banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj  XML
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 30/06/2009 23:33:46 (+0700) | #1 | 185058
[Avatar]
de181288
Member

[Minus]    0    [Plus]
Joined: 18/08/2007 09:27:13
Messages: 7
Offline
[Profile] [PM]
Tên Virus: Trojan-Downloader.Win32.Agent.aswj [Kaspersky]
Mức độ nguy hiểm: Cực kỳ nguy hiểm.
Một số biến thể:
C:\windows\temp\init.exe.
C:\windows\temp\[Random Number].tmp.
C:\windows\temp\ose000000.
C:\WINDOWS\System32\services.exe.
C:\WINDOWS\System32\reader_s.exe.
C:\Document And Setting\%USER NAME%\reader_s.exe.
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\System32\Serverx.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
Tạo khóa khởi động:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
KeyName: Reader_s
Value: "C:\WINDOWS\System32\Reader_s.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
KeyName: Reader_s
Value: "C:\WINDOWS\System32\Reader_s.exe"

Ảnh Hưởng:
- Chạy rất nhiều File svchost.exe, services.exe, cmd.exe, *.tmp gây ngốn tài nguyên RAM.
- Trong vòng 30 phút Download từ trên mạng về khoảng 60MB
- Tình trang Download vẫn xảy ra khi LogOff máy tính.
- Lây nhiễm (Chép đè) vào file Explorer.exe và sẽ tự nhân bản nó khi Explorer.exe hoạt động.

Mình bị nhiễm con này mà không sao diệt được, thử cài lại win, xong vô mạng là bị dính lại như cũ, càng ngày bị càng nặng, nó không cho cài các chương trình diệt virus luôn, cài chương trình nào cũng báo lỗi. Đã vậy lâu lâu khoảng 30' là tự động reset máy, mạng vào thì chập chờn. Mình đã tham khảo ở nhiều diễn đàn, diễn đàn nào cũng nói chỉ có cách format toàn bộ các ổ. Ai có cách diệt con này chỉ mình với.
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 01/07/2009 00:27:21 (+0700) | #2 | 185061
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Malware này 2 trang virusvn.com , benhvientinhoc.com đã dừng chiến hết rồi . Các trang còn lại thì dùng Kaspersky, Avast, Avira nhưng kết quả rất mập mờ .

Mình cũng vừa mới có hứng thú với loại virus lây file kiểu trên, hi vọng sẽ làm đượt chút gì đó :
Đề nghị bạn thực hiện những thao tác sau :
Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .

Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .

Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chạy và create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .

Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Tiếp tục với AVZ, click menu File => chọn System Analysis => chỉnh "list of processes + DLLs without repeating" thành "list of DLLs for each process", chỉnh "Only active services and drivers" thành "All services and drivers" , click chọn "Add System Analysis log to ZIP" => click Start , chọn nơi save log , chạy xong thì upload file avz_sysinfo.zip và đưa link cho mình .

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .




Tải : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop . Chạy RootRepeal.exe , click tab Files, click Scan , chọn tiếp tất cả các ổ trong máy => OK .
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này cho mình .

Tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt

Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Chạy ở chế độ mặc định, cứ continue, yes, OK ...
Nén,upload và đưa link 2 file sau : info.txt , log.txt



Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Chạy xong , upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .
Khi chạy MGtools, bạn hãy chịu khó chờ, dù màn hình có đứng yên, tối thui, nếu nó đòi install/cài thứ gì , bạn cứ OK/yes/continue.. phải chờ cho đến khi nó chạy xong , enter là nó tự exit . Nếu nó có thông báo lỗi gì, bạn ghi lại dòng thông báo hoặc chụp lại hình để tui xem cũng được .

Bạn lấy log khoảng 20 phút là xong, trong việc đọc log của bạn tui phải kiểm tra vất vả hơn nhiều, vì thế bạn hãy thực hiện đúng thứ tự và chuẩn xác nhé .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 01/07/2009 11:35:47 (+0700) | #3 | 185102
[Avatar]
de181288
Member

[Minus]    0    [Plus]
Joined: 18/08/2007 09:27:13
Messages: 7
Offline
[Profile] [PM]
đã upload hết các file log bạn yêu cầu đây.Hix, mình phải qua topic bên kia mới lấy link các tool của bạn được, không hiểu sao không down dc cái AVZ với SGI
http://www.mediafire.com/?ttxngzyyznn
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 01/07/2009 12:39:41 (+0700) | #4 | 185104
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Con downloader này hoành hành ở máy bạn 1 thời gian đủ lớn rồi .
Máy bạn bị nhiễm nhiều malware, rootkit, driver, lây file đủ cả, lại không có công cụ chuyên trị dành riêng cho nhiều loại trong chúng, tôi thiếu kinh nghiệm xử lí qua forum những tình huống phức tạp và quá nhiều rủi ro thế này (rất khó để tôi diễn đạt đầy đủ cho bạn hiểu cũng như khả năng bạn thực hiện đúng ý tôi muốn sẽ không cao ...) => khó lòng tôi giúp bạn xử lí triệt để qua forum được trừ việc cài lại máy như trước đây tôi vẫn thường khuyên mọi người. de181288 xem tin nhắn ở forum giùm .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 03/07/2009 14:41:04 (+0700) | #5 | 185238
[Avatar]
de181288
Member

[Minus]    0    [Plus]
Joined: 18/08/2007 09:27:13
Messages: 7
Offline
[Profile] [PM]
Mình đã chạy combofix và làm theo đúng những gì bạn yêu cầu nhưng không được.Nó báo lỗi thế này:


Mình đã vào trang bleeping để download về nhưng nó vẫn báo lỗi thế. (xin lỗi mình không biết cách resize ảnh trên forum)
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 04/07/2009 03:48:54 (+0700) | #6 | 185283
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Quả thật, máy bạn bị nhiễm malware Virut , sUBs , chuyên gia malware, người tạo ra Combofix khẳng định cách duy nhất thoát khỏi nó là format hoàn toàn tất cả các ổ đĩa . Chỉ copy lại 1 số tài liệu quan trọng . Chú ý là Virut lây nhiễm ngay cả các file nén (.rar,.zip,.cab...) và trang web (.htm,.htm..) , không sử dụng lại các file có dạng sau trong máy .exe/.scr/.htm/.html/.xml/.zip/.rar/.pif/.asp/.php/.iso và các file thực thi được trong máy khác .
"Virut" là loại virus lây file, được lập trình chưa hoàn hảo nên có thể gây lỗi khi chạy một số file .exe . Dù có cố dùng tool chuyên dụng vẫn tiềm ẩn nhiều file bị hư, không dùng được, do đó phải cài lại máy hoàn toàn .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 05/07/2009 04:22:34 (+0700) | #7 | 185404
nhungnguoiban19852002
Member

[Minus]    0    [Plus]
Joined: 02/07/2005 08:34:38
Messages: 50
Offline
[Profile] [PM]
BẠN LÀM THEO CÁCH NÀY LÀ OK ( tôi đang bàn tới windows XP SP2):


CÁC TOOLS FIX CON NÀY NHƯ LÀ:

- CMC-Conficker.C Removal.exe
http://www.google.com.vn/search?hl=vi&q=CMC-Conficker.C+Removal.exe&btnG=T%C3%ACm+ki%E1%BA%BFm&meta=

- FixDownadup.exe
http://www.mediafire.com/?nmkm3jdjwzn
or
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

- windows-kb890830-v2.11.exe
http://www.microsoft.com/downloads/details.aspx?familyid=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en

2 BẢN VÁ NÀY LÀ OK: LẤY TRÊN MS NHÉ

- WindowsXP-KB967715-x86-ENU.exe
- WindowsXP-KB958644-x86-ENU.exe

http://www.microsoft.com/downloads/details.aspx?FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74&displaylang=en

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx


CÁC TIN CẬP NHẬT KHÁC CÓ THỂ XEM THÊM:

http://www.bkav.com.vn/tinh_hinh_an_ninh_mang/08/05/2009/6/2246/

AND:
http://www.bkav.com.vn/tinh_hinh_an_ninh_mang/16/06/2009/6/2318/

AND:
/hvaonline/posts/list/25804.html
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 05/07/2009 04:26:31 (+0700) | #8 | 185406
nhungnguoiban19852002
Member

[Minus]    0    [Plus]
Joined: 02/07/2005 08:34:38
Messages: 50
Offline
[Profile] [PM]
BẠN LÀM THEO CÁCH NÀY LÀ OK ( tôi đang bàn tới windows XP SP2):


CÁC TOOLS FIX CON NÀY NHƯ LÀ:

- CMC-Conficker.C Removal.exe
http://www.google.com.vn/search?hl=vi&q=CMC-Conficker.C+Removal.exe&btnG=T%C3%ACm+ki%E1%BA%BFm&meta=

- FixDownadup.exe
http://www.mediafire.com/?nmkm3jdjwzn
or
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

- windows-kb890830-v2.11.exe
http://www.microsoft.com/downloads/details.aspx?familyid=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en

2 BẢN VÁ NÀY LÀ OK: LẤY TRÊN MS NHÉ

- WindowsXP-KB967715-x86-ENU.exe
- WindowsXP-KB958644-x86-ENU.exe

http://www.microsoft.com/downloads/details.aspx?FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74&displaylang=en

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx


CÁC TIN CẬP NHẬT KHÁC CÓ THỂ XEM THÊM:

http://www.bkav.com.vn/tinh_hinh_an_ninh_mang/08/05/2009/6/2246/

AND:
http://www.bkav.com.vn/tinh_hinh_an_ninh_mang/16/06/2009/6/2318/

AND:
/hvaonline/posts/list/25804.html
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 05/07/2009 05:26:02 (+0700) | #9 | 185410
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
@nhungnguoiban19852002 : Ở đây chẳng có Conficker nào cả, bạn cần chú ý tìm hiểu và suy nghĩ trước khi post bài.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 06/07/2009 05:39:15 (+0700) | #10 | 185502
nhungnguoiban19852002
Member

[Minus]    0    [Plus]
Joined: 02/07/2005 08:34:38
Messages: 50
Offline
[Profile] [PM]
W32.Downadup mình vừa gủi cho Link fix và bản vá còn gì?
còn W32.Downadup và Conficker cùng 1 biến thể mà ra thì phải (thông tin này mình cũng không nhớ lắm nhưng mình vẫn nhớ là mình đã fix 2 con này theo các tools trên. Khi dính con này còn không vào địa chỉ MS được....) Mình xin Lượng thứ nếu mình nhớ sai nhé.
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 06/07/2009 08:05:20 (+0700) | #11 | 185517
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn xem lại tôi ghi những gì ở trên, topic này chẳng liên quan gì Downadup hay Conficker cả .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 06/07/2009 22:02:57 (+0700) | #12 | 185567
[Avatar]
de181288
Member

[Minus]    0    [Plus]
Joined: 18/08/2007 09:27:13
Messages: 7
Offline
[Profile] [PM]
Hix, vậy là cuối cùng phải format hết đúng không bạn.
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 07/07/2009 00:16:31 (+0700) | #13 | 185585
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Nên format lại dù máy trông có vẻ ổn đi nữa .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 06:02:10 (+0700) | #14 | 186635
[Avatar]
qusnken
Member

[Minus]    0    [Plus]
Joined: 28/06/2009 12:25:25
Messages: 15
Offline
[Profile] [PM] [Yahoo!]
Đầu tiên rất vui vì được bolzano_1989 đã giúp đỡ mình.
Chắc mọi người đều đồng ý là không diệt được con này, và đến giờ mình cũng chưa diệt được nó vì mình chẳng biết nó ở đâu cả, nhưng nếu như có thể kìm chế nó không cho nó hoạt động thì có được gọi là diệt không nhi? smilie

- Theo các tài liệu liên quan thì nó sẽ tạo ra file
%USERPROFILE%\reader_s.exe
%systemroot%\reader_s.exe
%systemroot%\ups.exe

- Theo việc theo dõi của mình thì cứ khi nào kết nối vào mạng thì lập tức có các file [number].exe được tạo ra tong thư mục windows\system32\
- nhưng trước đó thì một file *.tmp được tạo ra trong thư mục windows\temp
- Mình đã thử nghiệm ( trước đó mình đã nêu trong topic của mình ) và đây là cách của mình
- Đã được thử nghiệm và thấy khá hiệu quả, mọi người có thể test thử nhá.

// Nhận xét của mình thôi
* Nhận xét của mình đó là con virut này có một chức năng khá hay đó là tự giải nén một phần chương trình để kích hoạt việc download của nó lên thư mục C:\WINDOWS\temp
* Khi mới vào win nó tự động khởi động file reader_s.exe trong thư mục %USERPROFILE%\reader_s.exe cùng với đó khởi động các chương trình khác trong thư mục System32\

// Cách hạn chế không cho nó chạy của mình
* Dùng procexp để xem các tiến trình đang chạy (có trong hiren'tBoot) --> để xóa các tiến trình do virut gây ra
* Xóa virut reader_s.exe ở trong thư mục %USERPROFILE%\reader_s.exe
* Lập một thư mục có tên reader_s.exe
* Đặt thuộc tính cho nó là +A +R +H
* Dùng CMD để tạo một vài file đặc biệt ví dụ như " .∟" chẳng hạn ( đề phòng virut ghi đè được)
<!----------- Như vậy là song một việc----->
* làm tương tự ta tạo các thư mục này trong thư mục System32\* với reader_s.exe els.dll ups.exe
* Tiếp theo là phần rất quan trọng- ngược lại với việc tạo ra 2 thư mục trên thì ta lại tạo 1 file thay cho một thư mục có trong windows đó là thư mục C:\WINDOWS\temp --> bạn xóa thư mục này đi và tạo một file trắng có tên là "temp" ở trong thư mục này để virut không thể nào giải nén chính nó ra đây
* Tạo các file .bat hoặc .cmd để thực hiện việc xóa các file .tmp trong thư mục system32\ sau đó tạo đường dẫn cho nó khi cho khởi động cùng máy
* Lưu ý việc này chỉ thực hiện được khi mà bạn không thay đổi địa chỉ %temp% của windows
* Nếu lười thì download cái này về nghiên cứu nhá, rất mong được ủng hộ http://www.mediafire.com/file/mvozjmo00zu/reader_s.exe..rar
Thân!



/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
| If ( var Tình_cảm = yêu ) then
| {
| echo: Bạn bị nhiễm virut lạ
| echo: Chương trình không thể chống lại
| echo: Bạn nên yêu và hy sinh vì tình yêu
| echo: Nhưng luôn nhớ "Gia Đình"
|
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 06:36:14 (+0700) | #15 | 186639
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Một khi Virut đã chạy ở máy bạn 1 khoảng thời gian đủ lớn thì dù bạn có cố gắng chặn riêng 1 vài đối tượng , chẳng hạn reader_s.exe trong trường hợp của qusnken , cũng không ngăn nổi nó đâu smilie .
Đừng cố gắng nữa smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 06:48:39 (+0700) | #16 | 186643
sosolo
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 10:56:16
Messages: 13
Offline
[Profile] [PM]
Mấy con dòng này mình cũng gặp vài lần rồi. Đúng là mình cũng chưa thấy cách nào diệt con này hiệu quả mà không phải format cả. Theo mình thì dù có diệt được (mà không cần format) thì cũng nên cài lại vì con này cũng phá hỏng nhiều thứ rồi.
Lần trước mình dùng avira để diệt con này, cứ quét đến file nhiễm virus là đơ máy luôn. Sau vài lần thử nghiệm thì mình cũng tìm được cách diệt hiệu quả mà vẫn giữ được những dữ liệu cần thiêt.
B1: Copy tất cả những dữ liệu cần thiết của bạn trong ổ C vào các ổ khác.
B2: Cần một bộ cài chương trình diệt vius (tốt nhất là avira vì mình đã thử nghiệm rồi) để ở trong ổ D chẳng hạn.
B3: Cài lại win (chỉ cần format ổ C thôi).
Sau khi cài lại Win, Trong lần khởi động vào win đầu tiên bạn cài ngay avira và chạy combofix. Sau đó dùng avira quét ngay lập tức (quét vài lần cho chắc). >> đảm bảo sạch 100% mà không cần phải format các ở còn lại.
Nhớ là phải quét virus ngay. Vì nếu bạn khởi động lại rồi mới quét thì virus sẽ hoạt động trở lại ngay và bạn sẽ không thể quét được nữa (bị tình trạng như cũ).
Mình cũng chưa hiểu cơ chế hoạt động của mấy con dòng này như thế nào. Nhưng mình cũng có kinh nghiệm diệt connày vài lần rồi. smilie
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 07:08:45 (+0700) | #17 | 186646
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
@chủ topic:
Những process và file của nó mà bạn thấy được chỉ là phần nổi thôi. Còn những thứ khác như rootkit rồi mã độc chạy lung tung trong các file đang nhiễm khác, bạn tính sao đây.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 09:36:15 (+0700) | #18 | 186663
[Avatar]
qusnken
Member

[Minus]    0    [Plus]
Joined: 28/06/2009 12:25:25
Messages: 15
Offline
[Profile] [PM] [Yahoo!]
Mình dùng bản ghost 200M
Ghost đi ghost lại mà vẫn bị
- Dịp này mình lên nhà chú thím chơi, mấy người bạn của thím nhờ diệt
Đây chỉ là cách chống chế của mình thôi.
Mình biết là chưa diệt được nó, nhưng hạn chế được phần nào thì tốt phần đấy thôi chứ thể loại virut lây file này thì ... diệt làm sao? smilie
----- Ngày xưa cũng hay dùng phần mềm nhưng mà muốn diệt bằng tay hơn vì diệt được cảm giác khác hẳn, hihi
0 Àh nếu tiện "kamikazeq" "sosolo" "bolzano_1989" hay ai đó có phần mềm nào hữu ích chia sẽ đi.
- Mình cũng mới dấn thân vào con đường diệt virut, sưu tầm được một số mẫu nhẹ nhẹ muốn thử nghiệm xem thế nào...
/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
| If ( var Tình_cảm = yêu ) then
| {
| echo: Bạn bị nhiễm virut lạ
| echo: Chương trình không thể chống lại
| echo: Bạn nên yêu và hy sinh vì tình yêu
| echo: Nhưng luôn nhớ "Gia Đình"
|
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 10:28:28 (+0700) | #19 | 186668
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Mình nghĩ khi biết chắc là không diệt được thì cứ nói thẳng ra là không diệt được để tránh những chuyện không hay khi nạn nhân biết được sự thật .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 10:57:20 (+0700) | #20 | 186671
[Avatar]
maithangbs
Elite Member

[Minus]    0    [Plus]
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
[Profile] [PM] [Email] [Yahoo!]
@Bolzano_1989: Khiêm tốn tí đi bạn ơi.
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 11:29:12 (+0700) | #21 | 186674
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
@maithangbs: Em cảm ơn anh nhé . Thật trùng hợp, em lúc đầu định post rồi dẫn giải, lí giải này nọ nhưng cuối cùng thấy thôi, chỉ post những gì mình thấy cần chú ý .
Về ý ở trên, cần khẳng định lại là em không diệt được malware nào là em nói thẳng ra à, em thấy thế thì em nói thế, ai không thích thì cứ làm ngược lại , em chẳng rỗi hơi đi "dạy đời" ai cả, thấy việc gì nên làm thì cứ nói thẳng ra, đặc biệt là khi có thể có người bị ảnh hưởng xấu do 1 hiện tượng nào đó (chẳng hạn mất thời giờ vật lộn vô ích và không đúng cách, hiểu biết sai được truyền từ người này sang người khác...) . Góp ý của anh làm em thấy rằng mình cần phải chú ý về những lời khuyên "thật lòng" mình . Không biết anh có hơi nhạy cảm không nhưng thật sự em không có ý xem thường ai hoặc ý kiến của ai đó trong topic này, chỉ đơn giản là trao đổi vui vẻ .
Cảm ơn góp ý của anh maithangbs lần nữa, đúng là càng kiệm lời càng an toàn , làm vừa lòng mọi người khó thật , em còn phải học hỏi nhiều .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 11:40:43 (+0700) | #22 | 186676
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Ghóp ý xài hiren boot Cd
http://www.google.com.vn/search?hl=vi&q=how+to+use+vdefs&btnG=Tìm+với+Google&meta=&aq=f&oq=
để dẹp bớt vài thứ mà symantec hoặc mcafee biết rồi trong bản update mới nhất (xem cái link google để biết cái kỹ thuật này).Máy dính nhiều quá nên mất sáng suốt nhẩy smilie).
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 11:53:17 (+0700) | #23 | 186677
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Với dòng "Virut", một khi đã bị nhiễm đủ lâu, có né dùng Hiren's BootCD cũng không phục hồi hệ thống về ổn định được , nhiều file vẫn sẽ không cứu nổi . Bác nào thích thì cứ thử nghiệm , cách giải quyết tôi đã post ở trang trước .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 11:58:14 (+0700) | #24 | 186679
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

bolzano_1989 wrote:
Với dòng "Virut", một khi đã bị nhiễm đủ lâu, có né dùng Hiren's BootCD cũng không phục hồi hệ thống về ổn định được , nhiều file vẫn sẽ không cứu nổi . Bác nào thích thì cứ thử nghiệm , cách giải quyết tôi đã post ở trang trước . 

Cứu file nào, để làm gì, không cần cứu nữa, sau khi quét được những thứ đã biết, repair windows, xóa sạch phần mềm bị dính, file thực thi nào còn thì coi như bỏ(xóa bằng tiện ích trên hirenboot cũng được),cài lại phần mềm ứng dụng, dữ liệu không bị mã hóa cứu được. Tình huống dính tè le thứ nên mất sáng xuốt nhẩy. smilie
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 12:01:59 (+0700) | #25 | 186680
sosolo
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 10:56:16
Messages: 13
Offline
[Profile] [PM]

qusnken wrote:

Mình dùng bản ghost 200M
Ghost đi ghost lại mà vẫn bị
 

Ghost cũng không được đâu bạn ơi. Vì con này lây vào tất cả các ổ rồi. Khi ghost thì bạn chỉ format ổ C thôi. Những ổ kia vẫn còn nên vẫn bị lây bình thường.

qusnken wrote:

Ngày xưa cũng hay dùng phần mềm nhưng mà muốn diệt bằng tay hơn vì diệt được cảm giác khác hẳn.
 

Diệt bằng tay thì mình chỉ diệt được mấy con hạng nhẹ như mấy con autorun, userinit.exe, explorer.exe ... hoặc những con tương đương, chứ mấy con hạng nặng thế này thì chịu. smilie
Công cụ diệt bằng tay thì: cmd, hijackthis, autofix, combofix, NC...
Bạn nghiên cứu thêm nhé. Trong diễn đàn có rất nhiều bài viết về những công cụ này. Sử dụng đơn gian mà lại hiệu quả.
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 12:09:31 (+0700) | #26 | 186682
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

tmd wrote:

bolzano_1989 wrote:
Với dòng "Virut", một khi đã bị nhiễm đủ lâu, có né dùng Hiren's BootCD cũng không phục hồi hệ thống về ổn định được , nhiều file vẫn sẽ không cứu nổi . Bác nào thích thì cứ thử nghiệm , cách giải quyết tôi đã post ở trang trước . 

Cứu file nào, để làm gì, không cần cứu nữa, sau khi quét được những thứ đã biết, repair windows, xóa sạch phần mềm bị dính, file thực thi nào còn thì coi như bỏ(xóa bằng tiện ích trên hirenboot cũng được),cài lại phần mềm ứng dụng, dữ liệu không bị mã hóa cứu được. Tình huống dính tè le thứ nên mất sáng xuốt nhẩy. smilie  


Chính xác, vậy là vừa chờ quét ở DOS (với 1 hay nhiều AV ) tất cả các ổ sau đó thì repair Win , rồi lọc file file hư dần khỏi máy, ai đủ kiên nhẫn thì cứ làm thôi .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 12:15:22 (+0700) | #27 | 186683
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Trong trường hợp muốn giữ lại windows đang sài, người sài windows làm kiểu này để biết thêm nhiều thứ kỹ thuật. Trường hợp khác thì format toàn ổ cho nhanh lẹ. Con gì cũng có cách giải quyết, không phải gò bó trong khuôn khổ "nhìn log" rồi mất sáng suốt do máy dính PE virus.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 12:22:15 (+0700) | #28 | 186684
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Không phải với PE virus nào ta cũng đều đầu hàng , nhưng với dòng "Virut" , ta nên dừng chiến sớm .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 12:30:38 (+0700) | #29 | 186686
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

bolzano_1989 wrote:
Không phải với PE virus nào ta cũng đều đầu hàng , nhưng với dòng "Virut" , ta nên dừng chiến sớm . 

dòng "virut" ở đây chắc là dòng PE virus hay Worm hay Trojan hay gì vậy bạn.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   cách diệt triệt để Trojan-Downloader.Win32.Agent.aswj 18/07/2009 12:41:35 (+0700) | #30 | 186687
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
@tmd: Những gì tự tìm hiểu được thì hãy cố gắng tự tìm hiểu, tôi có giới thiệu sơ về con này ở 1 forum VN khác rồi .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|