No announcement yet.

[Solved] Máy nhiễm virus shortcut nhờ giúp đỡ

  • Lọc
  • Giờ
  • Show
Clear All
new posts

  • [Solved] Máy nhiễm virus shortcut nhờ giúp đỡ

    Tình hình là mình cho đứa bạn mượn USB. Ai ngờ khi lấy về thì
    Tất cả folder và các phần mềm khác biến thành biểu tượng Shortcut


    Nói chung là vẫn mở được mấy file đó. nhưng nó mở ra một cửa sổ khác. không xóa được. nghịch một hồi máy đơ lun
    kiểm tra dung lượng thì chỉ có mấy kb thôi. mà file của mình tận mấy 600mb lun. click chuột phải vào file > chọn properties > chọn Find target > thì nó dẫn đến 1 file có tên
    Code:
    "o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01"



    Đã dùng AVG AVAST KAPERSKY quét nhưng không phát hiện ra con nào hết. Định down BKAV về diệt nhưng không cho máy không cho down. hiện lên bảng save là biến mất. good chorme cũng không sài được nữa.
    Bây giờ cứ cắm cái usb nào vào là usb đó bị như vậy. ở ổ cứng thì không sao.
    mong các bác giúp xem em bị con viruts nào vậy?
    Attached Files
    test
    Lần sửa cuối bởi minhduc2091; 06/10/10, 11:50 PM.
    Những lời tỏ tình hay nhất - Cách tán gái nhanh nhất
    PHP Code:
    Kenh47.info 

  • #2
    bạn thử down ngoài quán game rùi dem vào nha cài bkav home và quét thử
    theo mình biết thì có lẽ là bạn của bạn dùng kaspersky khi usb bị nhiễm virus thế là khi cắm vào kaspersky nó diệt và tạo ra 1 bản sao đó mình bị như vậy hoài ak
    bạn đem mẫu lên virustotal.com để test với nhiều AV khác nhau nha test
    Lần sửa cuối bởi rongcodoc12; 06/10/10, 11:17 PM.
    Mua bán thẻ Bkav Pro 2011 Giá rẻ - Bkav Pro 2011 VN

    http://img339.imageshack.us/img339/2...ngvitoquoc.jpg

    Comment


    • #3
      mình chỉ dùng AVAST trên win thôi. còn 2 cái kia mình diệt = RESCUE (usb) chứ không cài vào máy.
      mình bổ xung thêm là khi bị nhiễm. nó tạo cho trang chủ IE có link là
      http://z-q-0-2-8-j-6-c-s-.a-l-v-d-z-...-4-a-q-0.info/ test
      Những lời tỏ tình hay nhất - Cách tán gái nhanh nhất
      PHP Code:
      Kenh47.info 

      Comment


      • #4
        Một dạng virus shortcut rồi . test
        Câu lạc bộ Laptop xách tay Mỹ
        http://forum.bkav.com.vn/search?sear...ssage%22%5D%7D

        Comment


        • #5
          Nguyên văn bởi Lãng khách Xem bài viết
          Một dạng virus shortcut rồi .
          Em cũng nghĩ vậy. Em chưa gặp con này bao giờ. giờ gặp rồi mới bít
          Bây giờ làm thế nào hả anh test
          Những lời tỏ tình hay nhất - Cách tán gái nhanh nhất
          PHP Code:
          Kenh47.info 

          Comment


          • #6
            Bạn thử dùng công cụ này của Bkav quét xem có phát hiện gì không:

            test

            Comment


            • #7
              Thực chất thì file của em chưa phải là mẫu. Căn cứ vào shortcut em nói, file o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe mới là virus còn file em gửi là shortcut mà thôi. Việc diệt nó thế nào thì em cần một AV đã update mẫu cùng với một công cụ xử lý chuyên dụng.
              Em nên lấy cái mẫu đó gửi lên.
              Code:
               
              G:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY2sziakx2axTnS4SA0447SPkbMnv4Qm\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe
              Theo Lãng khách, em nên tham khảo các chủ đề sau:
              http://forum.bkav.com.vn/showpost.ph...1&postcount=21
              http://forum.bkav.com.vn/showpost.ph...59&postcount=2

              và tool bạn huynhdangductoan cung cấp . test
              Lần sửa cuối bởi Lãng khách; 06/10/10, 11:53 PM.
              Câu lạc bộ Laptop xách tay Mỹ
              http://forum.bkav.com.vn/search?sear...ssage%22%5D%7D

              Comment


              • #8
                Nguyên văn bởi huynhdangductoan Xem bài viết
                Bạn thử dùng công cụ này của Bkav quét xem có phát hiện gì không:
                Đã thử không thấy vurit test
                Những lời tỏ tình hay nhất - Cách tán gái nhanh nhất
                PHP Code:
                Kenh47.info 

                Comment


                • #9
                  Nguyên văn bởi Lãng khách Xem bài viết
                  Thực chất thì file của em chưa phải là mẫu. Căn cứ vào shortcut em nói, file o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe mới là virus còn file em gửi là shortcut mà thôi. Việc diệt nó thế nào thì em cần một AV đã update mẫu cùng với một công cụ xử lý chuyên dụng.
                  Em nên lấy cái mẫu đó gửi lên.
                  Code:
                   
                  G:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY2sziakx2axTnS4SA0447SPkbMnv4Qm\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe
                  Theo Lãng khách, em nên tham khảo các chủ đề sau:
                  http://forum.bkav.com.vn/showpost.php?p=131881&postcount=21
                  http://forum.bkav.com.vn/showpost.php?p=113959&postcount=2

                  và tool bạn huynhdangductoan cung cấp .
                  Cám ơn Anh LK, TA. Em đã sửa được một số lỗi của win do virut ăn mất. còn bản vá lỗi thì cũng không biết sao lại không chạy được . xả nén được một tí biến mất tiêu.
                  Em đã down được bl về cài và scan nhưng cũng không thấy con nào.
                  có nguy có là phải ghost lại máy.
                  Attached Files
                  test
                  Lần sửa cuối bởi minhduc2091; 07/10/10, 12:21 AM.
                  Những lời tỏ tình hay nhất - Cách tán gái nhanh nhất
                  PHP Code:
                  Kenh47.info 

                  Comment


                  • #10
                    Em chú ý làm theo TA37 hướng dẫn trong chủ đề Lãng khách đã gửi link tham khảo. Đây là các thông tin mà con đó đã tạo ra trong máy em. Có một đống key để em fix (bao gồm cả home page của IE đã bị tự động thay đổi):

                    Code:
                    Dir Added C:\Documents and Settings\LK\LK1
                    File Added C:\Documents and Settings\LK\LK1\winlogon.exe
                    File Added C:\WINDOWS\Temp\Perflib_Perfdata_128.dat
                    File Added C:\WINDOWS\system32\wbem\Logs\wmiadap.log
                    File Changed C:\WINDOWS\system32\config\software "Modified=10/7/2010 2:14:47 PM" (old value="Modified=10/7/2010 2:13:41 PM")
                    File Changed C:\WINDOWS\system32\config\system.LOG "Modified=10/7/2010 2:16:03 PM" (old value="Modified=10/7/2010 2:12:29 PM")
                    File Changed C:\WINDOWS\system32\drivers\etc\hosts "Size=22089 Modified=10/7/2010 2:14:47 PM" (old value="Size=734 Modified=4/14/2008 7:00:00 PM")
                    Lãng khách chỉ ví dụ, em tải file đính kèm về xem cho đầy đủ thông tin ghi trong log .
                    Attached Files
                    test
                    Lần sửa cuối bởi Lãng khách; 07/10/10, 12:29 AM.
                    Câu lạc bộ Laptop xách tay Mỹ
                    http://forum.bkav.com.vn/search?sear...ssage%22%5D%7D

                    Comment


                    • #11
                      Em bó tay. bây giờ cả regedit, cmd em cũng khong vào được nữa anh ak. chắc nó sửa lun của em rồi. nó báo như vậy:



                      Bây giờ không vào được regedit nữa. không làm được hết mấy bước của anh TA37 được rồi. test
                      Lần sửa cuối bởi minhduc2091; 07/10/10, 01:12 AM.
                      Những lời tỏ tình hay nhất - Cách tán gái nhanh nhất
                      PHP Code:
                      Kenh47.info 

                      Comment


                      • #12
                        1. Em tải Kiếm Băng về máy. Chú ý truy cập diễn đàn bằng IE, rồi phải chuột liên kết cần tải chọn Save Target as, rồi chọn Desktop để lưu file:
                        [IceSword v1.22En] Kill các process cứng đầu, cưỡng bức xoá file, sửa Registry...

                        2. Chạy Kiếm Băng, virus sẽ không có quyền đóng Kiếm Băng. Em truy cập và xoá bỏ file virus theo hướng dẫn (chú ý tên tài khoản của em sẽ khác với tên tài khoản máy ảo của Lãng khách là LK\LK1 nhé):



                        3. Sau khi xoá bỏ file virus, Log off rồi Log on trở lại.

                        4. Tải file dưới đây về, xả nén ra Desktop, phải chuột chọn Install là OK. Chú ý rằng do Lãng khách sử dụng lệnh tìm kiếm và thay thế trong NotePad (máy ảo) kết hợp với file log nên có lệnh trùng lặp (vì virus cũng tạo lệnh trùng lặp), nên dài hơn bình thường một tý .
                        Langkhach.zip (4,5 KB)

                        5. Chạy hotfix:
                        Microsoft phát hành bản vá cho lỗi shortcut Windows

                        6. Lãng khách đã reset một số thay đổi cho IE. Để cẩn thận hơn, em có thể làm theo hướng dẫn sau:
                        http://support.microsoft.com/kb/923737

                        Chúc em thành công!
                        Attached Files
                        test
                        Lần sửa cuối bởi Lãng khách; 07/10/10, 01:39 AM. Lý do: Bổ sung file đính kèm.
                        Câu lạc bộ Laptop xách tay Mỹ
                        http://forum.bkav.com.vn/search?sear...ssage%22%5D%7D

                        Comment


                        • #13
                          Chào các bạn,

                          Để phù hợp với nội dung bài viết, mình chuyển topic sang box Virus, malware, spyware, rootkit ...

                          Thân,
                          BQT Bkav Forum
                          test
                          Do your best, the rest will come

                          Comment


                          • #14
                            Lãng khách bổ sung thêm là 2 key autorun của virus (trong HKLM và HKCU) file Langkhach.inf chưa xử lý hết, nhưng có thể dùng autoruns.exe (TA37 giới thiệu) để loại bỏ. Virus đã bị xử lý rồi nên việc xử lý key rác cũng không có gì phức tạp, Lãng khách không bổ sung lại nữa. Toàn bộ các giới hạn không cho chạy như cmd (command prompt), regedit (registry editor),... Lãng khách đều đồng thời khôi phục trong file Langkhach.inf. Tức là sau khi install file là đã OK rồi. Các thao tác còn lại như mở Regedit, cmd,.... được khôi phục. Riêng run command tại Start menu thì cần bổ sung thêm thao tác log off rồi log on sẽ hiện ra.

                            Con này khá củ chuối. Sau khi xử lý theo hướng dẫn của TA37 thì vốn virus đã "chết", nhưng do các sửa đổi trong registry nên mới không thể chạy các công cụ hệ thống còn lại được (muốn chạy thì phải đổi tên). Virus đưa vào danh sách rất nhiều tên tiến trình không được phép chạy. Mẫu này là biến thể mới hơn so với mẫu TA37 đã hướng dẫn xử lý thì phải.

                            @TA37:
                            Em nên đính kèm file với định dạng ZIP, vì có thể sẽ có máy không có sẵn WinRAR hay WinRAR bị lỗi,... với định dạng ZIP thì Windows XP mặc định sẽ xả nén được mà không cần hỗ trợ. RAR cũng không nhỏ hơn ZIP nhiều lắm. test
                            Câu lạc bộ Laptop xách tay Mỹ
                            http://forum.bkav.com.vn/search?sear...ssage%22%5D%7D

                            Comment


                            • #15
                              Diệt bằng tay không được thì cứ lôi MBAM ra mà chém thôi. Phục hồi các tính năng của Windows thì có sẵn các công cụ hay file anh LK giới thiệu đó rồi, cái quan trọng là nếu biết dùng Autoruns thì sẽ đọc được các giá trị mà Virus tạo ra từ đó tìm hướng loại bỏ nó.

                              Bổ sung 2 file đính kèm, dùng 2 cái là đủ để loại bỏ hoàn toàn được Virus này.
                              Attached Files
                              test
                              Lần sửa cuối bởi TuanAnh37; 07/10/10, 11:22 AM.

                              Comment

                              X