Dùng MBAM gom mẫu virus!

[duymeo]

Bkav Pro cũng có tính năng Trợ giúp, hỗ trợ chẩn đoán gửi và xử lý virus. Các bạn tham khảo bài viết sau:
http://forum.bkav.com.vn/showthread....-Bkav-Pro-2010
Tuy nhiên có những trường hợp Bkav chưa kịp cập nhật mẫu thì bạn có thể dùng MBAM tìm và gom mẫu virus gửi tới Bkav.
Cách làm đơn giản như sau:
Bước 1: Bạn tải MBAM - Malwarebytes Anti-Malware
tại link sau:
http://download.cnet.com/Malwarebyte...html?tag=rtcol
Hoặc:
http://download.cnet.com/3001-8022_4...8db83309d182f5
MBAM là phần mềm diệt malware mà theo nhiều người nhận xét có cơ chế tìm và diệt virus rất thông minh (đặc biệt các loại malware mới của Châu Âu).
Bước 2: Bạn hãy cài đặt MBAM (Cài đặt các bạn tự cài chỉ việc ấn next vài lần là xong), sau đó update lên phiên bản mới nhất. Sau khi update xong sẽ có hình sau đây:
Hình 1:

Bạn chỉ việc chọn Perform full sacn (quét toàn bộ máy) rồi ấn Scan.
Bước 3: Sau khi quét xong, bạn ấn ok và ấn Show result (hiện kết quả thì được hình sau:
Hình 2:

Bước 4: Bạn nhìn hình 2 sẽ biết được tên virus đã nhiễm vào máy. Nhưng để nhìn rõ hơn virus nằm ở đường dẫn nào của máy bạn hãy ấn nút Save log, khi đó có hình sau hiện ra:
Hình 3:

Bạn chọn Destop để lưu (save) log của Mbam bằng notepad. Trong hình tên file log của MBAM trên máy duymeo là:mbam - log-2011-04-12.txt.
Đến đây bạn đã hoàn thành việc lưu log Mbam có chứa đường dẫn virus lây nhiễm nằm trên destop của máy rồi. Lúc này để gom mẫu bạn chớ có ấn nút Remove trên giao diện vừa quét của MBAM vì nếu nhấn nút đó, mẫu virus trên máy bạn sẽ mất do MBAM tiêu diệt (bạn sẽ không lấy được mẫu đâu). Bạn bình tĩnh làm theo bước 5 sau:
Bước 5: Gom mẫu
Bạn chỉ việc ra destop mở file log MBAM lên để xem đường dẫn. Máy duymeo khi mở sẽ có log của MBAM như sau:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6339

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

4/12/2011 11:22:32 AM
mbam-log-2011-04-12 (11-22-31).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 152233
Time elapsed: 23 minute(s), 42 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 3
Files Infected: 6

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Files Infected:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop3.rar (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop2.rar (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.rar (Worm.AutoRun.Gen) -> No action taken.

Nhìn vào một số đường dẫn bôi đỏ, các bạn sẽ thấy virus trú ngụ ở đâu trên máy.
Lúc này bạn chỉ cần dùng winrar nén lên và gửi lên forum là xong.
Cách nén bằng winrar: Khi biết đường dẫn của virus trú ngụ, chẳng hạn trên máy duymeo là con Phim người lớn lây tại đường dẫn C:\Documents and Settings\Dung vo\phimnguoilon.exe
thì chỉ việc vào ổ C, theo đường dẫn đó nhấp phải chuột vạo file phimnguoilon.exe rồi chọn add to "phimnguoilon.rar" như hình dưới đây là bạn đã nén được mẫu bằng winrar.
Hình 4:

- Bạn vào box này để gửi mẫu đã gom được (dùng mục bài viết mới):
http://forum.bkav.com.vn/forumdispla...virus-cho-Bkav
- Cách gửi mẫu các bạn xem bài này:
http://forum.bkav.com.vn/showthread....virus-cho-Bkav
Lưu ý: Sau khi gửi hết mẫu virus lên forum bạn có thể ứng xử theo hai cách:
1. Dùng nút remove trên giao diện MBAM để diệt virus;
2. Nếu mấy con virus đó mà bạn thấy chưa ảnh hưởng tới máy nhiều thì ấn phím exit để thoát MBAM chờ Bkav update các mẫu vừa gửi và tiêu diệt virus vào thời gian khác.
Có gì các bạn trao đổi thêm, chúc các bạn gom được nhiều mẫu virus mới gửi cho Bkav!
Nguồn: duymeo - Bkav forum (bạn nào copy sang forum khác xin ghi rõ nguồn đảm bảo uy tín cho diễn đàn, xin cảm ơn)

[dangkiena3]

Nếu là các process thì có thể dùng Xuetr để xem vị trí và copy ra chỗ khác để lấy mẫu.
Em hay dùng cách đó.

[kukun]

link die rồi a

[duymeo]

link die rồi a

Link nào die em ơi

[kenichifc]

cách này e mới dùng lần đầu, a joney_pham hay gửi mẫu mà hem thấy chia sẻ gì nhỉ =.=

[BaKhai]

Mình thấy đa số mẫu thu được trên máy mình thì không có do virus nó sợ hay sao, còn trên máy người khác không lẻ thấy máy họ là nhảy vào thu mẫu sao? đôi khi cũng muốn lấy mấy anh lây qua USB nhưng gặp dân trời ơi hễ đút USB vào là sợ lây virus nên mẫu thu được cũng không bao nhiêu.

Anh Mèo và bạn joney_pham có thể chia sẽ cách sưu tầm mẫu khác không hay 2 người tạo honey bot đây?

[caothu]

Mình thấy đa số mẫu thu được trên máy mình thì không có do virus nó sợ hay sao, còn trên máy người khác không lẻ thấy máy họ là nhảy vào thu mẫu sao? đôi khi cũng muốn lấy mấy anh lây qua USB nhưng gặp dân trời ơi hễ đút USB vào là sợ lây virus nên mẫu thu được cũng không bao nhiêu.

Anh Mèo và bạn joney_pham có thể chia sẽ cách sưu tầm mẫu khác không hay 2 người tạo honey bot đây?

Cũng kỳ thật, sao mấy ông này có mẫu độc ? Dùng MBAM đâu phải cũng gom được hết ? Kỳ thât... Anh Mèo vào hở mí đi ạ .

[klk53]

link die rồi a

Vẫn download về được mà

[cutidangyeu]

Hix cuối cùng mình cũng đã tìm đc cái cần tim.Đang muốn gửi vài mẫu lên cho Bkav tham khảo mà hem biết cách.Cám ơn Mèo nhiều nha.Vụ này sẽ làm ăn lớn.Hix, máy khách đến sửa toàn virus ,mà mình thì cứ diệt bằng tay cho "lẹ" hêhhhe

[BaKhai]

Anh Mèo có kênh riêng nào không thế? nếu có thì nói cho anh em nhờ, nếu không tiện sợ lộ bí quyết thì em hỏi trước đó anh ưu tiên nói cho em biết với rồi em nói lại anh em cho không sao đâu, đằng nào anh cũng không nói mà, chỉ mình em thôi, em hứa đấy, em thề là em không nói cho 1 người thứ 2 biết đâu?!

[klk53]

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6340

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

4/12/2011 2:51:02 PM
mbam-log-2011-04-12 (14-50-32).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|)
Objects scanned: 278869
Time elapsed: 1 hour(s), 42 minute(s), 36 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 7
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(defa ult) (Broken.OpenCommand) -> Bad: (C:\WINDOWS\pchealth\Global.exe) Good: (regedit.exe "%1") -> No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Users\KIMLIEN\Desktop\new folder\adobe cs4\photoshop\adobe cs4\3. keygen.exe (Hacktool.Keygen) -> No action taken.
e:\new folder\exe\Qua tang.EXE (Backdoor.Hupigon) -> No action taken.
e:\new folder\new folder\adobe cs4\photoshop\adobe cs4\3. keygen.exe (Hacktool.Keygen) -> No action taken.
e:\TONG HOP\PROGRAMS\phan mem tong hop\photoshop\adobe cs4- keymaker v1.02.exe (Trojan.Downloader) -> No action taken.
e:\TONG HOP\PROGRAMS\phan mem tong hop\photoshop\Tutorial\3. keygen.exe (Hacktool.Keygen) -> No action taken.

Hình như toàn File Hacktool :P
Có cái gì để gửi ko?

[duymeo]

Em vào start ---> Programs rồi dùng winrar nén lên nhé. Cái đó là kegen, phần mềm hack hoặc crack. Ko chết ai mà lo em.

[Tran Quang Ha]

Mình thấy đa số mẫu thu được trên máy mình thì không có do virus nó sợ hay sao, còn trên máy người khác không lẻ thấy máy họ là nhảy vào thu mẫu sao? đôi khi cũng muốn lấy mấy anh lây qua USB nhưng gặp dân trời ơi hễ đút USB vào là sợ lây virus nên mẫu thu được cũng không bao nhiêu.

Anh Mèo và bạn joney_pham có thể chia sẽ cách sưu tầm mẫu khác không hay 2 người tạo honey bot đây?

- Q.Hà ngoài honey bot ra còn có cách rất hiệu quả để thu thập mẫu đó là sửa máy cho khách hàng, đồng nghiệp xong cài Av thường là free có setting lại hễ gặp file nghi ngờ là đưa vào "vùng cách li" khoảng 15 ngày lấy cớ kiểm tra máy để thu thập mẫu ...tiện cả đôi đường (vừa có tiếng là nhiệt tình chăm sóc khách hàng vừa có mẫu mới).

[klk53]

Còn thông tin này thì sao ah?

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> No action taken.

[ygerenwoxin]

phần mềm hay và rất tốt. cố gắng tích nhiều virus để làm dồi dào Bkav

[duymeo]

Ðính Kèm 8437
Ðính Kèm 8438
Ðính Kèm 8439

Còn thông tin này thì sao ah?

Thông thường em chỉ gom được file infected thôi, còn ko nên can thiệp vào giá trị registry. Nếu mẫu virus em đã gom được khi Bkav phân tích họ sẽ biết nó lây nhiễm vào đâu. Nếu Bkav diệt thì các giá trị trong registry cũng được gỡ bỏ, em ko cần quan tâm.

[hienhien]

- Q.Hà ngoài honey bot ra còn có cách rất hiệu quả để thu thập mẫu đó là sửa máy cho khách hàng, đồng nghiệp xong cài Av thường là free có setting lại hễ gặp file nghi ngờ là đưa vào "vùng cách li" khoảng 15 ngày lấy cớ kiểm tra máy để thu thập mẫu ...tiện cả đôi đường (vừa có tiếng là nhiệt tình chăm sóc khách hàng vừa có mẫu mới).

Anh Hà đẹp Rai quái nhỉ, người ta dùng honey pot còn anh ấy dùng honey bot . Bó tay .

[rongcodoc12]

xưa nay em vẫn dùng cách này mà

[duongcaotri]

virus phim người lớn
bác Mèo này tỉnh thật thế mà vẫn phát hiện ra

[duymeo]

virus phim người lớn
bác Mèo này tỉnh thật thế mà vẫn phát hiện ra

Chú này đầu óc đen tối nên cái gì nó cũng đen tối.