banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Ghost Ship  XML
Profile for Ghost Ship Messages posted by Ghost Ship [ number of posts not being displayed on this page: 0 ]
 

nvhiepbk wrote:
Tham khảo cách diệt của tớ xem:
Virus này tớ không biết tên nhưng có thể diệt bằng cách sau(theo tớ đã làm nha):
Bước 1: Bật tank manager chọn thẻ prosesses xong rồi end tank cái exploer.exe, xong rồi bật lại nó file>new tank gõ vào exploer+ENTER
Bước 2: dùng tootal commander (TC) ver nào cũng đc hết(ai ai cũng có). Nếu chưa có ban có thể seach trên mạng vô số. Chay TC chon Confiuration>Option>thẻ Display chọn hiện hết các loại file
Bước 3: Quan trọng nè: Dùng chính TC xóa( SHIFT+DELETE nha) All file autorun.* trên tất cả các ổ đĩa gốc (chả cần nó làm gì cả vì virus tao ra nó để tự hành máy bạn thôi). Chú ý một số con khác copy file autorun vào thư mục C:\WINDOWS hay C:\WINDOWS\SYSTEM32
Bước 4: Khởi động lại máy là OKIE liền à.
Thủ công hơi phức tạp chút vì dài dòng nhưng làm thi nhanh thôi. Nhưng không phải xài phần mềm khác. Có khi xài vào rồi lại nảy sinh vấn đề khác cũng nên. Cách này làm được cho mọi Virus autorun when windows logon. Các virus khác bạn phải để ý tên lạ mà trong tank manager rồi seach chúng trong ổ cài WIN của bạn DEL nó đi là OKIE. Tớ không biết còn cách nào không nhưng khi bị nhiễn tớ làm như vậy là đươc.
Chúc bạn thành công. 


Nản? smilie đâu phải con nào cũng ký sinh cái process exploer.exe mà đi End cái process ấy, tội nghiệp nó quá. Autorun chỉ là file có tác dụng kích hoạt cái mầm của virus. Chỉ xóa autorun nhưng kô xóa cái file đã chui vào hệ thống hay vô hiệu cái sự kích hoạt cái file ấy ở mỗi lần vào win thì làm sao mà diệt được ?

@thanhphuong_pr: bạn có đang dùng chương trình AV kô? Nếu có thì là ông nào vậy? có được update kô? Mấy cái con mà đi kháo task manager thì chắc là loại cũ rồi, bạn cài và update máy cái AV là diệt được thôi. nếu nó kô cho cài mấy cái AV ra thì bạn scan bằng Hijackthis rồi post nội dung file log lên đây nhé. Mà Up cái file NewFoldwe.exe lên cho pác Hoàng là chắc ăn nhất.

thanhnamst89 wrote:
hĩ, em làm như bác rùi, BKAV nó báo nhiễm virut W32.ExploitJS.Adware.Bó tay 


Bạn hãy Exit BKAV trước khi làm. Pó tay ông BK smilie
Bạn thử làm như sau xem:
1 - Mở Notepad rồi paste đoạn code sau vào rồi save (ra ngay Desktop cho dễ tìm) với File name: a.js
Code:
var Shell = new ActiveXObject("WScript.Shell");
Shell.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue",1,"REG_DWORD");

2 - Click đúp lên cái file a.js vừa tạo.
3 - Vào Folder Option như hình trên xem thế nào (Nếu làm trên máy bình thường thì 2 cái ô tròn đó sẽ là màu trắng và bạn click vào ô nào thì ô đó có chấm xanh, còn cả 2 ô đều có chấm xanh thế kia thì mình mới thấy lầm đầu. kiểu khóa ẩn mới chăng? dù sao bạn cũng thử xem nhé).


Hình như con của bác giống con này:
http://www.diendantinhoc.com/lofiversion/index.php/t43931.html
Máy mình cũng bị nhiễm và đã diệt đuợc rồi.
Cài kaspersky, update virut mới
Khởi động lại máy, nhấn F8 > chọn Safe mode
Khi Win load đến màn hình welcome nhấn Shift + Alt để không nạp các services + chuơng trình linh tinh
Mở Kaspersky lên quét virut là hết.
 

Bác thử làm xem.

newspring wrote:
Xin lỗi trước mọi người là tôi không nhớ đợt đó tôi bị nhiễm virus gì. Chỉ biết có lẽ đó là một con virus nội (xuất phát từ VN). Nó làm ẩn hết các file *.doc rồi tự tạo một file *.exe có phần tên file giống y hệt file *.doc. Sau lần bị nhiễm đó, các file Microsoft Word (*.doc) bị ẩn hết. Khi tôi vào xem thuộc tính của những file *.doc này thì phần hidden bị ẩn mất, không có cách nào tác động được. Mong các bạn có thể giải thích giúp tôi hiện tượng trên và cách khắc phục các file này trở về trạng thái bình thường. Cám ơn nhiều. 


"Sau lần bị nhiễm đó" <-- Có phải con virus đó đã bị tiêu diệt và vấn đề của bạn chỉ là phục hồi những file .doc bị ẩn phải kô bạn? Nếu đúng thì bạn có thể dùng lệnh attrib để làm chúng hết ẩn.

Cụ thể: vào RUN rồi gõ đoạn lệnh sau: attrib -s -h /s /d [ ổ ]:\*.doc

Ví dụ bạn muốn phục hồi những file .doc ở ổ D thì bạn gõ như sau:
attrib -s -h /s /d D:\*.doc

Mình chắc chắn sẽ thành công nếu bạn gõ đúng dòng lệnh. Bạn nên copy đoạn lệnh trên rồi paste vào RUN để đảm bảo kô bị gõ sai.

Nói về loại virus tấn công file .doc này: Gần đây mình cũng gặp vài con, Mình thấy chúng chỉ lợi dụng file .doc để lừa ngừoi dùng kích hoạt thôi chứ kô phá hủy file .doc.

Con mà bạn nhiễm nó lừa theo kiểu ẩn file .doc đi rồi tạo file mầm .exe của nó với tên của file .doc và có icon của file là icon của Word. Thường thì nó sẽ khóa chức năng hiện ẩn và hiện đuôi của máy để người dùng bình thường kô phát hiện ra file .doc gốc và cái duôi .exe của file nó tạo ra. Cái icon mà nó gán cho file mầm thường là icon của word 2000 nên nếu bạn dùng office 2003 thì sẽ thấy sự giả mạo đó ngay.

Mấy tháng trước mình có gặp một con lợi hại hơn. Nó cũng lợi dụng file .doc để lừa người dùng kích hoạt nhưng nó kô làm ẩn file doc đi mà nó cho cái file .exe nuốt luôn file .doc đó vào bụng. khi nào người dùng kích hoạt thì nó sẽ nhả file .doc ra đồng thời nó chui tọt vào hệ thống sau đó thì hủy cái mầm đó đi luôn. May mà nó kô khóa chức năng hiện đuôi nên kô lừa được mình smilie Nếu ai nhiễm con này thì hãy down FH của pác Hoàng về quét. FH vừa diệt được virus vừa trả lại file .doc cho bạn còn hình như đa sỗ các AV khác đều cho file .doc đi luôn cùng virus đấy :lolsmilie
Nếu đã biết chính xác cái file đó nó nằm ở đâu thì dùng lệnh attrib -s -h [parth] để làm file đó hiện ra là ổn nhất vì nếu con malware mà đang hoạt động thì có thể nó sẽ khóa kô cho mở ẩn như cách trên.

VD với cái file msnfo.exe ở trên thì vào run gõ lệnh như sau:
Code:
attrib -s -h C:\WINDOWS\system32\msnfo.exe

Sau khi thực hiện lệnh này bạn vào C:\WINDOWS\system32\ sẽ nhìn thấy file msnfo.exe hiện ra. Ty nhiên nhiều con còn kiểm tra cả thuộc tính s h của các file của nó và sẽ làm ẩn lại file sau khi file hiện ra vài giây.

Cái con mà bạn nhiễm có vẻ là con mới ra lò đấy, mình gõ vào google chả ra tí thông tin gì cả. hay bạn gõ sai tên cái file msnfo.exe ?

Cái con SXS.exe này thấy có từ lâu lắm rồi. Đây này chắc là phiên bản mới của nó.
Em đã thử dùng nhiều cách để diệt nhưng chỉ có "bkav home" phát hiện nhưng không thể diệt được nó
 
Bạn có nhớ BKAV báo cái file nào là virus kô?
Có thể nhìn thấy nó qua task Manager nhưng bất lực 

Bạn thấy nó như thế nào? Thấy Process của nó à? kô kill được à? bạn đã kill nó như thế nào?

Tốt nhất là bạn hãy post hijackthis log lên đây.

P/S: Bạn đừng để chữ màu đỏ như vậy nữa được kô? nhìn cứ tưởng bài viết của admin --> khó chịu thấy mồ smilie
Xài bộ cảm xúc mới thích thật, cứ như được chắp thêm cánh vậy smilie thanks pác conmale nhưng mà vẫn còn nhiều lỗi quá, có mấy cái hay hay vãn chưa dùng được. hi vọng là sẽ được hoàn thiện sớm

tmd wrote:
...
Tui tự thấy mình làm được, hiểu được một số kiến thức, đủ sức để hiểu được người khác nói gì về cái mớ kiến thức đó. Tui nhìn vào mớ lộn xộn không có hệ thống của anh bạn ghost ship kia, tui thấy trong đó chỉ là "nhái lại" "nói leo" những gì mà người ta nói. Không có một tí nền tảng nào. Vì không có nền tảng rõ rệt, kiến thức thực tế, nên trong trình bày có nhiều điều tui thấy buồn cười.
...
Tui phát biểu lại một chót để anh em cho mình là newbie biết, "ngu dốt tạo nên nghi ngờ" , sau này anh em sẽ gặp nhiều người nghi ngờ về mình, chỉ nội trong lĩnh vực công nghệ thông tin này.  


Đại ka có chứng minh được đó là "nhái lại" "nói leo" của ai kô? những điểm nào chứng tỏ tui kô có kiến thức thực tế? Hay đó chỉ là sự "nghi ngờ" kô có căn cứ xác thực của đại ka ???

Đại ca nên nhìn lại cái mầu nick và hãy tỏ ra biết suy nghĩ đối với những gì mình thể hiện có xứng đáng với cái mầu nick ấy kô !!!

dungcoi_vb wrote:
http://dungnguyenle.googlepages.com/1.PNG
Cách nhận dạng worm qua Icon cũng "Sài dc" vậy mà sao mấy anh chê mãi 

Hề tớ chưa bao giờ chê. Thậm chí tớ còn đề nghị pác Hoàng lắp cho FH cái chức năng đó. Hiện tại lây bằng Autorun và bằng file mầm có icon hình folder là rất phổ biến và hiệu quả. Có thể đối với những người hiểu biết thì cách này là thừa nhưng đối với những người chưa hiểu biết về malware thì cách này rất hiệu quả. AV có hiệu quả với những người kô hiểu biết chứ kô phải những người đã biết. malware cũng được lây do những người ít hiểu biết là chính chứ kô phải những người biết. Trong hoàn cảnh hiện tại AV có chức năng cảnh báo những file có icon khả nghi là hợp lý và cần thiết.

dungcoi_vb wrote:
à, con worm này, sao em Kill 5 cái process rồi chơi thêm vài key trong regedit là xong. có thấy gì nữa đây ? 

Cậu đang nói con tớ up lên hả? Pác Hoàng nói nó là virus xơi file exe mừ.

hunger wrote:

Ghost Ship wrote:

Đúng là cậu kô phải kô biết kill Process. Cũng kô phải con cậu nhiễm kô inject vào Process Explore. Nhưng chuyện kill process Explore rồi --> mở ẩn được rồi nhưng nó lại hoạt động lại ngay thì đúng là mình kô hiểu tại sao. Hay là sau khi kill process explore xong cậu lại vào các ổ bằng cách click đúp lên các ổ ??? 

Không ạ, lúc kill xong explore em rất cẩn thận bấm phải chuột chọn Explore mà. Em search trên web thấy mấy trang đều tư vấn như vậy nên thực hiện từng bước rất kỹ càng. mà không phải một lần, mấy lần đều như vậy cả. 
Khì khì bạn hunger thân mến !bây giờ thì mình đã biết bạn kích hoạt lại con đó như thế nào rồi. smilie Mình quên kô thông báo là cái Autorun của con này nó có tác dụng ngay cả khi bạn vào ổ theo kiểu bấm phải chuột chọn Explore hay Open
Code:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com.

Thế đấy. Với cái Autorun này thì vào ổ bằng các thao tác click đúp, chuột phải chọn Explore hay chọn Open đều có tác dụng như nhau là kích hoạt file ntdelect.com có trogn ổ. Khi file ntdelect.com bị mất thì nó mới hiện ra cái bảng Open With. bạn hiểu rồi chứ. Tiếc là bạn đã kô làm theo hướng dẫn hoàn toàn:
vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address xuống --> di chuột đến ổ cần vào --> click) 
Vào như trên thì cái Autorun này kô có tác dụng.


*************
Còn bây giờ tới lượt lão tmd :lolsmilie lâu lắm rồi chúng ta kô "choảng" nhỉ?(người khác thì gọi là chiến chứ với đại ka thì gọi là choảng thì đúng hơn :lolsmilie ) iem tưởng đại ka sợ iem rồi và kô dám tiếp hay nhắc tới nick iem nữa chứ :lolsmilie

tmd wrote:
Cài vmware cho windows, copy con malware nào đó vào. Muốn nghiên cứu kiểu gì đó cũng được. Chuyện tay nghề thực , hay chỉ là nói chơi chơi cho vui , bà con ta tự hiểu lấy. 
Vậy đại ka đã cài cái đó và thử xem điều iêm nói là thật hay chỉ là "nói chơi chơi cho vui" chưa?Em nghĩ một thành viên "nhiệt huyết" trong khoản post bài như pác thì phải có hứng thú kiểm tra xem những thành phần như em viết thạt hay viết chơi chứ? :lolsmilie hay là đại ka chưa đủ trình để kiểm tra những điều iem nói đúng hay sai? hay là thậm chí pác còn chưa đủ trình để thực hiện chính điều pác vừa nói ở trên. :lolsmilie

tmd wrote:
Cứ tìm hiểu cách thức hoạt động , rồi thích post kết quả lên forum thảo luận. Hơi đâu lại hỏi ngược( như nick ghost ship kia) , bàn lùi, chê bai này nọ.

Các bác tìm hiểu windows tới một mức nhất định, các bác sẽ phải tiết kiệm lại lời nói "chê bai" "bới móc" "so đọ hiểu biết", tới mức các bác sẽ phải suy nghỉ lại chính khả năng của mình.  

Cái mức nhất định là cái mức nào thía đại ka? theo đại ka thì đại ka đã đạt tới chưa vậy? kô buông ra những lời chê bai nhưng lại ngồi im kô thèm giải đáp thắc mắc của mấy chú gà thì cũng là đồ thừa thôi. chuối nhất là mấy bố chả biết gì nhưng lại cứ thích thể hiện ta đây cũng biết rồi dọa rồ mấy chú gà bằng mấy câu bâng quơ :lolsmilie Một pro kô thích chia sẻ kiến thức và một chú gà thích chê bai em vẫn đánh giá chú gà cao hơn :lolsmilie còn mấy đại ka thấy nó chê mà chả biết nó chê đúng hay sai rồi bật lại cho trúng đích thì còn tệ hại hơn :lolsmilie

tmd wrote:
"Giảng đạo " tới đó thôi. Nói nhiều quá không tốt.  

Đại ka gọi đó là "giảng đạo" sao??? :lolsmilie chuối... chuối... chuối to quá :lolsmilie Em thì gọi đó là mấy câu nói "thiếu lực" thôi đại ka ạ :lolsmilie đuối lắm :lolsmilie :lolsmilie :lolsmilie

hunger wrote:

Ghost Ship wrote:

Cậu có thể thuật lại chi tiết cậu đã:"Diệt tay như các bác dạy" là diệt như thế nào kô? Cậu có biết kill Process là thế nào kô ? Chỉ có những người chưa hiểu kill Process là gì thì mới kô diệt được con này theo những hướng dẫn ở trên. Hoặc con mà cậu nhiễm là phiên bản mới và nó kô inject vào process Explore.exe nữa. 
Thì em vào Task Manager => Process, chọn explore.exe rồi End Process nó đi. Xong em lại vào New Task dò đến explore.exe để mở lại. Em nghĩ em đã làm hiện được các file hệ thống lên, tức là lúc đấy nó không hoạt động nữa rồi, nhưng sau khi em xóa 1 file của nó, hoặc thậm chí chưa kịp xóa thì nó lại hoạt động tiếp.
Đấy là em cứ nghĩ nôm na vậy thôi. Có gì không đúng các bác dạy thêm. 

Đúng là cậu kô phải kô biết kill Process. Cũng kô phải con cậu nhiễm kô inject vào Process Explore. Nhưng chuyện kill process Explore rồi --> mở ẩn được rồi nhưng nó lại hoạt động lại ngay thì đúng là mình kô hiểu tại sao. Hay là sau khi kill process explore xong cậu lại vào các ổ bằng cách click đúp lên các ổ ???

hunger wrote:
Em lại phải rút điện, rồi cắm lại và vào Safe Mode dùng Antivir tìm diệt con kavo. Lần này thì Antivir tóm cổ được nó. Làm thịt xong, vào lại thì bị giống bác trainer 
Có phải lúc kill xong process Explore cậu cũng vào lại kiểu này đúng kô? (click đúp lên các ổ để vào) Nếu đúng thế thì nó thức dậy là phải rồi :lolsmilie

Look2Me wrote:
Chú hunger không biết thì thôi để bác ghost ship với bác tmd giảng cho mà nghe smilie 

Cha này đang đá đểu mình thì phải? sao ông kô giải thích cái phàn tui hỏi vậy? giấu nghề à? :?smilie

Look2Me wrote:

tmd wrote:
Biết quá rõ về nó thì nói dễ. Đa số người khác chẳng biết gì về nó, cũng không biết một số thứ khác về windows, cho dù có thông tin đi kèm theo, họ khó làm được. Biết wincab.sys gì gì đó thì nói gì nửa.  

Không biết là wincab.sys thì vẫn dễ dàng tìm ra nó. Đơn giản là con này tuy là rootkit nhưng nó lại không ẩn chính mình mà chỉ ẩn phần virus thôi, các kỹ thuật đều cũ, chẳng có sáng tạo. Vì thế tôi mới nói nó đơn giản. Không thể sánh với con storm được. 

À đây rồi smilie) Tác dụng của file wincab.sys là "ẩn phần virus" nghĩa là ẩn phần nào vậy pác ? và còn này thì nó có mấy phần ? pác có thể giải thích giúp em được kô? Xin cám ơn pác trước smilie)

hunger wrote:
Diệt tay như các bác dạy cũng không lại, vì mỗi lần em làm hiển thị được các file lên, thì ngay sau đó mấy giây, nó lại làm lặn mất, em không kịp xóa, hoặc chỉ kịp xóa 1 file. 

Cậu có thể thuật lại chi tiết cậu đã:"Diệt tay như các bác dạy" là diệt như thế nào kô? Cậu có biết kill Process là thế nào kô ? Chỉ có những người chưa hiểu kill Process là gì thì mới kô diệt được con này theo những hướng dẫn ở trên. Hoặc con mà cậu nhiễm là phiên bản mới và nó kô inject vào process Explore.exe nữa.

Mình vẫn chưa biết con này dùng cái file .sys(rootkit) để làm gì. Mình tìm ở mấy máy mà mình đã diệt con này đều kô thấy cái file .sys ấy. Biết dùng rootkit mà lại chỉ dùng một key quá thông thường để tự kích hoạt. Dùng cái key ấy chẳng khác nào muốn thông báo:"lạy các cụ, kon ở chỗ này này, các cụ vào xóa con đi.":lolsmilie ) Nếu cái rookit kia quá khủng đến nỗi biết cái file kaov nằm ở đâu mà vẫn kô thể xóa được thì còn hiểu được là nó làm như vậy để thách thức, đằng này...

Lại còn kô có khả năng kích hoạt khi vào safe mode. Kô hiểu tên tác giả nghĩ gì. hay hắn chỉ biết tạo ra cái file .sys trắng để dọa rồ thiên hạ :lolsmilie

Có pác nào biết cái file .sys kia nó có tác dụng gì thì vào chia sẻ cho anh em biết với. Hay toàn mấy bố thấy mô tả là nó có file .sys thì cứ lên:"ối làng nước ơi! nó là rootkit đấy, kô phải hạng tầm thường đâu, kô dễ diệt đâu :cry:" mặc dù chả biết cái file ấy có tác dụng gì. :lolsmilie Nản !!! Pác Thang Cu Em đã phân tích con này chưa vậy? 4rum có những cao thủ như pác mà lại để topic này có tình trạng này hay sao? chán quá! :cry:

Mức độ chia sẻ thông tin ở đây quá thấp. Oài! đành chịu khó luyện dich món Eng léc để ra 4 rum nước ngoài đọc zậy :cry:
Mình đoán máy bạn nhiễm một con malware lây nhiễm theo kiểu tạo ra file mầm là file .exe có icon của folder. Và bạn đã kô phân biệt được đâu là thư mục thật, đâu là thư mục giả (mầm malware) và đã kick hoạt nó khi click đúp lên thư mục ảo đó để mở thư mục.

Chú ý: Khi cài lại win thì mọi malware mà win nhiễm đều bị chết (ngừng hoạt động) nhưng các file mầm của nó tạo ra trong các ổ dữ liệu thì vẫn còn và chính bạn đã kích hoạt cho malware hồi sinh qua các mầm đó chứ kô phải malware sống dai đến mức cài lại win cũng kô diệt được. Vì thế dù có cài lại win nhưng kô biết dọn sạch những cái mầm đó thì việc cài lại win là vô nghĩa, việc nhiễm lại chỉ là chuyện sớm muộn.

Sau khi cài lại Win bạn có thể dọn sạch những file mầm đó như sau:
Chú ý: kô được click đúp để mở kì ổ hay thư mục nào khi chưa làm các việc sau:
I. Loại bỏ mầm có đuôi .exe và hình thư mục.
1. mở chế độ hiện đuôi của file: Folder Options --> view -->bỏ dấu tick ở dòng:"Hide extensions for known file types"
2. Mở chức năng search của Win (window + F) và search trên tất cả các ổ từ khóa .exe
3. Xóa tất cả các file .exe có hình folder tìm được.

II. Loại bổ Autorun trong các ổ (nếu có)
1. Kiểm tra xem trong các ổ có autorun kô bằng cách sau:
1.1: Paste đoạn code sau vào notepad rồi save ra desktop với file name: a.bat
Code:
@if exist "D:\autorun.inf" echo Co' Autorun
pause


1.2: click đúp vào file a.bat
1.3: nếu dòng đầu tiên có đoạn Co' Autorun thì có nghĩa là trong ổ D có file Autorun.inf và trong các ổ khác chắc là cũng có.
2. Vô hiệu Autorun trong các ổ: bạn vào topic sau để đọc nhá: /hvaonline/posts/list/14666.html
Mất hơn một tiếng để viết. chưa kip post lại đi đóng ẩn để kiểm tra cái file .Bat kia có phát hiện ra nhưng file đã +s +h hay kô --> mất hết những gì vừa viết HU HU HU OA OA OA chài ơi là chài IE chết tiệt, Code chết tiêt. FireFox chết tiệt tự nhiên hôm nay duyệt HVA chữ cứ to lù lù làm mình phải chuyển sang IE 6 !!! :cry: :cry: :cry:--> viết lại mấy cái chính thôi kô có hứng thú để viết lại hết đâu.

trời lại mưa --> lại bập bùng tiếp, môn hôm nay hơi hay kô đi hơi tiếc :cry:
Tốc độ load, post chậm như rùa có phải do trời mưa ko nhể? nếu đúng thì vì sao lại thế nhể? load Tất cả các trang ở nước ngoài đều chậm.

Mình mới phát hiện ra có thể đăng nhập trên IE một nick trên FireFox một nick :lolsmilie

Lại còn :”bạn ko thể sửa được tin này” nữa !! với cái tốc độ này thì chán hết sức. :cry: Cap quang vừa bị đứt tiếp hay sao thế này . :cry:




Sao trong này có nhều bài phạm quy thía nhỉ? Em nghĩ các pác nên có reply giải thích lý do ẩn để những người sau kô tiếp tục vi phạm.

pocolo152 wrote:

Ghotship wrote:
Đây là: Mô tả về nó của BKAV

Cách em diệt nó : Dùng IceSword kill liền một lượt cả 5 Process Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg rồi vào xóa các file các key của nó (thế là xong) nhưng em vẫn chưa biết làm hiện lại đuôi của file .exe thế nào. Pác phan tích nó rồi giúp em với nhé  

Bồ trích dẫn lộn tiệm rùi. :lolsmilie
Code:
http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=1119

=> Đây là thông tin của BKiss về con kavo.exe.
Tui cũng đang dính chưởng với con này!!! Hôm qua diệt mãi ko được
%sysdir%\[random_name].dll ( thư viện hook password ) 

=> chẳng biết tính sao với cái này.
 

Tại Pác Hoàng bảo mình up con mình kể vào đây nên mới lộn tiệm chút smilie

Mình diệt con này mấy lần rồi. Chỉ cần Kill Process Explore.exe rồi mở lại là có thể mở ẩn và xóa Autorun, ntdelect.com, kavo.exe và Kavo0.dll. Còn mấy file kia mình kô tìm thấy. chắc đây là phiên bản mới của nó thì mới có mấy file này. Nó chỉ dùng một key để tư kích hoạt lúc vào Win, mà key này kô có tác dụng khi vào safe mode nên có thể vào safe mode để tìm và xóa hết file và key của nó.

%sysdir%\wincab.sys ( rootkit ) --> nó có tác dụng gì nhỉ?



Ruanjinyong wrote:
Em cũng thấy hướng dẫn diệt con này trên mạng nhưng mà trong registry ko hề có các key như trong hướng dẫn.  
Bạn thử post hướng dẫn đó lên đây xem.

Ruanjinyong wrote:
"Hijackthis" là gì ạ?Em chưa nghe thấy baogiờ.Chắc là vào Run...Gõ Hijackthis? 

Hijackthis là tool có tác dụng mô tả tình trạng của hệ thống (các process nào đang chạy, những file nào được kích hoạt khi vào win...) và còn nhiều tác dụng khác nữa nhưng chức năng trên là nổi trội nhất. Nhìn vào kết quả scan của nó người ta có thể nhì thấy những malware thông thường và đưa ra cách diệt thủ công.

Bạn gõ hijackthis vào Google sẽ biết thêm chi tiết.


ThangCuEm wrote:
Các malware sau này đều hướng và đã dùng kỹ thuật rootkit, cực kỳ nguy hiểm và khó diệt. Vì vậy không nên chơi với nó nếu bạn là tay mơ trong phân tích và diệt virus. 

Em có chủ động chơi với chúng nó đâu, chúng nó cứ lao vào em đấy chứ :lolsmilie
Thế bạn restart mấy lần rồi? smilie

Khi vào được win thì bạn chạy Hijackthis rồi post kết quả lên đây xem thế nào.

rongcon258 wrote:
sử dụng BKAV và Kasperky 7.0.0.215 vẫn ko quét sạch 

"Kô quét sạch" nghĩa và vẫn "phát hiện ra" virus và báo là "đã diệt" nhưng máy vẫn còn hiện tượng đó đúng kô bác?

Nếu đúng là 2 AV trên báo là đã diệt thì bác post báo cáo của 2 AV đó lên đây xem 2 AV đó đã báo file nào ,ở đâu đã được phát hiện là virus.

Nếu báo diệt xong rồi và kô báo tiếp mà chỉ còn hiện tượng đó thôi thì có thể virus đã thay đổi một chỗ nào đó trong WIN để làm việc đó. Virus đã bị diệt nhưng kô khắc phục sự thay đổi đó thì vẫn còn hiện tượng đó mặc dù máy đã hết virus.

Nếu báo là đã diệt xong nhưng sau đó lại báo tiếp thì có nghĩa là AV kô diệt được thật. Trong trường hợp này thì bác hãy post thông báo của AV lên đây để mọi người xem đó là loại gì và sẽ chỉ cho bác cách diệt thủ công.

rongcon258 wrote:
ko thể mở ổ dĩa từ MyComputer 

ko thể mở ổ dĩa từ MyComputer có phải là vào MyComputer và thấy các ổ C,D,E .. hiện ra nhưng kô thể vào các ổ bằng thao tác click đúp vào các ổ phải kô bác? nếu đúng thì đó là do trong các ổ đã file Autorun.inf do virus tạo ra. Trường hợp này thì bác có thể vào qua khung Address của MyComputer (click chuột vào cuối dòng Address để sổ danh sách ổ xuống --> di chuột tới ổ cần vào rồi click tiếp--> đã vào ổ :mrgreensmilie

Để mở lại được ổ D bằng cách click đúp thì bác vào Run chạy dòng lênh sau: Code:
attrib -s -h D:\autorun.inf
sau đó vào ổ D bằng cách trên rồi xóa file Autorun.inf rồi restart lại máy. Sau khi restart lại máy thì có thể vào ổ D bằng click đúp. Các ổ khác làm tương tự (ví dụ ổ E thì thay chữ D bằng chữ E smilie ). Chú ý delete hết file Autorun.inf ở các ổ rồi mới restart máy :lolsmilie )

Chài hướng dẫn thế này thì chắc là lớp 1 cũng làm được :lolsmilie

P/S: híc em ấn nhầm nút "chỉnh" thành "trích" :lolsmilie mod del bài trên hộ em cái smilie pác comale có thể cho 2 cái nút đó nó xa nhau một tí được kô? chưa tỉnh ngủ hay đang buồn ngủ dễ bấm nhầm lắm :lolsmilie
đã Edit chờ Del smilie Chài trời mưa to thế smilie(

LeVuHoang wrote:
con của GS up lên là 1 loại virus á. Nó infected vào file *.exe. GS về quét lại máy đi smilie 

Chài đó là máy thằng bạn chứ kô phải máy em smilie Mà sao mô tả của BKAV kô nói nó ăn file .exe nhỉ?

BKAV wrote:
Nguy cơ:

* Làm giảm mức độ an ninh của hệ thống.
* Ăn cắp thông tin cá nhân.  


Mà em vừa quét cái USB hôm em mang sang nhà thằng đó (trong ấy có mấy file .exe hijackthis,IceSword,Procexp,...) nhưng kô thấy báo bị nhiễm.

Vừa đọc lại mô tả của BKAV. hóa ra thằng này làm ẩn cái đuôi .exe bằng cách:

BKAV wrote:
Sửa giá trị các key để không cho hiện các file hệ thống và file ẩn: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced
HideFileExt = "1"  


Vậy là xong cái vụ ẩn đuôi .exe smilie)

Mấy lần trước mang USB tới máy bị virus tấn công file .exe em thấy các file .exe trong USB đều bị dính chỉ riêng file Procexp.exe kô bị. Kô hiểu vì sao? smilie)

LeVuHoang wrote:

Ghost Ship wrote:
Hôm trước mình vừa diệt xong nó nhưng lại bị nó lừa kích hoạt lại smilie có ai dính con này chưa? smilie  

GS upload con này lên đây xem ? 

Nó đây pác Hoàng smilie) http://superupload.fire-lion.com/download.php?file=52c6228a3f8c868029d924460f8baf50

Đây là: http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=1012

Cách em diệt nó : Dùng IceSword kill liền một lượt cả 5 Process Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg rồi vào xóa các file các key của nó (thế là xong) nhưng em vẫn chưa biết làm hiện lại đuôi của file .exe thế nào. Pác phan tích nó rồi giúp em với nhé smilie

vangkhach wrote:

Ghost Ship wrote:
Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ %Sysdir% vào Run nó kô mở System32 ra nhỉ?) 

Cái này là biến môi trường:
vào cmd gõ: echo %Sysdir%, nếu không hiện path thì do cậu chưa đặt biến -> có 2 cách đặt (WinXP):
1. System properties\Advanced\Environment variables\System variables\New
2. Vào đây đặt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment 


thanks! giờ mình mới biết cái nầy smilie
Hì con này dạo này phát tán rất kinh. Mang USB ra mấy quán in là kiểu gì cũng được tặng miễn phí chú này :lolsmilie

Con này ngoài cái Autorun kô làm hiện dọng Autoplay đậm trên đỉnh như bình thường thì cũng kô có gì đặc biệt. Diệt bằng tay rất đơn giản. smilie)

Nó tạo ra 2 file %Sysdir%\Kavo.exe và %Sysdir%\Kavo*.dll" (* ký thự này mình kô nhớ rõ )

Tạo một key trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để kích hoạt file Kavo.exe khi vào win.

Khi file Kavo.exe được kích hoạt nó sẽ inject file Kavo*.dll vào Process Explore.exe

Khi file Kavo*.dll được ijnect vào Process Explore.exe thì nó tác dụng:

- làm máy kô mở ẩn được bằng cách luôn để value '0' cho key "CheckedValue" trong HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

Tạo Autorun và file ntdelect.com trong thư mục gốc của các ổ. Và +s +h cho mấy file này (nếu dùng lệnh attrib để -s -h thì nó lại + lại ngay sau vài giây. xóa cũng thế.)

Đó là các chức năng giúp nó phòng thủ còn các chức năng khác thì mình chưa biết smilie)

Diệt nó bằng tay như sau:

Vào Task Manager kill Process Explore.exe rồi lại Open lại để unload file Kavo*.dll ra khỏi Process Explore.exe --> làm virus ngưng hoạt động.(rất đơn giản smilie )

Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue" thành '1' rồi vào folder options mở ẩn thường và ẩn System ra.

Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address xuống --> di chuột đến ổ cần vào --> click) chứ kô được vào bằng click đúp lên các ổ! để kô kích hoạt lại virus.
Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdelect.com đi. Chú ý ở ổ C có ntdelect.com(chữ thường) của virus và NTDELECT.COM (chữ in hoa) của OS --> chỉ xóa ntdelect.com(chữ thường)

Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ %Sysdir% vào Run nó kô mở System32 ra nhỉ?)

Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Restart lại máy --> xong smilie) Viết thì dài nhưng làm thì nhanh lắm smilie)

Vừa rồi gặp mấy con hay hay có vài cái muốn nhờ các pác phân tích code giúp để giải đáp mà ko có time smilie)

1. là con Auto.exe (tạo Autorun và file Auto.exe trong các ổ) Hijackthis kô thể thấy key kích hoạt của nó .(quên kô dùng SystemSnapShot của bác Hoàng để thử.)

2. Con gì mà lúc chạy thấy cả file .jpg, .zip, .txt, .reg, .doc (Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg) trong list process. Nó làm riêng file .exe kô hiện ra đuôi. tạo file .exe có icon hình folder để lừa victim. --> Hôm trước mình vừa diệt xong nó nhưng lại bị nó lừa kích hoạt lại smilie có ai dính con này chưa? smilie

Tất cả mấy con trên KAV đều đã diệt được.

xnohat wrote:
Gì chứ BKAV nó có đủ tính chất của một Virus smilie) chỉ có một file duy nhất, có khả năng quét toàn bộ dữ liệu, sao chép lưu trữ, mã hóa file, chưa kể có cả một DB sign của virus bên trong. Xét về nhiều mặt thì các hoạt động của BKAV là virus ( trừ mục đích của các hoạt động đó ) 
Thế thì BKAV là một con virus có ích rồi còn gì :lolsmilie

...em nghĩ là em sẽ theo ngành phần mềm...
Kì I :toán rời rạc,pascal.
Kì II:C,kĩ thuật điện tử.
Kì III:kiến trúc máy tính,phương pháp tính,dữ liệu và giải thuật .
Kì IV:ôtmat,hướng đối tượng,kĩ thuật lập trình,cơ sở dữ liệu.
Kì V:assembly,quản trị dữ liệu,mạng,hệ điều hành,VB.  


Mình nghĩ nếu bạn theo phần mềm thì bạn nên tập chung học cho tốt môn pascal ở kỳ I. Nó là ngôn ngữ đơn giản và dễ học nhất. Khi đã khá ngôn ngữ đựoc học đầu tiên này thì các ngôn ngữ được học ở các kỹ sau sẽ rất dễ bắt nhịp. Nếu đã chuyên về phần mềm thì mình nghĩ mấy cái môn về phần cứng và mạng học bớt một chút cũng được smilie) Thấy người ta bảo giỏi sâu về một mảng còn những mảng khác kô biết gì cũng được. còn hơn cái gì cũng biết nhưng chả làm được gì.

Mình cứ thấy người ta nói học mấy cái môn toán rời rạc, phương pháp tính, dữ liệu và giải thuật sẽ tốt cho tư duy lập trình nhưng mình toàn phải thi lại mấy cái môn nầy smilie) nhưng khả năng tư duy thuật toán của mình thì hơn khối đứa được điểm cao mấy môn nầy smilie) chuối thật smilie)

Mình nghĩ nên tự tìm phương án cho các bài lập trình chứ kô nên dựa nhiều vào cách giải sẵn của sách để rèn luyện tư duy thuật toán. Cẩn thận kẻo ngôn ngữ thì rất giỏi theo kiểu lệnh nào cũng biết, ai hỏi lệnh này có tác dụng gì thì trả lời vanh vách nhưng khi hỏi làm một bài lập trình có sử những lệnh đó thì chả biết kết hợp chúng như thế nào để giải quyết bài toán smilie) Có thể thuật toán bạn nghĩ ra kô phải là tối ưu nhưng nó sẽ giúp bạn có thoi quen làm cho cái đầu của mình phải vận động tự tìm lời giải mỗi khi gặp vấn đề thay vì đi tìm lời giải có sẵn ở khắp nơi.

Sau khi bạn tự tìm ra cách giải của riêng mình hoặc nghĩ nát óc mà vẫn kô ra thì bạn mới mang cách giải của sách ra xem (so sánh) thì bạn sẽ tiếp thu cách của sách rất nhanh và nhớ lâu và còn cảm thấy nó lý thú. Ngán nhất là mấy bố đọc đề bài xong là gõ chép luôn cách giải lên máy cho nó chạy smilie) thấy nó chạy được thì mặt sáng lên mặc dù chả hiểu gì smilie) cho tự gõ lại thì pó tay smilie

Mình nghĩ chương trình trong nhà trường kô thực sự quan trọng mà quan trọng là bạn thực sự có hứng thú với con đường mà bạn theo hay kô thôi và yếu tố duyên số cũng rất quan trọng smilie) nếu gặp được những người có cùng niềm đam mê thì bạn sẽ tiến rất nhanh.

Chúc bạn thành công trên con đường đã chọn smilie)
Còn tùy vào thị trường đang cần những nhân viên loại nào hơn nữa smilie) VD nếu tự nhiên các đơn đặt hàng về lập trình ít đi dẫn đến thừa nhân công về lĩnh vực nầy nhưng lại có rất nhiều Cty lắp đặt mới hệ thống mạng của mình nên nhân công về lĩnh vực này lại thiếu và nếu trong thời điểm đó bạn là một người có kiến thức và kinh nghiệm về món Quản trị mạng đang đi tìm việc thì bạn sẽ dễ kiếm việc hơn roài smilie) còn nếu là lập trình viên thì ngược lại smilie

Tuy nhiên mình nghĩ kiến thức chuyên môn vẫn là nhất. Nếu bạn cực siêu thì dù trong hoàn cảnh có thừa thế nào thì người ta vẫn muốn nhận bạn smilie) nhận một người siêu để rồi đá đít 10 người kém cũng đáng lắm chứ :lolsmilie

He he đâu chỉ có box tán gẫu mới buôn dưa lê được chứ smilie ta sẽ thành một "nghệ sỹ" buôn dưa lê smilie ke ke
Bác hoàng à! Em có vấn đề này cứ băn khoăn mãi. Đó là khả năng tự thay đổi Date Created của malware.

Có nhiều malware khi được kích hoạt nó sẽ tạo ra các file có nhiệm vụ hoạt động trong OS và thay đổi Date Created của những file đó nên sẽ rất khó phát hiện ra nó bằng cách kiểm tra những file mới tạo ra trong OS.

Và vấn đề cháu băn khoăn là liệu có thể tìm ra Date Created thực của những file đó hay kô? nếu được thì bằng cách nào? Bác chỉ em với smilie) Hoặc nếu bác tạo ra được một tool có chức năng này thì càng tốt smilie)

Hay là bác tạo thêm cho FH một tool có chức năng liệt kê tất cả những file hay folder được tạo ra trong một khoảng thời gian có 2 mốc do người dùng tự nhập. Em nghĩ đây sẽ là một tool rất hữu ích smilie)

Hôm trước em phát hiện ra trong máy tồn tại một file C:\WINDOWS\system32\rtclmg32.dll và Date Created và Date Modified của nó cùng là 9/19/2063 (May mà là 2063 nên nó lòi lên đầu chứ kô thì cũng chẳng phát hiện ra smilie( )

Em vừa gõ lên Google thì kiếm được cái link này: http://forums.spybot.info/showthread.php?t=5263&page=5
Chài lại TA, lại luyện dịch để xem nó nói gì nào.

Các pác giúp iem với nhé smilie)

LeVuHoang wrote:
GS xem thêm về MD5 nhé:
http://en.wikipedia.org/wiki/MD5  

Híc lại toàn TA :cry: Thui cố dịch vậy, dù cũng cần phải nâng cấp khả năng dịch cái món TA nầy kô thì khó mà phát triển thêm được smilie) Thanks bác Hoàng!

Sở dĩ MD5 trên máy Hoàng và máy GS khác nhau là vì 2 tập tin khác nhau (nhưng trùng tên). Vì Hoàng đang sử dụng Windows Vista, còn có thể GS sử dụng Windows XP  


Vậy là nếu một MD5 của một Process bị thay đổi nghĩa là file đó đã bị thay đổi (có thể là đã bị malware tiêm chích) phải kô bác?
Theo mình biết thì kl nó thuộc vào họ của trojan, spyware nghĩa là bọn malware gián điệp chuyên ăn cắp thông tin của máy bị nhiễm rồi gửi cho chủ nhân (kl là loại chuyên ghi lại những phím mà người dùng gõ). Vì chức năng chủ yếu của nó là ghi và gửi nên ta có thể phát hiện nó bằng cách kiểm tra các kết nối của máy mình ra ngoài (có thể dùng lệnh netstat hoặc các soft có chức năng này như IceSword) Thực ra cái nầy phải mấy pác hiểu biết về mạng giải thích thì mới rõ smilie bạn có thể tự tìm hiểu về phương pháp này bằng cách search trên mạng, có rất nhiều,quan trọng là bạn có hứng thú thực sự hay kô thôi smilie)

nếu như con keylogger này cóa mặt trong process thi làm sao để biết dược nó là keylogger trong khi có rất nhiều file cùng chạy trong process  


Bạn có thể dùng IceSword) vào phần Port Chú ý các dòng ETABLISHED ở cột State. xem file nào thực hiện ETABLISHED ấy ở cột PathName. Khi bạn đang duyệt web bằng IE và IE đang load nội dung trang web thì dòng đó sẽ là C:\Program Files\Internet Explorer\IEXPLORE.EXE Nghĩa là process IEXPLORE.EXE đang làm việc đó.

Nếu Process làm việc đó là một Process mà bạn kô biết thì bạn hãy gõ cái tên của nó vào google và tìm. Nếu đó là Process bình thường thì sẽ có vô số trang hiện ra nói tác dụng của nó. Còn nếu kô có trang nào hoặc toàn các trang nói nó là malware thì khả năng nó là kl hoặc các malware khác rất cao.

Nhưng nhược điểm của cách này là chỉ phát hiện ra nếu đúng lúc đó kl đang send thông tin chủ nhân nó thôi. nếu con kl đó được lập trình là chỉ gửi theo giờ hoặc theo một quy luật nào đó kô liên tục thì sẽ khó phát hiện bằng cách này.

Ngoài ra có thể phát hiện và tiêu diệt nó bằng cách thôgn thường chịu khó theo rõi system. để phát hiện ra các chương trình mới được cài vào OS(file nào mới tạo ra trong thư mục hệ thống, những process nào mới được đặt khởi động cùng hệ thống) Nếu làm tốt cách này thì kô những kl mà cả các loại malware khác cũng khó mà thoát được smilie

Nếu muốn phát hiện máy mình nhiễm Kl thì cách tốt nhất là chịu khó tìm hiểu về loại này xem hiện có bao nhiêu loại hay được dùng và cách hoạt động của chúng như thế nào rồi sẽ tự rút ra cách phát hiện và vô hiệu nó thạm chí còn dẫn đến biết sử dụng và khoái dùng nó đi gây án smilie) (cách này có vẻ củ chuối smilie )
Em thấy Hijackthis lợi ở chỗ nó có web phân tích kết quả scan. Như vậy sẽ nhanh và tiện hơn tự phân tích bo bằng mắt rất nhiều.

Nó còn có chức năng Fix Checked nữa, nhanh hơn vào tìm xóa bo trong registry.

Nhiều key kô phải do malware tạo ra mà là key của OS bị malware lợi dụng thì được Fix rất chính xác. nhiều người nếu xử lý thủ công khéo còn del những key này luôn.

Mà em vẫn kô biết sử dụng cái MD5 như thế nào smilie( em thấy kết quả cái chuỗi ấy của các file trên máy em lại khác với md5 của các file mà bác Hoàng post trên kia mà chuối ấy ở trên trang web của hijackthis cũng khác. tại sao lại như vậy?

Em tìm hiểu về nó mấy hôm nay nhưng vẫn mơ hồ quá. bác nào chỉ hộ em với! Hic thấy người ta nói về nó nhiều quá mà mình chả biết nó là gì, ngai quá smilie)
 
Go to Page:  First Page Page 2 4 5 6 Page 7 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|