| [Question] Virus này là gì? Xin chỉ mình cách khắc phục? |
30/10/2007 23:10:47 (+0700) | #1 | 94043 |
phanthanhkhanh
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 30/10/2007 11:50:53
Messages: 4
Offline
|
|
Nguyên mạng Lan của mình bị dính loại virus này và làm treo máy hàng loạt.Mong các bạn chỉ cách diệt virus này.
Máy dùng trình đóng băng nhưng khi khởi động máy sử dụng mà vào mạng Lan hay net thì virus đổ bộ vào.Bắt đầu sinh nỗi nãy nở vào tạo những file như pp.exe.comein.exe,cmd.exe...cứ thế nhân lên và làm máy tê liệt máy.Dùng trình diệt virus AVG,Bkav cũng kô ăn thua gì cả.
Đây là hình ảnh:
[URL="http://anhso.net"]
[/URL] |
|
|
 |
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
31/10/2007 00:39:27 (+0700) | #2 | 94054 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Upload file các file .exe mà cậu nghi ngờ là vi-rút lên.
Trên Process panel của Process Explorer, cậu add thêm cột command line để xem wscript.exe run file script nào ? |
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
31/10/2007 00:55:13 (+0700) | #3 | 94058 |
phanthanhkhanh
Member
|
|
0 |
|
|
Joined: 30/10/2007 11:50:53
Messages: 4
Offline
|
|
mình kô up lên được,những file này là fle hệ thống nằm trong systems32,có up len cũng vô dụng.Con virus này hoạt động tất cả các máy trên mạng cục bộ.Nhìn hình giúp mình.
Mình theo giỏi process explorer thì thấy file Wscript.exe chạy thì sinh ra các file khác nhưng rất nhanh,từ đó lại sinh sôi thêm các file wscript.exe nữa. |
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
31/10/2007 02:26:59 (+0700) | #4 | 94085 |
![[Avatar]](/hvaonline/images/avatar/7a1b4d25c990b3dc90df6dd07c98fd40.jpg "[Avatar]")
|
GUN&ROSE
Member
|
|
0 |
|
|
Joined: 08/10/2007 01:19:14
Messages: 8
Location: Đất Mẹ
Offline
|
|
 Hi!Bạn dùng hijackthis scan rồi đưa log lên cho bà con xem sao? |
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
31/10/2007 03:00:21 (+0700) | #5 | 94089 |
phanthanhkhanh
Member
|
|
0 |
|
|
Joined: 30/10/2007 11:50:53
Messages: 4
Offline
|
|
đây là scan bằng HijackThis nè bạn.
Logfile of HijackThis v1.99.1
Scan saved at 1:53:35 PM, on 10/30/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\CTIServ.exe
C:\Program Files\FireLion Softwares\FastHelper\ResidentShield.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\censtat.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\UniKey.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\IGM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscript.exe
C:\Documents and Settings\Minh Quan\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.timnhanh.com/netshop/net/hcm/q_tbi/59vanchung
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE KOCOM KMC-90 Web Camera
O4 - HKLM\..\Run: [hndclient] C:\PROGRA~1\HANDYC~1\CLIENT\_hndguard.exe -rungrd
O4 - HKLM\..\Run: [FastHelper] "C:\Program Files\FireLion Softwares\FastHelper\FastHelper.exe" /startup
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [MsIMMs32] C:\WINDOWS\MsIMMs32.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [MsPrint32D] C:\WINDOWS\MsPrint32D.exe
O4 - HKLM\..\Run: [WinSysM] C:\WINDOWS\IGM.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: censtat.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED1EC358-57C5-4803-9AD9-D171E5B1C55D}: NameServer = 210.245.24.20
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: ctiserv - Centurion Technologies, Inc. - C:\WINDOWS\CTIServ.exe
O23 - Service: [FireLion] FastHelper Resident Shield (FastHelper) - FireLion Co., Ltd - C:\Program Files\FireLion Softwares\FastHelper\ResidentShield.exe
|
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
31/10/2007 03:08:46 (+0700) | #6 | 94092 |
phanthanhkhanh
Member
|
|
0 |
|
|
Joined: 30/10/2007 11:50:53
Messages: 4
Offline
|
|
Nó đây nè
[URL="http://anhso.net"]
[/URL] |
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
01/11/2007 02:57:56 (+0700) | #7 | 94382 |
|
GUN&ROSE
Member
|
|
0 |
|
|
Joined: 08/10/2007 01:19:14
Messages: 8
Location: Đất Mẹ
Offline
|
|
phanthanhkhanh wrote:
đây là scan bằng HijackThis nè bạn.
O4 - HKLM\..\Run: [hndclient] C:\PROGRA~1\HANDYC~1\CLIENT\_hndguard.exe -rungrd
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
Trường hợp này mình chưa gặp bao giờ, nhưng trong cái log bạn gửi mình thấy có 3 file này đáng nghi nhất,đặc biệt là file hndguard.exe.Bạn vô reg tìm đến đường dẫn này rồi xoá file xem sao .Thân |
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
01/11/2007 05:09:26 (+0700) | #8 | 94412 |
![[Avatar]](/hvaonline/images/avatar/6d8fd617dbf3e2c1e12be59585cdb1f9.jpg "[Avatar]")
|
tmd
Member
|
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Máy này giống máy ở tiệm nét quá. Có webcam, có handy cafe bản client, có cài FH, có những thứ bình thường, chỉ có wscript.exe chạy quá nhiều là lạ lạ. Những cái pp.exe.comein.exe như vậy mới nghi.
Có 1 topic tương tự cái topic này, có người góp ý show thêm 1 cột nữa trong process explorer để xem coi wscript.exe chạy cái gì.
PS: các cột window title, session, path, command, version. |
|
| 3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
01/11/2007 09:19:21 (+0700) | #9 | 94469 |
![[Avatar]](/hvaonline/images/avatar/9af1e0b3da01ddc7825487fec3c80073.jpg "[Avatar]")
|
ngothemanhvp79
Member
|
|
0 |
|
|
Joined: 29/06/2007 22:57:41
Messages: 2
Offline
|
|
con này là con skynet rồi bạn ơi ở mạng lan trường mình nhìu kinh khủng ý
mình cũng hay cắm usb vào máy trường dính liền về nhà dùng mấy cái quét là ok trong đó có cả bk đó chỉ là một máy còn cả một mạng lan thì mình chưa thấy các thầy diệt đc mặc dù có bk bản quyền chỉ có cách mà các thầy hay làm là ngắt mạng và ghosh mà thôi
nếu mình ko nhầm thì tất cả folder của bạn sẽ bị biến thành đuôi *>exe hết thì phải và chỉ có 9mấy kb phải ko |
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
01/11/2007 10:45:27 (+0700) | #10 | 94481 |
![[Avatar]](/hvaonline/images/avatar/291409c55e2d4893c4d679e0884a994e.jpg "[Avatar]")
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Hình như con của bác giống con này:
http://www.diendantinhoc.com/lofiversion/index.php/t43931.html
Máy mình cũng bị nhiễm và đã diệt đuợc rồi.
Cài kaspersky, update virut mới
Khởi động lại máy, nhấn F8 > chọn Safe mode
Khi Win load đến màn hình welcome nhấn Shift + Alt để không nạp các services + chuơng trình linh tinh
Mở Kaspersky lên quét virut là hết.
Bác thử làm xem.
|
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
01/11/2007 21:14:46 (+0700) | #11 | 94534 |
Angel_A
Member
|
|
0 |
|
|
Joined: 04/12/2006 13:25:43
Messages: 91
Location: Dak Lak
Offline
|
|
Mình xem qua Log của bạn up và kết luận như sau:
- mppds.exe --> Trojan.Downloader-Gen/Win.Process
- cmdbcs.exe --> Troj/PWS-AFC
- IGM.exe --> w32.AcLuC.PE
3 em này có thể dùng http://www.regrun.com và BKAV để diệt.
Còn process "Wscript.exe" đúng ra là của hệ thống nhưng trong trường hợp có quá nhiều process này trong log mình nghĩ nó bị nhiễm con "Vbswg.Aq Worm". Bạn kiểm tra lại nhé! |
|
| www.ovo.vn |
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
02/11/2007 12:02:41 (+0700) | #12 | 94783 |
![[Avatar]](/hvaonline/images/avatar/81615bde673a6c49d147c6a51ee62f12.png "[Avatar]")
|
tieuvuong_net
Member
|
|
0 |
|
|
Joined: 10/04/2004 19:48:33
Messages: 105
Location: The Dark
Offline
|
|
Nếu máy chạy NET thì bác rút dây mạng đi rồi làm bản Ghost, rồi Ghost một phát là Okê. Nhìn vào cái log hoa hết cả mắt. Nhìn vào cái đống Process cũng đủ thấy tơi bời lắm rồi. Nhớ đóng băng rồi thì cũng nên nhớ:
- ĐẶt mật khẩu tài khoản cho quyền Administrator và tắt chế độ chia sẻ full trong LAN nữa, ngày xưa tui nhớ từ hồi con Rotokbro đã gây ra hiện tượng này rồi
Regard
|
|
|
|
|
| [Question] Re:Virus này là gì? Xin chỉ mình cách khắc phục? |
03/11/2007 22:38:06 (+0700) | #13 | 95088 |
|
tieuvuong_net
Member
|
|
0 |
|
|
Joined: 10/04/2004 19:48:33
Messages: 105
Location: The Dark
Offline
|
|
 Nhìn mấy cái Process từ log trông nó giống cái này ghê . Làm thử xem>
Hacked By Godzilla - Virus Fixed
Hacked By Godzilla is a new computer virus that widely infect from using Handy Drive or Floppy Disk
Defected
1. We can not Double Click to open any Drive on our computer. But we can Right Click to Open or Explore.
2. There is a text “Hacked By Godzilla” on Title Bar of Internet Explorer.
How to fix Godzilla
1. Double Click on My Computer icon on Desktop and select Tools --> Folder Options
2. When Folder Options cliak at View tab
a. check at Show Hidden files and folders
b. unchuck the Hide extention… and Hide protected operating system file
c. click OK
3. Press Ctrl+Alt+Delete. The Windows Task Manager will dispalay. Click at Processes tab
a. Click menu Image Name (to sort Files)
b. Select wscript.exe (one by one)
c. Click End Process button
4. Open drive (By right click and select Explore. Must not Double Click !) Delete autorun.inf and MS32DLL.dll.vbs (Press Shift+Delete) in all drives include Handy Drive and Floppy disk.
5. Open folder C:\WINDOWS to delete MS32DLL.dll.vbs inside (press Shift+Delete )
6. Go to Start --> Run and enter regedit click OK. Registry Edit dialoq will display.
7. Select HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows --> Current Version --> Run to delete MS32DLL (press Delete key on keyboard)
8. Select HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main to delete Window Title “Hacked by Godzilla” (press Delete key on keyboard)
9. Click Start --> Run and enter gpedit.msc click OK. Group Policy dialoq will display.
10. Select User Configuration --> Administrative Templates --> System --> Double Click on file Turn Off Autoplay then Turn Off Autoplay Properties will display
a. Select Enabled
b. Select All drives
c. Click OK
To prevent auto open when we insert CD or plug the Handy Drive that is the way virus infect.
11. ClickStart --> Run and enter msconfig Click OK. the System Configuration Utility dialoq will display
a. Click Startup tab
b. Uncheck MS32DLL
c. Click Apply
d. Clock OK (or Close)
When the System Configuration dialoq display select Exit Without Restart
12. Double Click on icon My Computer on Desktop. Then select Tools --> Folder Options
13. On Folder Options dialoq select View tab
a. Check at Hide extention… and Hide protected operating system file
b. Click OK
14. Right Click at Recycle bin. Then select Empty Recycle Bin to make sure the virus is deleted.
That's all. You'll never see Hacked By Godzilla again. I Guarantee it'll work !
|
|
|
|
|
| [Question] Re: Virus này là gì? Xin chỉ mình cách khắc phục? |
04/11/2007 01:24:24 (+0700) | #14 | 95131 |
tronghieu52
Member
|
|
0 |
|
|
Joined: 31/07/2007 13:15:21
Messages: 1
Offline
|
|
| các bác chi rum..máy của mât hết chương trình chạy rồi nhất kà office |
|
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[ICQ]](/hvaonline/templates/viet/images/icon_icq_add.gif "[ICQ]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")