banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Virus W32.Vetorl.PE  XML
  [Question]   Re: Virus W32.Vetorl.PE 10/01/2008 03:28:55 (+0700) | #31 | 109333
war3zl33ch3r
Member

[Minus]    0    [Plus]
Joined: 29/12/2007 03:43:31
Messages: 7
Offline
[Profile] [PM]
Mấy bác tmp, GS chỉ giúp em cách diệt con này bằng tay với smilie , bọn Bitdefender/Kaspersky xóa hết file exe của em rồi smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 10/01/2008 03:52:30 (+0700) | #32 | 109337
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]

quanghabk wrote:
code nguyên bản con này đã được public (phiên bản VT_4) ,nên nó biến thể ác liệt hơn rất nhiều so với thông thường. 


Vụ này thì giờ tui mới bit đó, nếu đúng như bạn nói thì thật là phiền phức. Mà "phiên bản VT_4" là sao hả bạn? Ý bạn VT_4 là cái event self-check của nó hả? VetorI nói tới trong này tạo event "VX_4" smilie. Mà riêng cái event "VX_4" này tôi cũng thấy có tới mấy version lận, đúng là ác mộng smilie

Các bác có hứng thú nghịch em này thì vô VMWare hoặc VirtualPC mà chơi, đừng "máu" như bác Hacnho nguy hiểm lắm, chưa thấy AV nào thịt em này thực sự ngon cả smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 10/01/2008 07:01:37 (+0700) | #33 | 109379
mailhn
Member

[Minus]    0    [Plus]
Joined: 24/07/2004 15:08:22
Messages: 7
Offline
[Profile] [PM]
mở processxp lên xem thì chẳng thấy thread lạ nào 

Đúng là em nhầm ở chỗ này, vì chưa phân biệt rõ 2 loại Virus và Worm, với lại bây giờ nó hay kết hợp với nhau vd như con Dashfer vừa Run vừa Infect.

Sử dụng phương pháp Đông tây y kết hợp: BKAV_1436 + KAV_5.0.676(update database mới nhất). Hôm qua chính thức em đã quét sạch con W32.Vetorl.PE (theo BKAV) hay còn gọi là Virus.Win32.Virut.q (theo KAV). Cách diệt của em là :

1. Trươc khi diệt phải tắt System Restore(cái này ko mấy tác dụng mà còn gây rắ rối).
2. Cài BKAV mới nhất chưa cần quét tước gì cả, tiếp theo cài KAV5 cho nó nhẹ, nhẹ hơn KAV hay KIS 6-7 nhiều và dễ sử dụng(down ở đây http://www.9down.com/Kaspersky-Anti-Virus-Personal-5-0-388-5469/)
3. Tiếp theo down bản update mới trực tiếp từ Kaspersky tại ftp://ftp.downloads1.kaspersky-labs.com/zips/av-i386&ids-cumul.zip cũng có thể update trực tuyến nếu có mạng nhưng chắc là chậm hơn down. Nếu down về thì mở nén file đó rồi chỉ đường dẫn tới thư mục vừa bung để update.
4. Quét = KAV trước và quét đi quét lại ổ chứa HĐH 2-3 lần cho chắc smilie , sau mỗi lần quét xong KAV sẽ yêu cầu bạn Process trong quá trình process bạn nhớ chọn DISINFECT đừng chọn DELETE như thế thì KAV sẽ không xóa file exe của bạn mà nó gói lại. sau đó quét nốt các ổ còn lại.
5. Sau khi quét = KAV 2-3 lượt thì lôi BKAV ra quét cũng vài lượt vào cho đến khi nào thông báo ko còn con nào thì thôi(BKAV đc cái ko xóa mà chỉ Disinfect thôi).

Trường hợp của em cũng bị lây nhiễm tương đối nhiều chủ yếu virus tập trung ở ổ chứa HĐH, ổ D khoảng 20Gb dữ liệu nên quét cũng khá nhanh(cấu hình Pen IV-3.0Gb, 512-RAM). Trong khi quét cũng nhiều lúc KAV và BKAV bị treo bất tử, có lẽ do virus phát tán nên ngốn nhiều tài nguyên CPU nhưng cứ kiên trì quét là được.

Cũng nên xác định luôn là cài lại HĐH nếu có Ghost thì đỡ. Diệt hết Virus mà không tổn hại đến đống file EXE là hạnh phúc lắm rồi các bác ạ!

Thank tất cả các bác đã nhiệt tình chỉ dẫn.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 11/01/2008 01:27:09 (+0700) | #34 | 109511
quanghabk
Member

[Minus]    0    [Plus]
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
[Profile] [PM]
@Vxer: đúng là event đấy bạn ạ.Con này được phát triển dựa trên virus ThankstoDarwin của BlueOwl, nghiên cứu nó cũng học được khối điều đấy
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 11/01/2008 07:51:32 (+0700) | #35 | 109561
born2die
Member

[Minus]    0    [Plus]
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
[Profile] [PM]
@tmd: chắc bạn tưởng đây là trojan chứ gì (chủ topic hỏi diệt trojan mà smilie ), ha ha ha...

@LeVuHoang:
Bao giờ FireLion update con này vậy anh? 

Sad but true: NEVER smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 11/01/2008 10:58:02 (+0700) | #36 | 109585
juypiter
Member

[Minus]    0    [Plus]
Joined: 09/01/2007 19:57:36
Messages: 16
Offline
[Profile] [PM]
hic hic...lại còn public nữa thì....
Bao giờ update vào FireLion đây hả bác Hoàng??? smilie smilie smilie smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 12/01/2008 01:26:00 (+0700) | #37 | 109702
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

juypiter wrote:
hic hic...lại còn public nữa thì....
Bao giờ update vào FireLion đây hả bác Hoàng??? smilie smilie smilie smilie  


born2die wrote:
Sad but true: NEVER 

Có nghĩa là không bao giờ smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 12/01/2008 02:11:13 (+0700) | #38 | 109713
[Avatar]
tieuvuong_net
Member

[Minus]    0    [Plus]
Joined: 10/04/2004 19:48:33
Messages: 105
Location: The Dark
Offline
[Profile] [PM]

Look2Me wrote:


Gặp con này thì:
1. Format toàn bộ ổ cứng (hoặc xóa hết tất cả các file PE trong máy). Làm lại từ đầu.
2. Upload mẫu lên nhờ các AVR họ diệt cho: ví dụ: Bkav, NAV, KAV.
.....
Gud luck! 


Very correct! Vì đây là PE
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 13/01/2008 17:06:55 (+0700) | #39 | 110033
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]

juypiter wrote:
hic hic...lại còn public nữa thì....
Bao giờ update vào FireLion đây hả bác Hoàng??? smilie smilie smilie smilie  

Cái bạn này buồn cười quá đi, bộ không thấy người ta đang bận hả?

LeVuHoang wrote:
Hiện nay Hoàng đang tập trung phát triển dòng ứng dụng chống keyloggers. 


Tôi nghĩ bạn Juypiter chỉ nên đặt những câu hỏi như vậy trong trường hợp mấy con worm, trojan đơn giản thôi. Mấy thằng infector lại còn polymorphic thế này chả bận gì có khi cũng chả phân tích đc smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 14/01/2008 00:15:30 (+0700) | #40 | 110051
daicvm
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 18:47:12
Messages: 18
Offline
[Profile] [PM]
[b] Chào các you !Thấy mấy you bàn cải kinh wa về cái vu con virus kia ! em có một số kinh nghiệm nho nhỏ ! đảm bảo 100% ok
- Thứ nhất : Dòng virus trên là một dòng da hình ! nó tạo ra trong hệ thống một số thứ ! mỗi máy mỗi khác ! nhưng có chung một cấu trúc !
- Triệu chứng thường gặp : Khi máy bi nhiễm loại này : có thể : Click đúp chuột là tắc máy (mội kiểu autorun)
: Or Click chuột là máy treo!không chay được word, yahoo...
: Ẩn System32, ForderOption mát tác dụng.
: Có một số process không rỏ nguồn gốc, không
tắt được. ...... nhiều thứ khác nửa...
- Tấc cả các chương trình quét virus hiện tại điều " Tóm" đươc con này ! với điều kiện là phài tắt Process cùa con virus này di !
- Loại này khi chạy có nhiều process ! nên không thể dùng các trình kill process bình thường được vì chúng không cho tăt nhiều process cùng lúc ! Tôi sưu tầm được loại này nè ! có thể kill nhiều Process cùng lúc ! processkill (tên chương trình là killprocess v1.1) www.autodebug.com ! loại này chạy ok (Khi kill thì nhớ kill thằng Explorer.exe luôn nha)
- Sau khi kill dược chúng ! thì dùng bkav cho nhanh ! sạch
- Giải quyết tiếp tới cái Ẩn file ! (cái này kinh hơn ! )
- Vào regedit - HK_L_Machine - software - Mircosoft - Windows - CurrentVersion - Explorer - Advanced - Forder - Hidden - SHOWALL Thay đổi giá trị CheckedValue từ 0 --> 1 (Nhớ tắt Explorer.exe trước nha ) F5 - Lúc này mở Explorer lên ! (không được click đúp ) vào forder option chọn cho hiện tác cả file ẩn (3 check) ok !
Vào ổ đỉa C, D, E... xem thử đã ok chưa . Tìm thử có còn file autorun.inf nào không ? xóa chúng đi ! reset lại pc ! ok
Chúc thành công ! Mội thắc mắt về Virus và các diệt xin liên hệ daisonmy@yahoo.com or daisonmy@gmail.com
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 14/01/2008 00:46:40 (+0700) | #41 | 110057
[Avatar]
Hts
Member

[Minus]    0    [Plus]
Joined: 15/12/2006 11:01:28
Messages: 193
Location: OEP
Offline
[Profile] [PM]
Chà, lúc post bài này tớ đang sống cùng hơn 2000 con này trong máy smilie

daicvm wrote:
[b] Chào các you !Thấy mấy you bàn cải kinh wa về cái vu con virus kia ! em có một số kinh nghiệm nho nhỏ ! đảm bảo 100% ok
- Thứ nhất : Dòng virus trên là một dòng da hình ! nó tạo ra trong hệ thống một số thứ ! mỗi máy mỗi khác ! nhưng có chung một cấu trúc !
- Triệu chứng thường gặp : Khi máy bi nhiễm loại này : có thể : Click đúp chuột là tắc máy (mội kiểu autorun)
: Or Click chuột là máy treo!không chay được word, yahoo...
: Ẩn System32, ForderOption mát tác dụng.
: Có một số process không rỏ nguồn gốc, không
tắt được. ...... nhiều thứ khác nửa..
 

Máy tớ vẫn bình thường chả có gì giống như trên cả smilie?. Chả có process nào lạ. Folder Option vẫn mở ngon lành. FIle ẩn vẫn xem tốt. Chả có cái autorun nào.

.

daicvm wrote:

- Tấc cả các chương trình quét virus hiện tại điều " Tóm" đươc con này ! với điều kiện là phài tắt Process cùa con virus này di !
 
Process của nó là cái nào thế? Chỉ tớ với.
.

daicvm wrote:

- Loại này khi chạy có nhiều process ! nên không thể dùng các trình kill process bình thường được vì chúng không cho tăt nhiều process cùng lúc ! Tôi sưu tầm được loại này nè ! có thể kill nhiều Process cùng lúc ! processkill (tên chương trình là killprocess v1.1) www.autodebug.com ! loại này chạy ok (Khi kill thì nhớ kill thằng Explorer.exe luôn nha)
- Sau khi kill dược chúng ! thì dùng bkav cho nhanh ! sạch
- Giải quyết tiếp tới cái Ẩn file ! (cái này kinh hơn ! )
- Vào regedit - HK_L_Machine - software - Mircosoft - Windows - CurrentVersion - Explorer - Advanced - Forder - Hidden - SHOWALL Thay đổi giá trị CheckedValue từ 0 --> 1 (Nhớ tắt Explorer.exe trước nha ) F5 - Lúc này mở Explorer lên ! (không được click đúp ) vào forder option chọn cho hiện tác cả file ẩn (3 check) ok !
Vào ổ đỉa C, D, E... xem thử đã ok chưa . Tìm thử có còn file autorun.inf nào không ? xóa chúng đi ! reset lại pc ! ok
Chúc thành công ! Mội thắc mắt về Virus và các diệt xin liên hệ daisonmy@yahoo.com or daisonmy@gmail.com 
Điều duy nhất tớ thấy lạ là cái cái đèn ổ cứng đỏ liên tục và cái System Idle Process toàn 99smilie. Chắc là nó đang gọi thêm anh em nhà nó ra smilie.

Mình rất khoái con này. Rất ít dấu vết , làm việc ngọt. Mỗi tội diệt nó hơi đắng smilie. Tốt nhất là đem đến một máy sạch hoặc kiếm cái AV chạy trên nền DOS mà quét.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 14/01/2008 02:54:07 (+0700) | #42 | 110073
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hic các đại ka toàn dùng từ ngữ chuyên môn khó hiểu vãi smilie mà mình thì cũng kô còn hứng thú với bọn vi rut như xưa nên cũng chẳng có hứng thú đi search xem mấy cái từ chuyên môn ấy nghĩa là thế nào nên cũng chả có hứng nhảy zo pon chen smilie

Đối với em thì con cũng như con nào nó đều phải có phần hoạt động và phần lây nhiễm. để tiêu diệt một con thì đầu tiên em thường xác định xem phần hoạt động của nó có những file nào được kích hoạt như thế nào rồi tìm cách vô hiệu phần hoạt động ấy.

Tiếp theo là dọn dẹp cái phần lây nhiễm. Nếu kô phải là loại lây file thì việc này đơn giản. còn nếu là loại lây file thì phải nhờ tới các AV đã update để quét phát hiện ra file bị nhiễm.

Nếu file bị nhiễm là file quan trọng kô lấy ở đâu được thì mới nghĩ tới việc cứu chữa. còn kô thì cứ cho Av nó del thẳng tay kô thèm tiếc.

Quan trọng là ý thức và sự hiểu biết khi sử dụng máy tính thôi. chứ chỉ cách diệt nhưng kô biết cách phòng thì cũng bằng hòa.

@daicvm: Đa hình là thế hả bạn? smilie hic sợ quá!
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 18/01/2008 08:55:17 (+0700) | #43 | 110881
kieuhung0608
Member

[Minus]    0    [Plus]
Joined: 21/08/2007 23:53:59
Messages: 8
Offline
[Profile] [PM]
Hôm bữa em cũng bị dính con này, quét bằng BKAV ra gần 1000 con, khởi động lại máy rồi quét tiếp thì không... dưới 900 con !!! Bí quá em vào safe mode cũng mở BKAV ra diệt thì ơn trời máy ko thấy tăm hơi nó đâu nữa. Nghe các bác nói nó nguy hiểm em đâm ra lo theo, biết đâu nó âm thầm phá hoại thì chắc em chết, bao nhiêu là dữ liệu quan trọng
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 18/01/2008 10:41:59 (+0700) | #44 | 110900
FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
[Profile] [PM]

kieuhung0608 wrote:
Hôm bữa em cũng bị dính con này, quét bằng BKAV ra gần 1000 con, khởi động lại máy rồi quét tiếp thì không... dưới 900 con !!! Bí quá em vào safe mode cũng mở BKAV ra diệt thì ơn trời máy ko thấy tăm hơi nó đâu nữa. Nghe các bác nói nó nguy hiểm em đâm ra lo theo, biết đâu nó âm thầm phá hoại thì chắc em chết, bao nhiêu là dữ liệu quan trọng 


1000 con hay là 1000 file bị nhiễm bồ? smilie Hình như nhiều người hay nhầm lẫn ở chỗ này.
Hãy giữ một trái tim nóng và một cái đầu lạnh
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 18/01/2008 11:22:28 (+0700) | #45 | 110903
[Avatar]
nguyenmanh_xd
Member

[Minus]    0    [Plus]
Joined: 01/02/2004 14:23:27
Messages: 53
Offline
[Profile] [PM]
Máy bạn mình cũng bị dính con này.Minh vào safe mode dùng BKAV diệt nhưng cũng không hiệu quả.Máy nó là đồ cổ,lại không có đĩa mal lên giờ chắc là khó cài lại win. không biết có cách nào diệt tận gốc con này không? Ổ cứng nó có 10G nên từ khi nhiễm con này thấy báo ổ bị full liên tục.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 19/01/2008 02:17:07 (+0700) | #46 | 111001
pkc_vhit
Member

[Minus]    0    [Plus]
Joined: 12/01/2008 09:13:32
Messages: 6
Offline
[Profile] [PM]
hiện tại hơn 300 máy tính của trường mình đã bị dính con này
nhưng không biết có cách diệt chưa nên mình tham khảo nhưng chưa thấy giải pháp nào thật sự để mình áp dụng, mình mong được các cao thủ chỉ giáo hướng dẫn em diệt con này
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 20/01/2008 07:00:43 (+0700) | #47 | 111197
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Tôi nghĩ trong trường hợp của bạn (bị nhiễm 1 số lượng lớn máy) thì cách tốt nhất là: copy mẫu (nhớ nén+đặt password) và gửi cho các AVR để nhờ họ diệt cho. Đây là giải pháp tốt nhất, hợp lý nhất, và cũng gần như là duy nhất!!!
Ở trong nước bạn có thể gửi cho Bkav.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 20/01/2008 09:28:20 (+0700) | #48 | 111211
[Avatar]
motminhanh
Member

[Minus]    0    [Plus]
Joined: 06/01/2008 15:43:07
Messages: 101
Location: Homeland corp!
Offline
[Profile] [PM] [ICQ]
mấy con w.32 na`y tớ bị dính suốt,tốt nhất là dùng ca? hai phan mềm bkav pro và synmantec cùng nhau,tớ cung~ lam` vậy,ổn phết..cứ thử ma` xem...nhưng chi? sống chung với no' d.c ma` thuj cunq~ vui lam' nhu song chung voi lu~ vậy.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 20/01/2008 09:45:07 (+0700) | #49 | 111213
[Avatar]
Bí Danh NJ
Member

[Minus]    0    [Plus]
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
[Profile] [PM] [Yahoo!]
smilie Thử Symantec Endpoint Protection xem ! Hay dùng cả FireLion của bác Hoàng ấy ! Xem thử có hay hơn BKAV không ! Rồi còn con nào nhảy vào nữa không smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 21/01/2008 08:06:16 (+0700) | #50 | 111314
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]
Symantec thì nghe còn được chứ còn ... smilie
Nên nhớ là chúng ta đang nói về 1 file infector & polymorphic & EPO virus bạn ạ smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 22/01/2008 09:45:05 (+0700) | #51 | 111495
kidthu
Member

[Minus]    0    [Plus]
Joined: 13/09/2007 21:57:15
Messages: 1
Offline
[Profile] [PM]
ban oi minh quet duoc con nay roi do chi dung bkav thoi nhung omay khac
con chi tiet an lien he nha:vanthu_baoloc@yahoo.com
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 22/01/2008 12:04:27 (+0700) | #52 | 111506
juypiter
Member

[Minus]    0    [Plus]
Joined: 09/01/2007 19:57:36
Messages: 16
Offline
[Profile] [PM]
Hình như là có mỗi bác Bê Ka A Vê nhà mình còn diệt tử tế!!!

smilie smilie smilie smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 22/01/2008 23:16:37 (+0700) | #53 | 111558
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

Bí Danh NJ wrote:
smilie Thử Symantec Endpoint Protection xem ! Hay dùng cả FireLion của bác Hoàng ấy ! Xem thử có hay hơn BKAV không ! Rồi còn con nào nhảy vào nữa không smilie 

@VXer:Symantec : .... diệt được rất nhiều virus, nhưng ... không thể diệt được con này smilie
FireLion : ngại quá nhỉ smilie . Tất cả những con virus mà FireLion diệt được mọi người đều có thể diệt bằng tay dễ dàng smilie
Dù sao vẫn ủng hộ bác Hoàng. Làm soft AVR tốt đâu có dễ smilie . Không riêng gì Vector, tất cả các virus lây file đều không nằm trong list của FireLion.

@all: có thằng KAV diệt được con này nhưng là: xóa hết tất cả các file. smilie . Như vậy thì thà sống chung với lũ thì hơn.
Rất may đã có hàng nhà: Bkav diệt khá tốt con này smilie .
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 23/01/2008 00:40:40 (+0700) | #54 | 111583
Overflow
Member

[Minus]    0    [Plus]
Joined: 22/05/2007 18:55:46
Messages: 11
Offline
[Profile] [PM]
KAV nó diệt cũng tương đối ổn đấy. Ko phải biến thể nào nó cũng xóa đâu. Theo tui dùng vài AV cho chắc smilie . Bác FireLion mới được phát triển thì lây file chưa diệt được là chuyện thường tình, có sao đâu smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 23/01/2008 03:16:48 (+0700) | #55 | 111612
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]

Look2Me wrote:
@VXer:Symantec : .... diệt được rất nhiều virus, nhưng ... không thể diệt được con này smilie  

Cái này thì tôi không biết, nhưng FireLion thì chắc chắn là không được smilie

Overflow wrote:
Bác FireLion mới được phát triển thì lây file chưa diệt được là chuyện thường tình, có sao đâu  

Tôi nghĩ khi nghiên cứu virus thì hiểu biết về File infector và nguyên lý của nó là rất cần thiết, hơn nữa theo tôi được biết thì về mặt lịch sử virus cũng ra đời trước worm với trojan. Việc phát triển anti-virus mà không thể diệt file infector quả là một thiếu sót lớn smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 23/01/2008 08:02:52 (+0700) | #56 | 111650
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Tình hình dạo này có vẻ khá hơn, tạt vào đây reply born2die, Look2Me & VXer cái smilie

Dĩ nhiên, không có cái gì hoàn hảo, từ con người đến chương trình máy tính. Có những vấn đề thuộc về kỹ thuật lẫn điều kiện cho phép mà chúng ta có thể làm được hay không. Chẳng có gì gọi là xấu hổ hay ngượng ngùng khi nói "Không" cả. Cũng như lời thông báo khi phát hành FastHelper, Hoàng đã nói rõ trước là:

7. Chương trình có ngăn được rootkit?
_ Chúng tôi rất tiếc nhưng câu trả lời là Không smilie. [FireLion] FastHelper Chưa được thiết kế để chống các loại rootkit. Hiện nay, chúng tôi chỉ quan tâm đến các loại mã độc hại đang thịnh hành ở Vietnam.
 

Do vậy, con này, chắc phải nhờ 3 bác viết ứng dụng diệt smilie.

Không riêng gì Vector, tất cả các virus lây file đều không nằm trong list của FireLion.
 

Cái này thì tôi không biết, nhưng FireLion thì chắc chắn là không được
 

Đúng vậy, PE infector là một dạng khó đôi lúc phải bỏ cả vài ngày hoặc vài tuần để có thể đọc hiểu hết toàn bộ và việc remove ra khỏi 1 file EXE là một việc khá khó khăn. Hiện nay, FastHelper cũng sẽ không diệt virus theo đúng nghĩa. Hoàng sẽ thêm điều này vào FAQ. Thank bạn đã nhắc nhở.
Trên thế giới có rất nhiều phần mềm chống malware như: Anti Spyware, Anti Rootkit, Anti Trojan, Anti Virus... Hoàng chưa bao giờ tuyên bố FastHelper diệt được virus. Có thể cho là FastHelper chỉ diệt worm, trojan cũng ok smilie. Đây là một ứng dụng Trojan Remover (chỉ chuyên diệt trojan) chắc nhiều bạn cũng biết: http://www.simplysup.com/


Tôi nghĩ khi nghiên cứu virus thì hiểu biết về File infector và nguyên lý của nó là rất cần thiết, hơn nữa theo tôi được biết thì về mặt lịch sử virus cũng ra đời trước worm với trojan. Việc phát triển anti-virus mà không thể diệt file infector quả là một thiếu sót lớn
 

Tiếp tục đúng smilie. Tuy nhiên, điều này chỉ bắt buộc nếu bạn phát triển 1 AV chuyên nghiệp và có hẳn 1 team: ăn virus, ngủ virus...


Tất cả những con virus mà FireLion diệt được mọi người đều có thể diệt bằng tay dễ dàng
 

Đây là điều ai cũng biết. Nhưng có 1 vấn đề bạn quên đề cập tới là hệ thống 100 máy của cty bị nhiễm thì đi quét bằng tay sao smilie.

Cuối cùng: Hoàng kêu gọi mọi người nếu giúp được thì nên đóng góp, dù ít dù nhiều, dù chỉ là diệt worm, trojan, mấy con choai choai "made in Vietnam" thì bạn cũng đã

Chúng tôi xây dựng chương trình vào thời gian rãnh với niềm hy vọng giúp ích một chút nào đó cho cộng đồng sử dụng máy tính tại Vietnam. Do đó, chương trình hoàn toàn miễn phí.
 

Hy vọng là thế smilie.

Đối với những bạn đã bị nhiễm virus (nói chung). Các bạn nên biết những điều sau đây:
1. Nếu là virus, thì sẽ không có process. Dò "process mới" là vô ích
2. Tại sao bạn cứ nhiễm đi nhiễm lại sau khi đã quét xong. Đó là do có thể chương trình diệt virus của bạn, khi cài vào máy bị nhiễm, cũng bị virus đính vào. Vì vậy, bạn có quét 1000 lần bằng chương trình bị nhiễm thì máy cũng bị nhiễm thôi. Trong trường hợp này, bạn nên rút ổ đĩa cứng gắn sang 1 máy *sạch* có chứa Anti Virus rồi quét.
3. Kết hợp nhiều AV khác nhau: KAV, AVG, Bit...
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 23/01/2008 23:36:15 (+0700) | #57 | 111729
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

LeVuHoang wrote:

Đối với những bạn đã bị nhiễm virus (nói chung). Các bạn nên biết những điều sau đây:
1. Nếu là virus, thì sẽ không có process. Dò "process mới" là vô ích
2. Tại sao bạn cứ nhiễm đi nhiễm lại sau khi đã quét xong. Đó là do có thể chương trình diệt virus của bạn, khi cài vào máy bị nhiễm, cũng bị virus đính vào. Vì vậy, bạn có quét 1000 lần bằng chương trình bị nhiễm thì máy cũng bị nhiễm thôi. Trong trường hợp này, bạn nên rút ổ đĩa cứng gắn sang 1 máy *sạch* có chứa Anti Virus rồi quét.
3. Kết hợp nhiều AV khác nhau: KAV, AVG, Bit... 

Hi LeVuHoang!
Khi Vxer nhận xét vậy tôi thấy cũng hơi nặng lời nên đã định reply lại ngay nhưng vì bận chút nên chưa kịp trả lời.
Hơn ai hết tôi hiểu để làm được một soft AVR tốt vất vả thế nào (vì tôi cũng đã từng làm nhưng thất bại). Thất bại đơn giản bởi không thể duy trì được.
Tôi cũng hiểu mục tiêu mà FastHelper hướng tới. Trên thế giới cũng có rất nhiều chương trình giống FastHelper đấy thôi. Chúng ta phải cân nhắc giữa các tính năng, thời gian, tiền bạc .... Để diệt một con PE có thể là 1 buổi, một ngày, 1 tuần hoặc hơn. Trong khi để diệt 1 con worm có thể chỉ tốn 30 min, thậm chí 10s (nhiều hãng diệt theo MD5 mà).
Tôi nghĩ Hoàng nên kiếm tài trợ hoặc lập nhóm, chứ cứ solo thế thì làm sẽ không thể làm tốt được => giải tán sớm.

// Mấy vấn đề về kỹ thuật.

1. Tôi nghĩ khái niệm virus bây giờ (ở VN dùng) đã được thay đổi để chỉ tất cả các phần mềm độc hại nói chung ( = malware ). Vì thế nếu bạn muốn nói về virus thuần chủng thì hãy gọi là "lây file" hay "virus truyền thống".
2. Khả năng AVR bị nhiễm virus là có thể, tuy nhiên theo tôi biết nhiều trường hợp là do biến thể mới của virus, hoặc do virus liên tục tạo ra 1 file (đã được nhận diện).
3. Việc kết hợp các soft AVR là điều tối kỵ. Nếu muốn quét bằng nhiều soft AVR thì hãy thử lần lượt từng cái một.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 23/01/2008 23:54:39 (+0700) | #58 | 111735
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]
Oops, em đã nhầm FastHelper là 1 antivirus software, thành thật xin lỗi các bác smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 24/01/2008 03:03:34 (+0700) | #59 | 111760
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

VXer wrote:
Oops, em đã nhầm FastHelper là 1 antivirus software, thành thật xin lỗi các bác smilie  

Chính xác, tên đây đủ là: [FireLion] FastHelper, không phải là [FireLion] Anti Virus smilie.
Dẫu biết duy trì khó khăn, nhưng ít ra free time của mình giúp ích cho người khác thì cũng không đến nỗi uổng phí smilie.
[Locked] [Up] [Print Copy]
  [Question]   Re: Virus W32.Vetorl.PE 24/01/2008 04:09:52 (+0700) | #60 | 111772
[Avatar]
banmebynight
Member

[Minus]    0    [Plus]
Joined: 20/09/2006 11:47:24
Messages: 1
Location: The Moon
Offline
[Profile] [PM]
Về loại vi rút này mình đã nghiên cứu sơ lược và đã thử trên máy của mình rồi:

1. Tính chất: Lây nhiễm mạnh qua USB flash.
2. Các file chủ chốt có thể thấy:
- _install.exe trong tất cả các thư mục có chứa file .exe trên ổ cứng ngoài ổ có hệ điều hành. Dùng phương pháp tìm kiếm trong các ổ đĩa xoá đi trước.
- Một file chủ chốt của vi rút này là calcs.exe hoặc cals.exe nằm trong thư mục x:\WINDOWS\system32 – Ghi chú: x là ổ đĩa mà bạn cài windows. Để xoá file này bạn có thể dùng Hiren Boot CD vào mini windows 98 hoặc các chương trình quản lý file trong DOS để xoá.
3. Tác động:
- Khởi động lại máy tính vào máy tính có thể máy sẽ tự động shutdown.
- Ta có thể bung file ghost ra hoặc cài lại máy.
- Vi rút này có thể làm ẩn Hide protected operating system files (Recommended) trong Folders Option.

Chúc các bạn thành công !
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|