banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ!  XML
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 23/05/2007 04:37:33 (+0700) | #1 | 61006
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]
Hiện tượng:
- Làm máy rất chậm, ko thể vào được Task Manager
- Khi vào run - chạy các lệnh của Windows như: cmd, regedit, gpedit.msc... vẫn không có tác dụng gì mà cũng không thông báo lỗi gì cả.
Tôi đã thử tháo HDD sang máy khác để scan, dùng Norton và bkav mới nhất quét có diệt được con W32.PerfkeylogCB.trojan, xong ráp vào chạy vẫn thế cả(khi quét tôi đã cẩn thận tắt System restore rồi).

Bạn nào biết giúp tôi với! smilie
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 24/05/2007 03:50:36 (+0700) | #2 | 61237
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Khi vào run - chạy các lệnh của Windows như: cmd, regedit, gpedit.msc... vẫn không có tác dụng gì mà cũng không thông báo lỗi gì cả. 


Bạn thử vào:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe


"Double click" thẳng vào các file .exe xem có thông báo gì kô.

Nếu đúng là kô mở được mà lại kô có thông báo gì thì mới thật, mình cũng chưa thấy bao giờ. Gõ cái tên W32.PerfkeylogCB.trojan vào google cũng chả thấy kết quả nào cả.
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 24/05/2007 03:56:36 (+0700) | #3 | 61241
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]
Tôi đã thử cách như Ghost Ship nói, nhưng vẫn không có tác dụng gì. Không biết loại này là loại quái gì vậy không biết nữa, ai gặp rồi thì giúp tôi với. Quả thật loại này tôi cũng mới gặp lần đầu tiên đấy.
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 24/05/2007 04:37:20 (+0700) | #4 | 61248
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
bạn thử post hijackthis lên xem có thấy thêm gì kô.
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 09:15:25 (+0700) | #5 | 61618
[Avatar]
osamabinladel
Member

[Minus]    0    [Plus]
Joined: 02/07/2006 11:11:38
Messages: 410
Location: bãi bom
Offline
[Profile] [PM] [Yahoo!]
có thể là Logo_1 không bạn tìm thông tin thử nhé con này mà dính thì exe đi dời cả
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 10:57:59 (+0700) | #6 | 61637
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Một lời khuyên mà ai cũng có thể cho bạn-> Đem ổ cứng sang một máy được cho là sạch để quét,sau đó cài mới hoàn toàn Windows(chuyển định dạng sang NTFS) rồi ghost lại để xài.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 11:42:49 (+0700) | #7 | 61653
[Avatar]
Mr.vinhhai
Member

[Minus]    0    [Plus]
Joined: 20/03/2007 01:28:05
Messages: 26
Location: Dreams
Offline
[Profile] [PM]

Ghost Ship wrote:
Khi vào run - chạy các lệnh của Windows như: cmd, regedit, gpedit.msc... vẫn không có tác dụng gì mà cũng không thông báo lỗi gì cả. 


Bạn thử vào:
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe


"Double click" thẳng vào các file .exe xem có thông báo gì kô.

Nếu đúng là kô mở được mà lại kô có thông báo gì thì mới thật, mình cũng chưa thấy bao giờ. Gõ cái tên W32.PerfkeylogCB.trojan vào google cũng chả thấy kết quả nào cả. 


có lẽ máy bạn bị con virus "ăn" file .exe rùi, nó tấn công và chuyển đổi toàn bộ file exe trên hệ thống và không cho hoạt động. Cách hay nhất là bạn nên copy những tài liệu cần thiết ra 1 chỗ riêng và ghost hoặc cài lại win đi.
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 15:56:30 (+0700) | #8 | 61683
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

IT-Amateur wrote:
Hiện tượng:
- Làm máy rất chậm, ko thể vào được Task Manager
- Khi vào run - chạy các lệnh của Windows như: cmd, regedit, gpedit.msc... vẫn không có tác dụng gì mà cũng không thông báo lỗi gì cả.
Tôi đã thử tháo HDD sang máy khác để scan, dùng Norton và bkav mới nhất quét có diệt được con W32.PerfkeylogCB.trojan, xong ráp vào chạy vẫn thế cả(khi quét tôi đã cẩn thận tắt System restore rồi).

Bạn nào biết giúp tôi với! smilie  


Có lẽ lại là virus SSVICHOSST.exe hay chính xác hơn là một SSVICHOSST.exe đã đươc cải tiến (modified).

Sau bài viết của tôi về SSVICHOSST.exe trong forum HVA này về SSVICHOSST.exe, trong đó mô tả khà năng có thể dùng gpedit.msc để chữa lại các hâu quả do virus tạo ra ( Task manager, Registry editor và Folder Option không chạy ), thì có lẽ ai đó đã cải tiến virus để cho nó vô hiệu hóa luôn cả lệnh gpedit.msc trong "command prompt"

Bạn vẫn phải dùng Hijack This v 1.99.1 hay version 2 để xác nhận lại. Nếu đúng thì vẫn còn cách sửa lại lại Registry, hay làm như môt số bạn đã nói sơ bộ ở trên.

Tham khảo thêm về SSVICHOSST.exe tại:
http://vnhacker.org/hvaonline/posts/list/8609.html

Note: Virus SSVICHOSST.exe và các biến thể của nó thưc sự đang là " vấn nạn" hiện nay. Rất nhiều người bị nhiễm nó. Môt đĩa CD mới, bán ngoài tiệm tên là System soft 5 ( đĩa số 5) đầy rẫy các virus SSVICHOSST.exe. Gần như phần mềm nào trong đĩa này cũng có thêm môt file .exe. Nó chính là SSVICHOSST.exe và biến thể. Lảo Lê vũ Hoàng có thể lấy mẫu virus để dùng trong phần mềm Antivirus "FireLion" của mình.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 21:07:08 (+0700) | #9 | 61694
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Em nghĩ con này khóa các tool kô phải bằng các key trong regedit vì nếu khóa như vậy thì sẽ xuất hiện thông báo của hệ thống nói lý do kô vào được. Còn như mô tả ở trên thì ko có thông báo nào cả.

Em thấy khóa kiểu này giống kiểu kiểm khóa bằng chính Process của virus. Có thể khi Process của virus này đang chạy thì nó có chức năng kiểm tra sự tồn tại của các Process của các tool kia. nếu thấy các Process của các tool kia được khởi động thì nó lập tức kill luôn.

Các tool kia khi chạy đều có tên Process cố định vì thế virus chỉ cần cho tên của các Process này vào danh sách kill là có thể làm được việc này.

nếu đúng là khóa bằng process của virus thì có thể khi mở các tool kia vẫn thấy nháy một cái cửa sổ rồi biến mất.

Kô cần biết khóa bằng cách nào. Quan trọng nhất là phải diệt được con virus kia đã. nếu kill được process của nó rồi mở được các tool kia thì đúng là nó khóa bằng process của virus. Còn nếu diệt xong mà vẫn thế thì em bó chuối em chưa thấy hiện tượng nầy bao giờ smilie)

muốn diệt được nó thì hãy thử Post Logfile of HijackThis của máy lên đây.Mà hắn lặn mất rồi còn đâu. Khó chịu khi gặp mấy bố kiểu này thật có cái Logfile of HijackThis mà cũng kô post lên nổi. Cách mô tả virus tốt nhất là post Logfile of HijackThis lên. Các thông tin để diệt nó đều có trong Logfile of HijackThis.

Những con virus khủng thường kô cho các AV chạy nên khi virus bị kích hoạt rồi thì em thường kô cố cài các AV để diệt. Diệt tay vẫn hiệu quả và khoái nhất smilie)
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 21:44:52 (+0700) | #10 | 61701
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:

IT-Amateur wrote:
Hiện tượng:
- Làm máy rất chậm, ko thể vào được Task Manager
- Khi vào run - chạy các lệnh của Windows như: cmd, regedit, gpedit.msc... vẫn không có tác dụng gì mà cũng không thông báo lỗi gì cả.
Tôi đã thử tháo HDD sang máy khác để scan, dùng Norton và bkav mới nhất quét có diệt được con W32.PerfkeylogCB.trojan, xong ráp vào chạy vẫn thế cả(khi quét tôi đã cẩn thận tắt System restore rồi).

Bạn nào biết giúp tôi với! smilie  


Có lẽ lại là virus SSVICHOSST.exe hay chính xác hơn là một SSVICHOSST.exe đã đươc cải tiến (modified).

Sau bài viết của tôi về SSVICHOSST.exe trong forum HVA này về SSVICHOSST.exe, trong đó mô tả khà năng có thể dùng gpedit.msc để chữa lại các hâu quả do virus tạo ra ( Task manager, Registry editor và Folder Option không chạy ), thì có lẽ ai đó đã cải tiến virus để cho nó vô hiệu hóa luôn cả lệnh gpedit.msc trong "command prompt"

Bạn vẫn phải dùng Hijack This v 1.99.1 hay version 2 để xác nhận lại. Nếu đúng thì vẫn còn cách sửa lại lại Registry, hay làm như môt số bạn đã nói sơ bộ ở trên.

Tham khảo thêm về SSVICHOSST.exe tại:
http://vnhacker.org/hvaonline/posts/list/8609.html

Note: Virus SSVICHOSST.exe và các biến thể của nó thưc sự đang là " vấn nạn" hiện nay. Rất nhiều người bị nhiễm nó. Môt đĩa CD mới, bán ngoài tiệm tên là System soft 5 ( đĩa số 5) đầy rẫy các virus SSVICHOSST.exe. Gần như phần mềm nào trong đĩa này cũng có thêm môt file .exe. Nó chính là SSVICHOSST.exe và biến thể. Lảo Lê vũ Hoàng có thể lấy mẫu virus để dùng trong phần mềm Antivirus "FireLion" của mình.

 

Cảm ơn PXMMRF rất nhiều, bạn đã nói đúng. Chính xác là SSVICHOSST.exe nhưng phiên bản mà tôi dính phải là phiên bản cải tiến rồi. Tôi đang cố gắng post lên các Forum để nhận được thông tin nhiều hơn về con này. Tôi cảm ơn các bạn rất nhiều!
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 21:48:06 (+0700) | #11 | 61702
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]

osamabinladel wrote:
có thể là Logo_1 không bạn tìm thông tin thử nhé con này mà dính thì exe đi dời cả 


Không phải là con Logo_1 osamabinladel ạ, con Logo_1 thì tôi đã chơi với nó mấy lần rồi. Con này kho chơi hơn nhiều.
Thân!
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 22:01:19 (+0700) | #12 | 61706
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Ầy smilie) nản với bố này ghê. sao vẫn kô post HijackThis lên nhỉ?
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 22:06:24 (+0700) | #13 | 61708
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]
[quote=
muốn diệt được nó thì hãy thử Post Logfile of HijackThis của máy lên đây.Mà hắn lặn mất rồi còn đâu. Khó chịu khi gặp mấy bố kiểu này thật có cái Logfile of HijackThis mà cũng kô post lên nổi. Cách mô tả virus tốt nhất là post Logfile of HijackThis lên. Các thông tin để diệt nó đều có trong Logfile of HijackThis.

Những con virus khủng thường kô cho các AV chạy nên khi virus bị kích hoạt rồi thì em thường kô cố cài các AV để diệt. Diệt tay vẫn hiệu quả và khoái nhất smilie)
 
Rất xin lỗi bạn và ban quản trị HVA, vì lý do "tế nhị " nên tôi không thể post Logfile of HijackThis lên. Mong các bạn thông cảm, hiện tôi đang làm sức để diệt con Virus này. Khi nào có kết quả tôi sẽ post lên luôn.
Chúc bạn sức khỏe và thành đạt!
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 22:30:37 (+0700) | #14 | 61711
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Thông tin nhận được từ BKAV đôi lúc không đáng tin, chủ yếu nhờ vào kinh nghiệm nhận biết và sử dụng windows. Box này là kho tàng cho bạn diệt con gì đó bạn đang có.
Virus bình thường thôi, không ghi vào các key registry thường gặp để hijack phát hiện-> Xài nó làm gì đây trời.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 26/05/2007 23:13:34 (+0700) | #15 | 61715
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

IT-Amateur wrote:
[quote=
muốn diệt được nó thì hãy thử Post Logfile of HijackThis của máy lên đây.Mà hắn lặn mất rồi còn đâu. Khó chịu khi gặp mấy bố kiểu này thật có cái Logfile of HijackThis mà cũng kô post lên nổi. Cách mô tả virus tốt nhất là post Logfile of HijackThis lên. Các thông tin để diệt nó đều có trong Logfile of HijackThis.

Những con virus khủng thường kô cho các AV chạy nên khi virus bị kích hoạt rồi thì em thường kô cố cài các AV để diệt. Diệt tay vẫn hiệu quả và khoái nhất smilie)
 

Rất xin lỗi bạn và ban quản trị HVA, vì lý do "tế nhị " nên tôi không thể post Logfile of HijackThis lên. Mong các bạn thông cảm, hiện tôi đang làm sức để diệt con Virus này. Khi nào có kết quả tôi sẽ post lên luôn.
Chúc bạn sức khỏe và thành đạt! 

Ghost Ship phải thông cảm với bạn IT-Amateur vì có thể bạn ấy đang quản lý một h5 thống của một công ty và hệ thống ấy bị nhiễm virus.
Khi post lên tất cả các entries của Hijact This sau khi dùng nó scan một hệ thống, thì nếu gặp một chuyên gia bảo mật hay một hacker "bài bản", họ sẽ biết rõ những thông tin quan trọng của hệ thống:

- Hệ điều hành ( là Win NT SP4, Win 2000 server, Win XP SP2 hay Win 2K3 ....). Linux thì không bị nhiễm virus này ( cho đến nay, trừ khi nó đựoc viết lại, cải tiến lại mà vẫn dùng tên SSVICHOSST.exe .

- Các chương trình Antivirus và Firewall đã đựoc cài vào hệ thống ( Các process liên quan của các trình trên đều bị Hijack This detect ra và hiên lên như các entries của Hijack This)

- Các application, service thông dụng và đặc biệt đựoc cài thêm vào hệ thống và version của nó.

- Các thông tin nhạy cảm khác.

Vì thế, thôi thì hãy chờ bạn IT-Amateur thông báo thêm chi tiết về virus, cũng như bạn ấy có trể trích ra những entries của Hijact This. Nhưng ngay cả khi trích ra tối thiểu như vậy thì môt hacker thứ thiệt cũng tìm ra vài thông tin hữu ích cho việc chuẩn bị thâm nhập vào hệ thống, nếu hacker muốn làm như vậy.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 27/05/2007 00:20:34 (+0700) | #16 | 61720
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nếu bị dính thứ cải tiến đó, nên kiểm tra các .dll mà nó kèm vào các tiến trình khác, con này vẫn có payload là kết nối ra ngoài, ...
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 27/05/2007 01:25:27 (+0700) | #17 | 61732
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bạn có thể upload file virus SSVICHOSST.exe này lên đâu đó được không. Tui sẽ analyze thử và sẽ trả lời cách hoạt động của nó, cách diệt, mã giả của nó.
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 28/05/2007 02:01:52 (+0700) | #18 | 61898
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
anh PXMMRF: FastHelper update con SSVICHOSST.exe rồi đó anh.
@ThangCuEm: Anh có thể download ở đây:
http://superupload.fire-lion.com/download.php?file=8ae2bd538d7fd4069b1d46d689a33c97

Chỉ là mấy con viết bằng AutoIt vớ vẩn. McAfee cũng đã phân tích con này:
http://vil.nai.com/vil/content/v_142233.htm

Symptoms -

Ends the following processes and closes applications if the window title has:

* [FireLion]
* Bkav2006
* System Configuration
* Registry
* Windows Task
* cmd.exe

Attempts to delete following registry entries:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run="BkavFw"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run=”IEProtection"
 

smilie)
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 28/05/2007 11:28:19 (+0700) | #19 | 61964
chosoi
Member

[Minus]    0    [Plus]
Joined: 31/12/2004 14:37:03
Messages: 45
Offline
[Profile] [PM]

LeVuHoang wrote:
anh PXMMRF: FastHelper update con SSVICHOSST.exe rồi đó anh.
@ThangCuEm: Anh có thể download ở đây:
http://superupload.fire-lion.com/download.php?file=8ae2bd538d7fd4069b1d46d689a33c97

Chỉ là mấy con viết bằng AutoIt vớ vẩn. McAfee cũng đã phân tích con này:
http://vil.nai.com/vil/content/v_142233.htm

Symptoms -

Ends the following processes and closes applications if the window title has:

* [FireLion]
* Bkav2006
* System Configuration
* Registry
* Windows Task
* cmd.exe

Attempts to delete following registry entries:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run="BkavFw"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run=”IEProtection"
 


Theo tôi những con này lên diệt bằng tay là hiệu quả nhất. Nhưng mà nếu cả một hệ thống bị nhiễm mà diệt bằng tay thì... có lẽ ko ổn.
smilie
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 28/05/2007 21:49:34 (+0700) | #20 | 62007
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:

IT-Amateur wrote:
[quote=
muốn diệt được nó thì hãy thử Post Logfile of HijackThis của máy lên đây.Mà hắn lặn mất rồi còn đâu. Khó chịu khi gặp mấy bố kiểu này thật có cái Logfile of HijackThis mà cũng kô post lên nổi. Cách mô tả virus tốt nhất là post Logfile of HijackThis lên. Các thông tin để diệt nó đều có trong Logfile of HijackThis.

Những con virus khủng thường kô cho các AV chạy nên khi virus bị kích hoạt rồi thì em thường kô cố cài các AV để diệt. Diệt tay vẫn hiệu quả và khoái nhất smilie)
 

Rất xin lỗi bạn và ban quản trị HVA, vì lý do "tế nhị " nên tôi không thể post Logfile of HijackThis lên. Mong các bạn thông cảm, hiện tôi đang làm sức để diệt con Virus này. Khi nào có kết quả tôi sẽ post lên luôn.
Chúc bạn sức khỏe và thành đạt! 


Ghost Ship phải thông cảm với bạn IT-Amateur vì có thể bạn ấy đang quản lý một h5 thống của một công ty và hệ thống ấy bị nhiễm virus.
Khi post lên tất cả các entries của Hijact This sau khi dùng nó scan một hệ thống, thì nếu gặp một chuyên gia bảo mật hay một hacker "bài bản", họ sẽ biết rõ những thông tin quan trọng của hệ thống:

- Hệ điều hành ( là Win NT SP4, Win 2000 server, Win XP SP2 hay Win 2K3 ....). Linux thì không bị nhiễm virus này ( cho đến nay, trừ khi nó đựoc viết lại, cải tiến lại mà vẫn dùng tên SSVICHOSST.exe .

- Các chương trình Antivirus và Firewall đã đựoc cài vào hệ thống ( Các process liên quan của các trình trên đều bị Hijack This detect ra và hiên lên như các entries của Hijack This)

- Các application, service thông dụng và đặc biệt đựoc cài thêm vào hệ thống và version của nó.

- Các thông tin nhạy cảm khác.

Vì thế, thôi thì hãy chờ bạn IT-Amateur thông báo thêm chi tiết về virus, cũng như bạn ấy có trể trích ra những entries của Hijact This. Nhưng ngay cả khi trích ra tối thiểu như vậy thì môt hacker thứ thiệt cũng tìm ra vài thông tin hữu ích cho việc chuẩn bị thâm nhập vào hệ thống, nếu hacker muốn làm như vậy.

 
Cảm ơn PXMMRF, bạn đúng là một người hiểu biết rộng. Quả thật tôi không thể post Logfile of HijackThis lên được chính là vì lý do này. Hiện tại tôi đã diệt được con Virus này rồi. Nó là một phiên bản cải tiến, nhưng cách thức hoạt động cũng gần tương tự như Phiên bản mà các bạn đã dính, tuy nhiên hiện giờ thì các bạn có thể dùng KAV update là diệt được. KAV đã xác định được mẫu của nó.
Thân!
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 29/05/2007 01:07:27 (+0700) | #21 | 62053
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
@IT-Amateur: Bác có thể nói rõ bác đã diệt con đó như thế nào kô? Quả thực em thấy biểu hiện của con này theo như bác nói là khá lạ smilie)

+ Có phải bác chỉ cài KAV ra là diệt được con này kô?
+ Sau khi diệt xong thì các tool kia đã chạy được chưa?
+ KAV đã tìm thấy và xóa bao nhiêu file virus?
+ Các file virus bị KAV diệt nằm ở những vị trí nào?
+ Ổ C có mấy file của virus?
+ Đường dẫn cụ thể của từng file virus phát hiện ra trong ổ C?

Bác có thể post những thông tin trên lên đây kô? Chắc là nó sẽ kô mang theo thông tin nào của hệ thống giúp co các hacker cóp thể xâm nhập đâu smilie) Những thông tin như vậy sẽ rất có ích cho việc chỉ dẫn cách diệt con virus này nếu có ai đó bị dính và lên đây hỏi smilie) và giúp những người như em hiểu biết thêm. Em xin cám ơn bác trước smilie)
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 29/05/2007 02:59:28 (+0700) | #22 | 62069
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]

Ghost Ship wrote:
@IT-Amateur: Bác có thể nói rõ bác đã diệt con đó như thế nào kô? Quả thực em thấy biểu hiện của con này theo như bác nói là khá lạ smilie)

+ Có phải bác chỉ cài KAV ra là diệt được con này kô?
+ Sau khi diệt xong thì các tool kia đã chạy được chưa?
+ KAV đã tìm thấy và xóa bao nhiêu file virus?
+ Các file virus bị KAV diệt nằm ở những vị trí nào?
+ Ổ C có mấy file của virus?
+ Đường dẫn cụ thể của từng file virus phát hiện ra trong ổ C?

Bác có thể post những thông tin trên lên đây kô? Chắc là nó sẽ kô mang theo thông tin nào của hệ thống giúp co các hacker cóp thể xâm nhập đâu smilie) Những thông tin như vậy sẽ rất có ích cho việc chỉ dẫn cách diệt con virus này nếu có ai đó bị dính và lên đây hỏi smilie) và giúp những người như em hiểu biết thêm. Em xin cám ơn bác trước smilie)  


Bạn Ghost Ship thân mến!

Tôi đã diệt được con Virus này cách làm của tôi như sau:
+ Tháo HDD của máy bị nhiễm đưa vào 01 máy cài KAV đã được cập nhật mới nhất và quét.
+ Hầu hết các file *.exe của thư mục C:\Windows\system32\*.exe đều bị nhiễm virus.
+ Đưa HDD này lại máy, khởi động lên và dùng HijackThis ( dùng trong đĩa CD Hiren boot 9.0) fix các KEY chứa virus. (Nhớ phải Login bằng quyền Administrator)
+ Phục hồi lại registry ->logoff sau đó chạy bình thường.
Trân trọng!
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 29/05/2007 09:38:06 (+0700) | #23 | 62146
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
@IT-Amateur: Em xin cám ơn vì bác đã hồi âm smilie) Nhưng em muốn biết thêm một chút về con virus này, bác giúp em nhá smilie) cụ thể là:

+ Hầu hết các file *.exe của thư mục C:\Windows\system32\*.exe đều bị nhiễm virus. 


Bác có thể nói rõ là có bao nhiêu file kô? Em nghĩ là hầu hết các file .exe của virus đều nằm ở C:\Windows\system32\ thì đúng hơn vì các file .exe ở trong C:\Windows\system32\ đều là file quan trọng của system nên nếu chúng bị nhiễm virus thì sau khi quét virus xong và mang HDD về lắp lại vào máy thì Win sẽ kô thể chạy được hoặc nếu có chạy được thì cũng sẽ bị lỗi. smilie)

Ngoài C:\Windows\system32\ ra kô còn virus ở những vị trí khác phải ko bác?

+ Đưa HDD này lại máy, khởi động lên và dùng HijackThis ( dùng trong đĩa CD Hiren boot 9.0) fix các KEY chứa virus. (Nhớ phải Login bằng quyền Administrator)
+ Phục hồi lại registry ->logoff sau đó chạy bình thường.  


Bác có thể post lên đây những dòng(trong HijackThis.log) mà HijackThis đã fix kô? Đó là những key do virus tạo ra trong registry và đó là những thông tin rất quan trọng về con virus này smilie) Nếu có thể thì bác hãy xóa những dòng có nội dung "tế nhị" trong file HijackThis.log và post cả file HijackThis.log lên đây là tốt nhất smilie)

Các tool(registry,Task Manager,cmd, msconfig...) đã vào được chưa thế bác? Diệt xong virus, khởi động xong là vào được ngay hay là phải fix xong các key trong regedit thì mới vào lại các tool này được?

Bác cố gắng giúp em nốt phát nữa nhá smilie) Em xin cám ơn bác lần nữa smilie)
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 04/06/2007 11:57:40 (+0700) | #24 | 63086
angelpurple
Member

[Minus]    0    [Plus]
Joined: 03/06/2007 23:34:47
Messages: 3
Offline
[Profile] [PM]

smilie minh không biết là bạn có dư hơi hay không nữa.......
smilie mình nghĩ con víu bạn nói là không có thật
:lolsmilie cài hệ diều hành mói di bạn oi
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 05/06/2007 05:09:54 (+0700) | #25 | 63179
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]

angelpurple wrote:

smilie minh không biết là bạn có dư hơi hay không nữa.......
smilie mình nghĩ con víu bạn nói là không có thật
:lolsmilie cài hệ diều hành mói di bạn oi 

Bạn angelpurple này, không biết bạn biết câu nói này chưa?
ẾCH NGỒI ĐÁY GIẾNG BIẾT ĐÂU MƯA RÀO
Thân! smilie
[Up] [Print Copy]
  [Question]   Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 05/06/2007 06:08:02 (+0700) | #26 | 63187
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Tui biết câu Ếch ngồi đáy giêng coi trời bằng vung. Câu kia tui mới nghe thấy. Vô số anh em còn coi trời bằng vung hay cái nia gì đó.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 05/06/2007 09:16:34 (+0700) | #27 | 63240
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
@IT-Amateur: Sao bác kô giúp em nốt thế? hay bác kô nhớ à?

Ếch ngồi đáy giêng coi trời bằng vung 


Gà kô ngồi ở đáy giếng nhưng khả năng nhận thức của gà quá kém nên kô nắm bắt được hiện thực, bản chất vấn đề --> Gà hay mắc chứng hoang tưởng, cũng rất đáng thương smilie)

Biết nhiều nhưng kô hiểu thì còn nguy hiểm hơn kô hiểu biết smilie) smilie) smilie)
[Up] [Print Copy]
  [Question]   Re: Có ai gặp con Virus này chưa? Rất lạ chưa gặp bao giờ! 05/06/2007 22:59:28 (+0700) | #28 | 63290
IT-Amateur
Member

[Minus]    0    [Plus]
Joined: 04/05/2007 10:50:24
Messages: 19
Offline
[Profile] [PM]

Ghost Ship wrote:
@IT-Amateur: Sao bác kô giúp em nốt thế? hay bác kô nhớ à?

Ếch ngồi đáy giêng coi trời bằng vung 


Gà kô ngồi ở đáy giếng nhưng khả năng nhận thức của gà quá kém nên kô nắm bắt được hiện thực, bản chất vấn đề --> Gà hay mắc chứng hoang tưởng, cũng rất đáng thương smilie)

Biết nhiều nhưng kô hiểu thì còn nguy hiểm hơn kô hiểu biết smilie) smilie) smilie)  


Hi Ghost Ship, quả thật là Tôi quên trả lời cho bạn mất. Để tôi tìm lại cái cái file log đó đã vì nó nằm ở máy của nhân viên trong cty tôi, diệt xong tôi lại không copy nó lại cho tôi nữa. Để tôi tìm rồi post nhé.
Thân!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|