Latest posts for the topic "Con virus quái đản (\Device\Harddisk0\DR0)"

Con virus quái đản (\Device\Harddisk0\DR0)

nh0ck0n10b — GMT

File \Device\Harddisk0\DR0: ccntain virus Type_Boot

Con virus này rất lạ. KIS 2010 báo phát hiện nhưng cũng không thể diệt được. GHOST lại máy hay cài lại windows cũng không thể hết... và nhìn cái path thế kia thì chẳng biết nó ở đầu mà lấy mẫu. Khi tìm kiếm thông tin về con virus này em tìm được một số lời giải thích như sau (Từ forum forum.kapersky.vn)

Đây là một loại virus được nằm trong nhóm MBR Rootkit. Mỗi thiết bị khi ánh xạ vào HĐH Windows sẽ được coi là một Object. Với MBR của ổ đĩa cứng, sẽ được định nghĩa là Kernel Object với kiểu Device. Khi bị nhiễm MBR Rootkit, nó sẽ bị thay đổi như sau:

Vì Rootkit này nhiễm vào MBR, nó ở mức Driver, nên không một AV-Tools nào có khả năng loại bỏ nó. Và khi Format lại HDD mà không chỉnh sửa MBR thì nó vẫn còn tồn tại. Để loại bỏ bằng tay, bạn có thể xóa MBR cũ, tạo mới MBR bằng các công cụ có sẵn trong đĩa Hiren's Boot CD.

Cuối cùng kết luận dc 1 cách xử lí con virus này là:

Cách sử lý virus: Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter Rút đĩa ra, khởi động lại máy. Nếu là XP: chạy bình thường Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.

Chi tiết phân tích về virus tại đây(English): http://www2.gmer.net/mbr/ Em đọc nhưng cũng chưa đủ vốn kiến thức để hiểu thêm về nó.. Em mở topic này để mọi người cùng thảo luận...

Con virus quái đản (\Device\Harddisk0\DR0)

bolzano_1989 — GMT

Bạn muốn thảo luận cái gì liên quan loại virus này ?

Con virus quái đản (\Device\Harddisk0\DR0)

nh0ck0n10b — GMT

Đây là loại virus ít người biết đến, nó có cách hoạt động khác các con virus khác, Em muốn tìm hiểu về nguồn gốc, các thức hoạt đông & lây nhiếm vào máy tính, cách diệt & phòng tránh nó, nó nằm ở đâu trong ổ đĩa... Mục đích của loại virus này là gì, nó có hại gì cho máy tính... Vì sao nó lại có cái path Device\Harddisk0\DR0 ... Các thông tin của virus viết ở http://www2.gmer.net/mbr/ <= nhưng em ko có khả năng đọc tiếng anh nên cũng chưa hiểu .... Em cũng nghi nó nằm trong các bản ghost đa cấu hình của Trung Quốc, nhưng không nhiều AV phát hiện được ra nó, có thể nhiều người dính phải loại virus này những vẫn không hề biết gì! Và những topic thắc mắc về loại virus này trên các forum khác thường close mà không có câu trả lời +_+

Con virus quái đản (\Device\Harddisk0\DR0)

bolzano_1989 — GMT

Nguồn gốc của cái gì của virus ? Virus loại này đã rất lâu đời và tất nhiên được viết bởi "virus writers" . Hình thức lây nhiễm thì cũng tương tự các loại virus thông thường khác, bạn tự tìm hiểu, ngoài ra nếu bạn boot bằng đĩa mềm bị nhiễm boot virus thì ổ cứng của bạn cũng sẽ bị lây nhiễm. Boot virus copy mã độc vào boot sector của ổ đĩa mềm và boot sector hoặc Master Boot Record (MBR) của ổ cứng. Cách diệt nó thì bạn đã đọc ở nhiều nơi rồi, tự mà làm lấy, đa số là dùng đĩa boot hay cài thêm Windows Recovery Console với lệnh fdisk /mbr hoặc dùng 1 số công cụ. ////////////////////////////////////////////// Tạm trả lời thế đã, sắp có người bảo/nghĩ mình "đút ăn" bạn đấy :^) . Bạn đã có cố gắng tìm hiểu các trang bằng tiếng Việt trước nên mình mới giúp bạn. Chỉ hi vọng rằng bạn có được một số kiến thức chuẩn và sẽ bớt tù mù khi đọc mớ thông tin hỗn độn bằng tiếng Việt ngoài kia. Mình nghĩ bạn nên cố gắng học tiếng Anh đi nếu muốn hiểu sâu, chính xác, đầy đủ và đọc tài liệu dễ hơn. Mình đôi lúc đọc tài liệu tiếng Anh gặp khó khăn do không quen với một số từ, thử chuyển qua tiếng Việt đọc tiếp còn tù mù hơn :D , thế là quay lại tiếng Anh + thêm sự kiên nhẫn thì sẽ dần sáng tỏ thôi.

Con virus quái đản (\Device\Harddisk0\DR0)

tuylipden156 — GMT

sao không ai nói đến tác hại của con này thế? thấy con này ít phổ biến đó

Con virus quái đản (\Device\Harddisk0\DR0)

bolzano_1989 — GMT

nh0ck0n10b wrote:

Mục đích của loại virus này là gì, nó có hại gì cho máy tính...

Với mục đích, tác hại của virus nào thì chỉ có cách hỏi người đã viết virus đó hoặc dịch ngược mã nguồn nếu muốn biết chính xác. Virus lây nhiễm vào MBR có một số lợi thế như: Nó được thực thi trước khi hệ điều hành khởi động, bạn không thể xóa nó như xóa 1 file bình thường, nó không cần sử dụng registry để khởi động như các loại virus khác vì thế nếu bạn quanh quẩn quanh registry sẽ không bắt được nó.

nh0ck0n10b wrote:

Vì sao nó lại có cái path Device\Harddisk0\DR0 ...

Dòng đó nghĩa là virus này đã lây nhiễm vào master boot record của đĩa cứng đầu tiên của máy bạn.

Con virus quái đản (\Device\Harddisk0\DR0)

Tổng Tư Lệnh — GMT

nh0ck0n10b wrote:

File \Device\Harddisk0\DR0: ccntain virus Type_Boot
Con virus này rất lạ. KIS 2010 báo phát hiện nhưng cũng không thể diệt được. GHOST lại máy hay cài lại windows cũng không thể hết... và nhìn cái path thế kia thì chẳng biết nó ở đầu mà lấy mẫu. Khi tìm kiếm thông tin về con virus này em tìm được một số lời giải thích như sau (Từ forum forum.kapersky.vn)
Đây là một loại virus được nằm trong nhóm MBR Rootkit. Mỗi thiết bị khi ánh xạ vào HĐH Windows sẽ được coi là một Object. Với MBR của ổ đĩa cứng, sẽ được định nghĩa là Kernel Object với kiểu Device. Khi bị nhiễm MBR Rootkit, nó sẽ bị thay đổi như sau:

Vì Rootkit này nhiễm vào MBR, nó ở mức Driver, nên không một AV-Tools nào có khả năng loại bỏ nó. Và khi Format lại HDD mà không chỉnh sửa MBR thì nó vẫn còn tồn tại. Để loại bỏ bằng tay, bạn có thể xóa MBR cũ, tạo mới MBR bằng các công cụ có sẵn trong đĩa Hiren's Boot CD.
Cuối cùng kết luận dc 1 cách xử lí con virus này là:
Cách sử lý virus: Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter Rút đĩa ra, khởi động lại máy. Nếu là XP: chạy bình thường Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.
Chi tiết phân tích về virus tại đây(English): http://www2.gmer.net/mbr/ Em đọc nhưng cũng chưa đủ vốn kiến thức để hiểu thêm về nó.. Em mở topic này để mọi người cùng thảo luận...

Master Boot Records (MBR) là vùng đầu tiên trên dĩa cứng vật lý, nằm tại Cylinder 0, Head 0, Sector 1. Vùng này có kích thước 512KB, lưu trữ toàn bộ thông tin về các phân vùng trên dĩa cứng. Trong quá trình boot, sau khi máy tính đã POST (Power On Self Test) xong, BIOS sẽ chuyển quyền điều khiển máy cho một đoạn chương trình "mồi" (boot strap) nằm trên MBR. Đoạn chương trình này sẽ tìm hiểu xem ổ cứng máy tính bao gồm những phân vùng nào, mỗi phân vùng có hệ điều hành hay không? Và boot strap sẽ chuyển quyền điều khiển cho hệ điều hành nằm trên phân vùng thích hợp... Như vậy MBR là vị trí tối quan trọng trên ổ cứng máy tính. Thông báo trên cho thấy: máy bạn đã bị virus nhiễm vào MBR. Bạn phải sao lưu toàn bộ dữ liệu trên ổ cứng của bạn sang ổ cứng khác hoặc phương tiện lưu trữ ngoài. Sau đó, bạn sẽ tiến hành xoá sạch MBR của ổ cứng bằng Norton Disk Editor có trên các CD Hiren Boot. Dĩ nhiên, sau khi xoá MBR thì đồng nghĩa với việc dĩa cứng của bạn sẽ bị xoá sạch hoàn toàn. Bạn phải tiến hành phân chia lại ổ cứng bằng Acronis Disk Director Suite, hoặc tiện ích phân vùng có sẵn trên dĩa CD cài đặt Windows. Kế đến là bạn sẽ cài đặt lại mọi thứ từ đầu... Không có chương trình diệt virus nào có thể diệt tận gốc virus nhiễm vào MBR. Vì mọi chương trình (bao gồm cả hệ điều hành) đều phải chạy sau đoạn chương trình mồi trên MBR. Vừa mới đọc dc soft này mọi người test nhé

http://cmcinfosec.co...cw0.2.4.500.rar

Con virus quái đản (\Device\Harddisk0\DR0)

phamlenhan555 — GMT

cậu cho tớ hỏi MBR là gì thế mình ko biết

Con virus quái đản (\Device\Harddisk0\DR0)

vutienvan — GMT

Em cũng nghi nó nằm trong các bản ghost đa cấu hình của Trung Quốc

==> các bác nghĩ sao về vấn đề này. Em cũng nghi nghi nhưng chưa chắc chắn. đã có một thời gian cả một giàn máy ở công ty bị dính con virus này, các máy chạy như bị ma làm, nhiều lỗi chẳng hiểu tại sao, mãi mới phát hiện ra. =((

Con virus quái đản (\Device\Harddisk0\DR0)

holiganvn — GMT

sửa giùm bác Tổng Tư Lệnh cái link: http://cmcinfosec.com/download/cmcark.zip

Con virus quái đản (\Device\Harddisk0\DR0)

kekhocdoi — GMT

@phamlenhan555

bolzano_1989 wrote:

Nguồn gốc của cái gì của virus ? Virus loại này đã rất lâu đời và tất nhiên được viết bởi "virus writers" . Hình thức lây nhiễm thì cũng tương tự các loại virus thông thường khác, bạn tự tìm hiểu, ngoài ra nếu bạn boot bằng đĩa mềm bị nhiễm boot virus thì ổ cứng của bạn cũng sẽ bị lây nhiễm. Boot virus copy mã độc vào boot sector của ổ đĩa mềm và boot sector hoặc Master Boot Record (MBR) của ổ cứng. Cách diệt nó thì bạn đã đọc ở nhiều nơi rồi, tự mà làm lấy, đa số là dùng đĩa boot hay cài thêm Windows Recovery Console với lệnh fdisk /mbr hoặc dùng 1 số công cụ.

Con virus quái đản (\Device\Harddisk0\DR0)

Tony_nguyen19 — GMT

tình hình là máy e đang dùng Win7 Ent x64 cũng đang bị dính con Type_Boot này \Device\HardDisk\ DR1 e đã dùng các cách trên nhưng ko diệt dc nó, ko bít ai có cao kiến gì giúp e với :D ( đừng bảo format all cài lại nha :( )

Con virus quái đản (\Device\Harddisk0\DR0)

white95 — GMT

Cách sử lý virus: Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter Rút đĩa ra, khởi động lại máy. Nếu là XP: chạy bình thường Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.

Bác cho em hỏi, chạy lệnh Code:

fdisk /mbr

thì nghĩ là như thế nào, dữ liệu trong phân vùng có bị mấ không, có format không, dữ liệu có bị làm sao không?

Con virus quái đản (\Device\Harddisk0\DR0)

ducnamnv — GMT

white95 wrote:

Cách sử lý virus: Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter Rút đĩa ra, khởi động lại máy. Nếu là XP: chạy bình thường Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.
Bác cho em hỏi, chạy lệnh Code:
fdisk /mbr
thì nghĩ là như thế nào, dữ liệu trong phân vùng có bị mấ không, có format không, dữ liệu có bị làm sao không?

Lệnh đó được dùng phổ biến từ lâu lắm rồi, nó có tác dụng định dạng lại MBR ổ đĩa mà không mất dữ liệu.

Con virus quái đản (\Device\Harddisk0\DR0)

kara_men — GMT

Xin phép lôi topic này lên. Hôm nay mình gặp trường hợp sau: Lắp ổ cứng cũ vào máy mới, cài windows 7 "sạch" (có format partition), bộ cài của Maher (bộ này cài ở một số máy khác rồi nhưng không gặp trường hợp này) Cài xong windows, cài MSE, update. Xong xuất hiện cảnh báo virus: http://www.upsieutoc.com/images/2014/09/22/virus.png Cảnh báo này lặp đi lặp lại, không thấy MSE diệt được Restart máy, dùng usb Kaspersky Rescue Disk 10 boot máy, update và quét. Quét ra vài con virus khác, diệt sạch. Xong khởi động lại máy, vào windows 7 => vẫn hiện lên thông báo virus. Dùng Pchunter thì phát hiện ra con taskhost.exe trong C:\Windows\, kill nó bằng tay, kill luôn trong startup, restart, check lại, con taskhost đã chết, nhưng báo virus kia vẫn còn. Khởi động lại máy, boot bằng usb, vào chế độ repair của windows 7, chạy lệnh bootrec.exe /fixmbr; fixboot; rebuildbcd xong, khởi động lại máy, vẫn tiếp tục báo. Bó tay roài. =(( Nhờ mọi người giúp đỡ.