Diệt Virus Explore.exe, Explore.EXE,spoolsv.exe,svchost.exe !

[Kakalos]

Các máy trong Cty em bị nhiễm mấy con virus trên, mà em search trên mạng thì không tìm thấy cách diệt.
Mấy con này làm cho máy thỉnh thoảng hiện lên rất nhiều bảng thông báo: invalid picture, và máy rất chậm.
Bọn chúng nằm ở:

C:\windows\system32\explorer.exe
C:\windows\spoolsv.exe
C:\windows\svchost.exe




Mong Các Anh / Chị ai có cách diệt triệt để thì xin hướng dẫn giúp !

Cảm ơn !

[:))]

1 worm + 1 virus file.

Bạn up lên forum mẫu 3 file lạ đó -> Mong là xác định được nhiều hơn

[bolzano_1989]

Nhiều khả năng bạn gặp 1 virus file cũ mà mình từng gặp lâu lắm rồi (làm bể icon). Về CMC AV thì bạn cần tải thêm các tool diệt 1 số dòng virus chuyên biệt để quét cùng nữa, nhiều tool được làm nhưng chưa được tích hợp vào CMC AV.

Nếu được bạn dò địa chỉ bằng Process Explorer, nén và upload các mẫu virus lên forum nhé, sẽ có ích cho nhiều hãng đấy.

[Kakalos]

Quote:

Nguyên văn bởi bolzano_1989

Nhiều khả năng bạn gặp 1 virus file cũ mà mình từng gặp lâu lắm rồi (làm bể icon). Về CMC AV thì bạn cần tải thêm các tool diệt 1 số dòng virus chuyên biệt để quét cùng nữa, nhiều tool được làm nhưng chưa được tích hợp vào CMC AV.

Nếu được bạn dò địa chỉ bằng Process Explorer, nén và upload các mẫu virus lên forum nhé, sẽ có ích cho nhiều hãng đấy.

Nhưng nó có nhiều bảng Invalid Picture hiện ra đầy tràn màn hình. Rồi lại có các bảng thông báo về explore.exe , spoolv.exe , svchoost.exe khi khởi động vào Windown như thế này này

Mình quét các antivirus như : AVG, CMC, KIS, BKav,D32,Nortol,SYS,Mcfee,Maspayware, security microsoft +update SP2.....
Đều không diệt được.
Đây là file Hijack This mà mình scan !

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 04:05:48, on 17-Mar-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
c:\windows\system32\explorer.exe
c:\windows\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ongame.com.vn
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O16 - DPF: {7FB87A62-C850-4FA8-A82F-A12468FEBC1F} (OnGameDownloader Control) - http://www.ongame.com.vn/activeX/OnGameDownLoader.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

--
End of file - 4370 bytes


Mình cũng sửa dụng KIS để quét sau đó cài lại Win mà không hết ! Tội lỗi hơn nữa là sau khi cài lại thì không có tiếng =Audio mặc dù đã đưa CD Mainboad và cài đặt đầu đủ không thiếu Driver cho Card Sound !

Mình coypy được file ẩn của nó đây !

File nén có password là 123456 :

File nén có password là 123456

File nén không password :

File nén không password

[Jane_89]

Chạy độc file svchost.exe này là đc rồi !

Kết quả trong windows

Quote:

%windir%\svchost.exe
%windir%\spoolsv.exe

Trong system32

Quote:

explorer.exe

Máy tớ
C:\Documents and Settings\Tran Van Quyet\Local Settings\Application Data

Quote:

mrsys.exe

Các file này ko có icon > khi bị nhiễm virus máy rất nặng và hình như có người nào điều khiển máy tính mình ý

Result: 16/41 (39.02%)

Quote:

a-squared 4.5.0.50 2010.01.16 Trojan.Win32.VB!IK
AntiVir 7.9.1.142 2010.01.16 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.01.12 Trojan/Win32.VB.gen
Avast 4.8.1351.0 2010.01.16 Win32:VB-ODL
AVG 9.0.0.730 2010.01.16 Generic16.ZVM
GData 19 2010.01.17 Win32:VB-ODL
Ikarus T3.1.1.80.0 2010.01.16 Trojan.Win32.VB
Jiangmin 13.0.900 2010.01.16 Trojan/VB.szd
K7AntiVirus 7.10.949 2010.01.16 Trojan.Win32.VB.aabn
Kaspersky 7.0.0.125 2010.01.17 Trojan.Win32.VB.aabn
McAfee 5863 2010.01.16 Generic VB.i
McAfee+Artemis 5863 2010.01.16 Generic VB.i
McAfee-GW-Edition 6.8.5 2010.01.16 Heuristic.LooksLike.Win32.Suspicious.M!86
Microsoft 1.5302 2010.01.16 Worm:Win32/Mofksys.A
NOD32 4778 2010.01.16 probably a variant of Win32/Genetik
Panda 10.0.2.2 2010.01.16 Adware/AccesMembre

Bạn thử sài http://www.enigmasoftware.com/downlo...-Installer.exe xem scan đc ko nhé !

[xanhxao]

Test Virus:
1. Chuan bi may.
2. Nhay kep vao Explorer.exe (287 kb)
3. Mo Process Explorer ra xem thay co them 1 Explorer.exe pid la 764
4. Mo VietKey de danh tieng viet khong ra.
5. Internet hoat dong binh thuong (khong tai len hoac xuong )
6. Cam thay chua yen tam vi moi chay 1 trong 3 con virus nen chay luon 2 con con lai
7. O! Cung kich thuoc ma chay file nao no dang ki ten file do. Tom lai tren may hien co them 3 file moi la :
Explorer.exe (764) Spoolsv.exe (504), Svchost.exe (928)
8. Da du so vi rus. Bay gio test xem no vao cho nao. (may van dang tai vai tap tin dat truoc)
9. Kill cho moi thang 1 phat.
10. Lại hiện ra Việt key. Hoá ra nó ngăn không cho Việt key khởi động.

Xem Virus:
1. Không có tập tin nào khả nghi.
2. Khởi động lại máy ( kiểm tra tác dụng của virus)
3. Quét thử vài AV, không phát hiện virus nào.
4. Máy bình yên vô sự.
Phỏng đoán đoán:
Đây chỉ là chân rết. Còn cỗ máy để phát sinh những tập tin này.

[phuongsd]

Hichic, ai giúp em với, con spoolsv.exe này em chiến với nó cả chiều, tìm đủ mọi cách mà ko làm gì được nó cả, máy em bây giờ ko khác gì con rùa, em dungf thử CIADOOR.121-Removal-Tool, nó phát hiện ra ngay, mỗi tội là 35 $ 1 con, mua thì mua ko mua thì cancer cho nó nhờ, hic, tiền đâu ra.

[mailhn]

Quote:

Nguyên văn bởi Kakalos

Các máy trong Cty em bị nhiễm mấy con virus trên, mà em search trên mạng thì không tìm thấy cách diệt.
Mấy con này làm cho máy thỉnh thoảng hiện lên rất nhiều bảng thông báo: invalid picture, và máy rất chậm.
Bọn chúng nằm ở:

Cảm ơn !

Bạn bị đúng loại virus lây lan trong mạng cty mình rồi, xem ở đây:

HTML Code:

http://virusvn.com/forum/showthread.php?t=1904

Hiện tượng Icon bị mất hoặc vỡ như vậy là do virus.

Cơ chế như sau:

1. Khi máy tính bị nhiễm loại virus này nó sẽ tạo ra file giả dạng tại:

Quote:

C:\WINDOWS\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\explorer.exe
C:\windows\system32\ UDSYS.EXE
C:\windows\system32\ BLSYS.BLN
C:\Documents and Settings\administrator\Application Data\stsys.exe
C:\Documents and Settings\administrator\Application Data\rtsys.exe
C:\Documents and Settings\%username%\Application Data\ICSYS.ICN
C:\Documents and Settings\%username%\Application Data\icsys.icn.exe

2. Tạo ra các lịch sao chép virus tự động qua mạng đồng thời liên tục gọi những file virus trú trong thư mục hệ thống bằng dich vụ Schedule Tasks của Windows:


3. Sau khi máy tính nhiễm virus, bạn chạy bất kỳ file exe nào thì virus sẽ tự tạo ra 1 file exe giả dạng ngay lậy tức sau đó đổi tên file gốc và làm ẩn file gốc đó đi(để thấy file gốc cần mở chức năng ẩn của Windows Explorer, bạn so sánh kích thước file gốc và file giả dạng sẽ thấy sự # nhau).

Để giả dạng file exe của bạn nó sẽ phải trích xuất file Icon từ file exe đó, và nhúng nó vào file exe mà nó tạo ra thay thế cho file exe bạn vừa run. Vì virus đc code = VB cho nên trong 1 số trường hợp nó ko trích xuất đc Icon từ file exe gốc vì vậy dẫn đến 1 số chương trình (exe) ko có Icon(tất cả những file exe bạn vừa clik ko có Icon đều là virus). Tiếp theo, khi những file virus mất Icon đc gọi thực thi(run) nó sẽ gây ra lỗi mà các bạn đã biết là Invalid Picture (đó là 1 lỗi VB) khi đc gọi liên tục thì sẽ tạo ra 1 con lũ hàng trục các cửa sổ lỗi liên tục close ko xuể

Những file exe bị nhiễm virus mà virus trích xuất thành công Icon thì nó giống hệt file exe gốc của bạn. Đó là lý do tại sao sau khi diệt hết con virus này = tay thì 1 thời gian sau bạn lại thấy nó xuất hiện T_T, do bạn ko biết cứ nghĩ đó là file "sạch" click vào và lại tái kích hoạt con virus này.

Theo mình thì cần cách ly các máy tính nhiễm virus ra khỏi mạng, cài phần mềm diệt virus có chức năng tường lửa kết hợp remove virus còn xót lại = tay. Dùng processxp liên tục theo dõi các tiến trình để kịp thời phát hiện và ngăn chặn virus giả dạng.

[Tran Quang Ha]

Quote:

Nguyên văn bởi phuongsd

Hichic, ai giúp em với, con spoolsv.exe này em chiến với nó cả chiều, tìm đủ mọi cách mà ko làm gì được nó cả, máy em bây giờ ko khác gì con rùa, em dungf thử CIADOOR.121-Removal-Tool, nó phát hiện ra ngay, mỗi tội là 35 $ 1 con, mua thì mua ko mua thì cancer cho nó nhờ, hic, tiền đâu ra.

Bkav đã điệt con này rồi bạn ạ: