banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Cách diệt virus mới ( .exe - khoảng trắng chấm exe)  XML
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 28/07/2007 22:19:41 (+0700) | #1 | 74626
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chào anh em, hôm nay YHT làm "chuyên gia" diệt virus cái nào:
Tình hình là ở các phòng máy YHT làm việc đang bị nhiểm một con virus có tên là .exe (khoảng trắng chấm exe)
Triệu chứng: kích hoạt liên lục, refresh máy liên tục, con trỏ cứ chớp chớp.
Mức độ nguy hiểm: Do chưa phân tích kỹ thông tin trong file virus nên tạm thời đánh giá là nó không nguy hiểm và tay viết virus này quá non tay!
Cách thức lây lan: tạo file autorun cho từng ổ đĩa, thêm vào registry để tự kích hoạt lúc khởi động, ẩn náo trong nhiều thư mục
Cách thức diệt: do chưa có tool nào diệt được cả (BKAV mới và Symantec đều không diệt được - cập nhật 26/07/2007) nên ta diệt bằng tay thôi.
1. Khởi động hệ thống vào Safe Mode (bấm F8 lúc khởi động chọn Safe Mode)
2. Cho hiện tất cả các file ẩn lên (vào Folder Option chọng Show hidden files and folders và bỏ chọn ở hai mục là Hide extensions for known file types và Hide protected operating system files (Recommended))
3. Tim xoa cac file sau:
+ File autorun.inf va file .exe (khoảng trắng chấm exe) ở từng ổ đĩa (vd: C, D, E, USB)
+ Xóa file .exe ở thư mục C:\Windows (nếu cài windows ở ổ C)
+ Xoá file .exe ở C:\Windows\system32
+ Xóa file .exe ở CÁC thư mục user profile\Windows (nếu user bạn là ABC thì mặc định sẽ ở C:\Documents and Settings\ABC\WINDOWS)
4. Không cho kích hoạt lúc khởi động
+ Vào msconfig (Run-> msconfig) gở bỏ tất cả các mục khởi động của file .exe (hoặc có thể vào registry để xoá các entry)
5. Khởi động lại máy và ngồi cười hè hè vì ta đã thành công.
Kết luận: Không biết phiên bản khác của virus này thế nào chứ con này còn yếu quá, cách thức lây lan không mới nên rất dể diệt.
Bạn nào rãnh rổi xin mời de-assembly con này ra coi tên nào viết con này, để anh em mình nhờ C15 làm thịt hắn nhé smilie
Nhờ chú Nguyễn Tử Quảng nhanh tay cập nhật con này zô database cho anh em nhờ.
--YHT
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 28/07/2007 22:46:08 (+0700) | #2 | 74633
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
Form bài viết giống chuyên gia ha smilie
YHT rảnh thì submit " .exe" tới một số site cho phép quét file online (có hỗ trợ nhiều scan engines), như:
- http://www.kaspersky.com/scanforvirus
- http://www.virustotal.com/en/virustotalf.html
- http://virusscan.jotti.org/
Để xem scan engines của những anti virus khác report thế nào? vì đôi khi BKav chưa kịp cập nhật các con mới zo database.
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 28/07/2007 23:02:25 (+0700) | #3 | 74637
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ui, em xử hết rùi anh ơi, tối qua định đem một mẩu về ngâm cứu coi nó làm cái quỷ gì mà quên mất, còn vài máy có nó lắm nhưng lại lười gòi, hihihihihihihi.
Em nghĩ chắc có nhiều người dính con này lắm, anh em nào có thì gởi mẩu lên cho anh LeVuHoang xử lý nhé smilie.
--YHT
[Up] [Print Copy]
  [Question]   Re: Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 29/07/2007 03:52:41 (+0700) | #4 | 74707
[Avatar]
rlove
Member

[Minus]    0    [Plus]
Joined: 21/07/2007 12:00:01
Messages: 32
Location: Anywhere else
Offline
[Profile] [PM] [WWW]
Máy refresh liên tục => đang DDoS

Chắc các chuyên gia diệt virus ở đây cũng bị mắc phải con virus lây qua đường ngôn ngữ Vietnamese này quá.

smilie Ngôn ngữ lập trình mới cho virus phát tán smilie
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 29/07/2007 04:59:12 (+0700) | #5 | 74715
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ui trời, ngôn ngữ lập trình gì nữa đây? YHT bày chiêu cho mấy anh em, ai có bị nhiễm mà ko biết làm sao thì diệt thôi mà, ai biết rồi thì thôi.
DDoS hay không cũng chưa rõ, vì chưa monitor thử coi con quỷ này nó làm cái gì.
Tại nó phá cái máy server YHT đang ngồi nên bực mình tìm cách diệt nó thui chứ cũng không ham cái thú làm "chuyên gia" diệt virus cho lắm.
smilie smilie
--YHT
[Up] [Print Copy]
  [Question]   Re: Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 29/07/2007 05:04:18 (+0700) | #6 | 74717
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

rlove wrote:
Máy refresh liên tục => đang DDoS

Chắc các chuyên gia diệt virus ở đây cũng bị mắc phải con virus lây qua đường ngôn ngữ Vietnamese này quá.

Ngôn ngữ lập trình mới cho virus phát tán  


Nói chuyện vớ vẫn đó mà, quan tâm làm gì.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 29/07/2007 05:48:08 (+0700) | #7 | 74729
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chẳng biết em post virus lên đây có vi phạm nội quy không nữa, nếu vi phạm nhờ mod xóa dùm nhé, tại không biết cách nào khác
Đây là đường link của mẩu virus này, hy vọng là anh em không dùng nó cho mục đích xấu, buồn buồn anh em lấy VMware ra test nó cho vui nhé
nhớ đổi tên file lại.
Link mới http://yht4ever.googlepages.com/khongten.rar
--YHT
(giải nén ra bạn cần rename lại)
[Up] [Print Copy]
  [Question]   Re: Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 29/07/2007 06:05:58 (+0700) | #8 | 74734
[Avatar]
Jack-đồ-tể
Member

[Minus]    0    [Plus]
Joined: 28/07/2007 17:37:23
Messages: 13
Location: Lò mổ
Offline
[Profile] [PM]
..../virus.exe_ chuyên nghiệp dữ ta :đuôi không trùng với mã HEX trong file "exe_"

Không biết cái trang http://yht4ever.googlepages.com này mấy bữa nữa thì die nữa

Sao không dùng file zip hoặc rar , up file kiểu này site có ngày bị khóa smilie)
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 29/07/2007 06:37:46 (+0700) | #9 | 74739
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lại thêm một câu khó hiểu nữa, chẳng hiểu cái gì hết trơn. Bên Windows thì nó tự kích hoạt khi bấm vô file exe nên YHT đổi nó lại là exe_ để cho nó không tự kích hoạt được, có gì ghê gớm đâu mà die với khóa.
YHT có cái bờ lốc với tài khoản đó, google nó khóa là chửi lảm nhãm nó cả ngày luôn à. smilie
Nói chớ thui để tui rar nó lại cho rồi, khỏi ai nói, hehe
--YHT
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 02/08/2007 15:28:10 (+0700) | #10 | 76079
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Hoàng đã added con này với tên GotoanyPC.1 rồi đó YHT. Thanks for uploading sample smilie
[Up] [Print Copy]
  [Question]   Cách diệt virus mới ( .exe - khoảng trắng chấm exe) 03/08/2007 00:54:08 (+0700) | #11 | 76175
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hay quá, cám ơn anh Hoàng nhiều, để em update lại database mới. Có tool diệt sướng hơn chứ mò từng máy chắc xỉu.
smilie
--YHT
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|