Có ai gặp trường hợp như thế này chưa(bị dính virus)?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Có ai gặp trường hợp như thế này chưa(bị dính virus)?

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	18/05/2007 21:54:53 (+0700) \| #1 \| 59989

khoaingo
Member

Joined: 06/03/2007 22:09:45
Messages: 11
Offline

Tình hình là máy của tôi dùng windows xp, máy có cài chương trình bitdefender v10. Trước ko việc gì, nhưng hôm đó chương trình anti virus(bitdefender) out of date nên nó disable chương trình đó. Hôm đó đứa em nó dùng ko hiểu vào trang web nào đó nên bị nhiễm virus(tôi đoán thế).
Bây giờ máy tôi lạ lắm, hầu như các chương trình ứng dụng mất file.exe, chương trình antivirus cũng enable một lúc rồi tự disable luôn, rồi tôi vào Tool->folder option->view->show hidden file and folder, bỏ tick ở ô hide extensions for unknow file types và hide protected operating systems file nhưng đều ko được nó luôn để default là do not show hidden file and folder(tôi đã vào chế độ safe mode để thao tác).
Tôi vào chế độ safemode dùng bkav quét nhưng cũng ko phát hiện được j`. Có ai gặp trường hợp thế này chưa? and có thể chỉ tôi cách khắc phục ko?
cám ơn nhiều !!!

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	19/05/2007 02:49:50 (+0700) \| #2 \| 60078

kara_men
Member

Joined: 27/06/2006 02:32:38
Messages: 91
Offline

Bị nhiễm virus thì muôn hình vạn trạng lắm. Bác cứ dùng đĩa Hiren mới mà boot rồi quét hết đi đã. BKAV chưa chắc đã tóm được con virus lạ đấy của bác đâu.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	19/05/2007 03:53:47 (+0700) \| #3 \| 60111

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

uhm diệt virut thì nếu là virut nội thì bác thử dùng bkav, thằng này chuyện trị mấy bệnh linh tinh. Còn phần lớn thì dùng những phần mềm nươc ngoài. bạn có thể tham khảo thêm tại 911.com.vn hoặc bkav về thông tin và triệu chứng của con virut gây ra tình trạng đó.
Tốt hơn hết là bạn nên biết con virut đó tên gì :d

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	19/05/2007 04:01:33 (+0700) \| #4 \| 60115

tcuong
Member

Joined: 19/03/2005 14:38:46
Messages: 63
Offline

khoaingo wrote:

Tình hình là máy của tôi dùng windows xp, máy có cài chương trình bitdefender v10. Trước ko việc gì, nhưng hôm đó chương trình anti virus(bitdefender) out of date nên nó disable chương trình đó. Hôm đó đứa em nó dùng ko hiểu vào trang web nào đó nên bị nhiễm virus(tôi đoán thế).
Bây giờ máy tôi lạ lắm, hầu như các chương trình ứng dụng mất file.exe, chương trình antivirus cũng enable một lúc rồi tự disable luôn, rồi tôi vào Tool->folder option->view->show hidden file and folder, bỏ tick ở ô hide extensions for unknow file types và hide protected operating systems file nhưng đều ko được nó luôn để default là do not show hidden file and folder(tôi đã vào chế độ safe mode để thao tác).
Tôi vào chế độ safemode dùng bkav quét nhưng cũng ko phát hiện được j`. Có ai gặp trường hợp thế này chưa? and có thể chỉ tôi cách khắc phục ko?
cám ơn nhiều !!!

Bạn đã bị nhiễm con virut W32.Looked.BK, bạn update NAV mới nhất quét là hết
Chúc bạn thành công!

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	19/05/2007 04:11:59 (+0700) \| #5 \| 60122

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Muốn biết bị dính thứ gì , có vài cách đơn giản để kiểm tra và gửi mẫu để kiểm tra. Như search file thực thi theo tiêu chuẩn "ngày tạo", "file ẩn" . Search file ẩn theo "date created", "date accessed", "date modified" . Dùng một cái lht cập nhật macfee tháng tư để quét. Dùng một trình xem process để xem cái nào đó lạ rồi đi hỏi, chạy cái hijackthis...
Còn trường hợp nào thì sao mà biết được.
COn w32.looked.bk hay polip đó đã lây và đang lan rồi. Có quét vẫn không hết. Nó lây nhanh lắm.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	22/05/2007 19:20:33 (+0700) \| #6 \| 60879

stilllive
Member

Joined: 19/05/2007 08:52:36
Messages: 1
Offline

Muốn chỉnh lại Show hide file and folder các bác có thể làm như sau:
Go to the following registry key:

HKLM\Software\Microsoft\Window s\CurrentVersion\Explorer\Adva nced\Folde r\Hidden\SHOWALL

Delete the value CheckedValue. (Its type should be REG_SZ and data should be 2.)

Create a new DWORD value called CheckedValue (same as above, except that the type is REG_DWORD). Modify the value data to 1 (0x00000001).

Chúc may mắn.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	23/05/2007 00:19:21 (+0700) \| #7 \| 60940

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

hầu như các chương trình ứng dụng mất file.exe

Dựa vào những hiện tượng cụ thể nào mà bạn kết luận các chương trình ứng dụng mất file .exe? Bạn vào "Program Files" và thấy kô có có file .exe nào à?

Thường thì virus kô xóa file .exe đâu, nó chỉ "tiêm" mã độc vào file .exe thôi. Chỉ có các AV khi phát hiện ra file .exe bị nhiễm virus thì nó đòi xóa thôi.

chương trình antivirus cũng enable một lúc rồi tự disable luôn, rồi tôi vào Tool->folder option->view->show hidden file and folder, bỏ tick ở ô hide extensions for unknow file types và hide protected operating systems file nhưng đều ko được nó luôn để default là do not show hidden file and folder(tôi đã vào chế độ safe mode để thao tác).

Nếu bạn mở AV được một tẹo rồi tự động bị tắt thì đúng là virus đang hoạt động rồi. Bây giờ virus hoạt động ngay cả ở chế độ safe mode kô phải là chuyện khó nữa.

Tốt nhất là bạn hãy post Logfile of HijackThis lên đây.

Muốn chỉnh lại Show hide file and folder các bác có thể làm như sau:
Go to the following registry key:

HKLM\Software\Microsoft\Window s\CurrentVersion\Explorer\Adva nced\Folde r\Hidden\SHOWALL

Delete the value CheckedValue. (Its type should be REG_SZ and data should be 2.)

Create a new DWORD value called CheckedValue (same as above, except that the type is REG_DWORD). Modify the value data to 1 (0x00000001).

Đổi value ở key CheckedValue từ '0' thành '1' thôi mà làm gì mà nói dài dòng phức tạp thía.

Phải kiểm tra xem có tồn tại ở đây nữa kô: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\Folder\Hidden\SHOWALL

Mà phải diệt xong virus đã rồi mới làm bước này kô thì nó lại tạo lại ngay thôi.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 09:51:11 (+0700) \| #8 \| 62317

khoaingo
Member

Joined: 06/03/2007 22:09:45
Messages: 11
Offline

Ghost Ship wrote:

hầu như các chương trình ứng dụng mất file.exe

Dựa vào những hiện tượng cụ thể nào mà bạn kết luận các chương trình ứng dụng mất file .exe?

Mình có shortcut ở destop, kick chuột vào thì nó bảo thiếu file.exe
Còn đây là file log dùng Hijack this để quét

Logfile of HijackThis v1.99.1
Scan saved at 7:41:21 PM, on 5/29/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\FLV Player\FLVPlayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77E277C7-672B-45DE-ABDC-D9F13DBD27F6}: NameServer = 10.0.0.2
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

Các bác thử xem em thế nào? chứ chương trình mcafee cài lên nó cũng missing file.exe luôn.

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 10:15:13 (+0700) \| #9 \| 62326

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Bạn đã có action gì cho trường hợp này rồi, Đã tự mình quét ngoài DOS bằng hiren 9.0, hay nhờ ai đó có pc luột hộ cái ổ cứng chưa.

O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe

Cái này là cái có vấn đề này. Trong ...\drivers toàn chứ các thứ .sys và tương tự . .exe trong đó là lộ mặt của thứ gì đó.
Cái dòng đó mới là một biểu hiện nho nhỏ của cái thứ gì lạ lạ trong cái PC.

Tui có lời khuyên cho bạn này. Nên sử dụng đĩa LHT hiren mới nhất, nhờ cậy người có PC quen. Kết quả cuối cùng là GHOST ổ C sau khi đã sử dụng LHT cho toàn bộ ổ đĩa thân yêu.Thứ gì .exe, của software, .html,.asp... không sử dụng nên nén nó lại.
smilie

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 10:20:47 (+0700) \| #10 \| 62327

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Google trỏ ra cái link của bkav, xin chia buồn với bạn.
http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=946

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 11:04:13 (+0700) \| #11 \| 62331

khoaingo
Member

Joined: 06/03/2007 22:09:45
Messages: 11
Offline

Đúng là tôi dính phải con virus này rồi
Tôi cũng đã dùng chương trình hirens bootcd v8.8 để quyét nhưng khi quyét xong nó vẫn chưa hết.
Ổ cứng tôi chia làm 3 partition. Vậy nếu thế thì tôi phải cop dữ liệu ra ổ cứng khác rồi format lại toàn bộ Ổ cứng ah?
Thank bác tmd

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 12:46:16 (+0700) \| #12 \| 62340

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

@khoaingo: mình nghĩ kô cần thiết phải format hết tất cả các ổ đâu.

Đã biết hết thông tin về nó thì việc vô hiệu nó trở nên quá đơn giản.
http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=946

Sau khi vô hiệu hóa nó(kill Process spoclsv.exe), xóa các file .exe của virus trong ổ C và Fix các key của nó trong Regedit thì bạn hãy cài BKAV (hoặc KAV) update mới nhất quét toàn bộ các ổ.

Con này đã lâu rồi nên các AV sẽ diệt ngon thôi kô cần format hết đâu. Nó chỉ nguy hiểm khi Process của nó còn hoạt động (nó kô cho Các AV hoạt động) còn khi Process của nó đã bị kill rồi thì nó chỉ có nằm yên cho Av diệt thôi.

Đừng làm những hành động thừa thãi ngớ ngẩn như thế như thế.(Format toàn bộ ổ ???!!!) smilie

(

Vậy nếu thế thì tôi phải cop dữ liệu ra ổ cứng khác rồi format lại toàn bộ Ổ cứng ah?

Một hành động vô ích!!! smilie

( Khi đống dữ liệu đó đã bị nhiễm virus thì bạn copy đi ổ cứng khác rồi khi format xong ổ của bạn bạn mang đống dữ kiệu ấy về thì virus trong đống dữ liệu ấy lại quay về chứ hêt làm sao được! smilie

(

Những hành động vô ích mà còn làm hại cả ổ cứng nữa !! Hơi tí là format ổ thì mấy mà tiễn cái ổ ra bãi phế liệu smilie

(

Từ khi mua máy tới giờ( hơn 3 năm) tôi chưa format ổ nào ngoài ổ C, số lần format ổ C và làm lại Win đếm trên 10 đầu ngón tay kô hết.

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 13:40:50 (+0700) \| #13 \| 62350

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Đơn giản quá hề. Xóa hết .exe trên ổ C ~ với tiêu diệt toàn bộ HDH windows-> Một thần đồng trong nghề bán thuốc nỗ dạo. Tui xin phép anh em nói chuyện vui tí.

Nhìn vào các reply của bạn, tui thấy sự khác biệt giữa một amateur(mới gia nhập) trong nghề và một bombard man(chuyên gia nổ) trong nghề này. Giờ không đi vào phần bên dưới của hệ thống. Chỉ bàn tán cái ngoài mặt của windows để tiến sỉ "nổ " GS trổ tài cùng anh em và bà con. Tui chỉ khơi mào cho một vấn đề bình thường để trao đổi với bà con khác.

Có biết virus nó lây vào bất kỳ .exe nào, soft không remove nó ra khỏi file được thì nó làm gì ?

HDH làm gì khi .exe của nó(các file được gọi là hệ thống) bị thay đổi ?

PE là gì ?

Có bao giờ bị một con thuần virus lây vào hdh chưa ? Giới hạn là .exe .com .pif và tương tự .

Virus có process ? hay virus đi theo file đang thực thi ? virus sống cùng với HDH ? ... các cách trình bày tương tự... Có hiểu nó là gì không ?

Có biết như thế nào thì một con virus tự nó lây vào .exe và các loại tương tự vậy không ?

Có biết cái con trong cái link của bkav đó, soft ngoại nó để tên là gì không ? biểu hiện ngoài những biểu hiện mà bkav mô tả ?

Có biết Format cấp thấp và format bình thường ai cũng sài là gì không ?

Đã hiểu mơ màng là virus có "process ?" ,vậy đem cái ổ đĩa đó quét DOS, con virus có "process" ngoài DOS không ?

Tại sao một con PE virus lại có PROCESS. CHo dù là chuyện này còn chưa biết. ?

Làm sao biết ID của cái Process đó. ?

Biết .com và .exe nó khác nhau chổ nào không ?

NGài tiến sĩ nổ GS có thể "bang bang" cho anh em biết về những câu hỏi thường gặp này không ?

Tui đây cũng là amateur trong cái nghề này thôi. Nhưng thấy tiến sỉ nổ to và vui tai, tui mới bạo gan hỏi tiến sỉ nổ(giấy) những chuyện này.
Còn vô số câu hỏi kiểu amateur mà tui cho nó là kiến thức bình thường và phổ biến trong nghề nửa. Trong đó có nhiều cái tui còn chưa biết, hy vọng tiến sỉ nổ có vài lời ghóp ý.

Hy vọng mod đừng warn nick, vì đây là trao đổi thẳng thắn. Tui thấy sao nói vâỵ. Tui thấy ai như Ghost Ship đây tui đều cho làm tiến sỉ nổ(giấy) hết. Vì chỉ có họ mới có khả năng nổ thôi.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 14:29:20 (+0700) \| #14 \| 62355

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

@tmd: Làm gì mà bức xúc thía dại ca smilie

)

Đúng là tui cũng chưa thực sự hiểu mấy cái mà đại ca đã nêu. Tui chỉ có cái duy nhất để chứng minh mình đúng đó là: máy tui chưa bao giờ phải format ổ dữ liệu vì lí do diệt virus. Tui cũng chưa bao giờ gặp vấn đề với những file setup.exe ( Các bộ setup của tui để trong ổ bao nhiêu năm nay vẫn xài ngon chả gặp vấn đề gì khi setup cả smilie

) (nếu bị virus xơi thì nó phải hỏng, lỗi khi cài chứ smilie

) )

Tôi có thể "nổ" nhưng tôi chưa bao giờ nhận mình là người hiểu biết sâu về hệ điều hành. Những điều tôi nói ra và tự tin khẳng định nó là đúng đơn giản vì nó được rút ra từ thực tế sử dụng máy của tôi.

Mọi người có thể tin, có thể kô tin, Với vốn kiên thức của tôi hiện nay, tôi cũng chưa đủ khả năng để chứng minh mình đúng bằng lý thuyết "suông". smilie

)

Mà ông có hiểu tiến sĩ giấy là tiến sĩ như thế nào kô nhỉ smilie

) Tôi xin được nói ra đánh giá của tui về ông như sau:" ông là người khá chăm chỉ tìm kiếm thông tin, nên tôi công nhận là ông biết rất nhiều thông tin. Nhưng khả năng rút ra "tri thức" từ những thông tin đó của ông là rất kém smilie

) Nêm ông bị hội trứng tràn ngập thông tin nhưng lại mù "tri thức" smilie

) kô hiểu bản chất vấn đề, luôn luôn phân tích vấn đề theo hướng quá phức tạp => Nghĩ vấn đề quá phức tạp.

Khả năng tự rút ra kiến thức từ thực tế của ông cũng rất thấp nên hầu như ông chả mấy khi nói về kinh nghiệm của mình cả mà toàn nói về cái gì đó tìm được ở đâu thôi smilie

)

Đó là mấy nhận xét rât chân thành của tôi dành cho ông smilie

) tui hi vọng ông sẽ sớm cải thiện khả năng của mình để có thể tự rút ra tri thức cho mình và có những đóng góp quý báu hơn nữa cho bà kon ở đây smilie

)

Đừng bức xúc nữa nhá, rất có hại cho sức khỏe đấy smilie

)

Thực sự tôi rất mong có ai đó thực sự cao thủ hợp tác với ông để chứng minh tôi sai một cách thuyết phục smilie

) Chán ông quá, khả năng diễn giải vấn đề của ông quá kém smilie

) nên chưa bao giờ ông làm tôi phục nổi cả smilie

)

Mình và lão tmd lại sắp có kịck hay cho bà kon xem đỡ buồn đây smilie

) mình đoán đại ca "quẩn lý trương" đang dõi theo từng bước đi của hai đứa mình đấy smilie

)

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 14:44:50 (+0700) \| #15 \| 62360

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Tui đâu có ngại Quản lý trưởng hay phó hay MOD. Để tui đoán thử bác khoảng mười mấy tuổi. Vẫn còn cấp 3 và hơi ta đây tụ phụ. Nói chuyện hơi có tính ăn theo. Và hay dấu dốt. Rất thích sai bảo người khác làm giùm những gì mình không làm được. Và sau đó lại xem đó là của ta. Kiểu sào nấu của tiến sỉ giấy.

Như mọi người đã nhận xét về bác có cái kiểu đánh trống lãng. Dấu dốt.

Tui hỏi những cái bình dân học vụ như vậy , bạn còn không hiểu và nói xai quá nhiều.
Đúng sai là gì bạn có hiểu không. Bạn còn nhỏ tuổi và có cái bịnh khép kín đó,thì bạn sẽ chịu búa rìu của bà con, trong đó có tui, hoài thôi.

Bạn có hiểu như thế nào là phức tạp, dễ hiểu không. Những vấn đề trong cái forum này, chô nào bạn cho là phức tạp. Hay là bạn là môt ngài tiến sỉ giấy, chỉ biết nổ. Nói vài cậu để trao đổi vậy thôi.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	30/05/2007 15:12:55 (+0700) \| #16 \| 62363

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Theo tôi hiểu thì "tiến sĩ giấy" là kiểu tiến sĩ chỉ phát biểu ra những cái mình đã đọc được từ đâu đó chứ chả biết thực tế là gì smilie

)

Thôi kô cãi lộn với ông nữa. Lây bệnh của ông thì nguy smilie

) tránh xa tôi ra , tránh ra, sao mà bám dai thía hả? lạy chúa tôi, tôi nể ông cái khoản đeo bám và kô biết xấu hổ lắm smilie

) Nhưng tôi kô đủ khả năng làm như ông đâu hic.. hic tôi xin thua, tôi xin đầu hàng, ông là nhất, ông đúng, được chưa smilie

) đừng có bám theo tôi nữa, tôi nói gì kệ tôi, ai tin, hay kô tin thì kệ họ, ông làm ơn đừng "trõ" vào chuyện của tôi nữa nhá, tôi kô đủ kiên nhẫn để "khai sáng" cho ông đâu. Tôi thực sự bó tay với ông rồi. từ nay đường ai người ấy đi nhá? smilie

)

Trên HVA này ai nói gì về tôi tôi cũng chiều, riêng ông thì tôi thua, thua thực sự rồi smilie

) Em xin bái anh hai chữ "ĐẠI CA", dại ca tha cho em, đừng bám theo làm phiền em nữa đại ca nhá smilie

)

Amen! vì hòa bình trên mảnh đất HVA này, em xin trịnh trọng tuyên bó: em đã thất bại trước dại ca tmd đây smilie

)

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	31/05/2007 00:53:18 (+0700) \| #17 \| 62423

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Hôm nay, đọc kỹ lại đám reply của dại ca tmd thấy cũng có chút hứng thú smilie

) có thể sau khi làm rõ đống reply này mình sẽ mở mang ra thêm một chút smilie

) và cũng có thể giúp đó hiểu rõ vấn đề hơn.

tmd wrote:

Đơn giản quá hề. Xóa hết .exe trên ổ C ~ với tiêu diệt toàn bộ HDH windows-> Một thần đồng trong nghề bán thuốc nỗ dạo. Tui xin phép anh em nói chuyện vui tí.

Xin thưa với đại ca! em kô nói là xóa hết file .exe trên ổ C mà nói là "xóa hết file .exe của virus trong ổ C" Đại ca nhìn kĩ lại hộ em cái smilie

)

Có thể đại ca tmd bị ám ảnh quá nặng về loại virus ăn file hoặc kô chịu hiểu khi tôi nói "virus" có nghĩa là tôi nói "virus" nói chung, bà con ta vẫn hay đánh đồng tất cả các loại virus với nhau mà smilie

) Chỉ cần nó là chương trình độc hại thì đều bị bà con ta gọi là virus hết nên em cũng gọi như thế cho nó hòa nhập ý mà smilie

)

Nói chính xác về loại virus mà tôi hay nói đến và cách diệt mà tôi nói có hiệu quả là loại worm hay worm lai virus. Đây là loại virus rất phổ biến hiện nay, nó chiếm tỉ lệ lây nhiễm rất cao. Hầu như chúng ta bị dính nó khi ta sử dụng USB và có thể nói USB là con đường lây nhiễm chủ yếu và có hiệu quả nhất của loại virus này trong thời gian qua.

Những biểu hiện đặc trưng của loại virus này như sau: Khi đã được lây vào máy thì nó tạo ra trong ổ C cụ thể là trong C:\Windows một hoặc một vài file của nó (thường là file .exe có thể cso thêm file .dll) và đăng ký với Regedit một hoặc nhiều key để tự khởi động nó mỗi khi ta mở máy. Khi loại virus này hoạt động là tương đương với một hoặc nhiều file .exe của nó tạo ra trong ổ C hoạt động. và tương đương với sự hoạt động của một file .exe đó sẽ là sự xuất hiện của một Process trong danh sách process đang hoạt động trên máy. Khi virus này đang hoạt động thì những việc nó làm thường khác nhau đối với từng loại virus cụ thể, những việc này do người tạo ra nó thiết lập khi tạo ra nó.

Vì thế phương pháp cơ bản để diệt loại virus này của tôi là:
1. Kill Process của virus (việc này phải làm đầu tiên)

2. Xóa file .exe của virus trong ổ C. Khi chưa kill được Process của file .exe đó thì kô thể xóa đựoc file đó bằng cách thông thường của Win, có thể xáo bằng soft.

3.Xóa các key của nó trong regedit.

Nếu kô làm xong bước 1 thì với đa số virus hiện nay ta làm bước 3 là vô nghĩa, kô có tác dụng vì những Process đó có tác dụng liên tục kiểm tra và tạo lại những thứ ta xóa ở bước 3)

Khi đã hoàn thành 3 bước trên thì cơ bản những file phục vụ cho sự hoạt động của virus đã bị tiêu diệt. Chỉ còn lại những file mầm do virus tạo ra trong máy hoặc các file(thường và chủ yếu là file .exe) bị virus ăn (phá hoặc cấy mầm của nó vào) Nếu kô rọn sạch những file này thì máy sẽ bị nhiễm lại khi ta (vô ý hoặc cố tình smilie

) )OPEN những file mầm này.

Có một hành động mà hầu như con virus nào cũng làm, đó là tạo liên tục kiểm tra và tạo ra file mầm của nó trong USB nối với máy. vì thế ta cso thể kiểm tra xem máy có nhiễm virus kô bằng cách "nông dân" sau: Cắm USB sạch vào máy(khi cắm vào kô thấy dòng AutoPlay in đậm trên đỉnh thì kết luận là USB sạch) sau khi cắm vào và biết nó sạch thì rút USB ra rồi lại cắm lại lần nữa. Nếu lần này thấy có dòng AutoPlay ing đậm ở trên đỉnh thì kết luận máy của bạn đã bị nhiễm chủng loại virus mà tôi đang nói tới, còn nếu kô cso dòng AutoPlay ing đậm thì kô phải đang nhiễm loại tôi đang nói nhưng có thể nhiễm loại khác (một trogn những loại mà đại ca tmd hay nhắc tới smilie

) Nên nếu thấy máy có hiện tượng lạ mà kiểm tra như vừa rồi kô thấy AutoPlay thì tôi có lẽ kô giúp được smilie

) Khi đó bạn hãy nhờ đại ca tmd tư vấn, mà khỏi cần, bạn cứ tháo ổ cứng mang sang máy khác quét rồi format tất cả các ổ rồi về làm lại WIN thì bố hay cụ kị của virus cũng chết chứ kô phải chỉ virus chết thôi đâu smilie

) đó là cách mà đại ca tmd hay tư vấn cho mọi người đấy smilie

)

Trong loại virus mới này ta có thể phân nó làm 2 loại riêng dựa vào cách thức lây nhiễm hay phá hoại của chúng.
1. Loại kô ăn file: Chỉ tạo ra các file trong ổ C để chạy chính nó khi win khởi động và kô ăn các file khác trong máy.

Nó chỉ tạo ra file nguồn của nó trong USB(có thể ở cả các ổ trên máy) Chắn có file Autorun.inf để lây nhiễm và có thể tạo thêm các file .exe trong các folder trong USB và file .exe có tên giống tên folder đó và có icon của Folder. Trong máy bạn sẽ có những file của virus (ngoài nhưng file hoạt động ở ổ C) nếu bạn copy các folder trong USB vào máy. Với loại này thì bạn chỉ cần diệt được theo 3 bước trên là xong kô cần làm mại win smilie

)

2. Loại ăn file: Ngoài các file trong ổ C để chạy chính nó khi win khởi động nó còn ăn các file khác. Chủ yếu là file .exe và cũng chỉ loại file .exe là đáng ngại vì tôi chưa bao giờ kích hoạt virus khi mở một file kô phải .exe. Có thể có nhưng rất hiếm, ko phổ biến nên kô đáng ngại smilie

) Nếu có thì lại diệt rồi kô mở những kiểu file đó nữa smilie

) Loại này thu rọn hậu quả hơi ngại và đau xót đấy smilie

) vì vừa mất công vừa mất dữ liệu smilie

) Tôi thấy thường thì nó chỉ tấn công những file ở trong những folder mà ta mở đến trong khi process của virus đang hoạt động nên có hiện tượng có folder thì bị nhiễm(các file .exe bên trong đều bị ăn) còn có folder thì kô bị nhiễm. Vì thế có thể các file của hệ thống kô bị ăn và bạn sẽ kô phải làm lại Win smilie

) Thường thì sau khi diệt xong loại thứ 2 này ta cứ chạy Win bình thường nếu nó lỗi quá thì mới repair hay ghost hay cài lại win.

Túm lại các con virus tôi nói tới và đề rac cách diệt đều có Process riêng của nó và kô chung chạ Process với bố con thằng nào hết smilie

) Vì thế dại ca tmd từ giờ đừng có thắc mắc chuyện cách diệt của tôi hay tôi thế nọ thế kia nưa nhá smilie

)

túm lại lần nữa là 2 chugns ta có hứng thú với hai trường phái khác nhau. tôi thì thích loại có Process riêng còn ông thì thích loại chung chạ với Process khác hay thậm chí là kô cần Process (đại ca đi trước thời đại hơi xa đấy smilie

) ). OK?

)

mệt thật nghỉ tí đã, ăn cơm đã, lấy sức tí chơi tiếp smilie

)

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	31/05/2007 22:48:09 (+0700) \| #18 \| 62593

khoaingo
Member

Joined: 06/03/2007 22:09:45
Messages: 11
Offline

Chào các bác, nhờ sự tư vấn của các bác em đã làm như sau;
- Khởi động ở chế độ safe mode, vào regedit chỉnh giá trị Checkvalue=1, xóa file spoclsv.exe, và các file.exe trong windows and system32 mà có date modified gần nhất.
- Khởi động lại bằng đĩa hirens bootcd quyét = mcafee, deleted một đống file.exe bị nhiễm and file Destop_.ini
- Quét xong=mcafee, dùng Hijack This quét tiếp thấy ko còn thằng spoclsv.exe trong system32/drivers lẫn trong Task manager.
- Em cùng cài lại thằng bitdefender thấy nó ko còn bị disable nữa, liệu theo các bác như thế đã hết chưa nhỉ?
ah bác tmd cho em hỏi là trong cái bkav con này nó gọi là W32.WhBoyV.PE nhưng em dùng mcafee nó báo là w32.Fujack thì phải...

[Question] Có ai gặp trường hợp như thế này chưa(bị dính virus)?	31/05/2007 23:06:59 (+0700) \| #19 \| 62597

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

BKAV để tên khác với nước ngoài cho có khác biệt.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	01/06/2007 00:41:59 (+0700) \| #20 \| 62609

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

@khoaingo: Như vậy là sạch loại virus này trong máy bạn rồi. Dù cho có còn vài cái mầm ở chỗ nào đó thì cũng kô đáng lo nữa.

Từ giờ khi dùng máy cố gắng tập thói quen kiểm tra Process đang chạy. Nếu lúc nào thấy Process của nó (spoclsv.exe) thì:

1. kill luôn. nếu kô kill được bằng task manager thì khởi động win ở chế độ safe mode rồi xóa file spoclsv.exe đó trong ổ C:\WINDOWS\system32\drivers\spoclsv.exe. Con này kô khởi động được ở safe mode nên kô có process của nó chạy ở chế độ safe mode.

2. Chạy HijackThis và Fix dòng O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe

Cập nhật AV mới nhất để quét toàn bộ ổ để rọn các file mầm và file bị nó phá.

Nếu phát hiện Process của nó sớm và kill ngay thì nó kô ăn được tí dữ liệu nào của bạn đâu.

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	01/06/2007 02:20:12 (+0700) \| #21 \| 62635

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Quay lại chơi với đại ca tmd tí nhỉ smilie

) bên kia chưa đâu vào đâu mà đã bị lock roài smilie

) mất hứng quá đi smilie

) Cuối cùng cũng được vinh danh cùng đại ca tmd hổ thẹn quá đi smilie

) mình đâu có xứng được đứng cùng đại ca tmd chứ smilie

)

@quanlytruong: Em xin phép được có một "thỉnh cầu" với bác thế này: bác có thể giúp em chỉ ra những từ kô được phép dùng mà trong topic đó đã sử dụng kô ạ:
http://hvaonline.net/hvaonline/posts/list/10844.html

Em cần phải biết để lần sau em tránh nó ra, kô sử dụng nữa. Chứ mỗi người có một cái ngưỡng về từ ngữ khác nhau và cái sự hiểu về ý nghĩa của những từ đó nó cũng khác nhau. Em thì em còn nhỏ vốn kiến thức chưa nhiều nên ý nghĩa của các từ ngữ em nói ra nhiều khi em cũng kô biết hết smilie

) nên có khi em nói ra và em nghĩ những từ đó là bình thường nhưng khi soi vào kho kiến thức và tầm hiểu biết của bác thì nó lại có thêm nhiều ý nghĩa và kô được phép sử dụng.

Em rất mong sự chỉ bảo của bác để lần sau em kô vi phạm nữa. Em xin cảm ơn sự chỉ bảo của bác trước!! smilie

)

Em xin phép được post bài này ở đây vì topic kia cũng được bắt nguồn từ topic này và nếu đặt ở đây thì sẽ có nhiều người được nghe sự giáo huấn của bác và sẽ rút ra bài học cho mình smilie

)

[Question] Re: Có ai gặp trường hợp như thế này chưa(bị dính virus)?	05/06/2007 04:28:59 (+0700) \| #22 \| 63170

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

mtd wrote:

Có biết virus nó lây vào bất kỳ .exe nào, soft không remove nó ra khỏi file được thì nó làm gì ?

soft là soft nào? nó là cái gì hay là ai? smilie

) hỏi kiểu này đúng là khó smilie

) đọc xong câu hỏi nghĩ một hồi thấy ù tai chóng mặt luôn smilie

) chơi với đại ca nhiều khéo em bị tẩu hảo nhập ma có ngày smilie

)

Khi file .exe bất kì bị lây virus hay đúng hơn là bị virus thêm vào một số lệnh thì:
nếu cái sự thêm vào là đúng cú pháp, đúng kĩ thuật thì file .exe đó sẽ thực hiện những lệnh đó khi file được chạy.

Liệu file .exe có thể tự kiểm tra nội dung của nó kô nhỉ? khi bắt đầu chạy nó sẽ kiẻm tra nếu thấy ngoài nội dung được lập trình ban đầu mà có thêm chức năng khác thì nó sẽ tự remove chức năng mới thêm vào kia smilie

) vì thế virus muốn lây vào những file thông minh này thì nó phải sửa đoạn mã kiểm tra kia thì mới lây thành công được smilie

) Một ý tưởng hay phải kô các bác smilie

)

HDH làm gì khi .exe của nó(các file được gọi là hệ thống) bị thay đổi ?

PE là gì ?

hai cái nì em chưa biết smilie

) bác nào nói cho em biết với smilie

)

Có bao giờ bị một con thuần virus lây vào hdh chưa ? Giới hạn là .exe .com .pif và tương tự .

virus thế nào thì được gọi là thuần nhỉ? smilie

)

Virus có process ? hay virus đi theo file đang thực thi ? virus sống cùng với HDH ? ... các cách trình bày tương tự... Có hiểu nó là gì không ?

"các cách trình bày tương tự" là cách trình bày thế nào? nó đâu? có thấy nói đâu mà hỏi người ta có hiểu nó kô smilie

)

Có biết như thế nào thì một con virus tự nó lây vào .exe và các loại tương tự vậy không ?

Cái gì như thế nào?

Điều kiện để một file .exe hay file bất ki bị virus(nói chung) tấn công là Process của virus hoặc Process chứa virus phải đang chạy và HDH phải có hành động gì đó liên quan tới những file đó.

Vi dụ: khi Process của virus(gọi chung cho Process riêng hay Process chứa virus) có chức năng tấn công file .exe đang chạy mà ta mở một folder thì tất cả những file .exe trong folder đó sẽ bị nhiễm virus hết.

Có biết cái con trong cái link của bkav đó, soft ngoại nó để tên là gì không ? biểu hiện ngoài những biểu hiện mà bkav mô tả ?

Kô biết và kô cần biết. Chỉ cần biết nó là virus có process riêng, nó có chức năng tấn công file, nó đã bị nhiều AV phát hiện thì diệt nó bằng tay rùi cài AV đã phát hiện ra nó update mới nhất mà quét thì nó khắc sạch.

Có biết Format cấp thấp và format bình thường ai cũng sài là gì không ?

"Form bình thường ai cũng sài" là format thế nào?

Đã hiểu mơ màng là virus có "process ?" ,vậy đem cái ổ đĩa đó quét DOS, con virus có "process" ngoài DOS không ?

Ngoài DOS thì những virus này kô có Process nhưng tôi cũng chưa bao giờ nói các AV diệt virus qua việc nhận biết Process đang chạy.

Tại sao một con PE virus lại có PROCESS. CHo dù là chuyện này còn chưa biết. ?

chuyện này là chuyện gì? PE là cái quái gì? những con virus tôi đã diệt chưa con nào tôi phải dùng tới khái niệm này.

Làm sao biết ID của cái Process đó. ?

ID của Process có tác dụng gì? tôi chưa bao giờ dùng tới nó.

Biết .com và .exe nó khác nhau chổ nào không ?

hai cái này hình như cũng gần giống nhau. Ngôn ngữ Assembly có thể biên dịch ra hai file này. Virus cũng có thể ở dạng này nhưng hình như nó có yếu điểm gì đó nên kô phổ biến nên tôi cũng kô có hứng thú tìm hiểu về nó.

Tôi chỉ có hứng thú tìm hiểu về những loại virus đang phổ biến còn những loại virus cũ, chưa phổ biến tôi chưa có hứng thú tìm hiểu. Thực ra nếu có hứng thú thì chả có cái gì khó cả, biết nhiều hơn người khác mấy cái lặt vặt kô cần dùng đến thì có gì là ghê gớm.

Go to:

Users currently in here
1 Anonymous