[Question] giúp format mp3! |
01/02/2007 13:46:39 (+0700) | #1 | 39359 |
narutoshume
Member
|
0 |
|
|
Joined: 31/01/2007 02:23:11
Messages: 1
Offline
|
|
mp3 của em nhiễm con sxs.exe ! em đã diệt theo hướng dẫn ! nhưng ko thể nào format đc! nó báo usb đã đc bảo vệ ! nhưng mà bảo vệ bởi cái rì thì em không biết ! có thể là do con virus ! có sofl nào có thể format đc cho em xin với a` |
|
|
|
|
[Question] Re: giúp format mp3! |
02/02/2007 01:05:52 (+0700) | #2 | 39438 |
|
canh_nguyen
Elite Member
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
Bạn mở taskmanager lên coi có dịch vụ nào lạ tắt nó đi rồi format. |
|
|
|
|
[Question] Re: giúp format mp3! |
28/02/2007 11:36:58 (+0700) | #3 | 43583 |
|
neo_hack
Member
|
0 |
|
|
Joined: 07/02/2007 19:06:57
Messages: 280
Offline
|
|
E không cần như vậy đâu , bạn dùng CD-DA Ectrater là OK ngay nếu bạn đã diệt Vius theo đúng yêu cầu . |
|
|
|
|
[Question] giúp format mp3! |
01/03/2007 01:13:06 (+0700) | #4 | 43699 |
|
Durza
Member
|
0 |
|
|
Joined: 07/02/2007 20:23:29
Messages: 177
Location: UnderGround World
Offline
|
|
Ủa ! Virus có chức năng bảo vệ chống Format ???
Bạn coi thử chức năng firewall đã tắt chưa ( một số loại USB có cái nút bật tắt cái này ) hoặc xem thử config trong đó có cái gì liên quan đến protect ko ? |
|
|
|
|
[Question] giúp format mp3! |
01/03/2007 01:47:58 (+0700) | #5 | 43715 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Sure luôn. Có con virus trên USB rồi, format nó không có được, vì nó lây vào windows rồi. Không tin, đem cái usb lây sxs vào rồi cho nó lây vào windows, xem format uSB được không. (@)_(@). |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] giúp format mp3! |
01/03/2007 02:09:49 (+0700) | #6 | 43719 |
|
gsmth
Elite Member
|
0 |
|
|
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
|
|
tmd wrote:
Sure luôn. Có con virus trên USB rồi, format nó không có được, vì nó lây vào windows rồi. Không tin, đem cái usb lây sxs vào rồi cho nó lây vào windows, xem format uSB được không. (@)_(@).
Format tại một máy sạch, với đk disabled autorun.
Hoặc sử dụng 1 HDH khác hoặc 1 boot cd có chưa săn tool cho việc format thì khỏi lo ) |
|
|
|
|
[Question] giúp format mp3! |
01/03/2007 04:17:36 (+0700) | #7 | 43752 |
|
BLUEEAGLE987
Member
|
0 |
|
|
Joined: 30/11/2006 18:05:00
Messages: 77
Offline
|
|
Mình thì chỉ có kn với w32.flashy.worm, hình như sxs cũng là worm nhưng chưa có kn diệt con này; chỉ cung cấp vài thông tin liên wan thôi ^^:
**** Thông tin chi tiết:
Kiểu: sâu
Thường gặp: PWS-QQRob.dll, Troj/QQSpy-Gen, W32/Trojan.IWU, Win32/Emerleox.AC!DLL!Worm, Win32/QQPass.AE
Ngôn ngữ: English
Hoạt động: Windows 98, ME, NT, 2000, XP, Server 2003
Lây nhiễm: thấp
Mức nguy hiểm: cao
Loại sâu này lây vào vùng nhớ bằng cách tự copy chính nó với tên như: "SXS.EXE" trong ổ đĩa A và nhưng ổ đĩa flash khác khi xâm nhập hệ thống. Để đảm bảo rằng file xâm nhập tự động thực thi, nó thả vào "AUTORUN.INF" trong ổ đĩa đã xâm nhập.
Khi thực thi, nó nhúng vào 1 bản copy chính nó và thành phần file *.dll; sau đó lây nhiễm hầu hết các ct đang thực thi, kích hoạt file thực thi của nó bằng "system startup". *.dll của nó còn dùng để "mồi" hay lấy thông tin từ hệ thống bị lây nhiễm.
Ngoài ra nó còn ảnh hưởng đến các ct đang thực thi của antivirus và security applications nếu dc tìm thấy trong bộ nhớ bằng cách xóa các khóa đặc biệt trong registry
**** Cách lây nhiễm trên hệ thống:
Khi nhắp vào file thực thi, sâu này bỏ 1 bản copy chính nó trong các folder hệ thống như SVOHOST.EXE (cái này bl thấy giống flashy vì nó tự chạy các dịch vụ trùng tên với hệ thống; khi bị lây nhiễm, nếu end process ko đúng thì sẽ hiện bảng thông báo restart lại trong 45s; lúc đó dùng lệnh: | shutdown -a | ).
Trong cùng 1 folder, nó cũng thả các phần tập tin WINSCOK.DLL và lây sang các file thực thi dc tìm thấy trong hệ thông bị nhiễm.
Nó tạo ra các khóa registry sau để tự động thực thi lúc khởi động:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
SoundMam = "%System%\SVOHOST.exe"
(%System% là biến môi trường chắc ko cần giải thích lại)
* Các khóa Registry bị thay đổi khác
Nó đổi các khóa sau để đặt thuộc tính ẩn cho folder (rắc rối này bạn nào nhiễm flashy sẽ biết).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue = "0"
(Chú ý: khóa mặc định là "1")
Khóa sau để vô hiệu hóa các dịch vụ đặc biệt:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\srservice
Start = "4"
(Chú ý: khóa mặc định là "2")
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\wscsvc
Start = "4"
(Chú ý: khóa mặc định là "2")
****Qua ổ flash (hay usb):
Sâu này thả bản copy với file tên SXS.EXE trong ổ. Nó thả thêm vào file AUTORUN.INF đê tự động thực thi. Code:
[AutoRun]
open = sxs.exe
shellexecute= sxs.exe
shell\Auto\command=sxs.exe
****Ct bị ngưng:
Sâu "thủ tiêu" các process liên wan đến antivirus và security application ... khi nhắp nó:
CCAPP.exe
CCenter.exe
ccEvtMgr
ccProxy
ccSetMgr
EGHOST.exe
FireTray.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
Kavsvc
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
KVSrvXP
Kvsrvxp.exe
KVSrvXp_1.exe
KVWSC
kvwsc.exe
KWATCHUI.exe
MAILMON.exe
McAfeeFramework
MCAGENT.exe
McShield
McTaskManager
MCVSESCN.exe
MSKAGENT.exe
MskService
net.exe
net1.exe
NPFMntor
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
regedit.exe
RfwMain.exe
RRfwMain.exe
RsCCenter
RsRavMon
Rtvscan.exe
sc.exe
sc1.exe
sharedaccess
SHSTAT.exe
SNDSrvc
SPBBCSvc
srservice
Symantec Core LC
TBMon.exe
TrojDie.kxp
UpdaterUI.exe
VPTray.exe
wscsvc
Nhưng nó cũng "kích hoạt" các process trên khi user cần thực thi nó.
(dịch hơi khó hiểu, bạn tham khảo chi tiết tại http://www.trendmicro.com.au/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_QQPASS.XL)
Xóa khóa kích hoạt ct tại run:
Address:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Giá trị:
KAVPersonal50
KvMonXP
RavTask
yassistse
YLive.exe
(Hì, xem ra ... đây là cách tốt để phát hiện SXS)
****Thông tin lấy cắp:
Kiểm tra QQ Instant Messaging Application, khóa chat và thông tin tài khoản. Gửi thông tin lấy cắp ...
****Khác:
Tạo các "mutex" sau để kiểm sự có mặt của nó:
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAntivirusScanProgram7Mutex
Còn cách diệt thì mình nghĩ bạn có thê dùng Nav hay Kav với bản cập nhật mới nhất. Nếu diệt thủ công, tắt Restore và vào safemode ^^. Các file ko thấy trong folder bạn dùng command hoặc boot lại trong dos ...
Ct diệt đề nghị: Trend Micro Antivirus
Nếu bạn diệt hoàn toàn mà format ko dc thì xem lại usb của bạn có bị khóa hay trục trặc gì ko.
Chúc bạn may mắn! |
|
|
|
|
|