Messages posted by: kamikazeq

Bạn google để biết cách gửi HijackThis.

Bạn chụp cái hình lúc mở USB và mở properties ở máy khác dùm.

Uầy. Rất rất nhiều Con làm chuyện ấy. Không vào được win do logoff cũng chỉ có 1-2 nguyên nhân tới lui.
Diệt Virus xong, khoan RE máy, kiểm tra và Fix ngay 2 thứ :

1) File userinit.exe còn tồn tại không ?

2) Reg key userinit đến file userinit.exe còn đúng đường dẫn không ?

@ tdplaza:
Có lẽ bạn cần tìm hiểu thêm về vấn đề Autorun.

Vì chọn explore hay bất kì tùy chọn nào ở Right Click cũng có thể bị dính.

@ kokored:
File tổng hợp bị hư rồi kìa.

Khi qua máy khác, bạn copy xóa bình thường, bạn có thấy những file lạ nào đó làm cho lên đến 7 GB không ? Chụp hình USB ở cả 2 máy.

Bạn post log HijackThis lên xem.

Hình như bạn ấy trên Vista . Có gì khác khi truy cập trên Vista không nhỉ ?

Nói tóm lại là đừng để bị để ý smilie

Giờ để ý lại thì thấy mình đưa giá trị sai (đáng lẽ là Internet Explorer mà lộn sang Control Panel). Mình đã sửa lại bài trên.

Như đã nói, cách trên nếu người khác mở ẩn và vô tình sửa tên của thư mục đó thì sẽ lộ ra và truy cập vào được ngay.

Đây là cách giấu khác dạo gần đây Malware hay dùng.
_ Tạo 1 thư mục cần giấu với tên nào cũng được (ví dụ Internet Explorer)
_ Tạo 1 file Desktop.ini có nội dung sau:

[.ShellClassInfo]
CLSID={871C5380-42A0-1069-A2EA-08002B30309D}

_ Bỏ file Desktop.ini vừa tạo vào trong thư mục Internet Explorer.
_ Gán thuộc tính System cho thư mục Internet Explorer.
Có thể gán bằng cách ra CMD gõ:

attrib +s "C:\Internet Explorer"

(ví dụ đang ở C:\ )

Với cách này thì dù người dùng có mở ẩn, hay đổi tên thư mục đó thì truy cập cũng bị lạc sang IE (hoặc thùng rác tùy ..)

Cách nào cũng có sơ hở của nó. Nhưng cách mình vừa nêu có vẻ ít có khả năng bị lộ hơn một tí smilie

.

PS: ai không quen sẽ khó lấy được mầm của Malware chuyên giấu file kiểu này.

vậy ra bolzano đã gặp đúng tên mầm lây của biến thể Kavo này rồi. Nếu đúng vậy thì con này mới đối với mình smilie

.
Tiện đây thanks bồ luôn một cái.

Mà ông chủ topic đi đâu rồi nhỉ ... Knock knock ... !?

Trời, mình kêu bạn google "cách gửi log HijackThis" chứ đâu phải google "8hh2b.com" smilie

Điêu đứng là bị gì ?

Post log HijackThis lên đây (google để biết cách post).

Sality thì miễn có chuyện chỉnh lại Hidden đi bạn nhé.
Nó lây đầy ra các ổ dữ liệu khác của bạn rồi đấy.
Nó liên tục sửa lại key Hidden, đừng có cố mà chỉnh chi mất công.

Format cài lại win ở ổ C: (nếu win ở C)
Sau khi vào lại được Win thì cài BKAV ở C và quét hết mấy ổ kia, quét tới quét lui coi còn thằng nào sống không. Nếu không thì nên thử Antivirus khác. (mình nghĩ BKAV làm ăn được).

Con này chỉ có một đống các dll inject và một số ít drivers cố định, còn lại là nó random lung tung cho nên xử bằng cách cố định sẽ không hoàn toàn.
Bởi thế sau khi chạy cái kia thì nên dùng BKAV quét lại.

Những tiệm NET nên thiết lập Disable Autoplay lẫn Autorun ở tất cả các máy. Vì đa số không phải khách cố ý cho chạy Virus, mà là cứ truy cập kiểu không an toàn.

Mất cả buổi vật lộn với con này để tìm hiểu rõ nó thế nào. Cuối cùng cho ra sản phẩm sau smilie

Trước khi làm theo thì ngắt mạng hết và mở Băng (DeepFreeze) ra nha.

Download http://www.box.net/shared/sxer2jdmr2 rồi làm theo hướng dẫn trong đó.

Bạn đùa. Mình chưa quan sát kĩ con này nên chưa rõ nó thế nào.
Nếu thực sự nó có những chỗ không thể xử lý bằng lệnh CMD thì đâu thể dùng với tool này được.
Mình nghĩ con này cần một cái tool gì đó DEL mạnh mạnh, cỡ Avenger chẳng hạn.

Mình hay xài url: hoặc site:. Hình như còn nhiều khóa khác nữa. Trong tài liệu trên có mỗi title: nhỉ.

Có 1 chuyện thế này.

Đã từ rất lâu mình muốn tìm Crack của Teamviewer để giải quyết vấn đề bị nó BlackList cái Physic Address. Dùng các từ khóa liên quan để có thể tìm ra được crack hoặc hướng giải quyết đó, nhưng toàn là ra những kết quả : Crack, Full setup, Portable ... Và tất cả đều không giải quyết được.

Cho tới khi xài cái "94FBR Teamviewer" để làm từ khóa. Lúc đó hiện ra khoảng 2 3 kết quả đầu tiên là có hướng dẫn cách qua mặt Teamviewer bằng cách đổi Physic Address. Và cách này chính xác.

Cách khoảng 1 tuần sau đó, mình thử dùng lại đúng cái từ khóa ấy và không tìm lại được mấy bài post đó ... cho tới nay.

Chuyện là thế đó mấy bác smilie

.

Bạn muốn biết cái trang meo9x.tk gì đó có trojan không, bạn muốn biết những popup quảng cáo trong meo9x.tk có trojan hay không thì thử dùng Doctor Web để quét Online xem.

http://vms.drweb.com/online/ Vào đấy, chọn chức năng "Scan a link" (chính giữa) rồi quẳng từng Link vào Scan nhé. Ít ra cũng chắc chắn được mấy chục phần trăm.

Có những điều ở HVA này hơi khác lạ đối với khá nhiều diễn đàn khác, nhưng có cái hợp lý riêng của nó.
Có lẽ bạn nên tập làm quen.
Mình nghĩ bạn không nên tranh luận thêm làm gì.

Format rồi và cài lại Win không được thì bạn tìm hiểu những vấn đề liên quan khác.
Chứ cái services không còn liên quan ở đây nữa đâu.

Mấy từ đó đâu có chuyên ngành gì đâu, có thể dùng từ điển loại thường cũng được mà. Nói như bác Z0rr0 là nhẹ nhàng rồi đấy.

@Chủ topic: có cái thông báo nào thì ít ra bạn cũng cố gắng dịch nó ra rồi cố gắng làm theo hướng nó chỉ. Khi làm không được hoặc trục trặc chỗ nào đó thì mới bắt đầu hỏi.
Đừng nói với mình là bạn không hiểu thông báo kia nói gì nha (dù đã dùng đủ mọi cách).

Máy đó không có gì ngoài windows ? .

Ý tmd là máy của bạn ấy đang có một soft nào đó quản lý icon usb phải không? Đó là một khả năng.
Nhưng với giọng điệu của bạn ấy (nghe có vẻ như không biết chuyện gì xảy ra) thì mìh đoán thế thôi smilie

.
Dù gì thì hiện nay thì % khả năng là Virus vẫn nhiều hơn là các nguyên nhân khác chứ.

Máy có sài trình diệt hay không, nếu có thử đứng ngay ở trên cửa sổ cmd gỏ
copy ổ usb:\>autorun.inf c:\>autorun
ví dụ copy g:\>autorun.inf c:\>autorun
nếu trên ổ G(usb) có file inf đó thì nó sẽ chép file đó qua thư mục ổ C và đổi tên file thành autorun ko có phần mở rộng. Còn không có câu lệnh sẽ báo là không có file. Tội gì phải chạy soft.smilie. Nếu có thì hẳn tính sau đi.

Soft gì đâu bác, chỉ là vài dòng lệnh thôi. Nó gọi ra nội dung autorun.inf của các ổ đĩa ấy mà.
Vừa để biết là những ổ nào có autorun.inf, vừa đưa được luôn thông tin đó lên đây. Thế thì có phải tiện quá không bác tmd.

Bạn format rồi mà tình hình vẫn vậy thì nhiều khả năng là trong máy đang dính con gì ấy và nó tạo lại. Cũng chỉ từ cái file autorun mà ra thôi. (à cho mình hỏi thêm là mấy ổ C: D: ... có hình bình thường hay cũng là thư mục luôn ?)

Giờ bạn thử run http://www.box.net/shared/zm98y3dr0f, nếu nó thông báo Nhiễm autorun thì gửi thông tin trong ấy lên đây cho mọi người phân tích.

Việc nữa là nhờ bạn gửi log http://forum.911.com.vn/showthread.php?t=4676 lên đây. Làm thày bói cũng cần có tí dữ kiện chứ nè smilie

.

Èo, có mỗi con virus này cộng với cái lỗi không liên quan mà mình phải chạy từ đó sang đây, mệt thật smilie

.

@bolzano: Bạn qua đây sẽ rõ thực hư http://www.virusvn.com/forum/showthread.php?goto=newpost&t=957

Uhm, không biết có phải 2 khóa này không.
hoang4 thử làm theo bolzano nha.

Còn cái link kia, vì upload ở MediaFire nên nén lại (chứ mình mới down về nó ra dạng 1.reg.txt).
Nên đây là link mình up lại dùm bolzano. http://www.mediafire.com/?s2sogwwjnwz