English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... đây là con virut gì? cách diẹt là thế nào?  XML
  [Question]   đây là con virut gì? cách diẹt là thế nào? 07/04/2008 10:48:50 (+0700) | #1 | 123744
[Avatar]
 maivanloi
Member
[Minus]    0    [Plus]
Joined: 06/11/2007 22:37:02
Messages: 174
Offline
[Profile] [PM]
em có thấy trong USB có một file autorun.inf nội dung như sau
[AutoRun]
open=Secret.exe
;shell\open=Open(&O)
shell\open\Command=Secret.exe
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=Secret.exe
chắc là con này tư máy mình chui vào USB rồi
nó có lẽ tồn tại lâu rồi và dướ dạng ẩn mình dùng ultra để xem nó đấy mình có quét bằng eset NOD32 nhugn có vẻ không hiệu quả
diệt con này bằng cách nào vậy?
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 12/04/2008 22:26:35 (+0700) | #2 | 124787
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
Dấu hiệu :
1. Tạo file autoruns.inf (File này được thiết lập chế độ ẩn) trong USB với nội dung :
[AutoRun]
open=Secret.exe
;shell\open=Open(&O)
shell\open\Command=Secret.exe
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=Secret.exe
2. Sẽ thấy có sự xuất hiện của File Secret.exe trong USB ở thư mục gốc (Tập tin này ẩn), và file phimnguoilon.exe ở một thư mục con bất kỳ nào trong USB (Thư mục này không bị ẩn)
3. Xuất hiện 2 process lạ với những cái tên “không lạ” :


4. Xuất hiện những thay đổi trong key khởi động quan trọng là UserInit:



Tiêu diệt :
Cách 1 :
Dùng ProcessXP, Suspend cả 2 tiến trình userinit.exe và system.exe (Bạn đừng nhầm với các tiến trình hệ thống nhé, 2 tiến trình này có Icon giả Icon thư mục và có các path là : C:\windows\userinit.exe và c:\windows\system32\system.exe )

Okie. Sau đó bạn Kill từng tiến trình (Nhấn chuột phải và chọn Kill Process)

Bạn cũng có thể dùng các phần mềm cho phép kill cùng lúc nhiều tiến trình như Simple Kill Process (Bạn có thể tìm thấy trên VirusVN.com) hoặc PrcViewer để thực hiện việc này.

Khôi phục dữ liệu :
Do virus này ko thay đổi giá trị làm ngăn việc truy cập registry nên bạn vẫn có thể truy cập vào đây để chỉnh sửa nó :
Bạn chọn Start -> Run... -> regedit -> Bạn tìm địa chỉ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, với nhãn UserInit và chỉnh sửa lại với gia trị là : c:\windows\system32\userinit.exe

Cách 2:
http://dungnguyenle.googlepages.com/QuickRemove.zip
Tài nó về, bạn Browse đến file Secret.qrd lưu trong thư mục Sample
Chọn Remove là Okie

Nếu máy bạn báo thiếu thư viên thì tải tập tin sau về và giải nén :
http://dungnguyenle.googlepages.com/Control.zip

Sau đó bạn có thể xóa các tập tin virus trong hệ thống (Nếu muốn). Và phục hồi các thuộc tính khác của hệ thống bằng VNFix (Bạn có thể tìm trên VirusVN.com)


Good Luke
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 13/04/2008 00:03:26 (+0700) | #3 | 124802
phongvan_khtn
Member
[Minus]    0    [Plus]
Joined: 31/03/2007 21:27:37
Messages: 27
Location: toantin.org
Offline
[Profile] [PM] [WWW] [Yahoo!]
@dungcoi_vb: phải nhóc dũng còi K07 bên toantin.org ko? smilie
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 13/04/2008 06:59:56 (+0700) | #4 | 124859
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]

phongvan_khtn wrote:
@dungcoi_vb: phải nhóc dũng còi K07 bên toantin.org ko? smilie  

smilie Okie, It's me
Uả, anh cũng là thành viên toantin.org à ?
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 13/04/2008 07:08:15 (+0700) | #5 | 124863
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
Nhờ mod xóa dùm, bài viết trùng. mạng chậm quá nên ấn lộn
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 13/04/2008 07:08:17 (+0700) | #6 | 124864
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
Nhờ mod xóa dùm, bài viết trùng. mạng chậm quá nên ấn lộn
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 13/04/2008 07:09:29 (+0700) | #7 | 124865
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
Nhờ mod xáo dùm, bài viết trùng. mạng chậm quá nên ấn lộn
[Up] [Print Copy]
  [Question]   Re: đây là con virut gì? cách diẹt là thế nào? 13/04/2008 07:49:43 (+0700) | #8 | 124879
[Avatar]
 hacker_la_gi_nhi
Member
[Minus]    0    [Plus]
Joined: 13/08/2006 11:27:25
Messages: 31
Offline
[Profile] [PM]
Con này em cũng bị dính nè....
Nhưng hình như nó không gây hỏng hóc gì trong hệ thống thì phải...
Máy bạn em dính và vẫn chạy khỏe re.
Lạ ở một cái nữa là quét bằng KAV thì thấy:"Không có gì nguy hiểm cả".Thế mới lạ chứ !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|