giúp em kill con virus này !

[lovecrack]

không biết thằng bạn em nó vào cái trang tq nào mà bây giờ máy tính em nó dính con autorun : system.dll
triệu chứng:

1. ngốn Ram kinh khủng
2. ngẽn mạng
3. cứ truy cập vào 1 trang web bất kỳ là nó gọi một trang trung quốc xuất hiện .

------------------
em đã down các trình diệt về rồi ,nhưng không thằng nào phát hiện được cả

mong các hunh giúp đỡ

đây là vius:
http://www.box.net/shared/qiaptq87yg

[kamikazeq]

1. Bạn down cái này về chạy.
2. Rồi tới cái này.

Vì con này tự download về rất nhiều file, và không rõ bạn đã run file nào của nó chưa (mình thì không), nên có thể chưa diệt được nó hoàn toàn.
Mình thì không bị trang web China nào nhảy ra hết. Có lẽ bạn đã run thêm cái gì đó của nó.

Bạn quét thêm bằng cái này nha

Hướng dẫn quét bằng MalwareByte' Anti-Malware
Tải về --> Giải nén --> Chạy để cài đặt --> Update --> quét Full Scan.







Sau đó bạn lại post log HijackThis.log lên đây nhé.

Hướng dẫn gửi log HijackThis
Tải về --> Chạy nó.


Rồi



------------
Điểm mặt anh tài . Tổng dung lượng nó tải về hơn 7 Mb (nén lại còn 3 Mb). Bọn chúng đây

Đây, những gì nó "quạy"
Con này hình như khi dính, nó down đủ mọi thứ về, sau đó là tự sát và chờ khổ chủ run "lộn" mớ file mà nó đã down hòng kiếm chác. (vì có nhiều file quá nên mình cũng hơi bị làm biếng, không run thử )

Code:

Del /Q /F /A s "C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\2234.exe"
Del /Q /F /A s "C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\YiqilaiLyrics_2001.exe"
Del /Q /F /A s "C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\cpush.exe"
Del /Q /F /A s "C:\Documents and Settings\LieuTheKhai\Favorites\O»ÆdA'OôAÖÉçÇo.url"
Del /Q /F /A s "C:\Program Files\Internet Explorer\Sys_NtMe.Zys"
Del /Q /F /A s "C:\Program Files\Internet Explorer\UnixsMe.Jmp"
Del /Q /F /A s "C:\WINDOWS\system32\drivers\2F.tmp"
Del /Q /F /A s "C:\WINDOWS\system32\*.cfg"
Del /Q /F /A s "C:\WINDOWS\Packet.dll"
Del /Q /F /A s "C:\WINDOWS\WanPacket.dll"
Del /Q /F /A s "C:\WINDOWS\npptools.dll"
Del /Q /F /A s "C:\WINDOWS\wpcap.dll"

RD /s /q "C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA"
RD /s /q "C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj"
RD /s /q "C:\Program Files\Yiqilai"
RD /s /q "C:\Documents and Settings\All Users\Start Menu\Programs\O»ÆdA'OôAÖÖúEÖ"
RD /s /q "C:\Program Files\Common Files\PushWare"
RD /s /q "C:\Program Files\Common Files\Real"
RD /s /q "C:\Program Files\Microsoft Office\SYSTEM"
RD /s /q "C:\Program Files\Yiqilai"


REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f
REG Delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /F
REG Delete "HKCU\Software\RealNetworks\RealPlayer" /F
REG Delete "HKCU\Software\RealNetworks\Visualizations" /F
REG Delete "HKCU\Software\Tencent\Infos2" /F
REG Delete "HKLM\SOFTWARE\Classes\.yql" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{01AFE3DC-2242-436E-9B44-6DD1C664E828}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{11F09AFD-75AD-4E51-AB43-E09E9351CE16}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{201476D0-2B18-462E-AB9F-3E2B0CC8732B}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{2EF0D734-21FD-4225-A1A2-BCD296182AAF}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{34A12A06-48C0-420D-8F11-73552EE9631A}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{3D144530-43DA-47CC-B7C7-A3A9F3B9A6B2}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{4D023DE9-F4B5-4BE0-99C6-7C7AD0CF5426}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{68F25C63-E798-4255-89CE-243AA3757638}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{755D0ED0-3996-4ADB-9B1F-AD8F0E9E4738}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{7DBC6ADB-5788-4FB9-AEC3-B40A58AC11DF}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{93DEE065-EC9B-4505-ADD3-19880AD3C38F}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{9CA963CA-107C-4089-B0AB-31380F90D7E3}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{A93061FE-464A-4E95-8E96-A54CD948B0F7}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{AAB6C1A0-F3A4-4DAC-A922-F82E601E73A8}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{B6E23E89-C925-4BF7-92EB-77EFDF8C58A6}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{CDE9EB54-A08E-4570-B748-13F5DDB5781C}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{D7C79813-9233-4AE0-832C-99B2E8019673}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{DA63E650-537C-4042-87BB-9D19D844680B}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{DFB3DAC5-B0B5-4B05-BFCF-FB42737778FA}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{E4814792-EFA3-4C20-93D0-8B130A59F9A8}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{EA44A26D-DDC8-46C0-AFE1-A529FE014E3F}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}" /F
REG Delete "HKLM\SOFTWARE\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}" /F
REG Delete "HKLM\SOFTWARE\Classes\Interface\{0AD3AB16-6D0E-4F04-8660-FB1F36BC2DC0}" /F
REG Delete "HKLM\SOFTWARE\Classes\Interface\{2F685B36-C53A-4653-9231-1DAE5736DE45}" /F
REG Delete "HKLM\SOFTWARE\Classes\Interface\{50C4CDD9-22D7-49FF-AC6D-7D4D528A3AB2}" /F
REG Delete "HKLM\SOFTWARE\Classes\Interface\{E44FF3E0-1D20-4DC3-9048-350F8095D49F}" /F
REG Delete "HKLM\SOFTWARE\Classes\Music.Music" /F
REG Delete "HKLM\SOFTWARE\Classes\Music.Music.1" /F
REG Delete "HKLM\SOFTWARE\Classes\NewAdPopup.ToolbarDetector" /F
REG Delete "HKLM\SOFTWARE\Classes\NewAdPopup.ToolbarDetector.1" /F
REG Delete "HKLM\SOFTWARE\Classes\NewzAdsPopup.BOLogc" /F
REG Delete "HKLM\SOFTWARE\Classes\NewzAdsPopup.BOLogc.1" /F
REG Delete "HKLM\SOFTWARE\Classes\NewzBocoMediaPop.PopBoco" /F
REG Delete "HKLM\SOFTWARE\Classes\NewzBocoMediaPop.PopBoco.1" /F
REG Delete "HKLM\SOFTWARE\Classes\TypeLib\{DE2267BD-B163-407F-9E8D-6ADEC771E7AB}" /F
REG Delete "HKLM\SOFTWARE\Classes\TypeLib\{E2A9E2A8-5471-43F8-AB1B-B7A400DB606A}" /F
REG Delete "HKLM\SOFTWARE\Classes\yqlfile" /F
REG Delete "HKLM\SOFTWARE\MicroPlugins" /F
REG Delete "HKLM\SOFTWARE\Microsoft\MediaPlayer\Objects\Effects\YiqilaiLyrics" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11F09AFD-75AD-4E51-AB43-E09E9351CE16}" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{68F25C63-E798-4255-89CE-243AA3757638}" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "HBService32" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ContentMatch" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YiqilaiLyrics" /F
REG Delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /V "AppInit_DLLs" /F
REG Delete "HKLM\SOFTWARE\Yiqilai" /F
REG Delete "HKLM\SOFTWARE\cpush" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /V "PendingFileRenameOperations" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF\0000" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMPOBJ" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\Apcdli" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum" /V "1" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NPF" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NsDlRK250" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk00" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk01" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk02" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk03" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk04" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\PartMgr\Enum" /V "2" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum" /V "0" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\b1a18a3e" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\b71fe93" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\f28907d" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\kmixer\Enum" /V "0" /F
REG Delete "HKLM\SYSTEM\CurrentControlSet\Services\wmpobj" /F

[meoconlongvang]

Con này là biến thể của sality, nó tạo ra cả đống dll đăng ký vào ShellExecuteHook, AppInit_Dll, lại còn có cả driver nữa chứ. Muốn diệt nó chắc thì phải dùng tool IceSword ( đổi tên thành IS.exe ) và Autoruns. Tuy nhiên diệt tay thì mệt lắm, chắc phải phối hợp với tool hoặc av mới diệt nó được.

[kamikazeq]

Ủa, mèo con nói nó là bạn của Sality, phải chăng ý nói nó lây file ?
Mình có thấy nó lây chỗ nào đâu nè. (chưa xét tới chuyện run thêm 1 trong những file nó download nha).

[meoconlongvang]

Quote:

Nguyên văn bởi kamikazeq

Ủa, mèo con nói nó là bạn của Sality, phải chăng ý nói nó lây file ?
Mình có thấy nó lây chỗ nào đâu nè. (chưa xét tới chuyện run thêm 1 trong những file nó download nha).

File dll là một con trojan. Mục đích chính của nó là mở đường cho các virus khác tấn công tiếp. Đầu tiên nó sẽ đăng ký các khoá Image File Execution Option để disable hầu hết các AV thông dụng. Sau đó nó tự sao chép hàng loạt và đăng ký vào các nơi như ShellExecuteHook, AppInit_Dll, Run và tệ hại hơn là nó còn quất cho 4 cái driver nữa. Sau khi nó tấn công, có thể nói là các AV nếu đang chạy thì ko sao, chứ mà AV nào chạy sau nó thì sẽ ko chạy được. Ta phải đổi tên file thực thi của AV thì mới chạy được chúng. Sau khi dọn đường xong, con trojan này sẽ download thêm vài con khác nữa, trong đó có con sality.

Cảnh báo : con này rất khó chơi, bà con nào non tay thì chớ đụng vào, nguy hiểm lắm đó !

[kamikazeq]

À, ra là nó chiêu mộ anh Sality chứ bản thân nó không phải.
Nếu chưa run sality (hoặc những con khác cùng được download) thì 2 file chạy kia của mình (tương đương diệt tay) cũng đủ rồi nhỉ.
Bạn mèo con rảnh thì check hộ mình luôn nhé. (mình check ở máy mình thì ok)
Mình cho dính ở máy mình thì thấy nó down và làm lung tung (mình ngồi im coi nó down). Tới khi nó xong rồi thì các tiến trình của nó chạy nãy giờ tự động biến hết, các khóa đăng kí chạy cùng win cũng tự tiêu vì file chạy không còn nữa. Và lại không thấy process nào của nó nên việc tiến hành Del file và Reg dễ dàng ko chút trở ngại. Mèo con có tình trạng khác không?

---------
Mình hỏi riêng mèo con vấn đề này.
Bản thân file đi chung với autorun.inf là 1 dll. Và nó phải được autorun.inf kích hoạt theo nhiều con đường của autorun.
Vì nó là dll nên mình không thể chạy trực tiếp file system.dll đó được, đúng ko?
Vậy file đó phải đi kèm autorun mới kích hoạt được ?
Và autorun nó kích hoạt dll kiểu gì thế.

Code:

[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore

Màu xanh và màu cam trong nội dung của autorun có ý nghĩa gì vậy?
Phải chăng nó gọi system32\rundll32.exe của win ra và nhờ exe đó sử dụng cái system.dll ?
Và còn explore nữa?

Nhờ mèocon giải đáp giúp.

[meoconlongvang]

Con này bạn muốn xem nó tấn công ra sao thì hãy cắm mạng vào, để offline thì ko thấy gì vui lắm.
Dll ko tự chạy được nên nó mượn tay rundll32 của win load vào kích hoạt cho nó chạy. Rundll32 là file thực thi.

[lovecrack]

Thank ! Em sẽ pots file log lên cho các hunh xử nó

[levishoang]

@kamikazeq :Nó ko dễ chơi như vậy đâu bạn dùng IceSword xem thì biết.

[zjnc0m]

đã phát hiện 5 con : 2 con trojan và 3 con w32 . Bị Kis nó giết