| [Question] Hỏi thêm về con Virus gây Logoff khi Logon. |
14/05/2008 13:05:19 (+0700) | #1 | 130460 |
![[Avatar]](/hvaonline/images/avatar/0cc8f7bf8a8d56980414a6e4bc69cdc6.png "[Avatar]")
|
kamikazeq
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
Con virus ấy (điển hình là Mixa.exe), cứ hễ dính là bị sửa REG và tàn dư của nó là phải chịu Logoff phải không các bác?
Máy mình dính con ấy, mình tìm diệt nó bằng tay. (End Task, Delete file Mixa.exe) (lúc đó mình chưa biết nhiều thông tin về nó).
Restart lại 1 cái, và khi vào tới màn hình Logon là bị Logoff ra. Rồi hết vào Win được luôn. 
Có phải cứ hễ dính nó là phải chịu hậu quả Logoff ?!
Nếu may mắn thì còn sửa REG đc trong Safe Mode , ko thì phải sửa bằng Boot CD ?!
Các bác cho mình hỏi, khi mình đã dính nó, có cách nào để tránh không bị hậu quả (Logoff) do nó để lại không?
------
Đọc xong mấy bài hướng dẫn, mình nghĩ thế này, không biết có đúng không.
Đó là:
_ Mỗi lần vào Win, Virus khởi động chung, và nó cho chạy lệnh sửa REG (làm thay đổi 1 số giá trị REG để làm Logoff).
_ Và khi mình Shutdown, Virus lại cho chạy lệnh sửa REG (hồi phục lại REG default, để lần sau lại có thể vào WIN).
* Vì thế lúc đó, sau khi mình vô hiệu hóa và tìm diệt nó bằng tay (nó đã bị diệt tận gốc), đáng lẽ mình phải vào sửa lại cho REG trở lại bình thường để có thể Logon vào WIN. Đàng này mình lại để yên đó mà Restart luôn, nên hậu quả phải gánh là hết vào WIN .
Suy nghĩ của mình có đúng không vậy các bác ? |
|
| IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
 |
|
| [Question] Re: Hỏi thêm về con Virus gây Logoff khi Logon. |
14/05/2008 14:30:07 (+0700) | #2 | 130466 |
nkp
Member
|
|
0 |
|
|
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
|
|
Cũng gần như vậy.Như thế này con Mixa khi máy nào nhiễm sẽ tự tạo ra một file userinit.exe ở C:\windows\ và một file system.exe nằm ở C:\windows\system32\ và một số file dll nữa mình không nhớ rõ tên và
Sửa khóa "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" có giá trị C:\windows\system32\userinit.exe, ban dầu thành C:\windows\userinit.exe,
Lúc này máy bị nhiễm nhưng file userinit.exe ở trong thư mục C:\windows\ vẫn còn vì vậy máy bạn vẫn logon vào bình thường.Nhưng khi bạn diệt hay gọi là xóa file system.exe ở C:\windows\system32\ và userinit.exe ở C:\windows\ đi lúc này máy bạn vẫn xài bình thường vì khóa "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" chưa được dùng đến và giá trị do virus ghi là C:\windows\userinit.exe, nếu như bạn không sữa lại cho đúng là C:\windows\system32\userinit.exe, vì file này đúng chính xác nó ở đường dẫn như thế.
Vì vậy nếu bạn không sữa khi khởi động lại máy vào phần logon thì window sẽ không tìm thấy file userinit.exe nào trong đường dẫn c:\windows\ vì thế ta bị logoff ra lại ngay cả khi bạn vô chế độ Saft Mode thì vẫn bị Logoff.Biện pháp khắc phục trường hợp này là vô DOS hay xài công cụ gì cũng được miễn là có thể copy file userinit.exe từ thư mục C:\windows\system32\userinit.exe vào thư mục C:\windows\ lúc này bạn khởi động máy và logon vào bình thường không bị sao cả.Khi vào window được rồi thì bạn nên xóa file vừa userinit.exe vừa copy lúc nãy ở C:\windows\ và sưa key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" lại cho đúng là C:\windows\system32\userinit.exe, là ok.
Con này mình xử cũng trên 20 máy rồi nên cũng có chút kinh nghiệm.Ban đầu mình bị và tự diêt sau này mình trị con này cho toàn là tụi bạn mình bị dính không à haha.Mình cũng bị nữa nên đúc kết được bấy nhiêu và chia sẽ cùng bạn thế thôi.
|
|
|
|
|
| [Question] Re: Hỏi thêm về con Virus gây Logoff khi Logon. |
19/05/2008 18:03:31 (+0700) | #3 | 131337 |
rikimaru_tp
Member
|
|
0 |
|
|
Joined: 28/07/2007 13:21:43
Messages: 2
Offline
|
|
| Hix, vậy mà hôm trước mình phải chạy file ghost,mất 1 đóng dữ liệu,con virus này hoạt đông tức cười quá,nó chạy tới 2 - 3 cái trong task Mannager,mình sài Nod 32 diệt nó phát 1 ý. |
|
|
|
|
| [Question] Re: Hỏi thêm về con Virus gây Logoff khi Logon. |
20/05/2008 07:07:45 (+0700) | #4 | 131481 |
hacktood
Member
|
|
0 |
|
|
Joined: 14/01/2007 22:39:06
Messages: 20
Location: sài gòn
Offline
|
|
Con nay da bi kav phat hien vao hoi sang hom nay va diet gon nhung ma troi oi no xoa luong cai userinit.exe va 1 so file auto.bat AUTOEXEC.BAT , NTDETECT.COM CONFIG.SYS .vvv lam em phai retray lai máy . Sau khi xong thi file userinit.exe van chua duoc dua vo nen danh phai copy tu may khac zo . zo toi noi thi kav lai phat hien no . Em dua 1 lis ma kav delete gan nhu ko co file exe nao ma no ko nhiem .
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Alcrmv.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\alcupd.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Downloaded Program Files\dwusplay.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\ie7\mshta.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\ie7\spuninst\ieResetIcons.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Installer\{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}\places.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\NETFXSBS10.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CasPol.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\cvtres.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEExec.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ilasm.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\InstallUtil.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\jsc.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPol.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPolWin.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ngen.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\RegAsm.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\RegSvcs.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regbrowsers.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CasPol.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExec.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\jsc.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\ChCfg.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\javaw.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\javaws.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\keystone.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\msfeedssync.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\nvappbar.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\nvcolor.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\nvdspsch.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\nvudisp.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\RTLCPL.EXE
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\uwdf.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\WinFXDocObj.exe
deleted: Trojan program Trojan.Win32.Qhost.akg File: C:\WINDOWS\system32\drivers\etc\hosts
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\FFSJ\FFSJ.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\system32\URTTemp\regtlib.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Temp\alcrmv.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Temp\alcupd.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Temp\ChCfg.exe
deleted: Trojan program Trojan.Win32.Iframer.e File: C:\WINDOWS\Temp\DIL8F.tmp//PE_Patch.UPX//UPX
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Temp\RTLCPL.exe
deleted: virus Virus.Win32.Virut.ad File: C:\WINDOWS\Temp\soundman.exe
deleted: Trojan program Trojan-Dropper.Win32.Small.bkz File: C:\WINDOWS\Temp\VRT8D.tmp
deleted: virus Virus.Win32.Virut.ad File: D:\cc2bank\cc2bank.exe
deleted: virus Virus.Win32.Virut.ad File: D:\Cracks AIO\MP3 Cutter Joiner v2.20\MP3 Cutter Joiner v2.20.exe
deleted: virus Virus.Win32.Virut.ad File: D:\Cracks AIO\TuneUp Utilities 2008 v7.0.7991\TuneUp Utilities 2008.exe
deleted: virus Virus.Win32.Virut.ad File: D:\Cracks AIO\Winamp v5.35 Full\Winamp Pro v5.x.exe
deleted: virus Virus.Win32.Virut.ad File: D:\Cracks AIO\Your Uninstaller! 2008 v6.1.1231\Your Uninstaller! 2008 v6.1.1231.exe
deleted: virus Virus.Win32.Virut.ad File: D:\Dulieu\bo cai TGHM\install.exe
deleted: virus Virus.Win32.Virut.ad File: D:\SQLINJECT2\AK- SQl INJECTION V2.exe
deleted: virus Virus.Win32.Virut.ad File: D:\SQLINJECT2\SQLINJECT2\bin\Debug\AK- SQl INJECTION V2.exe
deleted: virus Virus.Win32.Virut.ad File: D:\SQLINJECT2\SQLINJECT2\bin\Debug\AK- SQl INJECTION V2.vshost.exe
deleted: virus Virus.Win32.Virut.ad File: D:\SQLINJECT2\SQLINJECT2\obj\Debug\AK- SQl INJECTION V2.exe
The do no an gan het . cung may la ko co cai neo dinh toi may cai chay he thong ban dau , chu neu ko lai phai ......hiiiiiiiiiiiiiccccccc |
|
|
|
|
| [Question] Re: Hỏi thêm về con Virus gây Logoff khi Logon. |
31/05/2008 08:03:44 (+0700) | #5 | 133517 |
![[Avatar]](/hvaonline/images/avatar/78b5ef8e1c41bfbe7a58a036c7112a1e.jpg "[Avatar]")
|
hahaiphuong
Member
|
|
0 |
|
|
Joined: 13/01/2008 18:46:43
Messages: 21
Offline
|
|
Về con Mixa_I.exe bạn chịu khó search trong diễn đàn này cũng có trả lời nhiều rồi đó bạn và có những hướng dẫn cách xử lý cũng như khắc phục của nhiều bạn rất hay đó bạn.
Nếu đã bị dính con này thì biểu hiện dễ thấy nhất là trong một khoảng thời gian nhất định sẽ phát 01 bài hát(mình không biết tên bài này, nhưng hình như thấy có một giọng cười trước khi hát), nếu vào Taskmanager, registry, Administrator Tools,…..sử dụng tool ProTaskmanager là bị logout ngay.(không biết có biến thể nào khác không nữa). Khi sử dụng BKAV diệt khởi động lại máy sẽ không login được vào Win(các chương trình Antivirus khác mình không biết). Do đó, sau khi sử dụng antivirus diệt xong, khoan reboot mà hãy vào registry sửa cái key này về mặc định của Win:
-"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"="C:\WINDOWS\system32\userinit.exe" rồi mới reboot.
Hoặc bạn có thể down cái này về http://www.4shared.com/file/49496668/afcee5e1/Diet_Mixa_I.html
install theo hướng dẫn sẽ diệt con Mixa_I mà không bị logout khi reboot vào Win(hoặc dùng nó cũng có thể sửa registry sau khi đã diệt=BKAV). Nếu diệt không được bạn có thể share cho minh con Mixa_I đó nha.
|
|
|
|
|
|
|
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")