Trạm cấp cứu virus, trojan, spy, ...

Mr.NamThanh

Linh Hồn Quỷ Đỏ
7/4/08
771
0
Hà Nội
MUSVN Đồng
0
Points
0
Virus Kavo “hạ đo ván” Yahoo! Messenger

YM-110708.jpg

Yahoo! Messenger tự động sign-out khiến người dùng bực tức.

(Dân trí)-Chỉ riêng trong tháng 6, 1.256.000 máy tính tại VN đã bị nhiễm virus W32.Kavo và các biến thể của loại virus này. Máy tính nạn nhân vừa bị chiếm quyền điều khiển, mất thông tin cá nhân, không thể hiển thị được cái file có thuộc tính ẩn, và chương trình chat Yahoo!Messenger tự động tắt.

Kết quả thống kê từ hệ thống giám sát virus của Bkis cũng cho thấy, đã có tới 639 biến thể mới của virus W32.Kavo (virus có xuất xứ từ Trung Quốc) xuất hiện trong tháng 06/2008, trung bình 21,3 biến thể mỗi ngày, đây là một kỷ lục mới tốc độ biến thể của một virus.

Xuất hiện từ ngày 11/09/2007, đến nay đã có 3.191 biến thể của W32.Kavo liên tục được phát tán lên mạng. Các máy tính khi bị nhiễm loại mã độc này không những bị chiếm quyền điều khiển, bị mất mát thông tin cá nhân, không thể hiển thị được cái file có thuộc tính ẩn, mà còn không thể sử dụng được chương trình chat Yahoo!Messenger.



Virus W32.Kavo sử dụng kỹ thuật Hook Message (kỹ thuật chặn thông điệp của hệ thống) để được nạp vào bộ nhớ của tất cả các tiến trình có giao diện GUI (Graphical User Interface) đang được thực thi trên máy tính. Với cách này, Kavo có thể “lùng sục” trong bộ nhớ của các tiến trình để dò tìm mật khẩu tài khoản của người sử dụng. Tuy nhiên, do mắc một lỗi trong lập trình, nên khi Kavo can thiệp vào bộ nhớ của Yahoo!Messenger, mã lệnh của virus tự sinh ra lỗi truy xuất bộ nhớ (memory exception) kéo theo đổ vỡ toàn bộ tiến trình này. Đây chính là nguyên nhân của hiện tượng mà rất nhiều người sử dụng Yahoo!Messenger tại Việt Nam đã gặp phải trong thời gian qua: Mỗi khi người sử dụng đăng nhập (sign in) vào Yahoo!Messenger, phần mềm này sẽ tự động bị kết thúc (crash).



Để khắc phục hiện tượng trên, người sử dụng có thể tải Bkav mới nhất từ địa chỉ www.bkav.com.vn.



N.H.

Mã:
 http://dantri.com.vn/cong-nghe/vitinh/Virus-Kavo-ha-do-van-Yahoo-Messenger/2008/7/240933.vip
 

conquydo07

ღ$ Thích Đủ Thứ $♥
9/4/08
1,077
0
TPHCM-VĨNH PHÚC
conquydo07.blogspot.com
MUSVN Đồng
0
Points
0
Cái này KIS diệt tốt mà .....hình như là 1 dạng khác của Virus Yahoo :-? :-?
bác đã click vào xem cái Folder đó tức là Virus nó đã lan ra rồi ....nếu ko nhầm thì có lẽ đã click đúp chuột vào USB :-? :-?

Nếu mới bị:
Vào Folder Option chình hiên tất cả các file ( kể cả file hệ thống , hiện phần đuôi ứng dụng luôn.(nếu đã bị khóa thì dùng cách khác vậy)
sau đó xóa hết cái file có đuôi *.exe mà nó tạo ra đi
nếu trong USB thì xóa nốt cái file autorun.inf nữa
Nếu bị nặng quá rồi thì pác post hết chiệu chứng của nó lên để mọi người giúp đỡ

Triệu chứng thì cơ bản như em mô tả. Khi em chép file từ HDD ra USB từ máy đó. Rồi chép ngược trở lại máy khác có cài AVG, máy báo có virus ...worm gì đó rồi không cho copy nữa.
 

Zlatan

Interista
10/4/08
1,049
0
35
F.C. Internazionale Milano
MUSVN Đồng
0
Points
0
Trước hết dùng Kas và BKAV update quét trước xem hiệu quả ra sao ? Vào safe mode mà quét.
Ko dc thì phải diệt bằng tay .
Triệu chúng nêu vẫn chưa rõ : còn mở dc Folder Option để chỉnh hiển thị file ẩn Ko ? Task Manager còn mở dc ko? ...
 

Gà Con Chạy Lon Ton

Active member
8/7/08
41
0
MUSVN Đồng
0
Points
0
Tức là thế này. Khi mở HDD-D. không đúp chuột vào được. Phải mở theo cách Explorer, Tá Manager bị vô hiệu hóa rồi.
cái này sửa cũng không khó lắm
đúp chuột vào HDD thì có nghĩa là đồng chí đã mắc bẫy của nó rồi .... khi đó autorun.inf trong ổ cứng sẽ làm cho Virus phát tán
(Khi bị trường hợp ko đúp chuột được vào HDD, bạn chỉ cần tìm file autorun.inf trong ổ đó rồi del đi là okie, khuyến cáo Conquydo ko nên đúp chuột vào ổ cứng hay USB, tốt nhất là nên chuột phải rồi Open - như thế hạn chế được sự phát tán của những con Virus)
Thử làm thế này nhé:
Đầu tiên là ko cho nó chạy nữa:
vì Task đã bị vô hiệu nên phải dùng phần mềm khác
giới thiệu cho đồng chí cái ProcessExplorer
Mã:
http://download.sysinternals.com/Files/ProcessExplorer.zip
kill process của con Virus này đi (biểu tượng có hình Folder đó)
vào Folder Options làm hiện tất cả các file ẩn (kể cả file hệ thống <Hide extensions for known file types>)sau đó deletet hết các file *.exe có hình Folder và cả cái file autorun.inf đi
trường hợp ko thể vào được Folder Options với Regedit, đồng chí down cái Fast Unlock Cool này về để mở nhé
Mã:
http://newbielearnlinux.googlepages.com/FUK.exe
Sửa registry:
vào Start Run gõ regedit
tìm đến khóa : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
tìm 2 key sau rồi sửa:
Shell - - sửa thành Explorer.exe
Userinit - - C:\WINDOWS\system32\userinit.exe
Vào Control Panel chọn "Scheduled Tasks" xóa tất cả các Task trong đó (để vô hiệu khả năng kích hoạt của nó)
vào C:\WINDOWS\system32 tìm cái file *exe có hình Folder rồi deleted nó đi
Cuối cùng là ko cho nó khởi động cùng Win:
vào Start Run gõ msconfig , chọn Startup rồi bỏ chọn mấy cái lạ lạ đi (trừong hợp ko biết cái nào lạ thì nên Disable All cho nhanh :D - như thế máy khởi động nhanh hơn )
khởi động lại máy nào đồng chí Conquydo07
 
Sửa lần cuối:

Mr.NamThanh

Linh Hồn Quỷ Đỏ
7/4/08
771
0
Hà Nội
MUSVN Đồng
0
Points
0
cái này sửa cũng không khó lắm
đúp chuột vào HDD thì có nghĩa là đồng chí đã mắc bẫy của nó rồi .... khi đó autorun.inf trong ổ cứng sẽ làm cho Virus phát tán
(Khi bị trường hợp ko đúp chuột được vào HDD, bạn chỉ cần tìm file autorun.inf trong ổ đó rồi del đi là okie, khuyến cáo Conquydo ko nên đúp chuột vào ổ cứng hay USB, tốt nhất là nên chuột phải rồi Open - như thế hạn chế được sự phát tán của những con Virus)

Đấy là trên lý thuyết thì như thế thôi. Còn trên thực tế thì khi bạn chỉ cần cắm USB vào thì ngay lập tức máy của bạn đã bị dính virus đó rồi. :D:D
 

Zlatan

Interista
10/4/08
1,049
0
35
F.C. Internazionale Milano
MUSVN Đồng
0
Points
0
cái này sửa cũng không khó lắm
đúp chuột vào HDD thì có nghĩa là đồng chí đã mắc bẫy của nó rồi .... khi đó autorun.inf trong ổ cứng sẽ làm cho Virus phát tán
(Khi bị trường hợp ko đúp chuột được vào HDD, bạn chỉ cần tìm file autorun.inf trong ổ đó rồi del đi là okie, khuyến cáo Conquydo ko nên đúp chuột vào ổ cứng hay USB, tốt nhất là nên chuột phải rồi Open - như thế hạn chế được sự phát tán của những con Virus)
Thử làm thế này nhé:
Đầu tiên là ko cho nó chạy nữa:
vì Task đã bị vô hiệu nên phải dùng phần mềm khác
giới thiệu cho đồng chí cái ProcessExplorer
Mã:
http://download.sysinternals.com/Files/ProcessExplorer.zip
kill process của con Virus này đi (biểu tượng có hình Folder đó)
vào Folder Options làm hiện tất cả các file ẩn (kể cả file hệ thống <Hide extensions for known file types>)sau đó deletet hết các file *.exe có hình Folder và cả cái file autorun.inf đi
trường hợp ko thể vào được Folder Options với Regedit, đồng chí down cái Fast Unlock Cool này về để mở nhé
Mã:
http://newbielearnlinux.googlepages.com/FUK.exe
Sửa registry:
vào Start Run gõ regedit
tìm đến khóa : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
tìm 2 key sau rồi sửa:
Shell - - sửa thành Explorer.exe
Userinit - - C:\WINDOWS\system32\userinit.exe
Vào Control Panel chọn "Scheduled Tasks" xóa tất cả các Task trong đó (để vô hiệu khả năng kích hoạt của nó)
vào C:\WINDOWS\system32 tìm cái file *exe có hình Folder rồi deleted nó đi
Cuối cùng là ko cho nó khởi động cùng Win:
vào Start Run gõ msconfig , chọn Startup rồi bỏ chọn mấy cái lạ lạ đi (trừong hợp ko biết cái nào lạ thì nên Disable All cho nhanh :D - như thế máy khởi động nhanh hơn )
khởi động lại máy nào đồng chí Conquydo07
Cách diệt virus tạo nhiều file .exe khá phổ biến trên mạng (đây là 1 trong số đó), cách này đụng chạm tới Registry, bạn chắc chắm đảm bảo đã test rồi hãy hướng dẫn nhe' !
 

conquydo07

ღ$ Thích Đủ Thứ $♥
9/4/08
1,077
0
TPHCM-VĨNH PHÚC
conquydo07.blogspot.com
MUSVN Đồng
0
Points
0
Mã:
Code:

[CODE][url]http://download.sysinternals.com/Files/ProcessExplorer.zip[/url]

kill process của con Virus này đi (biểu tượng có hình Folder đó)
vào Folder Options làm hiện tất cả các file ẩn (kể cả file hệ thống <Hide extensions for known file types>)sau đó deletet hết các file *.exe có hình Folder và cả cái file autorun.inf đi
trường hợp ko thể vào được Folder Options với Regedit, đồng chí down cái Fast Unlock Cool này về để mở nhé[/CODE]

<:pCó một cái là thế này. Có phải là down cái PE rồi mới del mấy biểu tượng có hình Folder đó hả. Tại vì conquydo07 từng xóa mấy cái folder đó rồi, nhưng vừa xóa, đóng lại. Mở trở lại thì nó lại đứng lù lù trong đó nữa rồi.
 

Gà Con Chạy Lon Ton

Active member
8/7/08
41
0
MUSVN Đồng
0
Points
0
Cách diệt virus tạo nhiều file .exe khá phổ biến trên mạng (đây là 1 trong số đó), cách này đụng chạm tới Registry, bạn chắc chắm đảm bảo đã test rồi hãy hướng dẫn nhe' !
có gì mà đụng chạm với registry chứ ....chỉ là cho nó trở về như lúc đầu thôi

đã từng dính loại thế này .... và cũng đã test thử ... có điều cách làm lúc đó của mình ko có bài bản thế này ....
lúc đó mình chạy trong safe mode và del nó đi ... vậy thôi
 

Gà Con Chạy Lon Ton

Active member
8/7/08
41
0
MUSVN Đồng
0
Points
0
Mã:
Code:

[code][URL]http://download.sysinternals.com/Files/ProcessExplorer.zip[/URL]
kill process của con Virus này đi (biểu tượng có hình Folder đó)
vào Folder Options làm hiện tất cả các file ẩn (kể cả file hệ thống <Hide extensions for known file types>)sau đó deletet hết các file *.exe có hình Folder và cả cái file autorun.inf đi
trường hợp ko thể vào được Folder Options với Regedit, đồng chí down cái Fast Unlock Cool này về để mở nhé[/code]<:pCó một cái là thế này. Có phải là down cái PE rồi mới del mấy biểu tượng có hình Folder đó hả. Tại vì conquydo07 từng xóa mấy cái folder đó rồi, nhưng vừa xóa, đóng lại. Mở trở lại thì nó lại đứng lù lù trong đó nữa rồi.
đúng rồi ....phải tìm cách ko cho cái Process của nó chạy nữa ...lúc đó del mới có hiệu quả
 

conquydo07

ღ$ Thích Đủ Thứ $♥
9/4/08
1,077
0
TPHCM-VĨNH PHÚC
conquydo07.blogspot.com
MUSVN Đồng
0
Points
0
có gì mà đụng chạm với registry chứ ....chỉ là cho nó trở về như lúc đầu thôi

đã từng dính loại thế này .... và cũng đã test thử ... có điều cách làm lúc đó của mình ko có bài bản thế này ....
lúc đó mình chạy trong safe mode và del nó đi ... vậy thôi

Safe mode del được hả.
 

Zoroak

Legend of Dragon
27/4/08
279
0
ĐH Ngân Hàng
MUSVN Đồng
0
Points
0
Mấy ngày nay máy em bị con Win32/Bezemat.A,Win32/Bezemat.B,Win32/Bezemat hành hạ mà không thể nào diệt được là sao. Cho AVG thì diệt rồi mà cũng còn,KAV cũng không tìm thấy.Huhu. Các anh em giúp mình với.
 

Ars_luv_4ever

Well-known member
18/8/08
159
0
MUSVN Đồng
0
Points
0
Mấy ngày nay máy em bị con Win32/Bezemat.A,Win32/Bezemat.B,Win32/Bezemat hành hạ mà không thể nào diệt được là sao. Cho AVG thì diệt rồi mà cũng còn,KAV cũng không tìm thấy.Huhu. Các anh em giúp mình với.

Tốt nhất là del file nó ẩn nấp đj tìm thấy virus bao giờ cũng cho đường dẫn đến file vào del hok del được thì mở khoá mà del thui hi vọng là được nếu hok mấy phần mềm mạnh chút del bỏ luôn nhưng vào file chạy thì sợ lắm :-ss
 

HiepKhachHanh

Giang Ho De Nhat Kiem Khach
4/4/08
420
0
TT Dĩ An - Bình Dương
www.manutd.com.vn
MUSVN Đồng
0
Points
0
Mấy ngày nay máy em bị con Win32/Bezemat.A,Win32/Bezemat.B,Win32/Bezemat hành hạ mà không thể nào diệt được là sao. Cho AVG thì diệt rồi mà cũng còn,KAV cũng không tìm thấy.Huhu. Các anh em giúp mình với.
Khi bị nhiễm Virut trên thì máy có những triệu chứng gì ? bạn có còn kiểm soát được Folder Option , Menu Run , và Add or remove file chứ ?
 

sinichi3001

▓ -'@'-Dân IT&Busines -'@'-▓
7/8/08
197
0
Cố Đô
MUSVN Đồng
0
Points
0
thì chú thử update phiên bản của KAV hoac là AVG diệt thử xem! con ko thì thử lấy BKAV mà diệt đôi khi BKAV có thể tìm thấy đó!
 

hainm26

Member
27/8/08
18
0
MUSVN Đồng
0
Points
0
các bác nên dùng cả 2 trình duyệt virut BKAV và Kapersky