Messages posted by: kamikazeq

Tìm xóa hết autorun.inf cho đỡ chướng mắt (dù không cần thiết nữa).

Autorun.inf chỉ nằm ở thư mục gốc của các ổ đĩa chứ không nằm lung tung.

Không có khái niệm "file autorun bị nhiễm virus" nhé bạn. Autorun chỉ là phương thức lây lan mà Malware chọn.

Nếu Win đã sạch rồi thì chỉ cần quét ngay ở Win thôi, không cần phải ra DOS hoặc SafeMode. Vì lúc này Malware không đang chạy, chỉ còn các mầm lây nằm yên ở D E F ... chờ Antivirus dò ra thôi.

Mặc dù mình ko click đup mà chỉ explore

Right click rồi chọn bất kì dòng nào để truy cập vào ổ đều có thể bị vướng vào luật Autorun (chẳng hạn "explore" hoặc "open" quen thuộc cũng dính).
Vấn đề này đã có bàn nhiều ở diễn đàn mình.

Mình http://www.google.com.vn/search?q=%22D%C6%B0%C6%A1ng+M%E1%BA%A1nh+H%C3%B9ng%22+Virus&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a không ra thông tin bạn nói. Hay nó ở trong sách ? Nhờ bạn trích dẫn dùm.

@hailahai123:
1. Format và Cài lại Win (ví dụ ổ C: )

2. Vừa vào lại win thì :
Không truy cập vào các ổ D E F ... hoặc chạy bất kì file nào ở các ổ đó.
Thiết lập Disable Autorun/Autoplay (google)

3. Download 1-2 AntiVirus rồi quét các ổ D E F ... (các Anti khuyến cáo: Avira, KAS, BIT,)

4. Sau khi quét xong, nếu cẩn thận thì thử Up vài file .exe ở các ổ đó lên Virustotal.com để xác định lại rõ tình trạng.

*Có khi gặp loại Rootkit MBR thì format cũng chưa xong, phải Fix nữa, nhưng đây là trường hợp ít gặp.

@kekhocdoi, Ikut3:
Thấy 2 bạn nói là "Phải cài Anti rồi quét Full trước khi Format để sạch hơn". Mình thấy không đúng.

Nhờ 2 bạn giải thích rõ tại sao lại làm thế.

Ek, chỉ chỉ chỉ anh em đi bồ :-s

@hvthang:
Mình không rành lắm vụ này. Nhưng cũng có ý kiến.
Có lẽ bạn phải toàn quyền được cái server đó rồi mới bắt nó "làm ngơ" để không đem cái pass (đã được băm) bạn đi băm thêm lần nữa smilie

.
Chứ hiện tại thì chưa có cách nào đánh lừa server để pass khỏi phải bị băm. (mà theo bạn nói ở trên là dùng ứng dụng liên quan Web Browser)

Cái exe kia là của màn hình, tui thấy nên tắt vì hay gây phiền.

Userinit thì tùy.
Của Win thì mới vô nó chạy vài giây rồi tắt.
Của Malware thì nó chạy hoài thôi, và thường đi chung với system.exe.

@chủ topic:
Những process và file của nó mà bạn thấy được chỉ là phần nổi thôi. Còn những thứ khác như rootkit rồi mã độc chạy lung tung trong các file đang nhiễm khác, bạn tính sao đây.

Bạn có xài chung mạng với ai không ?
File spoolsv.exe bạn up là của win sạch. (57856 bytes)
Bạn chắc chắn là "Vừa Ghost lại win, cắm mạng liền, ngồi im quan sát Taskmanager mà Reader_s.exe vẫn nhảy ra"?
Bạn upload file reader_s.exe lên Virustotal dùm.

Hey, tmd. Ăn nói cho đàng hoàng.
Bồ dám nói 1 câu "ừ tôi cố ý ghi méo mó nick bồ đó !" không, hay là chỉ "ờ ờ tôi lỡ tay viết nhầm" smilie

) ?

Tôi chờ câu trả lời của bồ. Đừng tránh né nha.

Tức là chưa cần "Đao búa lớn" phải không tmd.
Mà để ý lại thấy chủ topic có nói là có kiểm tra khóa Shell chứa Explorer.exe ổn.
Vậy thì kiểm tra gì nữa đây tmd ? Mình cũng chưa nghĩ ra.
Vậy lúc này cần lấy log kiểm malware chưa nè ?

PS: hôm nay thứ 7 mà bác chủ topic cũng chưa rảnh nữa ta smilie

tmd có đọc cái này chưa ?

chủ topic wrote:

mình dùng taskmanager add file explorer vào thì chạy được nhưng khi restart lại máy vẫn bị tình trạng cũ.

Gì ngộ vậy, bolzano nói theo ý của tmd mà.
Ý bolzano nói là trong quá trình lấy log sẽ lấy được thông tin mà tmd đưa ra, rồi cũng sẽ kiểm tra như tmd nói thôi.
tmd hiểu lầm gì chăng.

Vậy bồ nêu yêu cầu cụ thể hơn đi.

Thấy trang này
http://sourceforge.net/projects/gnuwin32/files/pcre/pcre-7.0-bin.zip/download
có cái file zip, giải nén ra trong thư mục bin có file giống bạn nói.
Thử xem.

@tutk:
Sao lại "không tin thì tùy" ?

Bạn nói là dựa trên kinh nghiệm thực tế của bản thân. Vậy bạn cho ví dụ và phân tích từng trường hợp được không.

Riêng mình thì thấy có mỗi yếu tố bị khóa Hidden là đáng ngờ nhất thôi.

Nếu những dấu hiệu bạn đưa ra kia không phải hoàn toàn chắc chắn do Virus thì bạn nên sửa tiêu đề lại cho hợp lý hơn.
Tiêu đề có thể thế này " Một số dấu hiệu máy có khả năng nhiễm Virus".

Và nếu cần thiết thì sắp xếp theo mức khả năng do Virus từ cao xuống thấp (hoặc ngược lại).

Khi đang coi tấm ảnh , dùng "download all link with IDM" vô tình thấy 1 file dạng http://www1.deskcity.com/images/download/xxxx.rar . Rồi từ đó dùng batch download của IDM mò hết cái xxxx đó thôi , ai ngờ nó ra cả đống. Nhưng không biết nhiêu đó có đủ không vì chưa giải nén ra đem so sánh với khoảng 56200 link của bác gamma.

Mà script của bác gamma là gì vậy, gửi lên lại dùm mình đi.

@gamma95: list link bác nhiều ghê. Mà sao không thấy script vậy kìa?

@secmask: với IDM thì vấn đề ở chỗ mình chưa enable java script. Giờ get ngon rồi. Mà dùng java này mạo hiểm quá không ta smilie

Thanks all smilie

---

Trước đó mình có mò thấy nó gói các ảnh lại theo từng chủ đề thành file rar với pass là "deskcity.com" .
Dùng IDM batch download lụm được cỡ 2.7 Gb file rar, không biết đủ chưa nhỉ .

http://www1.deskcity.com/images/download/2565.rar
http://www1.deskcity.com/images/download/2566.rar
http://www1.deskcity.com/images/download/2567.rar

...

http://www1.deskcity.com/images/download/3004.rar

Có bác nào hứng thú chủ đề này không smilie

?

Bồ down cái Quick Remove bên dưới.
Chạy rồi chọn Scan, xong rồi chọn Mini Hijack.
Có log gửi lên đây thử xem. Sẵn coi coi mở ẩn được chưa.

Cho vòng lặp chạy từ 1 tới Length của Textbox1.
Xét 1 kí tự trong Textbox2 xem có trùng với từng kí tự trong chuỗi kia không.
Nếu có thì + thêm 1 vào biến đếm.

PS: mà bạn học Pascal chưa nhỉ.

http://www.deskcity.com/

Mình đã dùng IDM Grabber - Teleport (Pro+Ultimate) - Offline Explorer - WebRipper - Httrack ... để thử lấy hết hình trong Site trên.
Đã thử thiết lập nhiều kiểu nhưng vẫn không thành công.

Với IDM Grabber thì mình lấy được khoảng hơn 250 hình thôi (mỗi hình phải >100 KB, web này toàn hình bự thôi).
Thấy rằng vẫn còn thiếu khá nhiều hình chưa lấy được.

Mấy tool kia thì không lấy được hay bằng IDM Grabber, cũng trăm mấy thôi.

Có thể có site chống Get All kiểu này. Nhưng ở site trên, mình cũng lấy được hơn 250 ảnh rồi, và những ảnh chưa lấy được cũng nằm trong những chỗ Public như những ảnh kia thôi, vậy mà không lấy được !?

Nhờ các bạn chỉ cách thiết lập của Tool nào mà down được hoàn toàn hình ảnh .jpg >100 KB ở trang trên.

CPU usage 100% thì bạn coi lại các chtrình chạy trong win.

Vậy thì nó như Trojan, chỉ khi lừa được ai đó để cài vào thì mới dính, chứ nó không truy cập được khi máy mục tiêu chưa hề cài Teamviewer.

Tụi Malware thích núp trong đó là vì trong cái thư mục đó thường có file desktop.ini với nội dung :
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Cộng với việc cái thư mục đó có thuộc tính System, sẽ làm cho nó không thể truy cập thông thường được. Truy cập thông thường sẽ được dẫn thẳng đến "thùng rác thực" bên ngoài Desktop luôn. (đây là 1 yếu tố để mầm lây loại autoruns sống còn).

Còn cái chuyện của bạn chủ topic. Nếu xác định được là không có mầm Malware trong đó thì khỏi cần xóa thư mục Recycler (hoặc Recycled) làm gì. (lý do thì như mấy bác trên đã nói).

Ồ, thật tình là chẳng thể mò được nếu có nhiu đó thông tin.
Bồ chịu khó làm theo tất cả những gì sau đây để được giúp đỡ nhiệt tình nhất. smilie

-------

Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .

Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .

Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chạy và create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .

Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Tiếp tục với AVZ, click menu File => chọn System Analysis => chỉnh "list of processes + DLLs without repeating" thành "list of DLLs for each process", chỉnh "Only active services and drivers" thành "All services and drivers" , click chọn "Add System Analysis log to ZIP" => click Start , chọn nơi save log , chạy xong thì upload file avz_sysinfo.zip và đưa link cho mình .

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Run Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .

Tải : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop . Chạy RootRepeal.exe , click tab Files, click Scan , chọn tiếp tất cả các ổ trong máy => OK .
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này cho mình .

Tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt

Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Chạy ở chế độ mặc định, cứ continue, yes, OK ...
Nén,upload và đưa link 2 file sau : info.txt , log.txt

Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Chạy xong , upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .

Bạn lấy log khoảng 20 phút là xong, trong việc đọc log của bạn tui phải kiểm tra vất vả hơn nhiều, vì thế bạn hãy thực hiện đúng thứ tự và chuẩn xác nhé .
Bước này thực hiện xong, những thao tác còn lại sẽ rất đơn giản trong đa số trường hợp (không có rootkit,driver đặc biệt..) vì mình sẽ viết script làm thay bạn nhiều thao tác diệt malware

_ USB hoặc máy MP3 thì đem ra máy tính sạch mà FORMAT (nhớ rằng đừng truy cập vào USB ở máy tính sạch đó nhé, chỉ được Right Click và chọn Format thôi). Format được rồi thì khoan cắm vào máy tính "dơ" ở nhà nhé, đợi diệt virus đã.

_ Còn cái máy tính của bạn nhiễm con đó rồi. Bạn gửi log HijackThis lên đây (google để biết cách gửi log HijackThis)

_ Gửi file virus trong ổ C mà bạn xóa không được lên đây luôn.

Hướng dẫn gì vậy bạn ?
Thì download cái đó về, giải nén, chạy cái file tên Quick Remove.
Chọn Scan ... chờ ... chọn Mini HijackThis ... chờ ... rồi gửi thông tin lên đây.

Sẵn bạn đọc tin nhắn ở diễn đàn dùm mình nha.

Bạn download cái này. http://khaiabc.no-ip.biz:7000/Quick%20(Remove%20Malware)%20(Fix)%20(Get%20Info).rar hoặc http://www.box.net/shared/zm98y3dr0f
Giải nén, chạy file Quick ..

Sau đó chọn Scan

Đợi nó chạy xong, bạn chọn Mini HijackTHis

Rồi gửi log lên đây.

Gửi cái soft đó lên đây rồi bàn tiếp smilie

Có thể ý của bạn ấy là. Ví dụ Cmd của Windows bị Disabled By Admin (bằng 1 khóa trong Regedit) nhưng tool của bạn ấy vẫn chạy phè phè và có tính năng giống hệt Cmd của Windows. Có điều là nó chỉ cho xài Trial.