English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Virus SXS và cách diệt  XML
  [Question]   Virus SXS và cách diệt 23/03/2007 07:31:10 (+0700) | #1 | 48718
Lomonoxop
Member
[Minus]    0    [Plus]
Joined: 06/03/2007 20:02:18
Messages: 7
Offline
[Profile] [PM]
Máy em đang bị con SXS hành hạ. Nó tạo cả thảy 4 tập tin có tên như sau: SXS.exe và autorun.inf. Đồng thời tất cả các ổ D: E: và USB đều bị tạo hai tập tin ấy. Còn hai tập sau nó tạo trong windows\system32
hgtvn.dll và hgtvn.exe. Nó khóa công cụ làm hiện thư mục ẩn.

Mong các anh chỉ em cách nào để khôi phục registry. Còn mấy File kia em dùng task manager xóa được cả.

Quickly
Lomonoxop N
[Up] [Print Copy]
  [Question]   Virus SXS và cách diệt 23/03/2007 09:38:39 (+0700) | #2 | 48730
[Avatar]
 Mr.vinhhai
Member
[Minus]    0    [Plus]
Joined: 20/03/2007 01:28:05
Messages: 26
Location: Dreams
Offline
[Profile] [PM]

Lomonoxop wrote:
Máy em đang bị con SXS hành hạ. Nó tạo cả thảy 4 tập tin có tên như sau: SXS.exe và autorun.inf. Đồng thời tất cả các ổ D: E: và USB đều bị tạo hai tập tin ấy. Còn hai tập sau nó tạo trong windows\system32
hgtvn.dll và hgtvn.exe. Nó khóa công cụ làm hiện thư mục ẩn.

Mong các anh chỉ em cách nào để khôi phục registry. Còn mấy File kia em dùng task manager xóa được cả.

Quickly
Lomonoxop N 



Tôi chỉ có thể help cho bạn được nhiêu đây thoai, nếu có ji hok hiểu thì bạn cứ post lên, tui sẽ Reply.
1.Bạn khởi động máy và F8 để vào SafeMod, roài quét nó bằng những chương trình diệt virus như NAV,KAV... hoặc dùng Bkav cũng được.
Đây là Info của con virus quái quỷ này, nó thay đổi file SVOHOST.EXE của hệ thống, như điều này cũng đủ chứng minh file SVOHOST.EXE có thể là một trojan hoặc Virus như bác nào đó đã nói, ngoài ra chú này tạo thêm thêm ra 1 file %System%\lsasa.exe, file này có chức năng restart hàng loạt máy tính trong vòng 60 giây , nhưng trường hợp này chỉ xảy ra với các máy đời cũ .
SVOHOST.EXE changes the Internet Explorer home page.
SVOHOST.EXE disables the Windows Task Manager.
có chức năng chuyễn trang Home page của IE và Disable Task Manager.

Code:
%windir%\svohost.exe
SVOHOST.EXE is a Trojan.Joex.
SVOHOST.EXE changes the Internet Explorer home page.
SVOHOST.EXE disables the Windows Task Manager.
Related files:
%Windir%\SVOHOST.EXE
%System%\commamd.exe
%System%\lsasa.exe
Adds the value:
"ctfnom.exe" = "%Windir%\SVOHOST.exe"
"Shell" = "Explorer.exe commamd.exe"
"command" = "%System%\lsasa.exe "%1""
to the Windows startup registry keys.
More info: http://securityresponse.symantec.com/avcenter/venc/data/trojan.joex.html
Removal:
Kill SVOHOST.EXE process and remove SVOHOST.EXE from Windows startup using RegRun Startup Optimizer.


Hoặc bạn có thể tham khảo trên trang này :http://www.greatis.com/appdata/d/_/_windir__svohost.exe_Removal.htm để down phần mềm RegRun về chạy , dùng bản Trial cũng được.

Hoặc pác có thể diệt bằng tay theo cách sau:
Vào Run\ type Regedit để Open registry.
Vào khóa :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nhìn bên phải tìm key có values: "%System%\SVOHOST.exe" và Delete nó đi.
Vào :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL
Khóa này có :CheckedValue = "0" bạn thay lại = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice
Start = "4" bạn double-click vào và change Start ="2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = "4" bạn double-click vào và change Start ="2"
và Close registry lại.
Vậy là chúng ta đi được khoãng 60 % chặng đường goài, giờ còn phần cuối là Kill con AUTORUN.INF nữa.
Vào Start/seach/ Type "AUTORUN.INF " sau đó Dell nó đi, dùng Notepad soạn lại một đoạn sau và save lại dưới file AUTORUN.INF

Code:
[AutoRun]
open = sxs.exe
shellexecute= sxs.exe
shell\Auto\command=sxs.exe


Enable lại Folder Optitions
Bạn dùng Notepad Paste cái này vào và Save lại với dưới đuôi thich_gi_cung_duoc.vbs
Code:
Option Explicit
Dim WSHShell, n, MyBox, p, p1, Title911, errnum, vers, itemtype
Set WSHShell = WScript.CreateObject("WScript.Shell")

p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
p1 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
p = p & "NoFolderOptions"
p1 = p1 & "NoFolderOptions"
itemtype = "REG_DWORD"
Title="killvirus"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number
if errnum <> 0 then
	WSHShell.RegWrite p, 0, itemtype
	WSHShell.RegWrite p1, 0, itemtype
End If
If n = 0 Then
	n = 1
	WSHShell.RegWrite p, n, itemtype
	WSHShell.RegWrite p1, n, itemtype
	Mybox = MsgBox("Folder Options cua ban da bi AN DI, logoff hoac khoi dong lai may tinh de thay doi co tac dung", 4096, Title911)
ElseIf n = 1 then
	n = 0
	WSHShell.RegWrite p, n, itemtype
	WSHShell.RegWrite p1, n, itemtype
	Mybox = MsgBox("Folder Options cua ban da duoc HIEN LEN, logoff hoac khoi dong lai may tinh de thay doi co tac dung", 4096, Title911)
End If
[Up] [Print Copy]
  [Question]   Virus SXS và cách diệt 25/03/2007 21:09:56 (+0700) | #3 | 49251
Lomonoxop
Member
[Minus]    0    [Plus]
Joined: 06/03/2007 20:02:18
Messages: 7
Offline
[Profile] [PM]
Thanks a lots
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|