|
|
Đọc tiêu đề tưởng được vào 1 mục hay ai dè vào đọc toàn thấy cãi chửi nhau, chán ghê, xin được phê bình mod quản lý mục này nhé.
Xin lỗi các bác nếu em nói có hơi quá 1 tí ở đây nhé, mục tiêu các bác cãi nhau là diệt virus chạy trên USB qua file autorun.inf thì em xin phép có ý kiến nhỏ xíu thế này.
- Thời đại dùng win rồi, mang cmd (Dos mode) để giải quyết vấn đề bé xíu là dòng lệnh hiển thị thuộc tính file thì e rằng người ta cười cho đấy (điển hình bác tmd), trong win giải quyết dễ dàng
Em xin có ít ngu kiến thế này mong các bác chém nhẹ nhé
+ Việc trước tiên là máy sạch thì hãy nói tự dùng tay để diệt virus nhé, nếu mà máy chưa sạch thì có ngàn vạn lần cũng vậy thôi.
+ Khi cắm USB vào máy nó sẽ tự động chạy, tuy nhiên nó có hiện ra 1 bảng hỏi là có tự động chạy không, khi đó ok thì sẽ hy sinh luôn --> khỏi nói dùng win hay Dos mode để diệt nhé. (Nếu sợ lỡ tay khi đưa vào thì như bên trên có bác nói đó, Bạn cần tắt tính năng autorun với tất cả các ổ đĩa (DD,CDROM, USB))
+ Tiếp sau khi USB cắm vào rồi, chạy Window Explore, chọn chế độ hiển thị là folder (hiện ra 2 cột, cột bên trái là cột các ổ..., cột bên phải là nội dung chi tiết của cột bên trái), chúng ta chọn ổ USB bằng cách nhấp chuột vào ổ USB ở cột bên trái (xin lưu ý bên trái nhé, nhầm bên là kích hoạt autorun.inf tự chạy luôn đấy) --->> nội dung USB sẽ hiện ra bên phải, bạn có thể chọn folder option để hiển thị các file ẩn và file hệ thống sau đó chọn các file autorun.inf và các file virus (nghi hoặc xác định) trên USB mà xoá đi. nhanh gọn
- Vì tôi thường phải rút ra cắm vào USB nên tôi để mặc định là hiện các file hệ thống và ẩn ở trong máy ---> cắm vào phát là biết ngay có hay k có virus autorun.
Rất xin lỗi các cao thủ nếu đọc bài viết có tí quê mùa, xin chém em nhẹ nhẹ. Lâu lắm rồi mới lại quay lại HVA nhìn không khí HVA dường như kém sôi nổi so với trước, rất mong anh em khuấy động hơn nữa.
|
|
|
cái này hình như là máy bị cài chương trình điều khiển từ xa, tìm gỡ nó ra là xong
|
|
|
bác thử set lại ngày rồi tìm chỗ mắc xem, cho nó giả định là bác hết tiền thuê nhà rồi xem nó bắt bác lỗi ở đâu
|
|
|
Bác kiếm tạm đĩa Hiren boot làm sạch rồi sửa chữa lại. Cách sử dụng thì hỏi người bán hoặc tham khảo hình như trên diễn đàn này cũng có.
|
|
|
white95 wrote:
Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.
Bác cho em hỏi, chạy lệnh
Code:
thì nghĩ là như thế nào, dữ liệu trong phân vùng có bị mấ không, có format không, dữ liệu có bị làm sao không?
Lệnh đó được dùng phổ biến từ lâu lắm rồi, nó có tác dụng định dạng lại MBR ổ đĩa mà không mất dữ liệu.
|
|
|
Máy của mình nghi ngờ bị nhiễm virus, có thể do chủ quan cho chạy 1 file đuôi .shs hôm trước, hiện nay máy có hiện tượng :
- không vào trang microsoft để download bản vá được,
- không vào được các trang web antivirus như norton, panda, kaspersky ....
- Có thể vào được các trang của CMC, BKAV, tuy nhiên download CMC về quét thì chẳng ra được gì.
- Các trang web khác thì vào bình thường
- Yahoo chat thì chạy được nhưng không chat được, vẫn hiện mọi thứ bình thường nhưng nhận và gửi chat thì không được
Các anh em ai có thể giúp mình được với, ít nhất cũng tạm khắc phục sống chung với lũ được không.
|
|
|
Tôi nghi là bad disk hơn là VR, thử back up dữ liệu ra chỗ khác rồi format lại 2 ổ đó xem, nếu vẫn còn hiện tượng thì k phải là do VR rồi.
|
|
|
vietkhanhsla wrote:
Kaspersky la gi`. thu cho link de coi cai'. chua he biet den no'
1 ctrình diệt vr nổi tiếng và rất hiệu quả
|
|
|
LeVuHoang wrote:
Fluoros wrote:
Xin lỗi mọi người,em chưa biết gì về IT cả . Em mới đang tập làm quen thôi. Em viết cái phần anti kia không phải để share rộng rãi. Bạn bè em cần thì em mới share.Vì đợi BKAV thì lâu quá. Em thành thật xin lỗi mọi người .
Nhưng em thấy anh LVH là mod . Chưa check mà đã bảo là virus mới. Có lẽ anh chỉ muốn mọi người download phần mềm anh tạo thôi. Em hơi bức xúc khi chưa check mà đã nói thế .
hi,
Hoàng thừa nhận là có sơ xuất vì không check kỹ (lúc đó 4:00 AM roài ). Sorry bạn
Nhưng 1 câu hỏi là, sau khi nhấn nút Scan, cái Process AntiVirusYahoo vẫn còn chạy (ngầm) là thế nào ?
@ Levuhoang : Hoan hô bác Levuhoang, có nhầm lẫn tí chút cũng nhận ngay, nhưng còn bác comale bác làm 1 dòng đỏ chót đã xoá rồi thì cũng có chút ý kiến chứ ???
|
|
|
canh_nguyen wrote:
Đặc điểm này rất giống con rontokbro
Rất nhiều VR thực hiện động tác này nhằm gây khó phát hiện cho người sử dụng thông thường.!!!!
|
|
|
blue_sea@ wrote:
Anh em cho hỏi về cái con virus ở trang www.chendang.com?
Một thằng bạn của mình bị dính nó,nó gởi cho thằng bạn mình toàn những tin nhắn rác không có nội dung và chặn hết những tin nhắn của những người khác gởi cho thằng bạn mình.
Địa chỉ này có thấy gì đâu. chỉ tháy ở chendang.net thôi, nếu ở đó thì VR này k có gì nguy hiểm cả. Thôi các bác cứ dùng IEProtector của mod Levuhoang là xong thôi.
|
|
|
Em xin lỗi, vừa đọc lại code của bác Fluoros thì thấy đây k giống 1 con AutoIt Spim mà đúng là 1 chú anti AutoIt Spim viết băng AutoIt nhưng diệt thì lại không triệt để, chỉ thấy mỗi động tác là kiểm tra xem có file đó không và tắt process đi mà không cấm file đó tự động chạy khi khởi động win và xoá file đó, không khôi phục lại Registry.... cũng như trong list của bác mới có danh sách 5 YM VR. Thú thật em thấy bác viết rườm rà quá và khi đưa lên diễn đàn không nói nguồn gốc xuất xứ làm bác comale, bác Levuhoang và em chưa kịp gì đọc lại nghĩ là 1 autoIt VR mới.
Rất xin lỗi bác.
|
|
|
Dùng thử goback xem.
|
|
|
Đề nghị tạo thêm 1 mục các câu truyện về CNTT để chuyển các bài viêt kiểu này vào. Củ chuối quá, nếu bác muốn dùng cách này để tăng số lượng bài gửi hoặc gì đó thì nên đến diễn đàn khác. hic, đọc mấy bài kiểu này mệt muốn chết luôn.
|
|
|
Theo tôi nghĩ đây là dấu hiệu của VR Rontokbro, bạn đọc lại bài viết về VR này xem.
http://www.vnhacker.org/hvaonline/posts/list/4226.html
|
|
|
Bác Fluoros kém hiểu biết quá hay sao vậy, đưa con spim lên diễn đàn này sau khi trên diễn đàn có quá nhiều bài viết, công cụ diệt loại này thì có bằng vô tác dụng à? Bác Levuhoang thì nóng quá, chỉ biết cảnh cáo mà quên mất việc chỉ dẫn cho bác fpt_media_vnn nên xử lý như thế nào, vào đâu để tìm...
Bác fpt_media_vnn cứ việc chui vào đây là có 1 bài viết rất hay và link cần thiết cũng có luôn trong đó.
http://www.vnhacker.org/hvaonline/posts/list/4082.html
Chúc vui
|
|
|
Bạn vào trang của BKAV có công cụ khôi phục lại folder option đó, trên diễn đàn này các mục nói về YM Virus cũng có các đường link đến các công cụ đó.
Nếu máy bạn gần đây bị nhiễm VR thì tôi nghi phần lớn là do mấy con VR viết bằng AutoIt đang lan tràn rầm rộ thời gian gần đây. Hãy dùng công cụ IEProtector của bác Levuhoang để kiểm tra&diệt xem sao (Link có trên diễn đàn này tại thread nói về VR YM).
|
|
|
minhtuan16 wrote:
em không bít đó là loại vius gì nhưng khi nó xâm nhập thì tất cà những file .exe tiu tùng hết ,nếu rar lại cũng chết,zip lại thì không
Bó tay, nên tìm hiểu tên VR là gì hoặc đặc điểm nhận dạng riêng thì người khác mới giúp cụ thể được.
|
|
|
Em đề nghị bác Levuhoang bổ sung phần theo dõi xem phần mềm đó ghi (hoặc xoá) gì vào Registry (phần mềm bị nghi ngờ) nếu có nó thì những pre _ mới biết cách khống chế được và cũng không vất vả phải xác nhận mỗi khi có động tác ghi vào reg.
em đang tìm phần mềm kiểm tra việc ghi vào reg của 1 phần mềm khác mà chưa đựoc, rất mong các bác giúp đỡ.
thanks
|
|
|
Cảnh báo anh em đề phòng, hiện nay ở trang này xuất hiện 1 chú VR
Code:
hxxp://www33.websamba.com/xomnuocden/chetcungphailo.html
Có biểu hiện giống VR tạo bằng AutoIt của mấy đồng chí nhóc truớc kia
- gửi yahoo mess tới các nick có trong địa chỉ.
- Cũng sử dụng random mess và đường link
.....
(Em chưa chạy thử nên chưa biết hết)
Nếu kick vào link đó thì nó sẽ download file ở đường dẫn sau :
Code:
hxxp://tbns.net/yeu2nguoi/ngocnghien.exe
Code trong file html đó cũng tương tự mấy chú dùng autoit tạo. nhưng file ngocnghien.exe thì không fải là AutoIt (em k tìm thấy dấu hiệu). Nhờ các bác cao thủ giúp đỡ và chỉ dẫn thông tin thêm.
|
|
|
ACDSee xem ảnh tốt ?tôi nghĩ ACDSee vẫn cho hiện những application trong cửa sổ của nó.Theo tôi nghĩ file bmp, jpg không thể nhúng được mã thực thi vào trong đó (khác office ) nên không có hiệu quả trong việc phát tán VR (trừ trường hợp là VR lưu code trong đó để giấu antivirus). chắc là có VR trong folder thôi.
Bạn thử xem tên mà antiVR fát hiện ra rồi vào trang Norton để search đặc điểm của nó thì mới có kết luận chính xác đc.
Chúc vui.
|
|
|
Anh em cho tui hoi với, con VR từ 2 cái trang này nó làm ăn như thế nào ấy nhỉ. Máy mình mãi mà k bị nhiễm, máy người khác thì cứ bị liên tục mới chán, bắt mãi mà k thấy nó nhảy vào máy gì cả. IE thì đã fix, Firefox thì cũng k bị nên k biết nó như thế nào mà hướng dẫn, sửa cho người khác. chú này làm khá quá, em vào source của html mà vẫn chưa thấy gì, nó lại k thèm nhảy vào máy mới chết.
hxxp://www.geocities.co.jp/ie_protector
hxxp://www.geocities.co.jp/thanatos18388
|
|
|
LeVuHoang wrote:
Chương trình sử dụng Windows API: GetWindowText để lấy cửa sổ đang Active rồi close lại thôi
GetWindowText function copies the text of the specified window's title bar (if ...
Bác ui, cái lấy text ở title bar thì bình thường, nhưng lấy ở trong vản bản word, notepad ... (Lấy trong văn bản cơ) thì như thế nào ?
Thanks
|
|
|
Kiểm tra lại thiết lập thông số cho chuột của windows :
Control Panel => Mouse =>Button => speed (Slow & fast)
Để kiểm soát các chương trình tự động chạy khi khởi động (1 cách phát hiện dấu hiệu của VR&Keylog) thì vào download phần mềm AutoRun để kiểm soát thử.
http://www.sysinternals.com/Utilities/Autoruns.html
Chúc vui
|
|
|
Nhờ bác LeVuHoang hướng dẫn 1 chút về IE Protector cho em với :
- Kỹ thuật chống tắt(Nếu có 1 chú VR set priority của mình lên mức realtime rồi kill process của bác thì có thoát được không ? )
- Làm sao để xác định 1 file đang được download về (Có thể download theo đường khác ví dụ dùng lệnh send file của YM thì có phát hiện được không?)
- Phuơng pháp nhận dạng file AutoIt (theo em thì mở file exe ra như kiểu mở 1 file text sau đó tìm xem trong đó có chũ autoit không là xác định được, không biết cao kiến của bác thế nào)
- Em muốn lập trình 1 chuơng trình tìm diệt 1 file nào đó(virus, trojan mà em biết) thì lập trình như thế nào để scan 1 ổ đĩa cứng ? các ổ đĩa trong máy hoặc 1 thư mục chỉ định (scan như các chương trình Antivirus vẫn hay làm ấy)
Rất mong bác chỉ giáo !Thanks
|
|
|
Bác làm ơn nỏi rõ hơn 1 chút không ạ
Em thấy nó nhận biết được cả text ở address bar của IE, title bar và text trong cửa sổ. thậm chí mở 1 văn bản word mà có chữ virus này trong văn bản thì nó cũng tắt luôn word đi.
ví dụ : trong cửa sổ word có 1 đoạn văn bản là : "Xin hãy cẩn thận vởi virus YM" thì nó tắt word đi luôn.
Nếu có thể xin cho 1 đoạn code ví dụ ngắn về việc xác định 1 chữ gì đó có trong 1 đoạn text trong cửa sổ đang active.
Thanks !
|
|
|
API KeyHook ??
|
|
|
Các bác cho em hỏi với. Em có thấy loại virus mà khi mình mở bất kỳ chương trình gì Word, IE ... có hiện chữ virus hoặc norton (trong cửa sổ, trên title bar..) .... thì sẽ tự động đóng cửa sổ của chương trình đó ngay (Vỉ vậy rất khó tìm vào trang download phần mềm antivirus để diệt nó). Vậy virus đó dùng kỹ thuật ấy như thế nào ? làm sao để phát hiện chữ trên 1 cửa sổ, trên title bar như thế? nó scan liên tục hay định thời ?
Rất mong được chỉ giáo. Các bác mà có code về kỹ thuật này thì chia sẻ cho em với.
Thanks
|
|
|
em nói khí không phải chứ mấy thằng chíp ranh ấy viết như thế chẳng đc tích sự j cả, k làm j tổn hại trừ việc hơi mất thời gian và tức. k nâng cao trình độ, k sáng tạo... sẽ có 1 cái tự chặn hết thui. Bác LVH đã làm rùi, k có j sáng tạo, đổi khác thì hết đất sống
|
|
|
chupichu wrote:
Cái này trước mình bị dính rồi, từ con bạn thân nó gửi, tưởng nó gửi cái gì ai ngờ click vào cái thì vù vù vù, thử dùng cách này để diệt.
1. Thoát hết các trình duyệt internet
2. Start/Run tìm :
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f hoặc Download cái này về http://windowsxp.mvps.org/reg/EnableTM.reg . bước này là để Enable Task Manager
3. Bấm Ctrl+Alt+Delete ,chuyển qua tag Processes chuột phải end process tắt hết mấy cái bl4ck.com
4. Vào search tìm kiếm các File có tên bl4ck và prefe rồi delete nó đi .
5. Bấm start - Run , chạy đoạn lệnh này :
(REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f ) Cái này là để Enable cái RegEdit
6. Reset hết history, websetting
Xin lỗi nhưng E có chút ý kiến. Nếu reg bị lock rồi, nó đòi tài khoản Admin thì làm sao mà chạy đc file *.reg nữa mà mở khoá. hic pó tay
|
|