Chia sẻ kinh nghiệm diệt virus

[ndu96081631]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

 

[vu_tuan_manh_linh]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

Em đang dùng phần mềm free Symantec AntiVirus Corporate Edition v10.2.276, thấy diệt được khá nhiều loại virut, cập nhật Virut Defination cũng đơn giản!! Cái con mà anh nói em chưa gặp, anh thử tìm phần mềm này xem thế nào!!

 

[ndu96081631]

Em đang dùng phần mềm free Symantec AntiVirus Corporate Edition v10.2.276, thấy diệt được khá nhiều loại virut, cập nhật Virut Defination cũng đơn giản!! Cái con mà anh nói em chưa gặp, anh thử tìm phần mềm này xem thế nào!!

Ý tôi không phải tìm phần mềm (vì tôi cũng không bao giờ dùng)
Thật ra hôm qua máy tôi bị nhiễm con bkst.exe (do thằng nhóc con bấm bậy trên Web) nhưng tôi đã xử nó xong, tuy nhiên chưa hài lòng lắm về cách làm của mình
Tôi muốn tổng hợp các phương pháp diệt bằng tay của mọi người và rút ra 1 phương pháp hay nhất (có thể sẽ nghĩ ra dự án viết code VBA diệt con virus này. )
----------------------
Nói thêm: Con này có cách vận hành khá hay, trước giờ chưa thấy nên tôi cũng có hứng thú với nó

 

[Hoàng Trọng Nghĩa]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

Con này hôm trước "ăn nhậu" nghe Thầy kể là đã diệt gọn chúng bằng tay rồi mà?

 

[Good-Luck]

Con này hôm trước "ăn nhậu" nghe Thầy kể là đã diệt gọn chúng bằng tay rồi mà?

ý của lão Ca Này muốn dùng excel để diệt, chứ ko phải ko diệt đc

Ý tôi không phải tìm phần mềm (vì tôi cũng không bao giờ dùng)
Thật ra hôm qua máy tôi bị nhiễm con bkst.exe (do thằng nhóc con bấm bậy trên Web) nhưng tôi đã xử nó xong, tuy nhiên chưa hài lòng lắm về cách làm của mình
Tôi muốn tổng hợp các phương pháp diệt bằng tay của mọi người và rút ra 1 phương pháp hay nhất (có thể sẽ nghĩ ra dự án viết code VBA diệt con virus này. )
----------------------
Nói thêm: Con này có cách vận hành khá hay, trước giờ chưa thấy nên tôi cũng có hứng thú với nó

 

[Hoàng Trọng Nghĩa]

ý của lão Ca Này muốn dùng excel để diệt, chứ ko phải ko diệt đc

Tiêu diệt bằng tay thì được, bởi ta biết chắc nó là Virus, nhưng nếu diệt bằng VBA, hễ thấy cái đuôi .exe (đại loại như thế) mà tiêu diệt thì đôi khi lại tiêu diệt quân ta nhiều hơn quân địch thì toi cơm!

 

[ndu96081631]

ý của lão Ca Này muốn dùng excel để diệt, chứ ko phải ko diệt đc

Chính xác là vậy!
---------------

Tiêu diệt bằng tay thì được, bởi ta biết chắc nó là Virus, nhưng nếu diệt bằng VBA, hễ thấy cái đuôi .exe (đại loại như thế) mà tiêu diệt thì đôi khi lại tiêu diệt quân ta nhiều hơn quân địch thì toi cơm!

Chỉ diệt mỗi con bkst.exe này thôi (mình đâu có tham vọng viết phần mềm antivirus).
Con này nếu ai bị dính thì cũng không phải dễ nhai nó (cho dù có phần mềm antivirus). Bảo đảm diệt xong nó lại tự sinh ra như cũ. Vì thế nên tôi đang nghiên cứu phương pháp tối ưu (tìm giải thuật trước, code sau). Nếu viết được thì sau này ai bị dính nó sẽ khỏi lo: Nhấn nút 1 phát, rồi khởi động máy tính là xong!
Tất cả cũng chỉ là kill file, can thiệp registry và system services...
Như vậy đấy

 

[Phanhanhdai]

Máy em rất hay bị con virut siêu đa hình quậy, Gost xong nó lại nhảy từ ổ D sang, em mong thày giúp em chỉ cho giải pháp diệt nó.

 

[ndu96081631]

Máy em rất hay bị con virut siêu đa hình quậy, Gost xong nó lại nhảy từ ổ D sang, em mong thày giúp em chỉ cho giải pháp diệt nó.

Là con gì vậy? Chưa nghe bao giờ!

 

[ndu96081631]

Chết cha!
Bây giờ sực nhớ lại mới thấy mình ngu
Gặp con bkst.exe đã vội "te rẹt" xóa nó mất tiêu, giờ biết tìm con này ở đâu ra để thí nghiệm đây ta? (phải cho nó lây nhiễm vào máy mới thí nghiệm được)
--------------------------------------
Các thành viên GPE chú ý: Nếu sau này tình cờ mở Task Manager ra mà thấy có thằng bkst.exe trong đó, vui lòng vào đường dẫn C:\Windows\System32\, copy giùm 3 chú:
- " ctfmon.exe"
- "bkst.exe
- "bkstsc.acn"
Nén 3 chú trên lại thành 1 file .RAR rồi gửi lên đây giúp nhé
(lưu ý: tên file " ctfmon.exe" có 1 khoảng trắng ở trước ký tự c nhé)
Cảm ơn!

 

[tranvanthanh119]

Chết cha!
Bây giờ sực nhớ lại mới thấy mình ngu
Gặp con bkst.exe đã vội "te rẹt" xóa nó mất tiêu, giờ biết tìm con này ở đâu ra để thí nghiệm đây ta? (phải cho nó lây nhiễm vào máy mới thí nghiệm được)
--------------------------------------
Các thành viên GPE chú ý: Nếu sau này tình cờ mở Task Manager ra mà thấy có thằng bkst.exe trong đó, vui lòng vào đường dẫn C:\Windows\System32\, copy giùm 3 chú:
- " ctfmon.exe"
- "bkst.exe
- "bkstsc.acn"
Nén 3 chú trên lại thành 1 file .RAR rồi gửi lên đây giúp nhé
(lưu ý: tên file " ctfmon.exe" có 1 khoảng trắng ở trước ký tự c nhé)
Cảm ơn!

Thầy mà ngồi đợi các thành viên gửi virus cho thầy e rằng hơi lâu đấy. Chi bằng thầy cứ nói cu nhóc vọc như bữa trước là ra. Hoặc có thể vào xem lịch sử truy cập mở cửa cho nó vào lại. Híc.

 

[ndu96081631]

Thầy mà ngồi đợi các thành viên gửi virus cho thầy e rằng hơi lâu đấy. Chi bằng thầy cứ nói cu nhóc vọc như bữa trước là ra. Hoặc có thể vào xem lịch sử truy cập mở cửa cho nó vào lại. Híc.

Tôi cũng từng nghĩ vậy (và đã làm)... nhưng làm sao mà biết hôm trước thằng nhóc nó đã bấm vào đâu chứ
Cái lịch sử truy cập các trang tôi cũng đã xem: Đương nhiên thằng nhóc vào toàn những trang game. Giờ vào lại các trang ấy cũng không biết phải bấm vào đâu mới trúng ----> Bấm lạng quạng có khi không trúng thằng bkst.exe mà lại trúng thằng khác (chưa trị xong bệnh này đã phải "nhập viện" vì bệnh khác)
---------------------------
Bây giờ tâm trạng rất mâu thuẫn:
- Muốn con bkst.exe ấy tự nhiên hiện ra trong Task Manager. Nhưng nếu là vậy thì chứng tỏ mấy hôm nay phương pháp mà mình dùng để diệt nó là vô ích
- Muốn con bkst.exe ấy đừng bao giờ xuất hiện. Điều này sẽ đồng nghĩa ta chẳng bao giờ có cơ hội để nghiên cứu nó lần nữa

 

[hieuxd]

Con Virut ấy có trong máy tính của thầy là do hôm ấy cu nhóc nhà thầy chưa rửa tay sạch sẽ bằng xà phòng gõ vào bán phím nên nó lây vào máy,
Nghe đồn nó là biến thể của con virut đau mắt đỏ.
Máy tính của em dùng BKAV, bàn phím bọc Nilon nên tìm trong máy không thấy

 

[ndu96081631]

Mò tùm lum trên Web, cuối cùng đã tóm cổ được 3 chú trên. Giờ thì nén lại cất vào máy tính cái đã
Đang nghiên cứu.... Sau khi cho nhiễm 3 chú vào máy, đã phát hiện ra vài điều lý thú:
- Với con " ctfmon.exe" cứ tưởng trước ký tự "c" là 1 khoảng trắng, ai dè là CHAR(160) (làm mình run code hoài mà nó cứ trơ trơ)
- Con "bkst.exe" không thể Kill được bằng Task Manager. Kể cả Process Explorer cũng thất bại với con này (cố kill vài lần, treo máy luôn)... nhưng tôi dùng VBA code với các câu lệnh DOS nhúng vào thì lại giết nó ngon lành (lệnh DOS lợi hai thật)
--------------------
Để cố gắng hoàn chỉnh code, xem còn gì trục trặc bất thường không rồi sẽ post code lên sau
Ẹc... Ẹc...

 

[hieuxd]

Mò tùm lum trên Web, cuối cùng đã tóm cổ được 3 chú trên. Giờ thì nén lại cất vào máy tính cái đã
Đang nghiên cứu.... Sau khi cho nhiễm 3 chú vào máy, đã phát hiện ra vài điều lý thú:
- Với con " ctfmon.exe" cứ tưởng trước ký tự "c" là 1 khoảng trắng, ai dè là CHAR(160) (làm mình run code hoài mà nó cứ trơ trơ)
- Con "bkst.exe" không thể Kill được bằng Task Manager. Kể cả Process Explorer cũng thất bại với con này (cố kill vài lần, treo máy luôn)... nhưng tôi dùng VBA code với các câu lệnh DOS nhúng vào thì lại giết nó ngon lành (lệnh DOS lợi hai thật)
--------------------
Để cố gắng hoàn chỉnh code, xem còn gì trục trặc bất thường không rồi sẽ post code lên sau
Ẹc... Ẹc...

Thầy quả là am hiểu cách thức lây nhiễm và cách thức hoạt động của Virut
Lệnh Dos quả thật là lợi hại, Tiếc rằng giờ nó bị quên lãng với thế hệ trẻ, Nhiều người học Dos trong trường ra trường bảo chẳng hiểu nó ứng dụng mục đích gì,
Trong Dos có một ứng dụng, chương trình ấy là NC trong môi trường Dos giờ em vẫn lưu nó
những File trong Win không xóa được em vào NC sử thì xóa được ngay

 

[Phanhanhdai]

Là con gì vậy? Chưa nghe bao giờ!

Tức là nó cứ tự động tạo ra những Folder (ví dụ như Truyện người lớn...), em cứ xóa đi nó lại hiện ra, khi quét bằng Bkav Pro có báo là có virut siêu đa hình, nhưng sau khi diệt xong vẫn còn, thâm chí một số file khác còn bị lỗi nữa.

Rất mong thày cho em, các bạn trên diễn đàn xin 1 số Code, cách dùng các Code ấy để diệt những loại Virut mà thày đã từng xử lý được ấy.

 

[Good-Luck]

Tôi cũng từng nghĩ vậy (và đã làm)... nhưng làm sao mà biết hôm trước thằng nhóc nó đã bấm vào đâu chứ
Cái lịch sử truy cập các trang tôi cũng đã xem: Đương nhiên thằng nhóc vào toàn những trang game. Giờ vào lại các trang ấy cũng không biết phải bấm vào đâu mới trúng ----> Bấm lạng quạng có khi không trúng thằng bkst.exe mà lại trúng thằng khác (chưa trị xong bệnh này đã phải "nhập viện" vì bệnh khác)
---------------------------
Bây giờ tâm trạng rất mâu thuẫn:
- Muốn con bkst.exe ấy tự nhiên hiện ra trong Task Manager. Nhưng nếu là vậy thì chứng tỏ mấy hôm nay phương pháp mà mình dùng để diệt nó là vô ích
- Muốn con bkst.exe ấy đừng bao giờ xuất hiện. Điều này sẽ đồng nghĩa ta chẳng bao giờ có cơ hội để nghiên cứu nó lần nữa

sắm thêm 1 máy để dập chọn vẹn cả đôi đường
vừa chứng minh cách làm mình là ok, vừa có cơ hội .......

 

[ndu96081631]

Tức là nó cứ tự động tạo ra những Folder (ví dụ như Truyện người lớn...), em cứ xóa đi nó lại hiện ra, khi quét bằng Bkav Pro có báo là có virut siêu đa hình, nhưng sau khi diệt xong vẫn còn, thâm chí một số file khác còn bị lỗi nữa.

Rất mong thày cho em, các bạn trên diễn đàn xin 1 số Code, cách dùng các Code ấy để diệt những loại Virut mà thày đã từng xử lý được ấy.

Mỗi con có cách hoạt động khác nhau. Máy mình nếu chẳng may bị nhiễm thì mình mới có cơ hội tiếp xúc và nghiên cứu được
Tôi không dám chắc có xử được con siêu đa hình gì đó không, nhưng bạn có thể nén nó lại rồi gửi lên đây, tôi sẽ thí nghiệm

 

[ndu96081631]

Càng nghiên cứu càng phát hiện con này có nhiều động thái rất hay:
1> Thay đổi Registry, đang ký key run tự động khi đăng nhập Windows (cái này ta có thể phát hiện dễ dàng)
2> Thay đổi Indexing Service bằng cách tạo 1 key tên là ClHelp trong Registry và key này sẽ khống chế hoàn toàn Indexing Service (cũng hơi khó phát hiện 1 chút)
3> Sau khi virus nhiễm vào máy tính, nếu có bất cứ file .EXE nào chạy thì lập tức bị biến thành virus, bằng cách đổi tên file .EXE thành đuôi .PART, còn virus thì biến thành tên trùng với tên file .EXE khi nảy. Ví dụ:

* Ta chạy file UIMain.exe (là file chạy D-COM 3G) thì sau đó file UIMain.exe sẽ biến thành UIMain.part
* File virus sẽ tự động đổi tên thành UIMain.exe nằm cùng thư mục
* Từ giờ, dùng D-COM 3G là đồng nghĩa với việc kích hoạt virus
​

Hành động số 3> chính là cái ta khó phát hiện nhất và cũng là nguyên nhân khiến cho máy bị nhiễm đi nhiễm lại nhiều lần dù ta đã diệt hết virus trước đó ---> chỉ cần ta khởi động ứng dụng (là virus mà ta tưởng là ứng dụng) tức là ta đã kích hoạt virus mà mọi chuyện lại đâu vào đấy
---------------------------------
Vậy giải thuật code để diệt virus có thể là:
- Xóa giá trị run tự động trong key Run của Registry
- Stop Indexing Service
- Xóa key ClHelp trong Registry
- Kill các process: " ctfmon.exe", "bkst.exe" (có thể sẽ không kill thành công bkst.exe)
- Duyệt trong toàn bộ các ổ đĩa, nếu tìm thấy có cặp file dạng "tên file.exe" và "tên file.part" thì sẽ xóa "tên file.exe" rồi đổi tên "tên file.part" thành "tên file.exe" (trả lại tên cho "em")
- Xóa toàn bộ file trong thư mục %TEMP% (có vài thư mục temp chứ không chỉ một)
- Xóa toàn bộ file trong Temporary Internet Files (đây là thư mục ẩn)
- Xóa 3 file " ctfmon.exe", "bkst.exe", "bkstsc.acn" trong thư mục System32---> Bước này có thể không xóa thành công mà phải đợi khởi động máy tính và làm lại lần nữa
vân vân....
--------------------------------------------------
Với giải thuật như vậy, code viết chắc cũng khá nhiều. Không biết còn chổ nào thiếu sót không? Đó là ta vẫn chưa bàn đến chuyện UAC trên máy đang set ở mức High thì ta cũng sẽ không làm được gì (nhưng vẫn không hiểu tại sao virus lại làm được rất dễ dàng)
--------------------------------------------------
Các bạn, những ai quan tâm vui lòng góp ý cho tôi với! (chỉ cần góp ý về giải thuât, khỏi cần code)
Cảm ơn!

 

[Dauthivan]

Xin hỏi các bạn: có ai từng bị dính con TROJAN bkst.exe không? (nếu máy bị nhiễm, mở Task Manager sẽ thấy)
Nếu các bạn, những ai từng bị nhiễm con này và đã tiêu diệt thành công, xin chia sẻ kinh nghiệm với
Cảm ơn!

Máy của em bị con Virut gì mà làm cho tất cả các file đều còn 616 kb (.exe), nhờ thày nghiên cứu tiêu diệt nó dùm em với.