English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass)  XML
  [Question]   Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 23/03/2007 02:46:39 (+0700) | #1 | 48653
FigonKing
Member
[Minus]    0    [Plus]
Joined: 29/04/2006 04:46:03
Messages: 5
Offline
[Profile] [PM]
Máy mình bị dính con virus- trojan : Trojan.PWS.QQPass
-Các file tạo ra: system32/drivers/adamrf.exe, adimrf.exe; system32/conime.exe
-Triệu chứng: Không hiển thị được tập tin ẩn, không vào được các tiện ích hệ thống: regedit, msconfig, services....
-Cài được phần mềm antivirus Kaspersky - nhưng khi chạy thì nó báo là "không tìm thấy tập tin avp.exe - file thực thi của KAS"-(Window cannot find "X:\Path\avp.exe". Make sure you typed the name conrectly, and try again.....), tình trạng tương tự khi vào reg, msconfig cũng báo vậy. Mặc dù mở mấy cái này trực tiếp từ thư mục gốc.
-Sau khi phát hiện virus thì cài NAV, SpywareDoctor (latest update), ban đầu thì chính thằng NAV phát hiện ra, báo là đã diệt rồi, nhưng tình trạng máy vẫn không thay đổi -> sau này thì hình như nó bị thỏa hiệp rồi hay sao ý mà không còn phát hiện ra được :cry: , mặc dù con này vẫn còn. Bằng chứng là khi vào Folder Option, chỉnh chế độ Hiện tập tin vẫn không được.

Các pác chỉ cho mình cách diệt con này với. Và qua chuyện này, cũng xin được hỏi thêm 1 chút:
1. Regedit - mình biết là sự thay đổi trong Reg sẽ nguy hiểm cho máy tính, và có khả năng là không vào được Win hoặc làm không được nhiều việc khác. Vậy nếu máy còn chạy được, tức là reg vẫn còn sống - bình thường ?-> ta sao lưu reg lúc này được không?. Mình vẫn còn thấy 2 file regedit và fegedt32, file msconfig.
2. Cơ chế gì đã giúp con virus đó khóa các file mà nó cho là bất lợi đối với nó, ví dụ msconfig, regedit, trình diệt virus Kaspersky?
3. Vì sao NAV , SPdoctor cài vào thì chạy được mà Kaspersky thì không?
[Up] [Print Copy]
  [Question]   Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 23/03/2007 04:57:02 (+0700) | #2 | 48682
[Avatar]
 try_and_try
Member
[Minus]    0    [Plus]
Joined: 22/03/2007 10:20:34
Messages: 51
Location: Ho Chi Minh City
Offline
[Profile] [PM]

FigonKing wrote:
Máy mình bị dính con virus- trojan : Trojan.PWS.QQPass
-Các file tạo ra: system32/drivers/adamrf.exe, adimrf.exe; system32/conime.exe
 


Nếu bạn đã biết những file do nó tạo ra thì bạn cứ xoá nó đi.
Xong rồi dùng Symantec or BKAV để quét ( tốt nhất nên xài cả 2). Tắt chế độ system restore rồi vào safe mode để scan
Good luck! :wink:
[Up] [Print Copy]
  [Question]   Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 23/03/2007 07:28:37 (+0700) | #3 | 48716
Zeros
Member
[Minus]    0    [Plus]
Joined: 30/07/2006 14:51:42
Messages: 121
Location: ...o0o...
Offline
[Profile] [PM] [Yahoo!]

FigonKing wrote:

1. Regedit - mình biết là sự thay đổi trong Reg sẽ nguy hiểm cho máy tính, và có khả năng là không vào được Win hoặc làm không được nhiều việc khác. Vậy nếu máy còn chạy được, tức là reg vẫn còn sống - bình thường ?-> ta sao lưu reg lúc này được không?. Mình vẫn còn thấy 2 file regedit và fegedt32, file msconfig.
 

Registry còn sống không có nghĩa là nó còn sống khỏe !!! virus đã làm thay đổi 1 vài key trong registry của bạn nên việc sao lưu nó vào lúc này là vô ích.

2. Cơ chế gì đã giúp con virus đó khóa các file mà nó cho là bất lợi đối với nó, ví dụ msconfig, regedit, trình diệt virus Kaspersky?
 

window.title = msconfig, regedit, .... ===> close.

3. Vì sao NAV , SPdoctor cài vào thì chạy được mà Kaspersky thì không? 

cái này theo mình nghĩ thì còn tùy vào chương trình AV mà con Virus đó nhận diện được.
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 26/06/2007 14:57:53 (+0700) | #4 | 67082
vip_cuchuoi
Member
[Minus]    0    [Plus]
Joined: 26/06/2007 02:26:33
Messages: 1
Offline
[Profile] [PM]
heeeeeeeeeee! máy em vừa bị 1 con như thế lên đây chia sẻ ít kinh nghiêm quèn!smilie
con virus này nó tắt tuốt cái ji em bật lên như BKAV,........(nói chung là nhiều)
em ko cay nhưng mà rất chi là cú smilie
cuối cùng em có 1 cách chả tốn công mỗi mấy cái click chuột: down BKAV ra ngoài desktop(cho nó nhanh) rồi cứ click vô cái Icon của BKAV mấy chục lần ra bao nhiêu nó tắt bấy nhiều rồi mình lại click =>cứ lựa mà ấn trúng mấy cái nút cần thiết để cài BKAV (nhanh vào) nó tắt nhanh 1 mình bật 10 cái cửa sổ tắt ko kịp thì ít ra cũng có 1 cái hơi chậm đủ mình click........=>bao giờ ấn đc chữ "quét" là nó chit liềnsmilie
quét xong các thứ khác lại chạy ngonsmilie
cái này góp vui thôi! chứ cứ down mấy cái antivirus ngon mà dùng nha mấy anh
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 27/06/2007 03:31:27 (+0700) | #5 | 67179
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
ban đầu thì chính thằng NAV phát hiện ra, báo là đã diệt rồi, nhưng tình trạng máy vẫn không thay đổi 


Virus đã bị diệt nhưng các tác động của nó tới OS vẫn chưa được phục hồi nên tình trạng máy vẫn kô thay đổi là phải rồi.

sau này thì hình như nó bị thỏa hiệp rồi hay sao ý mà không còn phát hiện ra được , mặc dù con này vẫn còn. Bằng chứng là khi vào Folder Option, chỉnh chế độ Hiện tập tin vẫn không được 


NAV kô phát hiện ra được nữa vì những cái nó phát hiện được thì nó đã phát hiện và diệt rồi smilie) chứ kô cóa chuyện thỏa hiệp đâu smilie

kô thể chỉnh chế độ hiện ẩn tập tin là do virus này đã thay đổi value của một key trong registry muốn hiện lại được tập tin thì bạn phải vào registry sửa lại value cuae cái key kia cho đúng với mặc định. Tìm trên diễn đang với từ khóa CheckedValue để tìm được cách phục hồi chức năng này. chịu khó đi cái này nói quá nhiều trong box này rồi smilie
Vậy nếu máy còn chạy được, tức là reg vẫn còn sống - bình thường ?-> ta sao lưu reg lúc này được không?.  

Tất nhiên là được nhưng khi có vấn đề thì sự phục hồi dựa vào kết quả sao lưu đó cũng chỉ đưa cái máy của bạn tới tình trạng như hiện nay thôi smilie) mà nếu đã kô vào được win thì bạn phục hồi kiểu gì? smilie
Cơ chế gì đã giúp con virus đó khóa các file mà nó cho là bất lợi đối với nó, ví dụ msconfig, regedit, trình diệt virus Kaspersky?  


Cái này thì có nhiều cơ chế lắm. Những con thông thường thì dùng một key trong registry đẻ khóa mấy cái registry,msconfig... hoặc có thể dùng chính process của nó canh kô cho process của những cái kia chạy. nhưng với con của bạn thì có vẻ hơi lạ hình như nó chín là con tạo ra file mầm trong USB có tên là OSO.EXE. bạn hãy tim trên diễn đàn với từ khóa OSO.EXEđể biết cách phục hồi registry. hình như trong box này nói tới con này một lần mình cũng chưa có cơ hội thử cách phục hồi đó smilie
3. Vì sao NAV , SPdoctor cài vào thì chạy được mà Kaspersky thì không?  


Có thể là do ngươi viết con virus đó kô ghét NAV,SPdocter nên đã kô cho mấy soft này vào danh sách kiểm soát của vius smilie
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 27/06/2007 08:05:04 (+0700) | #6 | 67243
[Avatar]
 tmto0opro
Member
[Minus]    0    [Plus]
Joined: 03/03/2007 18:18:41
Messages: 10
Offline
[Profile] [PM]
hix!!! Tui cũng bị y hệt như vậy nè !! oạch con virut đó ghê ghóa, no làm cho hok vào BKAV dược, làm tốc độ chạy của chip lên tới > 100%accc không chỉ có vậy mà no con khóa task managER ,regITRy.mscONFig...
Ko vô dc BKAV tôi đi down AVG ve dùng tạm thi` san dc may kha khá chú ..scan xong thì thấy tốc độ chíp giảm xuóng rùi nhưng mà vẫn chưa vào được task, regit , msconfig..

Ai chỉ bảo tui cách lấy lại nhe!!! thanks!
Thân!!
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 27/06/2007 09:12:55 (+0700) | #7 | 67250
[Avatar]
 darthtuan
HVA Friend
Joined: 10/08/2003 11:57:02
Messages: 312
Location: Trại cai nghiện
Offline
[Profile] [PM] [WWW]
Để enble task, regit , msconfig. Lưu đoạn code này với đuôi .reg và run nó.
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy

Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"**del.DisableTaskMgr"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DisableCAD"=dword:00000000  

Hoặc có thể vào thẳng trong gpedit.msc để chỉnh lại
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 27/06/2007 09:57:03 (+0700) | #8 | 67259
[Avatar]
 tmto0opro
Member
[Minus]    0    [Plus]
Joined: 03/03/2007 18:18:41
Messages: 10
Offline
[Profile] [PM]
Để enble task, regit , msconfig. Lưu đoạn code này với đuôi .reg và run nó.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy

Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"**del.DisableTaskMgr"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DisableCAD"=dword:00000000

Hoặc có thể vào thẳng trong gpedit.msc để chỉnh lại


Cảm ơn bạn đã chỉ bảo : nhưng mà mình đã copy doạn mã cua ban vào va run thử nhung ko được, no vẫn thông báo là : " đã bị khoá bởi administrator "" hix! nhưng minh đã vào gpedit.msc để lấy lại taskmanager và đã dược nhưng mà minh ko bít lấy lấy lại registry như thế nào??? mong bạn chỉ bảo thêm. Và con virut nó cũng làm mất luôn cả cái "dong cuối của tools nữa, cái mà để làm hide hay unhide file do' "
Mong bạn giúp đỡ ! Thanks!!

Thân!!1
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 27/06/2007 10:27:40 (+0700) | #9 | 67265
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
nhưng mà minh ko bít lấy lấy lại registry như thế nào??? 

Bạn vào gpedit.msc, chọn mục User Configuration - Administrative - System - Prevent access to registry tools, chỉnh lại thành Disable
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 27/06/2007 10:41:52 (+0700) | #10 | 67268
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Có thể user đó không có access right(quyền truy cập) vào registry của windows.

Sử dụng một thứ khác để truy xuất thẳng vào resgistry trong trường hợp bị ngăn bằng một key registry DisableRegistryTools.

Sử dụng lại cái .vbs này có từ thời bkav sử lý virus phá yahoo Việt Nam
Option Explicit
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")

Err.Clear
On Error Resume Next

WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Task Manager"
WshShell.RegDelete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr"
WshShell.RegDelete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools"
WshShell.RegDelete "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage"
WshShell.RegDelete "HKCU\Software\Yahoo\Pager\View\YMSGR_buzz\content url"
WshShell.RegDelete "HKCU\Software\Yahoo\Pager\View\\YMSGR_Launchcast\content url"
WshShell.RegDelete "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions"
WshShell.RegDelete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title"
WshShell.RegWrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "about:blank", "REG_SZ"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "NoFolderOptions", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Policies\Microsoft\Internet Explorer\Restrictions", "NoBrowserOptions", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "NoSaveSettings", "REG_DWORD"
MsgBox "Dat lai HomePage thanh cong !", 4096, "Bkav FixReg"
 
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Bị Virus, ko vào được Reg, Msconfig...(Trojan.PWS.QQPass) 29/06/2007 05:33:06 (+0700) | #11 | 67608
quanlypho
Member
[Minus]    0    [Plus]
Joined: 01/07/2006 21:19:20
Messages: 95
Offline
[Profile] [PM]
Dùng cái Fast Unlock Kool cho đơn giản:
http://newbielearnlinux.googlepages.com

Cái AV thử nghiệm của bác LVH cũng sắp có đủ mấy chức năng phục hồi trên rồi. Bạn có thể xem lại topic chú ý phía trên.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|