Thảo luận về các software chống Virus

[FROZENSATTHU]

Mấy hôm rồi mình mới bị nhiễm xong 3 con virus thuộc họ này w32.dashfer.worm .
3 con w32.dashferhtml.pe, w32.dashferUDII.worm, w32.dashferCODmp.trojan này phải công nhận là vô cùng nguy hiểm , ai mà lỡ dính nó mà ko bít cách diệt thì chỉ có nước format ổ đĩa cài win lại thôi :cc_hang[1]:.Vì ghost củng ko nhằm nhò gì với nó, nó có khả năng tự lây vào mọi chương trình có trong máy bạn. Nên có ghost lại ổ C thì tụi bên ổ khác cũng qua lây tiếp thôi :stupid[1]::stupid[1]:.
Thông tin chi tiết về con vi rus này đây:

Trong những ngày gần đây, rất nhiều người sử dụng Internet tại Việt Nam gặp phải hiện tượng vào bất kì trang web nào thì đều thấy một banner tiếng Trung Quốc tự động chèn lên trên đầu trang web.

Tại các cơ quan có hệ thống mạng nội bộ, hiện tượng này xảy ra đồng loạt trên tất cả các máy tính trong mạng, khiến cho các quản trị mạng lúng túng, không có cách giải quyết.

Theo Trung tâm an ninh mạng Bách Khoa (Bkis), hiện tượng này do loại virus có xuất xứ từ Trung Quốc W32.Dashfer.Worm - virus giả mạo Gateway gây ra. Bắt đầu bùng phát từ ngày 14/12/2007, tới nay đã có tới 14 biến thể của Dashfer xuất hiện và đã lây nhiễm trên 59.000 máy tính tại Việt Nam. Nguồn phát tán chủ yếu của virus này là qua các trang web chứa mã độc hại và qua đĩa USB.

Theo Trung tâm an ninh mạng BKIS, nguồn phát tán chủ yếu của virus này là qua các website chứa mã độc và đĩa USB. "Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các PC khác trong cùng mạng, mạo danh là gateway của hệ thống", ông Vũ Ngọc Sơn, một chuyên gia của BKIS, mô tả. "Các kết nối ra Internet của mọi PC trong mạng lúc này sẽ bị lừa đi qua gateway giả mạo trước rồi mới tới cổng mạng thật. Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng".

Với phương thức "tung hỏa mù" như vậy, không phải máy tính nào xuất hiện banner cũng là bị dính virus vì trong mạng chỉ cần 1 máy nhiễm thì các máy khác vào mạng đều thấy bị chèn banner dù máy đó "sạch virus".

Còn PC mà có virus chính là cổng mạng giả. "Điều đó có nghĩa là muốn giải quyết triệt để, quản trị mạng cần quét virus cho toàn bộ các máy tính trong cơ quan. Trong trường hợp không có điều kiện để làm như vậy thì có thể xác định PC có virus và tận diệt trên máy này", ông Sơn nói.

Cũng theo BKIS, đơn vị này đã cập nhật những mẫu virus này vào phiên bản Bkav mới nhất. Nếu gặp những hiện tượng như mô tả trên, bạn có thể tải về phần mềm diệt virus Bkav từ địa chỉ www.bkav.com.vn để xử lý.

một số việc mà con virus này sẽ làm khi lây vào máy bạn:
tự động thay đổi registry để làm mất đi tính năng xem file ẩn trong thư mục hệ thống
tự động thay đổi registry để làm safe mode bị màn hình xanh, shut down cũng màn hình xanh
tự động lây nhiễm vào các chương trình khác trong các ổ đĩa khác
tự động tạo thư mục ẩn trong windows và starup, rồi tạo virus chạy ẩn trong hệ thống. Process smss,lsass chứa virus ko tắt được
Tự động restart máy sau khoảng thời gian nhất định
Làm bkav spam là có virus, diệt...diệt hoài cũng ko hết
Vô hiệu hóa các ct anti virus ko cho chạy trong starup, có chạy thì cũng bi nó tắt. Điều này sẽ làm cho máy bạn ko thể chống lại 1 số virus khác đang âm thầm mở đường vào
ko thể tắt process virus trong msconfig >.< , click bỏ chọn nó trong startup thì nó sẽ ko cho tắt msconfig
Cài thêm vào máy 1 số trojan,worm khác
Nếu cho usb vào máy thì usb đó bị nhiễm virus luôn >.<


Hôm bửa đứa em nhờ mình chuyển giùm bài nhạc trong usb của đứa bạn sang máy nghe nhạc của nó. Máy mình thì được kis,spyweeper,bkav bảo vệ cũng khá kĩ lắm nên ít khi nào bị nhiễm virus. Đúng như vậy vừa bật lên thì bkav đã báo là đã diệt được 1 con virus trong ổ usb. Cứ đinh ninh là đã diệt được như mọi khi, mình vào ổ usb (ko vào bằng autorun) bằng cách vào computer open nó nhưng cũng tò mò thấy có dòng chữ tàu khi right click lên ổ usb. Biết là virus làm nhưng ko bít tại sao lúc đó ngu ngu lỡ nhấn vào nó coi chơi .......usb cũng mở ra. Mình tưởng ko có gì....copy được vài bài nhạc qua cho đứa em....nhưng bỗng nhiên máy tự động tắt hết mọi thứ :cc_hang[1]:, rồi shut down luôn apdau:.
khởi động lại thì lần nào cũng cỡ 2 phút là con virus lại tự đóng mọi chương trình rồi tắt máy luôn. Bực quá mình lên bkav down ct mới cập nhật về luôn, tranh thủ quét từng ổ đĩa một thì thấy cũng cỡ gần 100 con (đã rút usb và tắt mạng). Cuối cùng nhờ bkav mình cũng bít được vị trí của con này, nó nằm trong C:\windows\system32\com\ . Thế là mình chuyển sang quét cái vị trí này luôn. Thế là cũng diệt được con .PE, máy ko còn tự khởi động lại nữa. :em15:
Khởi động lại quét bkav vị trí đó lần nữa thì diệt được luôn cả con udii.worm. Cứ tưởng đã hết :clap2[1]: (vì ko thấy banner trung quốc hay bị tự khởi động lại nữa).......Nhưng bật task manager lên thì có vài process lạ:lsass.exe, smss.exe lại đang khởi chạy ko phải trong system mà là admin :em04:, end task tụi này ko được,cứ luôn báo đây là 1 process critical bạn ko thể tắt được .
Cũng đồng thời trong lúc đó mình cũng được spyweeper báo là process lạ ~.exe đang muốn chạy trong máy mình :spiteful[1]:. Biết ngay là con virus giở trò nên mình ko cho nó chạy luôn :myemo0136:.
Do con virus này nguy hiểm nên mình quyết định quét lại bằng cả kis và spy weeper luôn...Kết quả là cũng tiêu diệt được vài con
Diệt thì diệt nhưng bkav vẫn cứ báo là còn nó tại vị trí C:\windows\system32\com\smss.exe , mình down luôn zonealarm antivirus về luôn, để quét....hi vọng sẽ diệt được con này và nhằm ngăn chặn ko cho nó liên lạc với bên ngòai cũng như ko cho chủ nhân của nó xâm nhập thêm vào máy .
Kết quả với sự giúp đỡ của zonealarm mình diệt được thêm 3 chú, trong đó có chú xeor ở vị trí C:\windows\system32\com\smss.exe :myemo0131:. Mừng quá nghĩ là diệt được, nhưng zonealarm ko thể diệt nó theo kiểu thông thường, phải diệt sau khi reboot.Đồng thời cũng chặn được 100 lần xâm nhập của 1 địa chỉ ip lạ :bash[1]::bash[1]:
Mình restart luôn , nhưng tắt máy lại bị màn hình xanh. Khởi động bt luôn, nhưng khi vào thì mọi chuyện vẫn đâu vào đấy bkav vẫn báo là còn con virus đó :myemo0110:.....và một số điều phiền phức lại xảy ra các chương trình diệt virus trên máy đều bị vô hiệu hóa , ko có chương trình anti nào chạy được cả :cry[1]:
Vì kis đã bị vô hiệu và ko diệt được nên mình quyết định xóa nó và lên google search cách diệt.Cuối cùng thì bít cũng có 1 số ct có thể diệt được nó nhưng thấy các nạn nhân khác đều phải format ổ.. Nhưng máy mình có khá nhiều chương trình, cũng như 1 số bài word đang làm nên ko thể chơi kiểu này. Ko thể copy dữ liệu qua ổ khác vì nó sẽ lây qua ổ đó nữa
Định cài avg, anti vir, mcafee, avast vào để xem có diệt được ko. Nhưng vừa chạy setup thì con virus lại tự tắt setup ko cho cài
Và có điều cũng ngộ là con này bít cả trang nào chỉ cách diệt nó thì nó cũng ko cho vào
Bực quá mình vào thư mục C:\windows\system32\com để diệt tay nó luôn, nhưng phát hiện ra là con virus này nó ko cho mình nhìn thấy các file ẩn trong system luôn . Thêm vào đó nó cũng xóa 2 khóa trong registry luôn nên mình ko thể vào safe mode luôn.
Mà diệt trong dos bằng hiren boot cd thì cũng có người nó là ko diệt được
Pó tay định sống chung vậy với con virus này luôn , nhưng rồi mình cuối cùng cũng nghĩ ra cách để diệt nó

 

[FROZENSATTHU]

muốn tiêu diệt hoàn toàn và phục hồi lại những di chứng mà con này đã gây ra, bạn phải làm thế này :

1. đầu tiên lên google search " security task manager", cài ct này vào máy.
chạy nó và nhìn xem trong danh sách process,bạn sẽ thấy có mấy cái process ẩn tên là "~.exe" và 1 số process ẩn khác tên "~.exe. 1 dãy số".
Mấy cái process này là của con virus đó đấy :spiteful[1]:. Hãy nhấn vào những process này và chọn remove -> quarantine nó. Nếu thấy mấy cái process lạ khác mà mức độ nguy hiểm cao thì cũng tắt nó luôn đi (đừng tắt process của mấy ct virus à)

2. Sau khi đã tắt được process virus, bạn sẽ chạy được các ct diệt virus 1 cách bình thường, ko còn bị nó ngăn cản nữa. Tuy nhiên mấy cái ct virus đó vẫn còn trong máy. Bạn nên down avg bản mới nhất về úpdate nó và quét lại toàn bộ ỗ đỉa.

3. Chắc là bạn sẽ quét được 1 mớ virus và trojan đấy nhỉ :clap2[1]:. Với avg bạn sẽ diệt được 1 mớ nhưng chưa thật sự hết. Nếu có thể thì down luôn spyware doctor về để quét, bảo đảm ra 1 mớ nữa.

4. cài bkav vào lại thử xem....chắc là vẫn còn báo virus tại vi trí cũ :myemo0125:. tiếp tục vào run gõ regedit và tìm những vị trí sau sửa lại:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]chỉnh type lại từ "radio.."thành "checkbox"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] xóa dòng có chữ "checkedvalue", tạo CheckedValue lại và sửa giá trị lại thành 1
(2 cái trên là để có thể coi được những file ẩn trong hệ thống)

5. Vào computer -> folder option -> tab view . kiếm xem sẽ thấy mục "Hide protected operating system files (recommened)" . Đánh dấu bỏ chọn nó (chọn yes nếu window hỏi tiếp) và chọn show hidden file.
vào vị trí C:\windows\system32\com\ xóa hết file ẩn và file system có trong đây.
C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup : Xóa hết các file lạ trong này
C[và D..]:\autorun.inf
C[ và D..]:\pagefile.pif.
Tìm thêm file inetcfg.dll xóa hết nó đi. Khởi động lại Quét virus tiếp.
Nên nhớ trong quá trình bạn làm những điều này bạn nên disable mạng và tắt System restore đi.

6. Xong bước trên bạn cài bkav lại và quét thì chắc là đã tiêu diệt được nó. Nhưng chúng ta làm tiếp bước này để phục hồi lại safe mode
vào run ->regedit
tìm đến vị trí HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\
click phải network chọn new -> key . sau đó rename lại thành thế này {4D36E967-E325-11CE-BFC1-08002BE10318}
Tương tự như vậy với HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
lÀM xong bước 6 này thì bạn sẽ ko còn bị màn hình xanh khi shut down và khi vào safe mode nữa :em36:

Hi vọng mọi người ko mắc phải con này, nếu có thì làm cách này nhé. Tết đến mà bị con này quậy banh hết dữ liệu thì phiền lắm đấy :myemo0125::em15:. Do bkav home ko thể diệt được nó hoàn toàn nên mình đành phải hướng dẫn bằng tay....hi vọng mọi người ko cảm thấy phiền

 

[NoBody]

nhìn lại thì thấy máy mình cũng có quả smss.exe chạy dưới user system.... lo wa, có cả csrss.exe nữa

bác có biết cách đập con ctfmon.exe thì báo em wa yahoo nha, con này là chúa khó diệt...

Bà kon đừng ỷ mình xài BIT or Kar hay Zone muh coi thường nha, có 1 số kon hơi bị khó diệt đó... hirenboot ko hỉu sao nhà em ko chạy đc lun

 

[FROZENSATTHU]

mấy cái đó của ông ko phải là virus đâu , chỉ mấy cái process chạy với user admin thì mới là virus thôi.
Còn cái cách diệt con virus ctfmon.exe tôi gới cho ông rồi đó :spiteful[1]:

 

[RedwinD]

Oạch, thế đúng trường hợp kiểu như em rồi.
Từ lâu lắm rồi trong mỗi folder thì nó đểu có thêm một file tenfoflder.exe không hiểu nó là cái gì, từ đó máy cọc cạch hoài. Mãi từ hồi download BKAV bản mới nhất mới giệt được một ít, nhưng chắc chưa xóa xổ được tận gốc

 

[Unicorn9x]

ctf moon là một process hỗ trợ java ... mà?? thấy xem string của nó là của microsoft
chả lẽ microsoft phát tán virus??

 

[FROZENSATTHU]

ctfmon.exe là process của office :sleep[1]:....nếu ctfmon.exe mà ở trong folder C:\windows\system32 thì ko phải là virus
còn nếu vô trong msconfig mà thấy đường dẫn chạy của nó ko phải ở C:\windows\system32 thì nó là virus đấy :em22::em33:

 

[vodoi_em]

ESET NOD32 Smart Seccurity Business Verson - chương trình AV nhẹ mà hiệu quả nhất

ESET Smart Security Business 3.0.642.0

Chúng ta đã từng rất bức xúc về các vấn đề virus, và 1 trong những giải pháp khá hiệu quả là Bitdefender 11 hay Kaspersky Internet Security 7.0, nhưng ai ai cũng kêu ca về 2 phần mềm này, vì nó nặng quá. Và ESET Smart Security đã được tạo ra để đáp ứng nhu cầu tuyệt hảo cho người dùng, vừa mạnh mẽ như KIS 7 mà lại vừa nhẹ nhàng, tốn tài nguyên không đáng kể.
Hãy cùng trải nghiệm về soft AV tuyệt vời này
LINK DOWNLOAD CÓ KÈM CRACK
Crack cực kỳ đơn giản, chỉ cần cài đặt xong rồi kick vào file EmSaExT 1.0.0.1.exe và next...
Enjoy
Nguồn link từ vozforums.com

 

[lemonadess]

Copy link của diễn đàn khác qua hà Để mình thử xem sao. Nhà mình đang xài symatec antivirus, nhẹ hều, nhưng không biết có hiệu quả trên 90% không.

 

[AsheyTisade]

Cái này trên http://vozforums.com

 

[Nobita!]

ghi nguồn vào chứ , mang tiếng chết . Vodoi edit lẹ.

Tớ cũng dùng Symatec, thấy cũng ổn, phát hiện virus khá tốt, nhất là không thấy nặng máy.

 

[vodoi_em]

ghi nguồn vào chứ , mang tiếng chết . Vodoi edit lẹ.

Tớ cũng dùng Symatec, thấy cũng ổn, phát hiện virus khá tốt, nhất là không thấy nặng máy.

tớ copy link thôi chứ có copy bài viết đâu, tự viết mà.
Mà cái link cũng có phải do ông up đâu, thôi cứ ghi link từ đâu ra cho nó nhanh

 

[AsheyTisade]

Đây là luật rùi , đừng làm thế mang tiếng thật đấy

 

[Unicorn9x]

Zyzoom KAV 7 Key Downloader v3 => ko còn nỗi lo kím key!!

Zyzoom KAV 7 Key Downloader v3

ai xài kav với kis chắc cũng bít kím key khổ thế nào!m0001:
có soft này thì khỏi lo! cứ phải gọi là tha hồ mà kím key!!
soft vít bằng tiếng ả rập nhưng mà rất dễ xài! anh em an tâm!
soft này chỉ hoạt động khi đã cài kav nha!
Download : (1.79 MB)
EASY SHARE
Rapidshare

 

[jNewbbie4]

Nó kím key nhưng mà có tiện thể kiếm luôn... virus ko thế

 

[lemonadess]

Bác ấy đã test thử rồi mới post cho mọi người chứ nhỉ? Chắc không có virus đâu. Mà nhà mình thì không xài KAV

 

[lightning]

Hix,vậy là muốn dùng cái soft kiếm key này thì máy phải nối mạng rồi,tiếc là nhà mình lại đâu có mạng.Chắc chỉ còn cách ra mấy quán net cài KAV vào rồi chạy soft này lấy key thôi .

 

[Pirdee]

Bạn ơi password của file này là gì vậy, cái này có kím key cho KIS đc không vậy?

 

[Unicorn9x]

kím dc! pass là www.softarchive.net

 

[vodoi_em]

kím dc! pass là www.softarchive.net

có key cho KIS không, mang key đi bán cái
để tớ test thử rồi quét virus xem sao
mà nhà dùng KIS bản quyền thì làm thế nào đây