Chia sẻ kinh nghiệm diệt virus (1 người xem)

[ndu96081631]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

 

[vu_tuan_manh_linh]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

Em đang dùng phần mềm free Symantec AntiVirus Corporate Edition v10.2.276, thấy diệt được khá nhiều loại virut, cập nhật Virut Defination cũng đơn giản!! Cái con mà anh nói em chưa gặp, anh thử tìm phần mềm này xem thế nào!!

 

[ndu96081631]

Em đang dùng phần mềm free Symantec AntiVirus Corporate Edition v10.2.276, thấy diệt được khá nhiều loại virut, cập nhật Virut Defination cũng đơn giản!! Cái con mà anh nói em chưa gặp, anh thử tìm phần mềm này xem thế nào!!

Ý tôi không phải tìm phần mềm (vì tôi cũng không bao giờ dùng)
Thật ra hôm qua máy tôi bị nhiễm con bkst.exe (do thằng nhóc con bấm bậy trên Web) nhưng tôi đã xử nó xong, tuy nhiên chưa hài lòng lắm về cách làm của mình
Tôi muốn tổng hợp các phương pháp diệt bằng tay của mọi người và rút ra 1 phương pháp hay nhất (có thể sẽ nghĩ ra dự án viết code VBA diệt con virus này. )
----------------------
Nói thêm: Con này có cách vận hành khá hay, trước giờ chưa thấy nên tôi cũng có hứng thú với nó

 

[Hoàng Trọng Nghĩa]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

Con này hôm trước "ăn nhậu" nghe Thầy kể là đã diệt gọn chúng bằng tay rồi mà?

 

[Good-Luck]

Con này hôm trước "ăn nhậu" nghe Thầy kể là đã diệt gọn chúng bằng tay rồi mà?

ý của lão Ca Này muốn dùng excel để diệt, chứ ko phải ko diệt đc

Ý tôi không phải tìm phần mềm (vì tôi cũng không bao giờ dùng)
Thật ra hôm qua máy tôi bị nhiễm con bkst.exe (do thằng nhóc con bấm bậy trên Web) nhưng tôi đã xử nó xong, tuy nhiên chưa hài lòng lắm về cách làm của mình
Tôi muốn tổng hợp các phương pháp diệt bằng tay của mọi người và rút ra 1 phương pháp hay nhất (có thể sẽ nghĩ ra dự án viết code VBA diệt con virus này. )
----------------------
Nói thêm: Con này có cách vận hành khá hay, trước giờ chưa thấy nên tôi cũng có hứng thú với nó

 

[Hoàng Trọng Nghĩa]

ý của lão Ca Này muốn dùng excel để diệt, chứ ko phải ko diệt đc

Tiêu diệt bằng tay thì được, bởi ta biết chắc nó là Virus, nhưng nếu diệt bằng VBA, hễ thấy cái đuôi .exe (đại loại như thế) mà tiêu diệt thì đôi khi lại tiêu diệt quân ta nhiều hơn quân địch thì toi cơm!

 

[ndu96081631]

ý của lão Ca Này muốn dùng excel để diệt, chứ ko phải ko diệt đc

Chính xác là vậy!
---------------

Tiêu diệt bằng tay thì được, bởi ta biết chắc nó là Virus, nhưng nếu diệt bằng VBA, hễ thấy cái đuôi .exe (đại loại như thế) mà tiêu diệt thì đôi khi lại tiêu diệt quân ta nhiều hơn quân địch thì toi cơm!

Chỉ diệt mỗi con bkst.exe này thôi (mình đâu có tham vọng viết phần mềm antivirus).
Con này nếu ai bị dính thì cũng không phải dễ nhai nó (cho dù có phần mềm antivirus). Bảo đảm diệt xong nó lại tự sinh ra như cũ. Vì thế nên tôi đang nghiên cứu phương pháp tối ưu (tìm giải thuật trước, code sau). Nếu viết được thì sau này ai bị dính nó sẽ khỏi lo: Nhấn nút 1 phát, rồi khởi động máy tính là xong!
Tất cả cũng chỉ là kill file, can thiệp registry và system services...
Như vậy đấy

 

[Phanhanhdai]

Máy em rất hay bị con virut siêu đa hình quậy, Gost xong nó lại nhảy từ ổ D sang, em mong thày giúp em chỉ cho giải pháp diệt nó.

 

[ndu96081631]

Máy em rất hay bị con virut siêu đa hình quậy, Gost xong nó lại nhảy từ ổ D sang, em mong thày giúp em chỉ cho giải pháp diệt nó.

Là con gì vậy? Chưa nghe bao giờ!

 

[ndu96081631]

Chết cha!
Bây giờ sực nhớ lại mới thấy mình ngu
Gặp con bkst.exe đã vội "te rẹt" xóa nó mất tiêu, giờ biết tìm con này ở đâu ra để thí nghiệm đây ta? (phải cho nó lây nhiễm vào máy mới thí nghiệm được)
--------------------------------------
Các thành viên GPE chú ý: Nếu sau này tình cờ mở Task Manager ra mà thấy có thằng bkst.exe trong đó, vui lòng vào đường dẫn C:\Windows\System32\, copy giùm 3 chú:
- " ctfmon.exe"
- "bkst.exe
- "bkstsc.acn"
Nén 3 chú trên lại thành 1 file .RAR rồi gửi lên đây giúp nhé
(lưu ý: tên file " ctfmon.exe" có 1 khoảng trắng ở trước ký tự c nhé)
Cảm ơn!

 

[tranvanthanh119]

Chết cha!
Bây giờ sực nhớ lại mới thấy mình ngu
Gặp con bkst.exe đã vội "te rẹt" xóa nó mất tiêu, giờ biết tìm con này ở đâu ra để thí nghiệm đây ta? (phải cho nó lây nhiễm vào máy mới thí nghiệm được)
--------------------------------------
Các thành viên GPE chú ý: Nếu sau này tình cờ mở Task Manager ra mà thấy có thằng bkst.exe trong đó, vui lòng vào đường dẫn C:\Windows\System32\, copy giùm 3 chú:
- " ctfmon.exe"
- "bkst.exe
- "bkstsc.acn"
Nén 3 chú trên lại thành 1 file .RAR rồi gửi lên đây giúp nhé
(lưu ý: tên file " ctfmon.exe" có 1 khoảng trắng ở trước ký tự c nhé)
Cảm ơn!

Thầy mà ngồi đợi các thành viên gửi virus cho thầy e rằng hơi lâu đấy. Chi bằng thầy cứ nói cu nhóc vọc như bữa trước là ra. Hoặc có thể vào xem lịch sử truy cập mở cửa cho nó vào lại. Híc.

 

[ndu96081631]

Thầy mà ngồi đợi các thành viên gửi virus cho thầy e rằng hơi lâu đấy. Chi bằng thầy cứ nói cu nhóc vọc như bữa trước là ra. Hoặc có thể vào xem lịch sử truy cập mở cửa cho nó vào lại. Híc.

Tôi cũng từng nghĩ vậy (và đã làm)... nhưng làm sao mà biết hôm trước thằng nhóc nó đã bấm vào đâu chứ
Cái lịch sử truy cập các trang tôi cũng đã xem: Đương nhiên thằng nhóc vào toàn những trang game. Giờ vào lại các trang ấy cũng không biết phải bấm vào đâu mới trúng ----> Bấm lạng quạng có khi không trúng thằng bkst.exe mà lại trúng thằng khác (chưa trị xong bệnh này đã phải "nhập viện" vì bệnh khác)
---------------------------
Bây giờ tâm trạng rất mâu thuẫn:
- Muốn con bkst.exe ấy tự nhiên hiện ra trong Task Manager. Nhưng nếu là vậy thì chứng tỏ mấy hôm nay phương pháp mà mình dùng để diệt nó là vô ích
- Muốn con bkst.exe ấy đừng bao giờ xuất hiện. Điều này sẽ đồng nghĩa ta chẳng bao giờ có cơ hội để nghiên cứu nó lần nữa

 

[hieuxd]

Con Virut ấy có trong máy tính của thầy là do hôm ấy cu nhóc nhà thầy chưa rửa tay sạch sẽ bằng xà phòng gõ vào bán phím nên nó lây vào máy,
Nghe đồn nó là biến thể của con virut đau mắt đỏ.
Máy tính của em dùng BKAV, bàn phím bọc Nilon nên tìm trong máy không thấy

 

[ndu96081631]

Mò tùm lum trên Web, cuối cùng đã tóm cổ được 3 chú trên. Giờ thì nén lại cất vào máy tính cái đã
Đang nghiên cứu.... Sau khi cho nhiễm 3 chú vào máy, đã phát hiện ra vài điều lý thú:
- Với con " ctfmon.exe" cứ tưởng trước ký tự "c" là 1 khoảng trắng, ai dè là CHAR(160) (làm mình run code hoài mà nó cứ trơ trơ)
- Con "bkst.exe" không thể Kill được bằng Task Manager. Kể cả Process Explorer cũng thất bại với con này (cố kill vài lần, treo máy luôn)... nhưng tôi dùng VBA code với các câu lệnh DOS nhúng vào thì lại giết nó ngon lành (lệnh DOS lợi hai thật)
--------------------
Để cố gắng hoàn chỉnh code, xem còn gì trục trặc bất thường không rồi sẽ post code lên sau
Ẹc... Ẹc...

 

[hieuxd]

Mò tùm lum trên Web, cuối cùng đã tóm cổ được 3 chú trên. Giờ thì nén lại cất vào máy tính cái đã
Đang nghiên cứu.... Sau khi cho nhiễm 3 chú vào máy, đã phát hiện ra vài điều lý thú:
- Với con " ctfmon.exe" cứ tưởng trước ký tự "c" là 1 khoảng trắng, ai dè là CHAR(160) (làm mình run code hoài mà nó cứ trơ trơ)
- Con "bkst.exe" không thể Kill được bằng Task Manager. Kể cả Process Explorer cũng thất bại với con này (cố kill vài lần, treo máy luôn)... nhưng tôi dùng VBA code với các câu lệnh DOS nhúng vào thì lại giết nó ngon lành (lệnh DOS lợi hai thật)
--------------------
Để cố gắng hoàn chỉnh code, xem còn gì trục trặc bất thường không rồi sẽ post code lên sau
Ẹc... Ẹc...

Thầy quả là am hiểu cách thức lây nhiễm và cách thức hoạt động của Virut
Lệnh Dos quả thật là lợi hại, Tiếc rằng giờ nó bị quên lãng với thế hệ trẻ, Nhiều người học Dos trong trường ra trường bảo chẳng hiểu nó ứng dụng mục đích gì,
Trong Dos có một ứng dụng, chương trình ấy là NC trong môi trường Dos giờ em vẫn lưu nó
những File trong Win không xóa được em vào NC sử thì xóa được ngay

 

[Phanhanhdai]

Là con gì vậy? Chưa nghe bao giờ!

Tức là nó cứ tự động tạo ra những Folder (ví dụ như Truyện người lớn...), em cứ xóa đi nó lại hiện ra, khi quét bằng Bkav Pro có báo là có virut siêu đa hình, nhưng sau khi diệt xong vẫn còn, thâm chí một số file khác còn bị lỗi nữa.

Rất mong thày cho em, các bạn trên diễn đàn xin 1 số Code, cách dùng các Code ấy để diệt những loại Virut mà thày đã từng xử lý được ấy.

 

[Good-Luck]

Tôi cũng từng nghĩ vậy (và đã làm)... nhưng làm sao mà biết hôm trước thằng nhóc nó đã bấm vào đâu chứ
Cái lịch sử truy cập các trang tôi cũng đã xem: Đương nhiên thằng nhóc vào toàn những trang game. Giờ vào lại các trang ấy cũng không biết phải bấm vào đâu mới trúng ----> Bấm lạng quạng có khi không trúng thằng bkst.exe mà lại trúng thằng khác (chưa trị xong bệnh này đã phải "nhập viện" vì bệnh khác)
---------------------------
Bây giờ tâm trạng rất mâu thuẫn:
- Muốn con bkst.exe ấy tự nhiên hiện ra trong Task Manager. Nhưng nếu là vậy thì chứng tỏ mấy hôm nay phương pháp mà mình dùng để diệt nó là vô ích
- Muốn con bkst.exe ấy đừng bao giờ xuất hiện. Điều này sẽ đồng nghĩa ta chẳng bao giờ có cơ hội để nghiên cứu nó lần nữa

sắm thêm 1 máy để dập chọn vẹn cả đôi đường
vừa chứng minh cách làm mình là ok, vừa có cơ hội .......

 

[ndu96081631]

Tức là nó cứ tự động tạo ra những Folder (ví dụ như Truyện người lớn...), em cứ xóa đi nó lại hiện ra, khi quét bằng Bkav Pro có báo là có virut siêu đa hình, nhưng sau khi diệt xong vẫn còn, thâm chí một số file khác còn bị lỗi nữa.

Rất mong thày cho em, các bạn trên diễn đàn xin 1 số Code, cách dùng các Code ấy để diệt những loại Virut mà thày đã từng xử lý được ấy.

Mỗi con có cách hoạt động khác nhau. Máy mình nếu chẳng may bị nhiễm thì mình mới có cơ hội tiếp xúc và nghiên cứu được
Tôi không dám chắc có xử được con siêu đa hình gì đó không, nhưng bạn có thể nén nó lại rồi gửi lên đây, tôi sẽ thí nghiệm

 

[ndu96081631]

Càng nghiên cứu càng phát hiện con này có nhiều động thái rất hay:
1> Thay đổi Registry, đang ký key run tự động khi đăng nhập Windows (cái này ta có thể phát hiện dễ dàng)
2> Thay đổi Indexing Service bằng cách tạo 1 key tên là ClHelp trong Registry và key này sẽ khống chế hoàn toàn Indexing Service (cũng hơi khó phát hiện 1 chút)
3> Sau khi virus nhiễm vào máy tính, nếu có bất cứ file .EXE nào chạy thì lập tức bị biến thành virus, bằng cách đổi tên file .EXE thành đuôi .PART, còn virus thì biến thành tên trùng với tên file .EXE khi nảy. Ví dụ:

* Ta chạy file UIMain.exe (là file chạy D-COM 3G) thì sau đó file UIMain.exe sẽ biến thành UIMain.part
* File virus sẽ tự động đổi tên thành UIMain.exe nằm cùng thư mục
* Từ giờ, dùng D-COM 3G là đồng nghĩa với việc kích hoạt virus
​

Hành động số 3> chính là cái ta khó phát hiện nhất và cũng là nguyên nhân khiến cho máy bị nhiễm đi nhiễm lại nhiều lần dù ta đã diệt hết virus trước đó ---> chỉ cần ta khởi động ứng dụng (là virus mà ta tưởng là ứng dụng) tức là ta đã kích hoạt virus mà mọi chuyện lại đâu vào đấy
---------------------------------
Vậy giải thuật code để diệt virus có thể là:
- Xóa giá trị run tự động trong key Run của Registry
- Stop Indexing Service
- Xóa key ClHelp trong Registry
- Kill các process: " ctfmon.exe", "bkst.exe" (có thể sẽ không kill thành công bkst.exe)
- Duyệt trong toàn bộ các ổ đĩa, nếu tìm thấy có cặp file dạng "tên file.exe" và "tên file.part" thì sẽ xóa "tên file.exe" rồi đổi tên "tên file.part" thành "tên file.exe" (trả lại tên cho "em")
- Xóa toàn bộ file trong thư mục %TEMP% (có vài thư mục temp chứ không chỉ một)
- Xóa toàn bộ file trong Temporary Internet Files (đây là thư mục ẩn)
- Xóa 3 file " ctfmon.exe", "bkst.exe", "bkstsc.acn" trong thư mục System32---> Bước này có thể không xóa thành công mà phải đợi khởi động máy tính và làm lại lần nữa
vân vân....
--------------------------------------------------
Với giải thuật như vậy, code viết chắc cũng khá nhiều. Không biết còn chổ nào thiếu sót không? Đó là ta vẫn chưa bàn đến chuyện UAC trên máy đang set ở mức High thì ta cũng sẽ không làm được gì (nhưng vẫn không hiểu tại sao virus lại làm được rất dễ dàng)
--------------------------------------------------
Các bạn, những ai quan tâm vui lòng góp ý cho tôi với! (chỉ cần góp ý về giải thuât, khỏi cần code)
Cảm ơn!

 

[Dauthivan]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

Máy của em bị con Virut gì mà làm cho tất cả các file đều còn 616 kb (.exe), nhờ thày nghiên cứu tiêu diệt nó dùm em với.

 

[ndu96081631]

Máy của em bị con Virut gì mà làm cho tất cả các file đều còn 616 kb (.exe), nhờ thày nghiên cứu tiêu diệt nó dùm em với.

Nhìn sơ qua con này thấy... quen quen, có vẽ như là dạng file ngụy trang thành folder
Dù sao tôi cũng không phải là chuyên gia về virus, chẳng qua máy bị dính thì cố mà nghiên cứu thôi. Nói gì thì nói, cũng phải lấy hết "can đảm" mới dám mang máy tính của mình ra làm vật thử nghiệm, tôi cũng sợ nó xơi hết dữ liệu của tôi lắm chứ!
Bạn cho tôi chút thời gian, dù gì thì tôi cũng đang bận cái vụ "bkst.exe" vừa qua
---------------------------------
Topic này xem ra chắc chỉ mình tôi "độc diễn" rồi! Các bạn không có khả năng hoặc không quan tâm cũng không sao, tuy nhiên có thể nghiên cứu giúp tôi phần code THAY ĐỔI UAC CHO WINDOWS 7 được không (UAC là User Account Control đấy). Tôi đang bí phần này

 

[tranvanthanh119]

---------------------------------
Topic này xem ra chắc chỉ mình tôi "độc diễn" rồi! Các bạn không có khả năng hoặc không quan tâm cũng không sao, tuy nhiên có thể nghiên cứu giúp tôi phần code THAY ĐỔI UAC CHO WINDOWS 7 được không (UAC là User Account Control đấy). Tôi đang bí phần này

Code thì em mù tịt, hay là set bằng tay đưa về mức Never notify...
Trước mắt cứ chơi bán tự động cái đã.

 

[Dauthivan]

Nhìn sơ qua con này thấy... quen quen, có vẽ như là dạng file ngụy trang thành folder
Dù sao tôi cũng không phải là chuyên gia về virus, chẳng qua máy bị dính thì cố mà nghiên cứu thôi. Nói gì thì nói, cũng phải lấy hết "can đảm" mới dám mang máy tính của mình ra làm vật thử nghiệm, tôi cũng sợ nó xơi hết dữ liệu của tôi lắm chứ!
Bạn cho tôi chút thời gian, dù gì thì tôi cũng đang bận cái vụ "bkst.exe" vừa qua
---------------------------------
Topic này xem ra chắc chỉ mình tôi "độc diễn" rồi! Các bạn không có khả năng hoặc không quan tâm cũng không sao, tuy nhiên có thể nghiên cứu giúp tôi phần code THAY ĐỔI UAC CHO WINDOWS 7 được không (UAC là User Account Control đấy). Tôi đang bí phần này

Dạ, bởi vì phần lớn trình độ anh em chưa am hiểu về lĩnh vực này thày ah. Bây giờ nhà em tất cả các folder nó đều là 616kb, tuy nhiên dữ liệu quý cả nên em không dám xóa, em đang đi tìm phần mềm diệt, rất mong thày giúp em vụ này.

 

[ndu96081631]

Dạ, bởi vì phần lớn trình độ anh em chưa am hiểu về lĩnh vực này thày ah. Bây giờ nhà em tất cả các folder nó đều là 616kb, tuy nhiên dữ liệu quý cả nên em không dám xóa, em đang đi tìm phần mềm diệt, rất mong thày giúp em vụ này.

Cái Folder bạn nhìn thấy thật chất hổng phải folder, nó là file virus ngụy trang. Vậy nên bạn bấm vào folder là đồng nghĩa bạn kích hoạt virus
Dám cá với bạn mọi thứ trên máy bạn vẫn còn nguyên, chỉ là bị virus giấu đi thôi! Vào Folder Options, cho hiện file ẩn và file hệ thống thử xem

 

[nghiaphuc]

Topic này xem ra chắc chỉ mình tôi "độc diễn" rồi! Các bạn không có khả năng hoặc không quan tâm cũng không sao, tuy nhiên có thể nghiên cứu giúp tôi phần code THAY ĐỔI UAC CHO WINDOWS 7 được không (UAC là User Account Control đấy). Tôi đang bí phần này

Nói thiệt, bữa giờ em vẫn ngồi "hóng" topic này (nhìn thấy em nhấn Cảm ơn ở phần lớn các bài viết là biết), tuy nhiên trình độ hạn chế nên đành chịu thua. Em vẫn mong anh sớm tìm được cách giải quyết triệt để cho vấn đề để anh em còn được nhờ, mọi người cảm ơn anh lắm lắm đấy.

 

[Cá ngừ F1]

Nói thiệt, bữa giờ em vẫn ngồi "hóng" topic này (nhìn thấy em nhấn Cảm ơn ở phần lớn các bài viết là biết), tuy nhiên trình độ hạn chế nên đành chịu thua. Em vẫn mong anh sớm tìm được cách giải quyết triệt để cho vấn đề để anh em còn được nhờ, mọi người cảm ơn anh lắm lắm đấy.

Cái này các CỤ vẫn nói là "Biết thì thưa thớt.. còn không biết thì dựa cột mà nghe". một chuyên gia máy tính như thầy mà máy nhiễm virus thì con này quả ko phải hạng vừa.. do vậy bọn e cũng chỉ biết ngồi hóng thôi ạh... còn đâu tin tưởng hết vào các phần mềm diệt virus vậy..

 

[ndu96081631]

Nói thiệt, bữa giờ em vẫn ngồi "hóng" topic này (nhìn thấy em nhấn Cảm ơn ở phần lớn các bài viết là biết), tuy nhiên trình độ hạn chế nên đành chịu thua. Em vẫn mong anh sớm tìm được cách giải quyết triệt để cho vấn đề để anh em còn được nhờ, mọi người cảm ơn anh lắm lắm đấy.

Ah... Cách giải quyết thì đã xong. Nói thiệt, mấy con này chỉ là "đồ bỏ", "vung tay" vài phát nó đã chết không kịp ngáp rồi.
Đó là mình nói về phương pháp diệt bằng tay (theo cách ở bài 19)
Vấn đề còn lại là viết code để tự động hóa toàn bộ tiến trình, mình lại bí ở phần change UAC! Chẳng lẽ phải làm như bạn tranvanthanh119 nói: Set UAC bằng tay sao ta? (mình hơi ức: Virus nó làm việc bất chấp UAC set ở mức nào, trong khi ta viết code lại không làm được chuyện này)
Vì thấy cách vận hành của con này hay hay nên rất hứng thú. Mấy hôm này cứ cho nó nhiễm vào máy rồi thí nghiệm đi thí nghiệm lại... code vẫn "dính" ở phần UAC
Đã lên mạng tra nát cả rồi, có người cho giải pháp chỉnh Registry nhưng thấy hơi... buồn cười: UAC set ở mức high thì anh Bill làm gì cho ta can thiệp registry
Tóm lại: Hơi bực

 

[nghiaphuc]

Ah... Cách giải quyết thì đã xong. Nói thiệt, mấy con này chỉ là "đồ bỏ", "vung tay" vài phát nó đã chết không kịp ngáp rồi.
Đó là mình nói về phương pháp diệt bằng tay (theo cách ở bài 19)
Vấn đề còn lại là viết code để tự động hóa toàn bộ tiến trình, mình lại bí ở phần change UAC! Chẳng lẽ phải làm như bạn tranvanthanh119 nói: Set UAC bằng tay sao ta? (mình hơi ức: Virus nó làm việc bất chấp UAC set ở mức nào, trong khi ta viết code lại không làm được chuyện này)
Vì thấy cách vận hành của con này hay hay nên rất hứng thú. Mấy hôm này cứ cho nó nhiễm vào máy rồi thí nghiệm đi thí nghiệm lại... code vẫn "dính" ở phần UAC
Tóm lại: Hơi bực

Vậy là "cao thủ gặp ku Thảo". Anh chứ hỏi leonguyenz xem, chắc anh chàng này biết đấy

 

[Dauthivan]

Ah... Cách giải quyết thì đã xong. Nói thiệt, mấy con này chỉ là "đồ bỏ", "vung tay" vài phát nó đã chết không kịp ngáp rồi.
Đó là mình nói về phương pháp diệt bằng tay (theo cách ở bài 19)
Vấn đề còn lại là viết code để tự động hóa toàn bộ tiến trình, mình lại bí ở phần change UAC! Chẳng lẽ phải làm như bạn tranvanthanh119 nói: Set UAC bằng tay sao ta? (mình hơi ức: Virus nó làm việc bất chấp UAC set ở mức nào, trong khi ta viết code lại không làm được chuyện này)
Vì thấy cách vận hành của con này hay hay nên rất hứng thú. Mấy hôm này cứ cho nó nhiễm vào máy rồi thí nghiệm đi thí nghiệm lại... code vẫn "dính" ở phần UAC
Đã lên mạng tra nát cả rồi, có người cho giải pháp chỉnh Registry nhưng thấy hơi... buồn cười: UAC set ở mức high thì anh Bill làm gì cho ta can thiệp registry
Tóm lại: Hơi bực

Hiện giờ máy ở nhà và cơ quan của em đều nhiễm con này, vì công việc nên em vẫn phải tiếp tục sử dụng máy ở cơ quan còn máy ở nhà để nguyên (vì sợ nếu máy cơ quan có vấn đề gì còn có máy ở nhà lưu), rất mong thày giúp em với.
---
Em không biết loại Virut này có khả năng ăn mất dữ liệu không hả thày.

 

[ndu96081631]

Hiện giờ máy ở nhà và cơ quan của em đều nhiễm con này, vì công việc nên em vẫn phải tiếp tục sử dụng máy ở cơ quan còn máy ở nhà để nguyên (vì sợ nếu máy cơ quan có vấn đề gì còn có máy ở nhà lưu), rất mong thày giúp em với.
---
Em không biết loại Virut này có khả năng ăn mất dữ liệu không hả thày.

Hiếm có con virus nào chơi trò "ăn mất" dữ liệu lắm (vì đó là loại kém thông minh)
Virus bây giờ chuyên đánh lừa và ăn cắp thông tin
Riêng con mà bạn đề cập trước đây tôi có biết, nó lấy lan qua đường USB rất nhanh và sẽ ẩn toàn bộ folder của bạn, thay vào đó là file virus ngụy trang tên folder. Bạn vẫn có thể truy cập file của bạn thông qua con virus này (không có vấn đề gì đâu)
Thời gian càng lâu không diệt thì virus tràn lan khắp máy tính khiến cho việc truy tìm diệt tận gốc trờ nên khó khăn
(tiếc là bạn không ở gần tôi, nếu không tôi "biểu diễn" 1 lần cách diệt bạn sẽ nhớ ngay)

 

[Cá ngừ F1]

Hiếm có con virus nào chơi trò "ăn mất" dữ liệu lắm (vì đó là loại kém thông minh)
Virus bây giờ chuyên đánh lừa và ăn cắp thông tin
Riêng con mà bạn đề cập trước đây tôi có biết, nó lấy lan qua đường USB rất nhanh và sẽ ẩn toàn bộ folder của bạn, thay vào đó là file virus ngụy trang tên folder. Bạn vẫn có thể truy cập file của bạn thông qua con virus này (không có vấn đề gì đâu)
Thời gian càng lâu không diệt thì virus tràn lan khắp máy tính khiến cho việc truy tìm diệt tận gốc trờ nên khó khăn
(tiếc là bạn không ở gần tôi, nếu không tôi "biểu diễn" 1 lần cách diệt bạn sẽ nhớ ngay)

Dạ. Lúc này mà team views thì XA cũng như GẦN ạh...

 

[Dauthivan]

Hiếm có con virus nào chơi trò "ăn mất" dữ liệu lắm (vì đó là loại kém thông minh)
Virus bây giờ chuyên đánh lừa và ăn cắp thông tin
Riêng con mà bạn đề cập trước đây tôi có biết, nó lấy lan qua đường USB rất nhanh và sẽ ẩn toàn bộ folder của bạn, thay vào đó là file virus ngụy trang tên folder. Bạn vẫn có thể truy cập file của bạn thông qua con virus này (không có vấn đề gì đâu)
Thời gian càng lâu không diệt thì virus tràn lan khắp máy tính khiến cho việc truy tìm diệt tận gốc trờ nên khó khăn
(tiếc là bạn không ở gần tôi, nếu không tôi "biểu diễn" 1 lần cách diệt bạn sẽ nhớ ngay)

Thày có thể hướng dẫn sơ em và mọi người qua Video được không ah? Chúng em sẽ theo đó để mò cách làm

Cảm ơn thày rất nhiều.

 

[Kh Biet]

Máy của em bị con Virut gì mà làm cho tất cả các file đều còn 616 kb (.exe), nhờ thày nghiên cứu tiêu diệt nó dùm em với.

Mấy ngày theo dõi topic này để học hỏi để các thày và các bạn sử lý virust , sực nhớ có lần mình cũng bị tên này tạo tất cả các tập tin đuôi .exe hết .Có điều lúc đó tất cả các file đều là flle rỗng . Đằng này file của bạn mình giải nén thấy 20 bức ảnh bình thường . Chỉ có folder là đuôi . exe . Mình tìm tài liệu lưu thấy hình như chương trình này vẫn còn ( không biết có phải nó không nữa ) bạn dùng thử, nếu không được thì thôi . Thôi thì cầu may nhé !

 

[ndu96081631]

Mấy ngày theo dõi topic này để học hỏi để các thày và các bạn sử lý virust , sực nhớ có lần mình cũng bị tên này tạo tất cả các tập tin đuôi .exe hết .Có điều lúc đó tất cả các file đều là flle rỗng . Đằng này file của bạn mình giải nén thấy 20 bức ảnh bình thường . Chỉ có folder là đuôi . exe . Mình tìm tài liệu lưu thấy hình như chương trình này vẫn còn ( không biết có phải nó không nữa ) bạn dùng thử, nếu không được thì thôi . Thôi thì cầu may nhé !

Thày có thể hướng dẫn sơ em và mọi người qua Video được không ah? Chúng em sẽ theo đó để mò cách làm

Cảm ơn thày rất nhiều.

Trả lời cho 2 bài này:
Con virus này khá nguy hiểm (làm máy tôi phải ghost lại 2 lần)
Phương pháp chung để diệt:
- Dùng Hirren 'Boot khởi động Mini Windows XP
- Dùng Windows Explorer duyệt tìm 2 file: autorun.inf và MS-DOS.com ở tất cả các ổ đĩa. Nếu thấy, xóa hết chúng
- Dùng công cụ Search của Windows, tìm tất cả các file *.EXE. Nếu tìm thấy file nào có biểu tượng là Folder, hãy xóa sạch
- Xong, khởi động lại máy tính là có thể yên tâm được 90% rồi đấy (10% còn lại dành cho việc phục hồi Task Manager, Folder Options, Registry ---> Có thể search tìm các công cụ trên mạng)

 

[nggiahoang]

Mò tùm lum trên Web, cuối cùng đã tóm cổ được 3 chú trên. Giờ thì nén lại cất vào máy tính cái đã
Đang nghiên cứu.... Sau khi cho nhiễm 3 chú vào máy, đã phát hiện ra vài điều lý thú:
- Với con " ctfmon.exe" cứ tưởng trước ký tự "c" là 1 khoảng trắng, ai dè là CHAR(160) (làm mình run code hoài mà nó cứ trơ trơ)
- Con "bkst.exe" không thể Kill được bằng Task Manager. Kể cả Process Explorer cũng thất bại với con này (cố kill vài lần, treo máy luôn)... nhưng tôi dùng VBA code với các câu lệnh DOS nhúng vào thì lại giết nó ngon lành (lệnh DOS lợi hai thật)
--------------------
Để cố gắng hoàn chỉnh code, xem còn gì trục trặc bất thường không rồi sẽ post code lên sau
Ẹc... Ẹc...

Thầy có thể gởi file nén 3 chú ( hoặc 1 chú "bkst.exe" ) lên đây để anh em chiêm ngưỡng và thử nghiệm được không thầy ?

 

[ndu96081631]

Thầy có thể gởi file nén 3 chú ( hoặc 1 chú "bkst.exe" ) lên đây để anh em chiêm ngưỡng và thử nghiệm được không thầy ?

Đây! Thích thì chiều
Muốn cho nó nhiễm "hoàn hảo", ta làm như sau:
- Giải nén 3 file trên, cho vào thư mục tạm nào đó
- Đổi tên file "ctfmon.exe" thành 1 tên nào đó
- Xong, cho 3 file vào thư mục C:\Windows\System32
- Kích hoạt 2 file .EXE
-----------------
Nếu bạn cũng là người hứng thú với virus, thử nghiệm con này tôi cảm ơn nhiều

 

[Hoàng Trọng Nghĩa]

Em sợ!!!! Em sợ!!!! Em sợ!!!!

Các file mọi người tải lên, em không dám đụng đến! ặc ... ặc ...

 

[Cá ngừ F1]

Đây! Thích thì chiều
Muốn cho nó nhiễm "hoàn hảo", ta làm như sau:
- Giải nén 3 file trên, cho vào thư mục tạm nào đó
- Đổi tên file "ctfmon.exe" thành 1 tên nào đó
- Xong, cho 3 file vào thư mục C:\Windows\System32
- Kích hoạt 2 file .EXE
-----------------
Nếu bạn cũng là người hứng thú với virus, thử nghiệm con này tôi cảm ơn nhiều

Hì. Nghe có vẻ hấp dẫn..nhưng thôi cả nhà có mỗi con CHUỘT BẠCH..nó lại die thì chít...

 

[nggiahoang]

Đây! Thích thì chiều
Muốn cho nó nhiễm "hoàn hảo", ta làm như sau:
- Giải nén 3 file trên, cho vào thư mục tạm nào đó
- Đổi tên file "ctfmon.exe" thành 1 tên nào đó
- Xong, cho 3 file vào thư mục C:\Windows\System32
- Kích hoạt 2 file .EXE
-----------------
Nếu bạn cũng là người hứng thú với virus, thử nghiệm con này tôi cảm ơn nhiều

Tối mai ,em sẽ báo cáo lại tình hình con virus này với thầy .Cám ơn thầy NDU!

 

[ndu96081631]

Tối mai ,em sẽ báo cáo lại tình hình con virus này với thầy .Cám ơn thầy NDU!

Cẩn thận nha!
Nhớ tham khảo thêm bài 19 nha (cách diệt sơ bộ)
Vì con này cũng khá nguy hiểm, nó sẽ khiến cho các file chương trình (.EXE) của bạn trở thành "sâu" hết đấy!
-------------------------------

Em sợ!!!! Em sợ!!!! Em sợ!!!!

Các file mọi người tải lên, em không dám đụng đến! ặc ... ặc ...

Tốt nhất nên như vậy! Vì mấy món này không phải chuyện giỡn chơi. Giống như tôi sửa điện nhưng tôi sợ điện giật cũng chẳng có gì xấu mặt cả
Ẹc... Ẹc...

 

[nggiahoang]

Cẩn thận nha!
Nhớ tham khảo thêm bài 19 nha (cách diệt sơ bộ)
Vì con này cũng khá nguy hiểm, nó sẽ khiến cho các file chương trình (.EXE) của bạn trở thành "sâu" hết đấy!
-------------------------------

Tốt nhất nên như vậy! Vì mấy món này không phải chuyện giỡn chơi. Giống như tôi sửa điện nhưng tôi sợ điện giật cũng chẳng có gì xấu mặt cả
Ẹc... Ẹc...

Rất may ! chương trình chống virut trong máy phát hiện ngay “ thông báo máy tính đang trong trạng thái không được bảo vệ “ .Em vào system32\ ctfmon.exe > mở và xóa nó bằng TC commander ( cho ra thùng rác ) vẫn cho xóa , thoát ra ngoài và đổ thùng rác .Vào trở lại thì em này đã xuất hiện trở lại. hix hix.

Quay ra ngoài bấm nút quét nhanh , chờ khoảng ít phút là quét xong , “tình trạng máy đã được bảo vệ “
Copy 5 file NC5.0 lưu từ trước ở ổ D vào ổ C: \.>>>> vao cmd > nc.exe >>>> vào lựa 3 file khi giải nén copy vào và xóa nó , rất ngọt.

Khởi động lại máy , đã thấy an toàn.

p/s : Do cẩn thận nên trước khi giải nén em đã ngắt dây mạng .

 

[binhminhcaonguyen2]

Chết cha!
Bây giờ sực nhớ lại mới thấy mình ngu
Gặp con bkst.exe đã vội "te rẹt" xóa nó mất tiêu, giờ biết tìm con này ở đâu ra để thí nghiệm đây ta? (phải cho nó lây nhiễm vào máy mới thí nghiệm được)
--------------------------------------
Các thành viên GPE chú ý: Nếu sau này tình cờ mở Task Manager ra mà thấy có thằng bkst.exe trong đó, vui lòng vào đường dẫn C:\Windows\System32\, copy giùm 3 chú:
- " ctfmon.exe"
- "bkst.exe
- "bkstsc.acn"
Nén 3 chú trên lại thành 1 file .RAR rồi gửi lên đây giúp nhé
(lưu ý: tên file " ctfmon.exe" có 1 khoảng trắng ở trước ký tự c nhé)
Cảm ơn!

Tui chỉ tìm được con này:
ctfmon.exe
Quy trình tìm là vào trong C:\Windows\System32\ rồi nhấn Search, sau đõ gõ ctfmon, thế là tóm được nó

 

[ndu96081631]

Tui chỉ tìm được con này:
ctfmon.exe
Quy trình tìm là vào trong C:\Windows\System32\ rồi nhấn Search, sau đõ gõ ctfmon, thế là tóm được nó

Cái file ấy là file của hệ thống bạn à!
Chừng nào bạn tìm thấy trong System32 có đến 2 chú ctfmon.exe thì lúc ấy mới có vấn đề
Lưu ý: File " ctfmon.exe" mà tôi đề cập trong topic nó có 1 khoảng trắng ở đằng trước filename nha

 

[Phanhanhdai]

Em vẫn biết diệt trong Dos là hiệu quả nhất, em xin hỏi thày có code nào diệt từ Excel luôn không ah cho em xin (những con virut mà thày đã thử nghiệm thành công ấy), vì có thể máy em có những con này mà em không biết bởi vấn đề về virut em hoàn toàn mù tịt.

Ý em là khi em Gost lại máy Win của em tương đối sạch, em muốn chạy chương trình Code trong Excel để diệt Virut ở ổ D, E.

 

[nggiahoang]

Tui chỉ tìm được con này:
ctfmon.exe
Quy trình tìm là vào trong C:\Windows\System32\ rồi nhấn Search, sau đõ gõ ctfmon, thế là tóm được nó
View attachment 111001

bạn copy 3 chú vào thư mục system 32 \ click 2 file *.êxe như thầy Ndu hướng dẫn thử xem.Sau đó thoát và khởi động lại máy xem thử bạn có tóm được nó hay không.??? chú ý file host và DNS...

Nhớ xem kỹ hướng dẫn cách diệt nó của thầy Ndu ở bài trên ,các bạn áp dụng theo cách của mình thì không quen đâu.
Nhớ backup registry nhánh HKLM ......run= hoặc tạo bản ghost sống và lưu dữ liệu trước khi thực hiện nhé

 

[ndu96081631]

Em vẫn biết diệt trong Dos là hiệu quả nhất, em xin hỏi thày có code nào diệt từ Excel luôn không ah cho em xin (những con virut mà thày đã thử nghiệm thành công ấy), vì có thể máy em có những con này mà em không biết bởi vấn đề về virut em hoàn toàn mù tịt.

Ý em là khi em Gost lại máy Win của em tương đối sạch, em muốn chạy chương trình Code trong Excel để diệt Virut ở ổ D, E.

Bài 19 là cách diệt đấy! Viết thành code chẳng có vấn đề gì, chỉ là tôi hơi nản vì nếu code chạy trên Windows 7 thì chưa chắc thành công (do vấn đề UAC)

 

[nggiahoang]

Bài 19 là cách diệt đấy! Viết thành code chẳng có vấn đề gì, chỉ là tôi hơi nản vì nếu code chạy trên Windows 7 thì chưa chắc thành công (do vấn đề UAC)

có thể tạo 1 shocut cho UAC ngoai desktop để tạm tắt nó được không thầy.

 

[ndu96081631]

có thể tạo 1 shocut cho UAC ngoai desktop để tạm tắt nó được không thầy.

Thì được (tắt bằng tay đâu có vấn đề gì)
Có điều là: Hơi bực
Để nghiên cứu thêm rồi tính (dù sao cũng không vội mà)

 

[nggiahoang]

Với người dùng thì UAC gây nhiều phiền toái vì mỗi cái , mỗi nhắc nhở kèm theo hộp thoại yêu cầu sự xác nhận của người dung “ yes “ hoặc “no” cho nên mới tìm cách tắt nó đi; nhưng với mã độc thì sẽ phải hạ lá chắn UAC này đầu tiên trước rồi mới thoải mái tiến vào hệ thốngmà người dùng không nhận biết.( tìm cách tắt nó đi ).

Gởi thầy Ndu tham khảo cách tạo ra 1 shortcut mà em sưu tầm được , nó sẽ hoạt động như những shortcut thông thường khác, chỉ có điều sẽ không gặp phải sự nhắc nhở xác nhận của UAC.

 

[Dauthivan]

Thày Ndu ơi, thày đã viết Code xong chưa? Nếu được cho em xin file không hoàn chỉnh cũng được (vì em đang cần diệt trong ổ D và E), riêng ổ Win em Gost lại mới rồi ah.

 

[nggiahoang]

Thày Ndu ơi, thày đã viết Code xong chưa? Nếu được cho em xin file không hoàn chỉnh cũng được (vì em đang cần diệt trong ổ D và E), riêng ổ Win em Gost lại mới rồi ah.

Trong khi chờ thầy Ndu viết xong code .......

Thì bạn tìm những bài của thầy Ndu thực hiện bằng tay cho nhuyễn ( dạng tổng quát có thể dùng cho đa số các trường hợp ) . Sau đó dùng “ recode macro “ để ghi lại quá trình đã thao tác . Có thể đưa vào starup để chạy mỗi khi khởi động hoặc để sẵn trên desktop khi nào cần thì chạy .

Gợi ý bạn dùng 2 chương trình sau :
*advance key and mouse recoder.
* winmacro.

 

[thaytu]

Em đã từng đau đầu vì mấy con nhiễm qua USB, có một số kinh nghiệm chia sẻ với cả nhà như sau:
1. Ghost lại win (nếu bị nhiễm)
2. Chạy DelSameFolder.bat: xóa hết file trùng tên thư mục (nếu có)
3. Chạy salitykiller_3.zip: khử nhiễm virus Virus.Win32.Sality
4. Chạy AntiVirusAutorun.bat: Tạo file autorun.inf, Recycled chống ghi đè
5. Cài BKAV free thôi
6. Chạy cpe17antiautorun1590.exe để bảo vệ virus tự động xâm nhập khi cắm USB và một số chức năng khác.
Tất cả có trong file đính kèm

 

[nvson]

@NDU:
Không biết bác NDU đã thay đổi được UAC chưa?
Nhưng mình thấy thay đổi (bật, tắt,...) UAC có gì khó khăn lắm đâu nhỉ (dĩ nhiên là bằng code VBA, VB,... rồi)?

 

[nggiahoang]

Panda usb vaccine

PANDA USB VACCINE tạo ra các tập tin autorun.inf trên các ổ dĩa (USB, thẻ nhớ, mp3,...).Các bạn cứ thí nghiệm bằng cách vào xóa file này trực tiếp bằng tay …..( ngoại trừ format ổ usb).

Cài đặt trên hệ thống C : \ sẽ có hình mũi kim trên khay , mọi USB bị nhiễm cắm vào sẽ vô hiệu hóa tính năng lây nhiễm vào máy, ngược lại xài trên USB của ta thì khi cắm vào các máy bị nhiễm loại virus autorun cũng vậy

Các bạn thử xem , tôi xài cái này đả 2 năm và thấy an toàn.

 

[caogia4u]

mình hay dùng bkav pro diệt virus, diệt xong ko phải lo, gần đây có virus mã hóa may là dùng bkav, máy bạn mình ko dùng win 8 bị mã hóa hết thành cerber 3, phải format lại ổ cứng, mất hết dữ liệu mới đau đầu.

có virus mình hay gửi lên http://forum.bkav.com.vn/forum/bkav-support/virus-malware-spyware-rootkit

 

[dothu_8129]

 

[dothu_8129]

Giờ nếu để an toàn thì mấy bác hãy đóng băng máy lại. khỏi virus nào hết mà lỡ xóa nhầm cũng không sao

 

[dothu_8129]

Hình như file autorun.inf này là virus.
một lần copy game tiệm net thấy con này trong usb.
Xóa không được mà phải format usb luôn

 

[vanle33]

Giờ nếu để an toàn thì mấy bác hãy đóng băng máy lại. khỏi virus nào hết mà lỡ xóa nhầm cũng không sao

Đóng băng chỉ trên 1 ổ cứng thường là ổ C, không lẽ đóng băng ổ dữ liệu? kaka.
Lỡ lầm lưu trên ổ C thế là khởi động lại máy là cuộc đời về con số 0.

 

[Lê Duy Thương]

Con này hôm trước "ăn nhậu" nghe Thầy kể là đã diệt gọn chúng bằng tay rồi mà?

Từ trước tới giờ tôi chưa gặp con virut nào phá cả. chỉ có mỗi con virut LDT là tôi không diệt nỗi vì nó hay làm cho máy của tôi lúc thì Win 7,8,lúc thì win 10 .

 

[hieuxd]

Từ trước tới giờ tôi chưa gặp con virut nào phá cả. chỉ có mỗi con virut LDT là tôi không diệt nỗi vì nó hay làm cho máy của tôi lúc thì Win 7,8,lúc thì win 10 .

Virut LDT mang tên Lê Duy Thương
Sống chung với bọn Virut thôi.
Bị một lần thấy phát bực
Dữ Liệu phải dấu ở nhiều nơi, giờ lưu trữ trên mạng cho an toàn
Từ khi biết đến máy tính sợ nhất con này
http://www.giaiphapexcel.com/forum/...-mất-file-và-sinh-ra-file-tên-HELP_YOUR_FILES
Ấm ức mãi