banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Ai đã gặp con Virus này chỉ mình diệt với  XML
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 18/09/2009 06:09:24 (+0700) | #1 | 193150
[Avatar]
freeze_love
Member

[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]
Tình hình là không biết bằng cách nào, con virus này nó lây vào cái máy của mình. Windows Vista Home Pre có bật tường lửa. Tình cờ phát hiện nó chạy <=3 Processes trong Tast Man, tìm được nơi ẩn náu của nó và del rồi. Tắt tiến trình rồi, và tìm cẩm thận khóa Reg để phòng nó khởi động cùng win. Del nó rồi nó tạo ra vài con khác với tên khác nhau và ngẫu nhiên. Nó load win media player dạng ẩn. Các tập tin và thư mục ẩn thì nó cho ẩn hết, nhưng cho hiện thì một tí là không cho hiện lại. Đã dùng AVG free 8.5 quét và nó phát hiện, nhưng máy chậm kinh khủng. Trong khi AVG chạy thì AVG nó khóa hết ứng dụng của wwin như Defender, AutoIt, Unikey,... còn con Virus đó thì nó mất tích. KHi gỡ bỏ AVg thì nó hiện lại. Xem tien trình = processXP thì nó load cái gì mà mình nghi là remote desktop. Đây là hình của nó:






Tường lửa chặn con này:


Mình không biết là nó ở đâu mà khoảng 5 phút là nó lại xuất hiện com khác (néu kill processes và del)
Nó ở tại
C:\Users\Le Quoc Nam\AppData\Local\Temp
Log quét http://www.mediafire.com/download.php?jdmhz2mzzmz
smilie
Điều đăc biêt là kill process của mấy con đó thì mấy con đó tự tử luôn. Một lúc sau là tạo lại với tên ngẫu nhiên và chạy trong tast man tiếp. Hic hic
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 18/09/2009 09:50:02 (+0700) | #2 | 193180
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Nếu muốn nhờ mình xem giùm, freeze_love có thể bổ sung các log còn lại - Những tháng gần đây mình đã bổ sung và yêu cầu khá nhiều log, không chỉ bao gồm Getsysteminfo log như giai đoạn đầu nữa, freeze_love tự tìm lại những bài gần đây của mình sẽ thấy.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 18/09/2009 10:14:02 (+0700) | #3 | 193187
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
bạn tải cmc về cài và diệt thử coi
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 18/09/2009 20:01:06 (+0700) | #4 | 193204
lenon
Member

[Minus]    0    [Plus]
Joined: 15/12/2007 18:35:56
Messages: 29
Offline
[Profile] [PM]
Mình cần bạn gửi 3 tệp đó, đóng gói lại trong tệp rar và gửi lên đây hoặc email : kipcoi@zing.vn
Mình khoái mấy vụ giết chóc lắm smilie
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 18/09/2009 22:58:29 (+0700) | #5 | 193214
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

lenon wrote:
Mình cần bạn gửi 3 tệp đó, đóng gói lại trong tệp rar và gửi lên đây hoặc email : kipcoi@zing.vn
Mình khoái mấy vụ giết chóc lắm smilie  


Như vậy thì tôi càng không thể gửi cho bạn rồi smilie .

@freeze_love: Bạn với mình đều bận nên mình gửi mẫu cho các hãng Antivirus bao gồm AVG rồi.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 18/09/2009 23:19:42 (+0700) | #6 | 193220
jforum3000
Member

[Minus]    0    [Plus]
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
[Profile] [PM]
Bạn vào start - run - msconfig - startup, kiểm tra tất cả ứng dụng .exe khả nghi đã tự nạp khi máy khởi động, ghi lại đường dẫn, sau đó dùng hiren boot ra dos cách ly hết tất cả chúng (chưa cần phải xóa, phòng trường hợp bạn xóa nhầm một ứng dụng hợp pháp thì phục hồi lại).
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 20/09/2009 02:37:32 (+0700) | #7 | 193416
[Avatar]
freeze_love
Member

[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]
Đã vào start - run - msconfig - startup và không có. Quét trên Virustotal.com thì nó bảo là
Trích ( http://www.virustotal.com/analisis/acf835700402f36dbff40f4c6426737298bf2feb24fd2c4dc80c5fb34f543892-1253341986

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x124000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x125000 0x8000 0x7a00 7.87 16b7605185a2ed4eb4ce2c2e674ee6b2
UPX2 0x12d000 0x1000 0x200 2.83 d883a2ab57d555e85af0d3c051b5a1f6

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: exit
> USER32.dll: wsprintfA
> WS2_32.dll: -
 

Chắc nó nhờ mấy dịch vụ này để chjay chăng? KHi tắt AV thì nó lại chạy, còn AV (như KIS 2010 hay AVG) chạy thì nó không chạy. Máy chạy chậm trông thấy. Đã cài Win mới lại rồi nhưng vẫn bị, không biết nó lây = cách nào. Trên D:\ thì không có rồi. Cài win xong thì cài Driver, các soft cần thiết như Unikey, winrar,... Kiểm tra Tast thì thấy nó xuất hiện. smilie
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 20/09/2009 09:08:35 (+0700) | #8 | 193472
[Avatar]
Doi mat tu than
Member

[Minus]    0    [Plus]
Joined: 15/05/2009 22:18:55
Messages: 136
Offline
[Profile] [PM] [Email] [WWW]

freeze_love wrote:
Đã vào start - run - msconfig - startup và không có. Quét trên Virustotal.com thì nó bảo là
Trích ( http://www.virustotal.com/analisis/acf835700402f36dbff40f4c6426737298bf2feb24fd2c4dc80c5fb34f543892-1253341986

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x124000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x125000 0x8000 0x7a00 7.87 16b7605185a2ed4eb4ce2c2e674ee6b2
UPX2 0x12d000 0x1000 0x200 2.83 d883a2ab57d555e85af0d3c051b5a1f6

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: exit
> USER32.dll: wsprintfA
> WS2_32.dll: -
 

Chắc nó nhờ mấy dịch vụ này để chjay chăng? KHi tắt AV thì nó lại chạy, còn AV (như KIS 2010 hay AVG) chạy thì nó không chạy. Máy chạy chậm trông thấy. Đã cài Win mới lại rồi nhưng vẫn bị, không biết nó lây = cách nào. Trên D:\ thì không có rồi. Cài win xong thì cài Driver, các soft cần thiết như Unikey, winrar,... Kiểm tra Tast thì thấy nó xuất hiện. smilie 

Có khi nào nó lây nhiễm qua file không nhỉ?
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 20/09/2009 09:12:24 (+0700) | #9 | 193473
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

Doi mat tu than wrote:

freeze_love wrote:
Đã vào start - run - msconfig - startup và không có. Quét trên Virustotal.com thì nó bảo là
Trích ( http://www.virustotal.com/analisis/acf835700402f36dbff40f4c6426737298bf2feb24fd2c4dc80c5fb34f543892-1253341986

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x124000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x125000 0x8000 0x7a00 7.87 16b7605185a2ed4eb4ce2c2e674ee6b2
UPX2 0x12d000 0x1000 0x200 2.83 d883a2ab57d555e85af0d3c051b5a1f6

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: exit
> USER32.dll: wsprintfA
> WS2_32.dll: -
 

Chắc nó nhờ mấy dịch vụ này để chjay chăng? KHi tắt AV thì nó lại chạy, còn AV (như KIS 2010 hay AVG) chạy thì nó không chạy. Máy chạy chậm trông thấy. Đã cài Win mới lại rồi nhưng vẫn bị, không biết nó lây = cách nào. Trên D:\ thì không có rồi. Cài win xong thì cài Driver, các soft cần thiết như Unikey, winrar,... Kiểm tra Tast thì thấy nó xuất hiện. smilie 

Có khi nào nó lây nhiễm qua file không nhỉ? 

Ghê ghê, lây nhiễm qua file thì pó tay toàn tập rồi smilie
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 20/09/2009 09:45:08 (+0700) | #10 | 193481
[Avatar]
Doi mat tu than
Member

[Minus]    0    [Plus]
Joined: 15/05/2009 22:18:55
Messages: 136
Offline
[Profile] [PM] [Email] [WWW]
Mong là không phải trường hợp này, nếu không phải format ổ thì buồn lắm smilie
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 22/09/2009 08:53:32 (+0700) | #11 | 193670
coctieuvuong
Member

[Minus]    0    [Plus]
Joined: 20/09/2009 16:37:47
Messages: 7
Offline
[Profile] [PM]
foomat ổ cho vui nhỉ smilie
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 23/09/2009 00:20:40 (+0700) | #12 | 193742
[Avatar]
Doi mat tu than
Member

[Minus]    0    [Plus]
Joined: 15/05/2009 22:18:55
Messages: 136
Offline
[Profile] [PM] [Email] [WWW]
Bạn gửi cho mình mẫu virus đó có được không nhỉ?
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 24/09/2009 01:53:01 (+0700) | #13 | 193829
[Avatar]
freeze_love
Member

[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]

Doi mat tu than wrote:
Bạn gửi cho mình mẫu virus đó có được không nhỉ? 

Đây là nó: http://www.mediafire.com/download.php?zzlyhrzhq2t
Đã cài win lại rồi nhưng không hiểu sao nó vẫn còn. Khi tắt KIS thì nó chạy với hệ thống, nó cho vài process 90 - 97% làm CPU 100% đơ máy luôn, khi bật KIS thì máy chạy rất nhẹ. Ko hiểu tại sao KIS diệt không hết:
Hello,

Thank you for your inquiry to Kaspersky Lab.

Your request is to be resolved by technical support service and to get assistance please fill in the following form: http://support.kaspersky.ru/helpdesk.html?LANG=en

Prior to sending your request we strongly recommend you to check our FAQ http://www.kaspersky.com/faq and Kaspersky Lab official forum: http://forum.kaspersky.com as it may have the information you are looking for.

> Hello,
> I scanned by KIS 2010 lastest database update 17/09/2009 (trial version), and it 's only detected and deleted them. but when i disabled protection of kis, they "live" again. same mean kis missed out them. doesn't KIS? I don't understand why these virus can "live" again. Please expand! Thanks for reading.
> Good day for you,
> Le Quoc Nam
> ________________________________
> Từ: "newvirus@kaspersky.com" <newvirus@kaspersky.com>
> Đến: lequocnam_ntv@yahoo.com.vn
> Gửi ngày: Chủ nhật, 20 tháng 9, 2009 3:49:43
> Chủ đề: RE: Rootkit? or Malware? or Dangerous virrus? [KLAN-44435387]
>
> Hello,
>
> uetvai.exe_ - Trojan.Win32.Agent.cogy,
> w3f7cfd.exe_ - Backdoor.Win32.Spammy.a,
> winbtusok.exe_ - Trojan-Downloader.Win32.Agent.bqbt
>
> These files are already detected. Please update your antivirus bases.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
>
> > Hello,
> > My computer has been infected some virus and i think kis 2010 didn't kill them
> > my os: windows vista home premium, kis 2010 trial db update 17/09/2009.
> > Here is url you can download and test: http://www.mediafire.com/download.php?zzlyhrzhq2t . password to extract is 12.
> > I posted it in HVA forum but i can't find solution to do /hvaonline/posts/list/31317.html)
> > Here is some picture about those virus: i think it's rootkit.
> > http://img.photo.zing.vn/file_uploads/gallery/w642h/q42008/2009/09/17/04/96571253181071.jpg
> > http://img.photo.zing.vn/file_uploads/gallery/w642h/q42008/2009/09/17/04/34931253181066.jpg
> > http://img.photo.zing.vn/file_uploads/gallery/w642h/q42008/2009/09/17/04/99501253181070.jpg
> > i hope you'll have a solution to fix it.
> > thanks for reading.
> > best ,
> > Le Quoc Nam
> >
> >
> >
> > ________________________________
> > Bạn luôn muốn kết nối với nhiều bạn bè hơn trên blog và trang web cá nhân?<http://sg.rd.yahoo.com/vn/messenger/pingbox/mailtagline/*http://vn.messenger.yahoo.com/pingbox/>
> > Tạo Pingbox mới nhất ngay hôm nay!
> >
> ------
> Best regards, Ilya Tolstikhin
> Virus analyst, Kaspersky Lab.
> 10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
> Tel./Fax: + 7 (495) 797 8700
> http://www.kaspersky.com http://www.viruslist.com
>
> ________________________________
> Yahoo! Mail nay NHANH HƠN - Thử ngay!<http://vn.mail.yahoo.com>
>
------
Best regards, Ilya Tolstikhin
Virus analyst, Kaspersky Lab.
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com 
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 24/09/2009 08:59:54 (+0700) | #14 | 193854
[Avatar]
Hayvedaybenanh1043
Member

[Minus]    0    [Plus]
Joined: 27/07/2007 22:56:06
Messages: 1
Location: việt nam
Offline
[Profile] [PM]
Bạn vào trang này để diệt nó trực tuyến nhé
http://www.eset.com/onlinescan/
Sau đó vào www.9down.com để tìm phần mềm ESET SMART SECURITY tải về và cài nó vào.
Vào trang www.nod32keys.com đề lấy key đăng kí cho phần mềm nhé.
Chào bạn. smilie
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 25/09/2009 08:15:45 (+0700) | #15 | 193939
[Avatar]
Doi mat tu than
Member

[Minus]    0    [Plus]
Joined: 15/05/2009 22:18:55
Messages: 136
Offline
[Profile] [PM] [Email] [WWW]

freeze_love wrote:

Doi mat tu than wrote:
Bạn gửi cho mình mẫu virus đó có được không nhỉ? 

Đây là nó: http://www.mediafire.com/download.php?zzlyhrzhq2t
Đã cài win lại rồi nhưng không hiểu sao nó vẫn còn. Khi tắt KIS thì nó chạy với hệ thống, nó cho vài process 90 - 97% làm CPU 100% đơ máy luôn, khi bật KIS thì máy chạy rất nhẹ. Ko hiểu tại sao KIS diệt không hết:
 

Pass giải nén là gì đấy?
[Up] [Print Copy]
  [Question]   Ai đã gặp con Virus này chỉ mình diệt với 29/09/2009 03:55:07 (+0700) | #16 | 194287
[Avatar]
freeze_love
Member

[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]
Pass?
Bạn đọc kỹ lại nội dung email mà mình đã gửi cho KIS (trong đoạn trích ấy)

Hello,

Thank you for your inquiry to Kaspersky Lab.

Your request is to be resolved by technical support service and to get assistance please fill in the following form: http://support.kaspersky.ru/helpdesk.html?LANG=en

Prior to sending your request we strongly recommend you to check our FAQ http://www.kaspersky.com/faq and Kaspersky Lab official forum: http://forum.kaspersky.com as it may have the information you are looking for.

> Hello,
> I scanned by KIS 2010 lastest database update 17/09/2009 (trial version), and it 's only detected and deleted them. but when i disabled protection of kis, they "live" again. same mean kis missed out them. doesn't KIS? I don't understand why these virus can "live" again. Please expand! Thanks for reading.
> Good day for you,
> Le Quoc Nam
> ________________________________
> Từ: "newvirus@kaspersky.com" <newvirus@kaspersky.com>
> Đến: lequocnam_ntv@yahoo.com.vn
> Gửi ngày: Chủ nhật, 20 tháng 9, 2009 3:49:43
> Chủ đề: RE: Rootkit? or Malware? or Dangerous virrus? [KLAN-44435387]
>
> Hello,
>
> uetvai.exe_ - Trojan.Win32.Agent.cogy,
> w3f7cfd.exe_ - Backdoor.Win32.Spammy.a,
> winbtusok.exe_ - Trojan-Downloader.Win32.Agent.bqbt
>
> These files are already detected. Please update your antivirus bases.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
>
> > Hello,
> > My computer has been infected some virus and i think kis 2010 didn't kill them
> > my os: windows vista home premium, kis 2010 trial db update 17/09/2009.
> > Here is url you can download and test: http://www.mediafire.com/download.php?zzlyhrzhq2t . password to extract is 12.
> > I posted it in HVA forum but i can't find solution to do /hvaonline/posts/list/31317.html)
> > Here is some picture about those virus: i think it's rootkit.
> > http://img.photo.zing.vn/file_uploads/gallery/w642h/q42008/2009/09/17/04/96571253181071.jpg
> > http://img.photo.zing.vn/file_uploads/gallery/w642h/q42008/2009/09/17/04/34931253181066.jpg
> > http://img.photo.zing.vn/file_uploads/gallery/w642h/q42008/2009/09/17/04/99501253181070.jpg
> > i hope you'll have a solution to fix it.
> > thanks for reading.
> > best ,
> > Le Quoc Nam
> >
> >
> >
> > ________________________________
> > Bạn luôn muốn kết nối với nhiều bạn bè hơn trên blog và trang web cá nhân?<http://sg.rd.yahoo.com/vn/messenger/pingbox/mailtagline/*http://vn.messenger.yahoo.com/pingbox/>
> > Tạo Pingbox mới nhất ngay hôm nay!
> >
> ------
> Best regards, Ilya Tolstikhin
> Virus analyst, Kaspersky Lab.
> 10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
> Tel./Fax: + 7 (495) 797 8700
> http://www.kaspersky.com http://www.viruslist.com
>
> ________________________________
> Yahoo! Mail nay NHANH HƠN - Thử ngay!<http://vn.mail.yahoo.com>
>
------
Best regards, Ilya Tolstikhin
Virus analyst, Kaspersky Lab.
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com
 
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|