PDA

View Full Version : Khắc phục virut autorun và phá hoại không cho vào NICK YAHOO



AlexF
13-09-2008, 04:06 PM
http://www.4shared.com/file/62825140/c4e914d7/virut.html
đây là con virut tạo ra file autorun và không chát bằng YAHOO
bạn nào có thể đưa ra ách khắc phục cho mình được không
chú ý là down về khong chát được đâu( nó xóa file bộ nhớ gì đó mình không rõ,như mình phải dùng trilian để chát

Tab
13-09-2008, 04:12 PM
Mấy con loại này dễ diệt , có gì khó đâu . Chủ yếu phải Kill được Process đang chạy , nguyên tắc chung là thế . Chỉ sợ mấy con đa hình thôi .

AlexF
13-09-2008, 08:03 PM
Mấy con loại này dễ diệt , có gì khó đâu . Chủ yếu phải Kill được Process đang chạy , nguyên tắc chung là thế . Chỉ sợ mấy con đa hình thôi .
thì câu cứ thử giải nén ra đi xem nào,nếu mà process được thì mình đưa lên đây làm gì:),mình không biết tại sao nhưng sau khi giải nén ra một lúc sau cậu sẽ thấy 1 đống file bat đi kèm,cậu vừa end process thì nó lại hiện lên mà tận 2 file này cơ: ( trong process : wscntfy.exe và wuauclt.exe
còn 2 file thường trú trong ổ đĩa là vlc.exe và autorun.inf
tóm lại cách của cậu không được đâu:)

anhtuyenbk
13-09-2008, 08:38 PM
Mấy con loại này dễ diệt , có gì khó đâu . Chủ yếu phải Kill được Process đang chạy , nguyên tắc chung là thế . Chỉ sợ mấy con đa hình thôi .
Nếu mà nó hiện process thì nói làm gì.
Đăng này cái file exe đó hoàn toàn ẩn đi, taskmanager ko thấy thì đố mà end process.

AlexF
13-09-2008, 08:43 PM
Đăng này cái file exe đó hoàn toàn ẩn đi
không biết virut của anh có giống em không :) anh để ý xem có 2 file lạ trong process đó là file này nè wscntfy.exe và wuauclt.exe

v0!d
13-09-2008, 09:36 PM
Cậu codegate thừa đạm nhỉ? Hay là cậu thích oai?

Tui đang nói đến cái chữ ký của cậu đó. Code vớ vẩn ! Đến cái chữ virus trong message box cậu bung ra còn viết sai chính tả thì máu me virus làm gì hả...

Đang đau đầu tự nhiên gặp chuyện này bực cả mình.

Tab
13-09-2008, 11:10 PM
không biết virut của anh có giống em không anh để ý xem có 2 file lạ trong process đó là file này nè wscntfy.exe và wuauclt.exe
Thua cậu codegate rồi , wscntfy.exe là Security Center còn wuauclt.exe là cái Windows Update . Đến mấy cái process quen thuộc cậu còn không biết thì sao tính chuyện diệt virus ?

Tab
13-09-2008, 11:14 PM
À quên , cậu v0!d nói đúng đấy , việc gõ chính tả cũng như nói năng vậy . Nếu gõ sai thì khác gì thằng nói ngọng ..

meoconlongvang
13-09-2008, 11:34 PM
con này là con ckvo. Muốn diệt nó thì khá dễ. Đầu tiên bạn dùng taskmgr endprocess thằng explorer của win đi rồi exit luôn taskmgr. Tiếp theo nhấn ctrl + alt + del mở lại taskmgr và dùng run để chạy lại explorer. Tiếp theo vào gpedit để phục hồi folder options và mở hết file ẩn ra. Tiếp theo bạn vào windows\system32, xóa file ckvo.exe và ckvo0.dll đi. Cuối cùng xử thằng autorun và restart máy. Chú ý là đừng nhấp đôi vào các ổ đĩa trong lúc chưa xóa được virus kẻo lại công toi.

hoanglinh9466
13-09-2008, 11:42 PM
Mà nó còn tiêm code vào process khác để chạy cơ, hoặc là dùng rootkit để ẩn process, cách tìm tên process để kill thế này cũng ko hiệu quả lắm, tốt nhất là có trình chống virus thật ngon, như bit chẳng hạn :D

meoconlongvang
13-09-2008, 11:53 PM
Mà nó còn tiêm code vào process khác để chạy cơ, hoặc là dùng rootkit để ẩn process, cách tìm tên process để kill thế này cũng ko hiệu quả lắm, tốt nhất là có trình chống virus thật ngon, như bit chẳng hạn :D

Nó inject dll thì mình có tool để eject ra. Vả lại nó chỉ inject vào explorer rồi tạo một thread chạy thường trực thôi. Con này đâu cần dùng av làm gì. Vả lại nếu rootkit mạnh thì av ko phát hiện được hoặc phát hiện cũng ko diệt được. Diệt tay vẫn là tốt nhất và vui nhất.

AlexF
14-09-2008, 08:12 AM
Diệt tay vẫn là tốt nhất và vui nhất. uhm,mình ủng hộ

AlexF
14-09-2008, 09:39 PM
con này là con ckvo. Muốn diệt nó thì khá dễ. Đầu tiên bạn dùng taskmgr endprocess thằng explorer của win đi rồi exit luôn taskmgr. Tiếp theo nhấn ctrl + alt + del mở lại taskmgr và dùng run để chạy lại explorer. Tiếp theo vào gpedit để phục hồi folder options và mở hết file ẩn ra. Tiếp theo bạn vào windows\system32, xóa file ckvo.exe và ckvo0.dll đi. Cuối cùng xử thằng autorun và restart máy. Chú ý là đừng nhấp đôi vào các ổ đĩa trong lúc chưa xóa được virus kẻo lại công toi.
mình hỏi thêm 1 vấn đề này mong bạn giúp đỡ

endprocess thằng explorer-> mình không rõ tại sao phải dừng cái này :)

để chạy lại explorer rồi sau đó lại chạy lại :)

meoconlongvang
14-09-2008, 10:24 PM
virus inject dll vào explorer nên ta phải endprocess explorer đi rồi chạy lại để eject dll của virus ra.

Tab
14-09-2008, 10:45 PM
Cách tốt nhất là tìm đường dẫn của nó , sau đó boot máy vào DOS rồi xóa = tay , đỡ phiền .

AlexF
14-09-2008, 10:50 PM
Cách tốt nhất là tìm đường dẫn của nó , sau đó boot máy vào DOS rồi xóa = tay , đỡ phiền .
uhm,cách này đúng là hay nhưng mà mình đơn giản chỉ muốn biết cách phân tích diệt 1 con virus thôi,vì đơn giản là đã đọc 1 bài hướng dẫn cách thức người ta diệt virut thôi
http://virusvn.com/forum/showthread.php?t=64
có lẽ cách này là cách mà mấy ông BKAV áp dụng ,không biết có đúng không

dark_baron
14-09-2008, 11:02 PM
Tui có xem qua bài QuickRemove này trước kia rồi. Nói chung (theo đánh giá của tui) thì nó chạy khá mượt, nhưng.........thực sự chưa hữu dụng lắm bằng Hijackthis, vì Hijackthis nó liệt kê khá đầy đủ các ứng dụng đang chạy trên hệ thống, và cả các ứng dụng đc ghi vào registry nữa !!

Có vẻ QuickRemove này còn phải pt khá dài nữa chăng :-??

meoconlongvang
14-09-2008, 11:04 PM
Tui có xem qua bài QuickRemove này trước kia rồi. Nói chung (theo đánh giá của tui) thì nó chạy khá mượt, nhưng.........thực sự chưa hữu dụng lắm bằng Hijackthis, vì Hijackthis nó liệt kê khá đầy đủ các ứng dụng đang chạy trên hệ thống, và cả các ứng dụng đc ghi vào registry nữa !!

Có vẻ QuickRemove này còn phải pt khá dài nữa chăng :-??

QuickRemove để xóa các file dựa theo mẩu, còn hijackthis là lấy snapshot của hệ thống. Chức năng của chúng khác nhau, đâu có đem ra so sánh vậy được.

dark_baron
14-09-2008, 11:11 PM
QuickRemove để xóa các file dựa theo mẩu, còn hijackthis là lấy snapshot của hệ thống. Chức năng của chúng khác nhau, đâu có đem ra so sánh vậy được.

Nhưng QuickRemove chỉ là diệt virus theo 1 kiểu mẫu đã có sẵn, như này đâu có khác gì BKAV (:-)?? Hijackthis có đi kèm chức năng Fix Checked nữa cơ mà !!

meoconlongvang
15-09-2008, 12:50 AM
Nhưng QuickRemove chỉ là diệt virus theo 1 kiểu mẫu đã có sẵn, như này đâu có khác gì BKAV (:-)?? Hijackthis có đi kèm chức năng Fix Checked nữa cơ mà !!

Cũng có phần đúng, nhưng dẫu sao thì chúng ta cũng nên ủng hộ sản phẩm phần mềm của người việt. Hiện giờ thì chưa bằng nhưng rồi sẽ có ngày chúng ta bắt kịp và qua mặt nước ngoài cũng ko chừng.

honey
15-09-2008, 11:00 AM
Tui có xem qua bài QuickRemove này trước kia rồi. Nói chung (theo đánh giá của tui) thì nó chạy khá mượt, nhưng.........thực sự chưa hữu dụng lắm bằng Hijackthis, vì Hijackthis nó liệt kê khá đầy đủ các ứng dụng đang chạy trên hệ thống, và cả các ứng dụng đc ghi vào registry nữa !!
Có vẻ QuickRemove này còn phải pt khá dài nữa chăng :-??
thế cho mình hỏi 1 con virus mà ó không hiênh ở Task manager thì có hiện ở đây không,và làm thế nào mà con virus có thể qua mặt được task manager nhỉ

phonglana5
15-09-2008, 12:34 PM
dùng Autorun Eater +Hijackthis là xong

meoconlongvang
15-09-2008, 05:25 PM
thế cho mình hỏi 1 con virus mà ó không hiênh ở Task manager thì có hiện ở đây không,và làm thế nào mà con virus có thể qua mặt được task manager nhỉ

hijackthis thì hiện rất đầy đủ. còn muốn qua mặt taskmgr thì phải hook hàm api hoặc inject dll.