bản Pro anh ạ. Thanks các anh nhiều, em đã thực hiện và xử lý xong mấy con đó rùi.
Nhưng còn con virus gắn vào file C:/Windows/system32/svchost.exe thì làm thế nào ạ?? Em vẫn thấy Symantic nó báo có con này và không xóa được.
Làm thế nào bây giờ ạ, Các anh giúp em với :cry:
Còn đây là hệ thống hiện thời của em. Có vẻ như hết rồi nhưng xử lý thế nào với con svchost ạ?? Hay cứ remove đi rùi repair lại hệ thống từ đĩa cài??
-----------------------------
Logfile of HijackThis v1.99.1
Scan saved at 9:13:59 PM, on 5/8/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AppServ\Apache\bin\Apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\BLuPro\BLuPro.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\AppServ\Apache\bin\Apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Setup\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BLuPro] C:\Program Files\BLuPro\BLuPro.exe
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: EmEditor.lnk = C:\Program Files\EmEditor\emedtray.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{655162ED-A7C8-4F88-B1F9-C7F61F265225}: NameServer = 203.162.0.181,203.210.142.132
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O21 - SSODL: MSN Messenger - {280A7B65-8F00-438F-3E5A-1F039433FE60} - C:\WINDOWS\system32\dssdll32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\AppServ\Apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Application Management (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Windows Audio (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Computer Browser (Browser) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Cryptographic Services (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: DHCP Client (Dhcp) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Logical Disk Manager (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: DNS Client (Dnscache) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Error Reporting Service (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: COM+ Event System (EventSystem) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Fast User Switching Compatibility (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Fast User Switching Compatibility FastUserSwitchingCompatibilityCOMSysApp (FastUserSwitchingCompatibilityCOMSysApp) - Unknown owner - C:\WINDOWS\system32\l_intlp.exe (file missing)
O23 - Service: gb - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Help and Support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Server (lanmanserver) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Workstation (lanmanworkstation) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: TCP/IP NetBIOS Helper (LmHosts) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: mysql - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: Network Connections (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Network Location Awareness (NLA) (Nla) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Removable Storage (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Access Auto Connection Manager (RasAuto) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Access Connection Manager (RasMan) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Registry (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Secondary Logon (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: System Event Notification (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Shell Hardware Detection (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Restore Service (srservice) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: SSDP Discovery Service (SSDPSRV) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Image Acquisition (WIA) (stisvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Telephony (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Themes - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Distributed Link Tracking Client (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Universal Plug and Play Device Host (upnphost) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Time (W32Time) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: WebClient - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Management Instrumentation (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Portable Media Serial Number Service (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Portable Media Serial Number Service WmdmPmSNBrowser (WmdmPmSNBrowser) - Unknown owner - C:\WINDOWS\system32\neteventb.exe (file missing)
O23 - Service: Windows Management Instrumentation Driver Extensions (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Security Center (wscsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Wireless Zero Configuration (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Network Provisioning Service (xmlprov) - Unknown owner - C:\WINDOWS\System32\svchost.exe
-------------------------------------------------
THanks for all help!
|
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
09/05/2007 10:34:17 (+0700) | #15 | 57966 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
C:\Program Files\BLuPro\BLuPro.exe: Đây là chương trình gì thế bạn?
Đó là chương trình BKAV bản Pro anh ạ. Thanks các anh nhiều, em đã thực hiện và xử lý xong mấy con đó rùi.
Nhưng còn con virus gắn vào file C:/Windows/system32/svchost.exe thì làm thế nào ạ?? Em vẫn thấy Symantic nó báo có con này và không xóa được.
Làm thế nào bây giờ ạ, Các anh giúp em với :cry:
Còn đây là hệ thống hiện thời của em. Có vẻ như hết rồi nhưng xử lý thế nào với con svchost ạ?? Hay cứ remove đi rùi repair lại hệ thống từ đĩa cài??
-----------------------------
Logfile of HijackThis v1.99.1
Scan saved at 9:13:59 PM, on 5/8/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AppServ\Apache\bin\Apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\BLuPro\BLuPro.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\AppServ\Apache\bin\Apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Setup\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BLuPro] C:\Program Files\BLuPro\BLuPro.exe
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: EmEditor.lnk = C:\Program Files\EmEditor\emedtray.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{655162ED-A7C8-4F88-B1F9-C7F61F265225}: NameServer = 203.162.0.181,203.210.142.132
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O21 - SSODL: MSN Messenger - {280A7B65-8F00-438F-3E5A-1F039433FE60} - C:\WINDOWS\system32\dssdll32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\AppServ\Apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Application Management (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Windows Audio (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Computer Browser (Browser) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Cryptographic Services (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: DHCP Client (Dhcp) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Logical Disk Manager (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: DNS Client (Dnscache) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Error Reporting Service (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: COM+ Event System (EventSystem) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Fast User Switching Compatibility (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Fast User Switching Compatibility FastUserSwitchingCompatibilityCOMSysApp (FastUserSwitchingCompatibilityCOMSysApp) - Unknown owner - C:\WINDOWS\system32\l_intlp.exe (file missing)
O23 - Service: gb - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Help and Support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Server (lanmanserver) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Workstation (lanmanworkstation) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: TCP/IP NetBIOS Helper (LmHosts) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: mysql - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: Network Connections (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Network Location Awareness (NLA) (Nla) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Removable Storage (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Access Auto Connection Manager (RasAuto) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Access Connection Manager (RasMan) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Registry (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Secondary Logon (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: System Event Notification (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Shell Hardware Detection (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Restore Service (srservice) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: SSDP Discovery Service (SSDPSRV) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Image Acquisition (WIA) (stisvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Telephony (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Themes - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Distributed Link Tracking Client (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Universal Plug and Play Device Host (upnphost) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Time (W32Time) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: WebClient - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Management Instrumentation (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Portable Media Serial Number Service (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Portable Media Serial Number Service WmdmPmSNBrowser (WmdmPmSNBrowser) - Unknown owner - C:\WINDOWS\system32\neteventb.exe (file missing)
O23 - Service: Windows Management Instrumentation Driver Extensions (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Security Center (wscsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: Wireless Zero Configuration (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Network Provisioning Service (xmlprov) - Unknown owner - C:\WINDOWS\System32\svchost.exe
-------------------------------------------------
THanks for all help!
|
|
|
|
|
[Question] Virus ssvichosst.exe |
09/05/2007 11:06:37 (+0700) | #16 | 57973 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
có 1 phép thủ công vui vui, xóa cái file đó ngoài DOS, rồi repair windows. Nếu ko có gì quan trọng trong windows thì làm cách này đi. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Virus ssvichosst.exe |
11/05/2007 00:33:04 (+0700) | #17 | 58277 |
|
humandragon
Member
|
0 |
|
|
Joined: 05/09/2004 01:28:33
Messages: 7
Offline
|
|
Có ai giúp em với không. Em cũng bị con này rồi, nó không cho vào taskmanager. Làm sao có thể xóa file SSVICHOSST.exe trong system32 được vậy các anh ơi.
thao tác như thế nào để xóa đây.
Các anh giúp em với.
mail về nhan.nguyenngoc@gmail.com
Xin cảm ơn mọi người ! |
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
11/05/2007 01:17:58 (+0700) | #18 | 58288 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
copy đoạn code sau ra notepad save với tên a.js rồi double click vào file a.js đó. Bây giờ bạn xem task manager đã vào được chưa.
var Shell = new ActiveXObject("WScript.Shell");
Shell.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");
Nếu kô được bạn thử vào DOS xem có được kô(vào Run gõ "cmd")
vào dos rồi thì:
1.Gõ "tasklist" để xem danh sách process xem có SSVICHOSST.exe kô.
2.Nếu có SSVICHOSST.exe thì gõ tiếp "taskkill /f /im SSVICHOSST.exe" để kill Process SSVICHOSST.exe.
3.Gõ lại tasklist để xem còn SSVICHOSST.exe kô.
4.Nếu vẫn còn thì vào google gõ "icesword" để tìm và down chương trình icesword về. (Kô cần cài đặt dùng được ngay ) )
5.Vào phần Process trong icesword để kill SSVICHOSST.exe(Right click vào dòng SSVICHOSST.exe rồi click tiếp vào dong in đậm Terminate Process
6.Nếu vẫn kô kill được thì post tiếp bài nữa lên đây )
7.Nếu kill được process SSVICHOSST.exe rồi thì bây giờ mới vào system32 để delete file SSVICHOSST.exe. Hình như trong C:\Window cũng có file SSVICHOSST.exe đấy tìm và xóa đi.
Sau đó phải chạy HijackThis để sửa cái key của virus tạo ra trong registry nhá(đọc bài trên).Kô biết HijackThis là gì thì hỏi ông Google nốt )
Chúc bạn thành công ) |
|
|
|
|
[Question] Virus ssvichosst.exe |
12/05/2007 10:19:33 (+0700) | #19 | 58598 |
|
big-bird
Elite Member
|
0 |
|
|
Joined: 30/03/2005 13:31:15
Messages: 83
Offline
|
|
Nói chính xác là máy đã bị nhiễm Virus W32 Bronktot, các diệt thì cũng đơn giản nhưng bạn cần chuẩn bị môtj số đồ nghề sau:
1-Chương trình Task Manager, nhỏ gọn và hiệu quả để có thể View, Enable hay Disable các process đang thực thi trong hệ thống dễ dàng.
2-Bkav phiên bản mới nhất cũng đủ để sài, còn nếu làm siêng và máy đủ mạnh thì chơi thằng SAV cùng với bản update mới nhất từ www.symantec.com, thêm file CleanReg.reg của bác Tử Quảng nhà ta nữa càng tốt.
3-Tắt chế độ System Restore của máy, khởi động lại máy, vào chế độ Safe Mode, chạy thằng Task Manager, kill hết những process có dạng tên file "tên Folder.exe" và ngay cả những file exe như SSVICHOST.exe, Empty.exe, những file exe mà mình biết là nó không phải là các chương trình do mình cài đặt (nhấp chuột vào Process đang thực thi và chọn Move..)
4-Cài Bkav phiên bản mới nhất lên quét toàn bộ hệ thống, sẽ thấy rất nhiều em "vai rớt" bị chàng Nguyễn Tử Quảng thít cổ la lên thấy mà thương.
Sau khi quét xong, lúc này đã có thể vào được msconfig đối với WIN98, WINXP hay 2003, ta vào đó và bỏ chọn những file virus đã đăng ký khởi động cùng hệ thống trong phần Startup, đối với WIN2000, cần phải có file Msconfig đối với WIN2000 để vào Msconfig,khoan khởi động lại máy, chạy file CleanReg.reg để fix những lỗi registry đã bị Brontok chiếm dụng, vào C:\Documents And Settings\Administrator (hơặc User nào đăng ký quyền khởi động máy)\Application Data, xóa hết những thư mục, file nào liên quan đến chữ Bronktok, rồi khởi động lại máy để Bkav quét hệ thống lại một lần nữa, nếu siêng thì cài thêm SAV+update file lên để quét, máy yếu thì quét xong rồi lại gỡ ra.Mình đã đi xử lý cho nhiều nơi bị cái dụ này và tất cả đều No problem cả thôi, nếu ai tìm không ra được đồ nghề trên thì có thể nhắn tin về nịck yahoo: hantamkhach và để lại email mình sẽ gởi cho, mấy món này không khi nào thiếu trong USB của mình. |
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
12/05/2007 12:47:40 (+0700) | #20 | 58630 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
có 1 phép thủ công vui vui, xóa cái file đó ngoài DOS, rồi repair windows. Nếu ko có gì quan trọng trong windows thì làm cách này đi.
Thanks tmd nhé, cách này có vẻ là hiệu quả nhất nhưng không biết có diệt được tận gốc nó ko??? Chịu!!!!
Nhưng ông anh mình vào mạng, cắm USB cũ đã nhiễm virus thế nào mà máy linh tinh cả lên thế là mình setup new Win rùi )
Thanks for all! |
|
|
|
|
[Question] Virus ssvichosst.exe |
12/05/2007 13:30:44 (+0700) | #21 | 58634 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Còn một cách chạy cái tiện ích sfc của windows để kiểm tra/phục hồi file hệ thống, yêu cầu là dllcache trong thư mục system32 còn nguyên. hoặc có đĩa cài windows.
Mấy dịch vụ trong hijackthis log là bình thường. Mấy con đó lây thẳng vào svchost.exe ít lắm, nó không dại lây thẳng vào đó để bị phát hiện ngay đâu.
Nên tắc chức năng autorun của windows, lưu file .reg có cái nội dung đó, vào trang kelly-korner còn nhiều thứ vui nữa.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoSaveSettings"=dword:00000000
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: Virus ssvichosst.exe |
12/05/2007 14:59:46 (+0700) | #22 | 58642 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
monster55 wrote:
Em đã thực hiện như trên: kill process SSVICHOSST.exe, xóa file trong WINDOWS chạy file vba để enable regedit, task Manager...
logoff, logon
Nhưng vẫn thấy xuất hiện process SSVICHOSST.exe
Mặt khác khi bật được regedit thì search SSVICHOSST toàn bị down máy.
Hix, ko bít còn virus nào nữa ko, toàn làm CPU 100%
Help me... :cry:
Đây là thông tin máy em:
Logfile of HijackThis v1.99.1
Scan saved at 2:56:03 PM, on 5/7/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\SSVICHOSST.exeC:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\BLuPro\BLuPro.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\SSVICHOSST.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Setup\procexp.exe
C:\Setup\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O4 - HKLM\..\Run: [BLuPro] C:\Program Files\BLuPro\BLuPro.exe
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exeO4 - Global Startup: EmEditor.lnk = C:\Program Files\EmEditor\emedtray.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{655162ED-A7C8-4F88-B1F9-C7F61F265225}: NameServer = 203.162.0.181,203.210.142.132
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Fast User Switching Compatibility FastUserSwitchingCompatibilityCOMSysApp (FastUserSwitchingCompatibilityCOMSysApp) - Unknown owner - C:\WINDOWS\system32\l_intlp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
1- Máy bạn bị nhiễm virus SSVICHOSST.exe . Thừong trong một số đĩa software CD bán ở cửa hàng có những phần mềm có 1 file tên là Crack.exe. Đây không phải là crack mà nó là một file virus. Khi bạn nhấp vào file này thì lập tức máy bạn bị nhiễm virus SSVICHOSST.exe . Virus này rất khó chịu, gây ra những trục chặc như bạn đã nói. Nhưng có điểm cần lưu ý là nó vô hiệu hóa Task manager của Windows( Nhấn Ctrl+Alt+Del thì nút Task manager không hiện chữ ) và vô hiệu hóa Regedit.exe. Bạn không thể Edit Registry và không thể config. một số tiện ích bảo mật mà khi config thì các value liên quan phải đựoc add vào registry( thí dụ config trong Internet explorer chẳng hạn). Thực hiên điều này rõ ràng virus có môt chủ ý: không cho ta dùng các tiện ích thông thừong theo rõi process của virus và khó sửa lại registry, cũng như khó diệt nó trong registry.
2 . File chính của virus này nằm ở đường dẫn Root/Windows/system32/ và cả Root/Windows/ ( Win XP và Win 2K3)
3- Nhưng nếu chỉ Delete các File SSVICHOSST.exe nằm ở các thư mục trên thì không diệt nổi virus. Vì nó còn được add vào registry ( và ngược lại). Bởi vì khi restart lại máy thì các file SSVICHOSST.exe lại đựoc tạo lập lại tại các thư mục nói trên. McAfee bản mới update kịp thời dùng cho server dường như không diệt đựoc nó.
4- Sau khi delete các file SSVICHOSST.exe bạn phải chạy Hijack This.exe ( như bạn đã làm) và diệt (Fix checked) registry của SSVICHOSST.exe ( khoản số 04 - trên phần tôi quote bài viết của bạn-tôi tô mầu đỏ).
5- Sau đó bạn phải phục hồi( enable) lại Task Manager và Regedit Editor.
Code mà bạn channhua post ở trên là một VB script dùng để enable Registry editor. Nó không phải là một code diệt virus SSVICHOSST.exe . Cần lưu ý rằng khi bạn cài và chạy VB Script này trong máy thì các trình Antivirus có thể sẽ nhân nó là một virus ( vì code này inject vào registry). Nhưng nó hoàn toàn không phải là một virus, trong trường hơp này.
Dùng VB Script nói trên cũng đựoc, nhưng có vẻ phiền toái và không chắc chắn. Bạn nên vào Windows Group Policy Object Editor để enable Task Manager và Registry Editor. Chắc chắn và đạt yêu cầu 100%. Vì virus khóa đựoc Registry Editor nhưng lại không khóa đựoc Group Policy Object Editor .
Ghi chú: SSVICHOSST.exe khi nhiểm vào máy lập tức tạo một liên kết với một server của hacker có IP là 209.xxx.xxx.xxx để gửi các thông tin nhạy cảm từ máy nạn nhân đến sever này.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
12/05/2007 21:25:28 (+0700) | #23 | 58669 |
|
kamikazeq
Member
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
PXMMRF wrote:
3- Nhưng nếu chỉ Delete các File SSVICHOSST.exe nằm ở các thư mục trên thì không diệt nổi virus. Vì nó còn được add vào registry ( và ngược lại). Bởi thế, khi restart lại máy thì các file SSVICHOSST.exe lại được tạo lập lại tại các thư mục nói trên.
Bạn ơi, cho hỏi chút.
_ Ở dòng màu xanh mình quote, ý bạn nói: chỉ với 1 điều kiện Virus ghi vào REGISTRY là Virus đã có thể tự hồi phục rồi phải không?
Theo kiến thức của mình trước giờ, ít nhất phải còn sót lại mầm sống nào đó của Virus.
(Ví dụ như: ghi vào Registry là bắt buộc phải có rồi, và phải còn đâu đó mầm của Virus, hoặc một số File bị nhiễm Code độc của Virus)
Mong bạn giải thích dùm, thanks. |
|
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
[Question] Re: Virus ssvichosst.exe |
13/05/2007 00:32:33 (+0700) | #24 | 58718 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
kamikazeq wrote:
PXMMRF wrote:
3- Nhưng nếu chỉ Delete các File SSVICHOSST.exe nằm ở các thư mục trên thì không diệt nổi virus. Vì nó còn được add vào registry ( và ngược lại). Bởi thế, khi restart lại máy thì các file SSVICHOSST.exe lại được tạo lập lại tại các thư mục nói trên.
Bạn ơi, cho hỏi chút.
_ Ở dòng màu xanh mình quote, ý bạn nói: chỉ với 1 điều kiện Virus ghi vào REGISTRY là Virus đã có thể tự hồi phục rồi phải không?
Theo kiến thức của mình trước giờ, ít nhất phải còn sót lại mầm sống nào đó của Virus.
(Ví dụ như: ghi vào Registry là bắt buộc phải có rồi, và phải còn đâu đó mầm của Virus, hoặc một số File bị nhiễm Code độc của Virus)
Mong bạn giải thích dùm, thanks.
OK! Nó còn một File .dll nữa. Rất tiếc khi xóa nó tôi quên không ghi lại tên ( Nếu bạn nào cần biết, thì có khi tôi phải cho máy nhiễm lại virus, hề hề ). File này sẽ cùng với registry của virus tạo lại các file chạy SSVICHOSST.exe trên các thư mục nói trên, khi máy khởi động lại. Tuy nhiên khi chạy Hijack This.exe thì cả file này (.dll ) và regitry của virus cùng hiện ra trên cửa sổ scan của Hijack This.exe. Nghĩa là ta phải delete ( Fix checked) cả hai thứ này. Sau đó cũng nên Registry cleaning lại với một tiên tích Registry cleaner phù hơp.
À quên, xin nói thêm là sau khi bạn diệt sạch virus ( mọi file liên quan và registry của nó) thì không phải là bạn đã có thể Edit đựoc Registry đâu đấy.( thí dụ vào "Run" đanh lệnh "Regedit" hay vào "Command prompt" đánh các lệnh ADD, DELETE ....registry) mà phải vào Group Policy Object Editor để config lại Task manager và Registry Editing. ( Vì trước đó các registry liên quan đã bị virus thay đổi value rồi)
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
13/05/2007 00:35:02 (+0700) | #25 | 58720 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
kamikazeq wrote:
PXMMRF wrote:
3- Nhưng nếu chỉ Delete các File SSVICHOSST.exe nằm ở các thư mục trên thì không diệt nổi virus. Vì nó còn được add vào registry ( và ngược lại). Bởi thế, khi restart lại máy thì các file SSVICHOSST.exe lại được tạo lập lại tại các thư mục nói trên.
Bạn ơi, cho hỏi chút.
_ Ở dòng màu xanh mình quote, ý bạn nói: chỉ với 1 điều kiện Virus ghi vào REGISTRY là Virus đã có thể tự hồi phục rồi phải không?
Theo kiến thức của mình trước giờ, ít nhất phải còn sót lại mầm sống nào đó của Virus.
(Ví dụ như: ghi vào Registry là bắt buộc phải có rồi, và phải còn đâu đó mầm của Virus, hoặc một số File bị nhiễm Code độc của Virus)
Mình cũng nghĩ giống kamikazeq. Nếu chỉ tồn tại key mà virus tạo ra trong registry để tự kích hoạt chính nó khi khởi động win thì chưa đủ. Nếu ở đường dẫn trong value của key đó kô tồn tại file virus có tên đúng như file .exe trong key đó thì virus kô thể bị kích hoạt bằng key đó được. Và ngược lại, nếu tồn tại file virus .exe trong value của key đó nhưng ta xóa key đó đi thì file virus .exe đó cũng kô thể được kích hoạt mỗi khi win khởi động.
Mình thấy con SSVICHOSST.exe phiên bản này có 2 key để tự kích hoạt nó mỗi khi khởi động.
đó là:
F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe để khởi động file SSVICHOSST.exe trong đường dẫn C:\WINDOWS\SSVICHOSST.exe
và
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe để khởi động file SSVICHOSST.exe trong đường dẫn C:\WINDOWS\system32\SSVICHOSST.exe
Vì thể muốn vô hiệu hóa nó thì chỉ cần Fix 2 key kia trong regitry hoặc xóa 2 file SSVICHOSST.exe trong thư mục 2 thư mục C:\WINDOWS\system32\ và C:\WINDOWS\. thường thì chúng ta nên làm cả bốn việc đó. |
|
|
|
|
[Question] Re: Virus ssvichosst.exe |
13/05/2007 00:52:31 (+0700) | #26 | 58727 |
|
kamikazeq
Member
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
@PXMMRF: ra là thế, thanks.
@Ghost Ship:
1) Hình như bạn hiểu nhầm ý của mình. Ý của mình chả liên quan gì đến phần "......(và ngược lại)...... " cả.
2) Và có lẽ bạn đang soạn bài thì PXMMRF đã Reply nên bạn chưa kịp đọc bài của bạn ấy.
PS: mình có hiểu nhầm ý bạn không nhỉ ?? ) |
|
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
[Question] Re: Virus ssvichosst.exe |
13/05/2007 02:25:53 (+0700) | #27 | 58740 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
@kamikazeq:Đúng là lúc mình bắt đầu viết thì chưa thấy bài của bác PXMMRF )
Mình đồng ý với bạn ở ý sau:
Theo kiến thức của mình trước giờ, ít nhất phải còn sót lại mầm sống nào đó của Virus.
(Ví dụ như: ghi vào Registry là bắt buộc phải có rồi, và phải còn đâu đó mầm của Virus, hoặc một số File bị nhiễm Code độc của Virus)
Còn phần mình viết là nói về khả năng tự khởi động của virus bằng các key của registry. Còn bác PXMMRF nói về khả năng tái tạo của virus(khi đã xóa các key khởi động file .exe của virus và cả file .exe của virus nữa) nhờ một key của registry và một file .dll do virus tạo ra trước đó.
Nếu như bác PXMMRF nói thì đúng là bây giờ mình mới biết.
Nó còn một File .dll nữa. Rất tiếc khi xóa nó tôi quên không ghi lại tên ( Nếu bạn nào cần biết, thì có khi tôi phải cho máy nhiễm lại virus, hề hề ). File này sẽ cùng với registry của virus tạo lại các file chạy SSVICHOSST.exe trên các thư mục nói trên, khi máy khởi động lại.
Mình kô biết là từ một file .dll và một key của registry có thể tạo ra file .exe và kích hoạt file đó.
Tuy nhiên khi chạy Hijack This.exe thì cả file này (.dll ) và regitry của virus cùng hiện ra trên cửa sổ scan của Hijack This.exe. Nghĩa là ta phải delete ( Fix checked) cả hai thứ này. Sau đó cũng nên Registry cleaning lại với một tiên tích Registry cleaner phù hơp.
@PXMMRF:Phía trên có "Logfile of HijackThis" của con SSVICHOSST.exe này. Em đã thử tìm file .dll đó nhưng mà kô tìm thấy. bác chỉ ra dòng đó giúp em với. Em cám ơn bác trước. )
|
|
|
|
|
|