Messages posted by: kamikazeq

Bạn chụp cái hình hiện tượng lạ ở CD và ở máy tính.
Chụp luôn cái hình thông báo của Sav.

Nghe giống như Sound Driver của bạn bị trục trặc (chưa cài , hoặc cài rồi mà nó hỏng).

Trường hợp gõ 1 phím nhiều lượt là ở tất cả các nơi (notepad, yahoo chat , hoặc bất kì ...) hả bạn ?

Và trường hợp Ctrl+Shift , nếu bạn có xài Unikey, thử tắt nó đi rồi nhấn Ctrl+Shift xem có kêu không.

Win lành đâu có tồn tại file system.exe nào trong system32\ đâu bạn.
Vì thế, đó là file virus luôn chứ không có ghi đè gì hết.

Nó là đồng hương của tụi Phimnguoilon, phimhot, bimat ....
Nó khác tụi kia ở chỗ là tạo nhiều mầm rác.
Thấy con của bạn 80.5 KB, quá quen thuộc.
Nó không lây file.
Cũng có lúc mình nghe nhiều bạn cho biết một số anti không diệt được nó.
Hoặc tool này thử xem http://www.box.net/shared/zm98y3dr0f , có chức năng test lây file, bạn có thể thử luôn.

À, bạn nhớ để ý sửa reg Userinit nha, nó phá đấy.

Có mỗi BIT coi đó là loại Gen:Trojan.Heur.VB.1044BB8B8B

Hiểu lầm thôi.

Mình đâu cả gan post virus vào chốn này.

Hình như bạn kể sai trình tự, không đúng câu hỏi của nlfb rồi.

Lần đầu tiên luôn á, lúc trước con chuột xài vẫn ngon, rồi bạn đã làm gì mà nó hiện dấu vàng khè ?

Ồ yeah , thankìu.
Bạn nào hay than thở HVA hay làm mất bài chuẩn bị post, thì dùng cái này soạn trước cho tiện nè smilie

Click vào cái nick của bạn rồi vào "Tổng số bài gởi"

Hoặc

Click vào "Cá nhân", kéo xuống dưới cùng, bên trái cũng có "Tổng số bài gởi"

Tìm không ra thì hãy hỏi tiếp nhé.

Các bạn có biết soft nào có chức năng ấy không?

Giống như đang soạn bài trong 4rum cùng các thẻ BBCode với chức năng "xem trước" ấy mà.

Nguy cơ từ USB có Kido và đám .cmd kia. Loại nào cũng giành autorun.

Bạn cứ mở lên coi có tồn tại autorun hay ko là biết vẫn còn loại nào trong máy à.

http://www.mediafire.com/?r05gvdmjjwe ( nếu down ko dc thì qua http://nbe-broadcast.com/mediafire/index.php leech nha)
Bồ thử cài lại với cái trên xem sao.

1) Right click lên file Input.inf, chọn Install.

2) Hoặc tiến hành trong phần Add Hardware , nó hỏi thì dẫn tới thư mục đó.

Thử down cái này chạy http://www.nirsoft.net/utils/usbdeview.zip (cái này phải down bình thường, không đc dùng trình hỗ trợ download).
Quét chọn hết tất cả, right click, chọn Uninstall.
Sau đó cắm chuột vào coi máy có tự cài đc ko.

@evarist:
Thử với BKAV đi, ít bị để ý nhưng cũng phát hiện đc (còn chuyện diệt đc hay không thì tính sau).

@tutk:
Không vào linh tinh nhưng có xài USB cũng bị dính nếu không rành hoặc chưa thiết lập an toàn.

@all:
Mình nhớ con kido này còn có 1 file driver random.sys (và đổi tên sau mỗi lần RE máy) nữa mà ta !?

Diệt luôn các biến thể chưa gặp của Kavo.

Bạn nào hay Game Online thì thủ cái này phòng Kavo.

http://www.box.net/shared/xonvvj4edl

Ơ, tìm ra cách diệt thì share lên đầy đủ thông tin và cách diệt đi bạn.
Còn chờ gì nữa !?

1) Gửi log HijackThis
2) Chạy http://www.box.net/shared/zm98y3dr0f coi có báo autorun gì không, gửi lên.
3) Dựa vào đâu bạn biết là keylog ?
4) Bạn đã mất gì chưa ?
5) Con keylog đó tên gì ?

Bạn kiểm tra trong Taskmanager có process nào tên "AutoService.exe" không.

Nếu có, bạn thử bằng cách này để xác định phải tại nó không nhé:

1) Mở 1 máy lên (trong LAN chỉ mới có máy này mở thôi nhé). (và lúc này vẫn chơi game ok, thoát ra cũng chưa sao).

2) Nhanh chóng tắt tiến trình "AutoService.exe"

3) Vào Start, run, gõ "services.msc" enter. Rồi tắt luôn service tên "AutoService"

4) Cuối cùng mới bắt đầu mở các máy khác lên và chờ xem máy đầu tiên có bị mất sound hay không.

2. Là ở mỗi version OS lại có 1 số byte khác biệt giữa các app -> Áp dụng hông có ổn cả MD5, so sánh byte hay size

À, tool của mình chỉ kiểm tra sự thay đổi size của 4 file đi kèm thôi chứ không có kiểm bất kì file nào khác. Nên chuyện khác OS hay ver app không cần quan tâm smilie

.

3. Anh tmd nói đúng đó, nhiều virus nhiễm vào mà ko làm tăng size, kỹ thuật này gọi là cave code thì phải

Thực sự mình chưa được thấy loại lây file đó, toàn là thấy loại tăng size thôi. Bồ có biết loại nào (tên tuổi, hoặc mầm càng tốt) thì cho mình biết với he.
OK, mình sẽ làm theo hướng kiểm tra MD5 trên chính các file kèm theo.

Rồi xong, nhiễm lây file rồi.

C:\DOCUME~1\alexmax\LOCALS~1\Temp\windlooik.exe
C:\DOCUME~1\alexmax\LOCALS~1\Temp\winfqgxl.exe

---

Bạn có thể
_ Đem ổ cứng qua máy khác quét.
_ Quét ngoài Dos.
_ Backup, Cài lại Win ở C, quét lại các ổ khác.

Còn safemode thì mình thấy không ăn thua.

MỘt con PE Virus đồng lây vào, dung lượng file sẽ tăng lên như nhau. Lúc đó có so ra cũng huề vốn

Ơ, hình như bác tmd nhầm ý của tool mình rồi !?
Bác nói rõ hơn cái con PE đồng lây vào, dung lượng cái gì tăng lên như nhau, rồi lúc đó tool mình sẽ so cái gì với cái gì ?

Thì vốn dĩ tool chỉ để cảnh báo cho dân diệt tay (hoặc dân 'thường' chả xài AV nào cả) xác định nhanh và đổi phương pháp. Ttiết kiệm được mớ thời gian định bệnh ấy chứ.

Mới vừa xả nén ra, con nào nó lấy thẳng vào mấy cái file .exe đó. Có đi so ra thì chắc chắn dính rồi. Kiểm kiểu này cũng tếu lâm.

tếu nhưng cũng đạt được mục đích rồi bác tmd nhỉ. Vả lại nếu có rơi vào trường hợp tếu đó thì càng khỏi phải đợi, cảnh báo luôn, quá tốt còn gì smilie

Nếu đi động chạm tới mấy cái của Win thì lại phải xét tới Ver này nọ.

@evarist:
Ủa, sao lại "diệt bằng tay cho mấy cái máy dính Sality" ? smilie

Mình đã nói là "nếu được tool cảnh báo là virus thì đình công việc diệt tay lại".
Còn chuyện viết ra tool diệt thì mình chưa đủ trình smilie

.

@Hexa:
Bên topic kia bồ rảnh quá hay sao mà qua đây "phá" thế !?
Phát biểu 1 câu lên (không biết có kiểm chứng hay không) rồi chạy đi đâu luôn vậy !?
Làm tốt mấy công việc của đàn anh bên đó chỉ rồi hẳn qua đây chọc ngoáy nhé.

Ơ, sao lại nói thế smilie