ai giúp em giết con virus mới này với

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

ai giúp em giết con virus mới này với

[Question] ai giúp em giết con virus mới này với	05/03/2010 21:03:26 (+0700) \| #1 \| 206233

_Kyo_
Member

Joined: 04/03/2010 05:47:42
Messages: 10
Offline

hiện máy nhà em bị 1 số con virus mới, em đã dùng avira và avast quét nhưng ko ra (bản mới nhất nhé)và 1 số chương trình diệt virus khác . mấy con virus này nó tạo ra 1 số các process để khóa net (tức là ko vào được mạng) và làm chậm đường truyền đi rất nhiều em đã dùng 1 số soft quét ra địa chỉ của mấy con virus này như là prevx và phát hiện ra chỗ của nó là ở trong system32 và em đã chui vào đấy để del virus nhưng chẳng hiểu thế nào mà càng ngày nó càng ăn mạnh vào các file hệ thống như winamp.exe hay explorer.exe và tạo ra 1 số process để khóa net như cidrive32.exe, xfgni.exe, xfgn.exe , Intsmi.exe, explorer.exe, winamp.exe và tạo ra ngay ở ngoài ổ C 1 cái file exe có tên là m5k1r3r5y2j8.exe. ngoài ra nó còn tạo thêm 1 số file có đuôi scr và có icon hình cái máy ảnh và 1 số icon khác và có tên là 20.scr , 70 , 21, 72....
đây là ảnh

em đã thử format lại ổ c 2 lần nhưng lần nào cũng thấy nó mọc lại có vẻ như là từ ổ d lây sang smilie

ở dưới đây là mẫu 2 con virus bác nào down về rồi thử tìm cách diệt tận gốc rồi chỉ cho em nha
Pass archive là virus
http://www.ziddu.com/download/8842185/m5k1r3r5y2j8.rar.html

http://www.ziddu.com/download/8842207/xfgn.rar.html

[Question] ai giúp em giết con virus mới này với	06/03/2010 06:51:05 (+0700) \| #2 \| 206256

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Bạn thử dùng http://pcu.cmclab.net/download/setupCMCIS.exe xem, nhớ update đầy đủ trước khi quét.
Nếu có mẫu virus mà CMC AV chưa nhận diện thì bạn có thể phối hợp http://download.sysinternals.com/Files/Autoruns.zip, http://download.sysinternals.com/Files/ProcessExplorer.zip, http://www.filehippo.com/download_hijackthis/, nội dung các file Autorun.inf trong máy bạn và trang http://www.virustotal.com để tìm ra một số virus trong máy bạn.

Bạn nén lại hết tất cả các file mà bạn phát hiện có virus (có thể dùng trang http://www.virustotal.com để tự kiểm tra file trước) rồi vào trang sau để gửi mẫu malware (virus...) trực tiếp cho mình, đăng nhập với Username và
Password đều là malware : http://bolzano1989.x10hosting.com/Malware_Upload/ft2.php . Mẫu sẽ được gửi về cho CISLab của CMC và một số hãng khác, tôi sẽ thông báo cho bạn sau khi đã xử lí xong.

Bạn nên tự kiểm tra Rootkit ở máy bạn rồi khởi động lại máy vào Windows Recovery Console để xóa các file của Rootkit và malware ở máy bạn.

Nếu sau khi đọc và tìm hiểu theo hướng dẫn trên mà vẫn không biết làm gì nữa thì bạn hãy thực hiện theo các bước sau, nếu thuận tiện mình sẽ giúp bạn:
Gửi log Hijack Hunter:
Nếu máy bạn đã cài đặt Hijack Hunter bản cũ, bạn cần uninstall Hijack Hunter trước khi cài đặt bản mới (không cài đè).
Bạn hãy tải và cài đặt mới Hijack Hunter từ link sau:
http://downloads.novirusthanks.org/files/hijackhunter_setup.exe
Chạy Hijack Hunter rồi click nút Scan PC:

Hijack Hunter sẽ tiến hành scan ở máy bạn. Sau khi việc scan hoàn tất, sẽ có một cửa sổ mới được mở bằng notepad chứa kết quả scan (log) được mở.
Ở cửa sổ mới, click vào menu Edit, chọn "Select All", tất cả nội dung file log sẽ được chọn.
Click Edit, chọn Copy, tất cả nội dung file log sẽ được copy vào clipboard, bạn hãy gửi nội dung file log này vào topic này.

Tải file sau vào ngay nền desktop: http://www2.gmer.net/mbr/mbr.exe
Chạy mbr.exe , khi chạy xong bạn mở file MBR.log vừa được tạo ở ngay nền desktop bằng Notepad, post kết quả scan lên diễn đàn cho mình.

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All

Xong rồi thì click Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link lên diễn đàn cho mình .

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Question] ai giúp em giết con virus mới này với	06/03/2010 09:09:55 (+0700) \| #3 \| 206268

_Kyo_
Member

Joined: 04/03/2010 05:47:42
Messages: 10
Offline

đây là log smilie

http://www.ziddu.com/download//.html
sau hơn 1 tuần chống chọi với con này thì em nhận thấy là nó được thằng viết virus update liên tục từ ver đầu tiên là con xfgn.exe thì vài ngày sau nó được update lên thành Instmsi.exe.... và tới hôm nay nó đã được update từ cidrive32.exe lên msvmcls64.exe và càng ngày càng khó tìm thấy dấu vết của nó hơn :-<
con này được thằng Prevx update từ ngày 1/3 đến hôm nay thì có thêm khoảng 12 thằng AV update nhưng con mới nhất thì hầu như chẳng thằng nào update >"<
mọi người giúp em với >"<
thấy có mỗi vài thằng như Ikarus McAfee là update khá đầy đủ các dạng của con này smilie

mọi người cho em hỏi 2 thằng này có tốt ko ạ smilie

[Question] ai giúp em giết con virus mới này với	06/03/2010 10:25:59 (+0700) \| #4 \| 206281

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Bạn gửi nhầm link log rồi.

[Question] ai giúp em giết con virus mới này với	07/03/2010 14:01:17 (+0700) \| #5 \| 206368

_Kyo_
Member

Joined: 04/03/2010 05:47:42
Messages: 10
Offline

tình hình là trưa hôm qua em có cài thằng Kas vô quét, thấy nó ko mọc trở lại nữa cứ tưởng hết nhưng đến bây giờ thì nó lại chui ở đâu ra smilie

bây giờ thì lại lòi thêm cái process dllhost.exe cứ kill là lại mọc lại smilie

log đây ạ
http://www.ziddu.com/download/8867593/logs_3-7-2010_7_18_11_PM.txt.html

[Question] ai giúp em giết con virus mới này với	09/03/2010 16:09:39 (+0700) \| #6 \| 206507

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

GMER log đâu bạn ?

[Question] ai giúp em giết con virus mới này với	14/03/2010 14:01:33 (+0700) \| #7 \| 206866

_Kyo_
Member

Joined: 04/03/2010 05:47:42
Messages: 10
Offline

MBR log
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

GMER log
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2001-02-23 22:42:50
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Lam\LOCALS~1\Temp\fxtdipoc.sys

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}@scansk 0x2D 0x74 0x47 0xC2 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{cb1732f0-0be4-4e18-8914-e75d66ef616b}@Model 50
Reg HKLM\SOFTWARE\Classes\CLSID\{cb1732f0-0be4-4e18-8914-e75d66ef616b}@Therad 2
Reg HKLM\SOFTWARE\Classes\CLSID\{cb1732f0-0be4-4e18-8914-e75d66ef616b}@MData 0x73 0xD5 0xCF 0xB8 ...
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\3\Shell@MinPos800x600(1).x -32000
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\3\Shell@MinPos800x600(1).y -32000
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\3\Shell@WinPos800x600(1).left 117
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\3\Shell@WinPos800x600(1).top 131
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\3\Shell@WinPos800x600(1).right 717
Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\3\Shell@WinPos800x600(1).bottom 535

---- EOF - GMER 1.0.15 ----

hôm kia em lại vừa thử thằng KAS quét xong thấy hết virus thì đến hôm nay nó lại tự mọc lại với con mới là mxmxxl.exe smilie

trên virustotal nó thông báo là con này được phát hiện hôm thứ sáu tuần vừa rồi smilie

[Question] ai giúp em giết con virus mới này với	16/03/2010 19:39:42 (+0700) \| #8 \| 207096

IamN
Member

Joined: 10/03/2010 07:25:47
Messages: 11
Offline

Mình nghĩ,avira không thực sự tốt trong việc diệt mấy chú này lắm,cả CMC nữa,mình hay dùng nod32,bạn có thể tải về mà scan,nếu cảm thấy không yên tâm thì dùng bit hoặc KIS,chứ thực sự nếu dùng CMC hoặc avira thì không yên tâm lắm
Thân!

[Question] ai giúp em giết con virus mới này với	17/03/2010 11:41:53 (+0700) \| #9 \| 207170

_Kyo_
Member

Joined: 04/03/2010 05:47:42
Messages: 10
Offline

^xin thông báo là em đã dùng hầu hết các chương trình diệt virus được liệt kê trên virustotal để quét nhưng chỉ có vài thằng là quét ra nhưng cũng chả quét hết smilie

nó lại vừa hồi sinh và lại tiếp tục update smilie

em chả biết rút cuộc nó mọc rễ ở đâu nữa smilie

hơn 2 tuần rồi mà vẫn chưa giết được nó >"< ko có ai giúp em àh >"<

[Question] ai giúp em giết con virus mới này với	17/03/2010 13:33:19 (+0700) \| #10 \| 207176

haley
Member

Joined: 03/02/2009 17:20:16
Messages: 58
Offline

Bạn kiếm hiren boot CD . vào minixp rùi scan trong đó! (Bằng Kaspersky hay AV nào cũng dc. cài lun trong minixp). Chắc là ổn đó!

[Question] ai giúp em giết con virus mới này với	17/03/2010 18:19:49 (+0700) \| #11 \| 207192

IamN
Member

Joined: 10/03/2010 07:25:47
Messages: 11
Offline

Có lẽ như haley nói là tốt nhất,bạn nên làm thế,nhưng mình không hiểu nếu bạn dùng KIS thì làm sao nó update đc mà bạn ko biết?KIS sẽ hỏi connect này có phải của bạn ko cơ mà ?

[Question] ai giúp em giết con virus mới này với	18/03/2010 18:48:35 (+0700) \| #12 \| 207274

_Kyo_
Member

Joined: 04/03/2010 05:47:42
Messages: 10
Offline

^con virus này nó ăn vo Svchost.exe nó tự động liên kết với IP của thằng viết ra virus để update smilie

hình như cứ mỗi lần Kas quét xong là nó lại được thằng hacker kia ném virus trở lại máy smilie

nó lại vừa mới ăn vào rundll32.exe và làm tê liệt các chức năng trong CP smilie

[Question] ai giúp em giết con virus mới này với	19/03/2010 19:37:02 (+0700) \| #13 \| 207376

bubiche
Member

Joined: 12/03/2010 00:37:40
Messages: 3
Offline

Lúc quét virus đừng bật mạng hay bất kỳ chương trình nào của máy, với cả bạn thử quét trong safe mode hay dùng dĩa hiren boot ấy.
Nếu mà nó lây qua mấy file .exe và format ổ C vẫn còn thì có thể nó là virus siêu đa hình, bạn nên dùng bkav mà diệt vì nó là hàng nội/hàng Tàu =]]
Không diệt được nữa thì format hết ổ cứng là nhanh gọn sạch đẹp =]]

[Question] ai giúp em giết con virus mới này với	20/03/2010 19:59:37 (+0700) \| #14 \| 207434

deathgod18
Member

Joined: 23/08/2007 18:16:15
Messages: 11
Offline

bạn thử làm cách giống bên mình xem ! ghost lại cái HDH và dừng đụng chạm gi vào mấy partition còn lại hết ! download thằng nod32 về update và quét xem !
đó là ý riêng của mình !

[Question] ai giúp em giết con virus mới này với	23/03/2010 14:43:39 (+0700) \| #15 \| 207627

Bí Danh NJ
Member

Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline

VirTool:Win32/VBInject.DN

Alert level
VirTool:Win32/VBInject.DN

Encyclopedia entry
Updated: Feb 05, 2010 | Published: Feb 04, 2010

Aliases

*
* W32/Trojan2.LOEY (Authentium (Command)) Trojan.Win32.VB.zyk (Kaspersky)
* Trojan.VB.IBON (VirusBuster)
* Trojan.Win32.VB (Ikarus)
* Trojan.Win32.Generic!BT (Sunbelt Software)

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.
Detection last updated:
Definition: 1.79.199.0
Released: Mar 19, 2010 Detection initially created:
Definition: 1.71.1705.0
Released: Jan 04, 2010

http://www.microsoft.com/security/portal/

Go to:

Users currently in here
1 Anonymous