Chủ đề này có 16 trả lời

[sweet_cake]

Cái con virut này chả hiểu từ đâu mò tới,hix, . Mà nói về computer thì chỉ bít dùng và dùng, ngoài việc đó ra kô bít gì hơn!
Ai bít chỉ dùm Sw cách diệt con virut này với, khổ với nó quá. Dùng BKAV bản 11/8 cũng hông ăn thua, nó vẫn sống như ai, còn cái chương trình Symantec AntiVirus ông bạn cài vào cho thì chả bít dùng thế nào?
Hix, help me! (

[classpad300]

Virus W32.Rontokbro@mm được symantec phát hiện từ tháng 10 -2005 và nó thật sự lây lan mạnh vào những tháng cuối năm nay bị nhiễm thường tạo ra các folder giống như folder gốc của thu mục chứa nó khi click vào nó thì nó liên kết tới My ducment

khi vào run gõ lệnh cmd ,regedit ......thì máy sẽ khởi động lại ngay lập tức

Mô tả

Copy chính nó vào trong các files sau

C:\Windows\PIF\CVT.exe
%UserProfile%\APPDATA\IDTemplate.exe
%UserProfile%\APPDATA\services.exe
%UserProfile%\APPDATA\lsass.exe
%UserProfile%\APPDATA\inetinfo.exe
%UserProfile%\APPDATA\csrss.exe
%UserProfile%\APPDATA\winlogon.exe
%UserProfile%\Programs\Startup\Empty.pif
%UserProfile%\Templates\A.kotnorB.com
%System%\3D Animation.scr

Chú ý :
%System% là kí hiệu tới thư mục System . ví dụ nó được mặ định là C:\Windows\System (Windows 95/98/Me),và là C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).
%UserProfile% là đường dẫn profile folder hiện tại . mặc định ở trong: C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP).
tạo ra folder có tên như sau :
%UserProfile%\Local Settings\Application Data\Bron.tok-24
ghi thêm trong filesC:\Autoexec.bat với câu lệnh sau :
"pause"

3.thêm giá trị sau

"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"

vào trong registry

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

vì vậy nó luôn chạy khi windows khởi động .

thêm giá trị sau :

"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"
vào trong thanh ghi :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vì vậy nó luôn khởi dộng cùng windows.
chỉnh sửa giá trị sau :

"DisableRegistryTools" = "1"
"DisableCMD" = "2"
thêm nó vào trong registry :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
sửa lại giá trị sau :
"NoFolderOptions" = "1"
in the registry subkey:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\
khóa này có tác dụng làm ẩn Folder Options trong Explorer làm cho ta không thấy đựoc các files hay thư mục dưới dạng ẩn .

8. thêm 1 task vào trong the Windows scheduler để thực hiện chạy files sau vào 5:08 chiều mỗi ngày

%UserProfile%\Templates\A.kotnorB.com

9 .Tự động khởi động lại máy khi nó dectect các ký tự như sau :

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
c*rack
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
"từ cấm"
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
"từ cấm"
YOUR
ZDNET
ZEND
ZOMBIE
10. Vì vậy nó có thể tấn công tràn lụt vào các website sau

israel.gov.il
"từ cấm".com
11.Tập hợp tất cả các địa chỉ Email có từ tất cả các ổ đĩa từ ổ C tới ổ Y có phần đuôi mở rộng như sau :

.asp
.cfm
.csv
.doc
.eml
.html
.php
.txt
.wab
12. sử dụng giao thưc SMTP để gửi email tới tất các các địa chỉ email nó tìm thấy nó email có nội dung sau :
From: [SPOOFED]
Subject: [BLANK]
Message:
BRONTOK.A [ By: H[REMOVED]Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free "từ cấm", Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: H[REMOVED]unity --

và nó gửi đính kèm files.

Kangen.exe

Cách diệt :

1.Trước hết bạn tải phần mềm diệt virus của hãng symantec về :

http://namsao.homeft...ad/savceclt.exe

và cài nó ra chạy live updates chú ý loại virus này có khả năng ngăn chặn việc cài cũng như updates các phần mên virus cho lên bạn thực hiện việc updates trong chế độ safe mode networking .

hoặc bạn có thể dùng chương trình BKAV bản mới nhất để diệt con này .

bạn có thể download tại đây

http://namsao.homeft...kav2005Home.exe

- tắt chế độ restore system

-sau đó cài đặt phần mền diệt virus ra

2.Khởi động máy trong chế độ safe mode quét hết các ổ đĩa

3. bước chỉnh sửa lại registry

đầu tiên bạn download đoạn code này về chạy nó sau đó bạn vào trong run gõ regedit sau đó bạn tìm tới những key sau và xóa tất cả những gì có trong đó đi

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\
Policies

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Sau cùng khởi động lại máy hoàn tất quá trình diệt virus.

[classpad300]

Tui nghi bạn quét virus mà không tắt System Restore quá. COn này thuộc về năm ngoái rồi.

[sweet_cake]

Tại Sw kô bít tắt cái System Restore như thế nào? Bác làm ơn chỉ dùm Sw với! Chi tiết một chút tại máy vi tính sw kô bít nhiều.
Cảm ơn bác đã để mắt tới bài viết này và giúp Sw.

[classpad300]

Click phải vào My Computer, chọn Properties > the System Restore, Turn Of hết đi.

[sweet_cake]

Sw đang làm như bạn nói!
Chương trình BKAV đã có sẵn trong máy có dùng được tiếp kô hay là phải remove rồi down bản # về?
Và khởi động máy trong chế độ safe mode quét hết các ổ đĩa làm như thế nào?
Chỉ tiếp giúp mình với? .

[classpad300]

Tải BKAV mới về, không cần gỡ cái cũ, chạy cái mới nó cập nhật lên.
Vào Safe Mode:
- Khởi động máy.
- Nhấn F8 liên tục cho đến khi xuất hiện màn hình đen chữ chi chít.
- Chọn Safe Mode, Enter.
Đừng giật mình vì màn hình xấu hoắc, nó chỉ chạy những thứ căn bản thôi.
Tắt System Restore, chạy BKAV hay chương trình quét virus nào đó. Ráng đợi nó quét xong thì khởi động lại máy bình thường.

[sweet_cake]

Kô tải đc BKAV từ cái link of bạn đc. Nó die rồi.

[math123]

Bạn vào đây mà down nhé

http://www.bkav.com....rmDownload.aspx

[classpad300]

Chỉ cần click vào đây:
http://www.bkav.com....kav2006Home.exe

[sweet_cake]

Cảm ơn bạn! Hiện mình đã hoàn tất 2 bước đầu tiên
Nhiều đoạn code này, Sw kô biết phải down đoạn nào về nữa?

Thứ search 1 code như bạn nói, nó ra cái gì ý, mà chả biết chọn ở cái nào?
3. bước chỉnh sửa lại registry

đầu tiên bạn download đoạn code này về chạy nó sau đó bạn vào trong run gõ regedit sau đó bạn tìm tới những key sau và xóa tất cả những gì có trong đó đi

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\
Policies

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[classpad300]

Vào Start > Run, gõ regedit rồi OK. Làm tiếp theo hướng dẫn.

[sweet_cake]

Mình đã tìm thấy mấy cái mà bạn nói rồi, nhưng cứ delete nó đi à? Mình thấy nó có mấy cái như thế này?
[ab] (Default) REG_SZ
[ab] IEXPLORE REG_SZ
[ab] mtd20025Svr REG_SZ
[ab] MyWedSearch E... REG_SZ
[ab] Yahoo! Pager REG_SZ



Kô biết nên del cái nào?

[sweet_cake]

Đang làm thì vẫn thấy BKAV báo có con virut đó. Liệu đã diệt đc nó chưa?

[classpad300]

Xem con đó được báo là nằm ở thư mục nào. Vào Safe Mode xóa thủ công (delete) nó đi. Làm sạch thùng rác.

[sweet_cake]

Thế còn mấy cái Sw nói ở trên!
Cũng del sạch à?

[classpad300]

Export Registry 1 bản đi, sau khi xóa có trục trặc thì phục hồi lại được.
Đụng vào Registry là nguy hiểm đấy.