Virus & Security

[ST-Lu!]

Nghe anh nói vậy em tìm và down liền
Sau đây là ảnh chụp ví dụ

Em xin được gửi phần mềm đính kèm

-----------------
Các bác bảo em cách sử dụng với

 

[giaptk3]

CMC Internet Security - Phần mềm diệt virus VN

http://www.tech24.vn/security/download/5187-CMC-Internet-Security---Phan-mem-diet-virus-VN.html

 

[Lệnh Hồ Đại Hiệp]

Nghe anh nói vậy em tìm và down liền
Sau đây là ảnh chụp ví dụ

Em xin được gửi phần mềm đính kèm

-----------------
Các bác bảo em cách sử dụng với

Em vào trong Find, nhập tên của file .dll bị virus để xem là đồng chí nào đang sử dụng nó.
Như thế là biết ngay thôi.

 

[ST-Lu!]

Như đã hứa với anh là tối qua về gửi mẫu nhưng ôi thôi.........

Cho em hỏi đây có phải là virus không?


Em vào ổ C diệt nó nhưng ko delete được, mỗi lần diệt bằng phần mềm diệt virus xong nó lại mọc ra

Đảm bảo là khi del nó em đã tắt chương trình diệt virus

Cách diệt nó như thế nào vậy?

Anh ơi ..."mếu máo"

Làm theo lời chỉ dạy của anh, em vào Process Explorer find -> gõ khfGAWGI.dll

Nó báo WINLOGO.EXE (2 dạng TYPE: là DLL, HANDLE) đang sử dụng

Hý hoáy một hồi bê được hai ông trên để gửi cho anh. định click up lên thì quay ra.
click phải vào WINLOGO.EXE\ chọn KILL PROCESS thì............giời ơi

Máy sập luôn...sau đó cứ tự động restart....vào win....tắt...restart...

Em vào DOS nó báo phải…… (hình như là cài lại file had.dll gì đó...)

Mong anh giúp đỡ.....không có máy làm sao vào được GPE...

Hic hic

 

[Lệnh Hồ Đại Hiệp]

Như đã hứa với anh là tối qua về gửi mẫu nhưng ôi thôi.........



Anh ơi ..."mếu máo"

Làm theo lời chỉ dạy của anh, em vào Process Explorer find -> gõ khfGAWGI.dll

Nó báo WINLOGO.EXE (2 dạng TYPE: là DLL, HANDLE) đang sử dụng

Hý hoáy một hồi bê được hai ông trên để gửi cho anh. định click up lên thì quay ra.
click phải vào WINLOGO.EXE\ chọn KILL PROCESS thì............giời ơi

Máy sập luôn...sau đó cứ tự động restart....vào win....tắt...restart...

Em vào DOS nó báo phải…… (hình như là cài lại file had.dll gì đó...)

Mong anh giúp đỡ.....không có máy làm sao vào được GPE...

Hic hic

Sao em lại Kill cái Winlogo.exe đi, em không thấy nó là mẹ của rất nhiều nhánh khác à. Có nghĩa là nó đang quản lý (và ôm đồm) rất nhiều chương trình khác nhau (trong đó có cả cái tập tin virus của em), khi đó nó đóng vai trò là tập tin môi trường.
Vì vậy không được xóa đi một tập tin hệ thống nào nếu chưa rõ về nó.
Ta chỉ tạm dừng nó Suspend từng process (Ko được Kill đấy), như thế mới được em ạ.

Nhưng cũng không sao đâu, cái File đó cũng bị nhiễm rồi, đàng nào nó cũng . .chết thôi, tuy nhiên chết kiểu đó thì mình cũng . . . chết luôn.

Em tham khảo mấy bài viết của MrOkebab nhé : Bài 12; 13; 14
http://www.giaiphapexcel.com/forum/showthread.php?p=93565#post93565

hoặc tại :
http://www.castlecops.com/o23-3650.html

Nếu vẫn không được :

• Chạy Wins Safe Mode để phục hồi lại
• Nếu vẫn không được : Repair Wins
  • Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console.
    
    Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any key to boot from CD.
    
    Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).
    
    Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).
    
    Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).
    
    Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).
    
    cd system32
    
    copy userinit.exe wsaupdater.exe
    
    exit
    
    Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường.
    
    Chọn Start. Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.
    
    Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    
    Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn modify.
    
    Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe,) (hình 1)
    
    Chọn OK và đóng Registry Editor.
    
    Bước 3. Xóa tập tin wsaupdater.exe
    
    Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị (Administrators).
    
    Chọn Start. Run, gõ dòng lệnh %Windir%\system32, nhấn OK (hoặc mở Windows Explorer, tìm đến thư mục Windows\System32)
    
    Tìm tập tin wsaupdater.exe trong thư mục Windows\System32, chọn Delete, nhấn OK xác nhận xóa.
    
    Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải được thực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windows hoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiến hành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại
• Cài lại Wins (Cài đè Upgrage chứ đừng Fresh), trước khi cài dùng Hirent Boot CD copy tất cả nhũng gì quan trọng ở ổ đĩa C lại (Nếu có thể thì Ghost lại ổ C nữa cho chắc ăn, để sau này có gì thì vào đó lấy ra được)
• ....................

Câu báo chung chung quá nên không rõ, em phải gửi cái File .dll đó cho anh thì mới kết luận nó là cái gì được.

Chúc vui.

 

[ST-Lu!]

Cám ơn anh rất nhiều. Em sẽ cố gắng tìm hiểu những gì anh chỉ bảo.
------------------
Hôm qua em ghost lại win có hiện tượng sau
1. Khi chưa vào mạng
+ Tìm file.dll đó nhưng không thấy
2. Sau khi kết nối ADSL
+ Máy có hiện tượng virus (màn hình chập chờn...)
--> Quýet virus thấy file KhfGAWQI.dll ------------------------

Em xin gửi mãu virus file .dll

 

[giaptk3]

Cám ơn anh rất nhiều. Em sẽ cố gắng tìm hiểu những gì anh chỉ bảo.
------------------
Hôm qua em ghost lại win có hiện tượng sau
1. Khi chưa vào mạng
+ Tìm file.dll đó nhưng không thấy
2. Sau khi kết nối ADSL
+ Máy có hiện tượng virus (màn hình chập chờn...)
--> Quýet virus thấy file KhfGAWQI.dll ------------------------

Em xin gửi mãu virus file .dll

bạn có thể dùng phần mềm diệt virus mình giới thiệu ở trên .
phần mêm diệt được hết nếu có con nào lạ chưa diệt được bạn có thể gửi đến họ sẽ phân tích và diệt giùm bạn.
mình thấy phần mềm đó rất hay .
chúc thành công.

 

[Lệnh Hồ Đại Hiệp]

Cám ơn anh rất nhiều. Em sẽ cố gắng tìm hiểu những gì anh chỉ bảo.
------------------
Hôm qua em ghost lại win có hiện tượng sau
1. Khi chưa vào mạng
+ Tìm file.dll đó nhưng không thấy
2. Sau khi kết nối ADSL
+ Máy có hiện tượng virus (màn hình chập chờn...)
--> Quýet virus thấy file KhfGAWQI.dll ------------------------

Em xin gửi mãu virus file .dll

Đây là con Trojan.Vudo (Theo định nghĩa của Symantec)

Thông tin chính :

Threat Assessment

Wild

• Wild Level: Low
• Number of Infections: 0 - 49
• Number of Sites: 0 - 2
• Geographical Distribution: Low
• Threat Containment: Easy
• Removal: Easy

Damage

• Damage Level: Medium
• Payload: May download potentially malicious files on to the compromised computer.

Distribution

• Distribution Level: Low

Phân tích kỹ thuật :


Cách diệt :

1. Diệt tự động :

• Download công cụ diệt nó : Remove Tools
• Hướng dẫn sử dụng

2. Diệt bằng tay

The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

1. Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Restart the computer in Safe mode or VGA mode.
4. Run a full system scan and delete all the files detected as Trojan.Vundo.
5. Reverse the changes made to the registry.

For details on each of these steps, read the following instructions.

1. To disable System Restore (Windows Me/XP)
For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:

• "How to disable or enable Windows Me System Restore"
• "How to turn off or turn on Windows XP System Restore"

Note: When you are completely finished with the removal procedure and are satisfied that the threat has been removed, re-enable System Restore by following the instructions in the aforementioned documents.

2. To update the virus definitions
Nên sử dụng phần mềm Symantec AntiVirus Corporate Edition v10.2.298 hoặc cao hơn

3. To restart the computer in Safe mode or VGA mode

Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer in Safe mode with Command Prompt or VGA mode.
4. To scan for and delete the infected files

1. Start your Symantec antivirus program and make sure that it is configured to scan all the files.
   • For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
   • For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan all files."
2. Run a full system scan.
3. If any files are detected as infected with Trojan.Vundo, click Delete.

5. To reverse the changes made to the registry

Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.

1. Click Start > Run.
2. Type regedit
   
   Then click OK.
3. Navigate to and delete the following registry entries:
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID\"[DEFAULT VALUE]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID\"[DEFAULT VALUE]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\"*WinLogon = "[TROJAN FULL PATH FILE NAME] ren time:[RANDOM NUMBER]"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"*[TROJAN FILE NAME]" = "[TROJAN FULL PATH FILE NAME] rerun"
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"*[TROJAN FILE NAME]" = "[TROJAN FULL PATH FILE NAME]"
4. Navigate to and delete the following registry subkeys:
   • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib\CLSID\
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib.1\CLSID\
   • HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
   • HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater
   • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1
5. Exit the Registry Editor.
6. Restart the computer in Normal mode. For instructions, read the section on returning to Normal mode in the document, "How to start the computer in Safe Mode."

Chúc vui.

 

[ST-Lu!]

Virus KhfGAWQI.dll

Anh Lệnh Hồ Xung ơi
Em làm theo hướng dẫn của anh (diệt tự động) thì có thông báo sau.

 

[Lệnh Hồ Đại Hiệp]

Anh Lệnh Hồ Xung ơi
Em làm theo hướng dẫn của anh (diệt tự động) thì có thông báo sau.

Một trong các TH sau :
1. Virus đã được xóa hết
2.Em chạy nó trong Safe Mode nhé.
3. Cài chú Symantec AntiVirus Corporate Edition cho chắc ăn em ạ.

(Nếu không có thì anh mail cho)

Chúc vui

 

[ST-Lu!]

Chào các anh chị
Máy em giờ đã ngon lành nhưng xem xin được post hình ảnh hỏi cách diệt virus cho một người bạn
----------
Các anh giúp em nhé

 

[Lệnh Hồ Đại Hiệp]

Chào các anh chị
Máy em giờ đã ngon lành nhưng xem xin được post hình ảnh hỏi cách diệt virus cho một người bạn
----------
Các anh giúp em nhé

Sao chú mày lười thế nhỉ

Thông tin chung :


Discovered: November 21, 2008
Updated: November 24, 2008 9:37:07 AM
Also Known As: Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software]
Type: Worm
Infection Length: 62,976 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
CVE References: CVE-2008-4250
W32.Downadup is a worm that spreads by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874).

Protection

• Initial Rapid Release version November 21, 2008 revision 052
• Latest Rapid Release version November 27, 2008 revision 017
• Initial Daily Certified version November 22, 2008 revision 003
• Latest Daily Certified version November 27, 2008 revision 025
• Initial Weekly Certified release date November 26, 2008

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.
Threat Assessment

Wild

• Wild Level: Low
• Number of Infections: 0 - 49
• Number of Sites: 0 - 2
• Geographical Distribution: Low
• Threat Containment: Easy
• Removal: Easy

Damage

• Damage Level: Medium
• Payload: Downloads other files on to the compromised computer.
• Degrades Performance: Downloading remote files may degrade network performance.

Distribution

• Distribution Level: Medium
• Target of Infection: Exploits a certain vulnerability.

Writeup By: Takayoshi Nakayama and Sean Kiernan


Phân tích kỹ thuật :


Discovered: November 21, 2008
Updated: November 24, 2008 9:37:07 AM
Also Known As: Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software]
Type: Worm
Infection Length: 62,976 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
CVE References: CVE-2008-4250
Once executed, the worm copies itself as the following file:
%System%\[RANDOM FILE NAME].dll

Next, the worm deletes any user-created System Restore points.

It creates the following service:
Name: netsvcs
ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs

Then the worm creates the following registry entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PathToWorm]"

The worm connects to the following URLs to obtain IP address of the compromised computer:

• http://www.getmyip.org
• http://getmyip.co.uk
• http://checkip.dyndns.org

Next, the worm downloads a file from the following URL and executes it:
[http://]trafficconverter.biz/4vir/antispyware/loada[REMOVED]

The worm then creates a http server on the compromised computer on a random port, for example:
http://[EXTERNAL IP ADDRESS OF INFECTED MACHINE]:[RANDOM PORT]

The worm then sends this URL as part of its payload to remote computers.

Upon successful exploitation, the remote computer will then connect back to this URL and download the worm.

In this way, each exploited computer can spread the worm itself, as opposed to downloading from a predetermined location.

Next, the worm connects to a UPnP router and opens the http port.

It then attempts to locate the network device registered as the Internet gateway on the network and opens the previously mentioned [RANDOM PORT] in order to allow access to the compromised computer from external networks.

The worm then attempts to download a data file from the following URL:
[http://]www.maxmind.com/download/geoip/database/GeoIP.[REMOVED]

The worm spreads by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874).

Next, the worm attempts to contact the following sites to obtain the current date:

• http://www.w3.org
• http://www.ask.com
• http://www.msn.com
• http://www.yahoo.com
• http://www.google.com
• http://www.baidu.com

It uses the date information to generate a list of domain names.

The worm then contacts these domains in an attempt to download additional files onto the compromised computer.Recommendations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

• Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
• Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
• Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
• Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
• Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
• Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
• If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
• Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
• Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
• Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
• Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
• If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
• For further information on the terms used in this document, please refer to the Security Response glossary.

Writeup By: Takayoshi Nakayama and Sean Kiernan

 

[Lệnh Hồ Đại Hiệp]

Cách diệt :

Discovered: November 21, 2008
Updated: November 24, 2008 9:37:07 AM
Also Known As: Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software]
Type: Worm
Infection Length: 62,976 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
CVE References: CVE-2008-4250
The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

1. Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Run a full system scan.
4. Delete any values added to the registry.

For specific details on each of these steps, read the following instructions.

1. To disable System Restore (Windows Me/XP)
If you are running Windows Me or Windows XP, we recommend that you temporarily turn off System Restore. Windows Me/XP uses this feature, which is enabled by default, to restore the files on your computer in case they become damaged. If a virus, worm, or Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer.

Windows prevents outside programs, including antivirus programs, from modifying System Restore. Therefore, antivirus programs or tools cannot remove threats in the System Restore folder. As a result, System Restore has the potential of restoring an infected file on your computer, even after you have cleaned the infected files from all the other locations.

Also, a virus scan may detect a threat in the System Restore folder even though you have removed the threat.

For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:

• How to disable or enable Windows Me System Restore
• How to turn off or turn on Windows XP System Restore

Note: When you are completely finished with the removal procedure and are satisfied that the threat has been removed, reenable System Restore by following the instructions in the aforementioned documents.

For additional information, and an alternative to disabling Windows Me System Restore, see the Microsoft Knowledge Base article: Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455).

2. To update the virus definitions
Symantec Security Response fully tests all the virus definitions for quality assurance before they are posted to our servers. There are two ways to obtain the most recent virus definitions:

• Running LiveUpdate, which is the easiest way to obtain virus definitions.
  
  If you use Norton AntiVirus 2006, Symantec AntiVirus Corporate Edition 10.0, or newer products, LiveUpdate definitions are updated daily. These products include newer technology.
  
  If you use Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 9.0, or earlier products, LiveUpdate definitions are updated weekly. The exception is major outbreaks, when definitions are updated more often.
• Downloading the definitions using the Intelligent Updater: The Intelligent Updater virus definitions are posted daily. You should download the definitions from the Symantec Security Response Web site and manually install them.

The latest Intelligent Updater virus definitions can be obtained here: Intelligent Updater virus definitions. For detailed instructions read the document: How to update virus definition files using the Intelligent Updater.

3. To run a full system scan

1. Start your Symantec antivirus program and make sure that it is configured to scan all the files.
   
   For Norton AntiVirus consumer products: Read the document: How to configure Norton AntiVirus to scan all files.
   
   For Symantec AntiVirus Enterprise products: Read the document: How to verify that a Symantec Corporate antivirus product is set to scan all files.
2. Run a full system scan.
3. If any files are detected, follow the instructions displayed by your antivirus program.

Important: If you are unable to start your Symantec antivirus product or the product reports that it cannot delete a detected file, you may need to stop the risk from running in order to remove it. To do this, run the scan in Safe mode. For instructions, read the document, How to start the computer in Safe Mode. Once you have restarted in Safe mode, run the scan again.


After the files are deleted, restart the computer in Normal mode and proceed with the next section.

Warning messages may be displayed when the computer is restarted, since the threat may not be fully removed at this point. You can ignore these messages and click OK. These messages will not appear when the computer is restarted after the removal instructions have been fully completed. The messages displayed may be similar to the following:

Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. To delete the value from the registry
Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified subkeys only. For instructions refer to the document: How to make a backup of the Windows registry.

1. Click Start > Run.
2. Type regedit
3. Click OK.
   
   Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool, and then continue with the removal.
4. Navigate to and delete the following registry entry:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"
5. Exit the Registry Editor.
   
   Note: If the risk creates or modifies registry subkeys or entries under HKEY_CURRENT_USER, it is possible that it created them for every user on the compromised computer. To ensure that all registry subkeys or entries are removed or restored, log on using each user account and check for any HKEY_CURRENT_USER items listed above.

Theo : xttp://www.symantec.com

 

[ST-Lu!]

Cám ơn anh Lệnh Hồ Xung nhiều nhé!

Không phải em lười đâu. Em đã vào google search tên con virus trên rồi nhưng không thấy tư liệu nào cả.

Tks

 

[ST-Lu!]

Anh Lệnh Hồ Xung ơi

Làm đến phần Run để nhập Regedit nhưng không thấy Run trong menu start đâu anh ạh

Liệu có phải là virus???
----------

 

[anhtuan1066]

Anh Lệnh Hồ Xung ơi

Làm đến phần Run để nhập Regedit nhưng không thấy Run trong menu start đâu anh ạh

Liệu có phải là virus???
----------

Mở Windows Explorer lên, duyệt vào thư mục C:\WINDOWS... tìm xem có file regedit.exe ko?
- Nếu có, Double Click vào nó chạy trực tiếp luôn
- Nếu ko có, sang máy khác copy về
Còn cách nữa:
- Mở Windows Explorer lên, duyệt vào thư mục C:\WINDOWS\system32 ... tìm file gpedit.msc và chạy nó... Duyệt vào đường dẩn Administrative Templetes\Start menu and Taskbar\Remove Run Menu form Start Menu và.. nghiên cứu tiếp để lấy lại menu RUN

 

[Po_Pikachu]

Em kiếm được 1 cách test xem máy có bị virus không nhưng không chắc có đúng như hướng dẫn không? Nên post lên để hỏi xem có thể dùng được cách này không, ạ?

how u can detect viruses in your pc (simple tut) 1- go to start-run-command 2- write cd.. (notice the tow dots) and press enter write cd.. (again) and press enter 3- write (cd windows) and press enter 4- write (cd system32) and press enter 5- write (setup) and enter if you get that massage (Please switch to the control panel to install components and systems composition) then that means your pc is clean the idea here is the (setup)file which is located within (system32)is shut down when your pc infected and open when your pc is not infected because most viruses shut down all system.exe extensions I've tried it and it's work! My PC is clean xD

Có thể rút gọn cách này bằng cách vào Start -> Run -> gõ CMD -> nhập đoạn code dưới và Enter.

start C:\windows\system32\setup.exe

Thân.

 

[tklshb]

10 lưu ý để “cấm cửa” virus lây lan trên máy tính
​

Virus là nỗi lo luôn canh cánh bên lòng của người dùng máy tính. Vì thế, làm sao để phòng ngừa chúng tay từ gốc là điều mọi người đều muốn biết. Sau đây là 12 cách hay giúp người dùng “cấm cửa” virus trước khi nó có cơ hội tấn công máy tính.

1. Dùng tường lửa (firewall) để chặn các kết nối không mong muốn từ Internet với máy tính của bạn. Vì thế, bạn nên để mặc định, từ chối tất cả các kết nối bên ngoài, chỉ cho phép các dịch vụ (service) mà bạn muốn sử dụng.
​

2. Sử dụng chính sách mật khẩu “sắt”. Mật khẩu phức tạp sẽ khiến tin tặc khó khăn hơn trong việc bẻ khóa. Cách làm này sẽ giúp bạn tránh được nguy cơ máy tính bị khống chế.

3. Vô hiệu hóa chức năng AutoPlay để chặn các các file thực thi tự động khởi động trên máy tính hoặc trên các ổ đĩa di động. Và, bạn cũng nên tháo các ổ đĩa này ra khi không cần dùng đến. Nếu bạn không muốn người khác lưu thêm thông tin vào ổ đĩa thì có thể bật chế độ Read-only vừa để tránh làm lộn xộn ổ đĩa vừa để phòng virus.

4. Tắt chức năng chia sẻ file. Nếu cần thiết phải chia sẻ file thì bạn nên sử dụng mật khẩu để hạn chế truy cập. Ngoài ra, bạn cũng nên tắt chức năng truy cập “mờ ám” vào các folder chia sẻ. Chỉ cho phép những người nào biết tên truy cập và mật khẩu của file chia sẻ.

5. Tắt hoặc gỡ các dịch vụ không cần thiết. Theo mặc định, nhiều hệ điều hành tự động cài các dịch vụ phụ trợ vốn chẳng cần thiết. Những dịch vụ này hóa ra lại là các “ngọn nguồn” gây ra những vụ tấn công nguy hiểm. Thế nên, bạn nên gỡ bỏ chúng trước khi gặp hạn.

6. Thường xuyên nâng cấp bản vá an ninh, đặc biệt với những máy tính sử dụng các dịch vụ công cộng.

7. Cấu hình cho máy chủ e-mail để ngăn chặn hoặc xóa những e-mail có chứa những file đính kèm đáng ngờ.

8. Nhanh chóng “cô lập” những máy tính đã bị nhiễm virus để tránh lây lan sang các máy khác.

9. Lưu ý không nên mở những file đính kèm không đáng tin cậy. Và, cũng không nên chạy phần mềm download từ Internet mà chưa qua quá trình quét virus.

10. Nếu chức năng Bluetooth của laptop mà không cần thiết thì nên tắt bỏ chúng. Nếu cần sử dụng thì nên cài đạt ở chế độ Ẩn để không bị các thiết bị khác dò thấy. Ngoài ra, người dùng nên yêu cầu xác thực trước khi kết nối Bluetooth với máy tính.

Theo Dân trí

 

[tklshb]

Cách tiêu diệt và phòng chống Conficker ​

Conficker là một loại sâu máy tính mới xuất hiện từ đầu năm nay nhưng đã nhanh chóng lây nhiễm trên phạm vi rộng khiến không ít người dùng “điêu đứng”. Dưới đây xin giới thiệu đến độc giả biện pháp phát hiện, ngăn chặn và tiêu diệt con sâu máy tính nguy hiểm này .

Conficker là gì?

Thực chất con sâu máy tính nguy hiểm này xuất hiện từ khoảng cuối năm ngoái ngay sau khi Microsoft công bố bản sửa lỗi cùng thông tin một lỗi bảo mật cực kỳ nguy hiểm có mặt trong hầu hết mọi phiên bản Windows. Conficker chính là loại mã độc lợi dụng lỗi bảo mật này để phát tán và lây nhiễm lên PC của người dùng.

Bản thân Microsoft cũng khi phát hành bản cập nhật khẩn cấp khắc phục lỗi trên đây cũng đã cảnh báo về những loại mã độc tấn công lỗi Windows như Conficker đồng thời khuyến cáo người dùng nên nhanh chóng tải về và cài đặt bản sửa lỗi.

Song có vẻ như số lượng người dùng để ý đến lời cảnh báo của Microsoft không được nhiều cho lắm. Bằng chứng rõ ràng chứng minh cho điều này chính là sự bùng phát mạnh mẽ của Conficker trong những tháng đầu năm nay.

Sâu Conficker được biết đến bằng những cái tên cụ thể như sau Worm:Win32/Conficker.A – theo cách đặt tên của Microsoft, Crypt.AVL của AVG, Mal/Conficker-A (Sophos), Trojan.Win32.Pakes.lxf (F-Secure), Trojan.Win32.Pakes.lxf (Kaspersky), W32.Downadup (Symantec), Worm:Win32/Conficker.B (Microsoft) và WORM_DOWNAD.A của Trend Micro.

Phương thức lây nhiễm chủ yếu của con sâu máy tính này là thông qua thẻ nhớ USB hoặc một PC bị lây nhiễm trong mạng sẽ tự động lây nhiễm sang các PC khác ngang hàng. Conficker có thể đột nhập được vào PC do (1) người dùng đã tải về những phần mềm từ những website không an toàn trên mạng Internet, (2) người dùng có sử dụng các ứng dụng chia sẻ tệp tin ngang hàng và (3) người dùng đã truy cập vào một website dùng để phát tán sâu Conficker.

Mục đích cuối cùng của con sâu Conficker là giúp tin tặc đứng đằng sau nó nắm được quyền điều khiển PC của người dùng. Bọn chúng có thể từ xa ra lệnh cho PC của người dùng phát tán thư rác, tấn công website, ăn cắp dữ liệu hoặc dùng lừa đảo trực tuyến …

Conficker có thể lây nhiễm lên mọi phiên bản Windows Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, và Windows XP nếu như người dùng chưa cài đặt bản sửa lỗi của Microsoft.

Dấu hiệu nhận biết bị nhiễm Conficker

Có rất nhiều dấu hiệu nhận biết PC bị lây nhiễm sâu Conficker. Dưới đây là một số dấu hiệu điển hình minh chức PC bị nhiễm không chỉ sâu Conficker mà cũng như các dạng mã độc khác đang thịnh hành trên Internet.

Thứ nhất, người dùng sẽ thấy PC bung ra rất nhiều quảng cáo dạng pop-up khác nhau. Thứ hai là trình duyệt web xuất hiện rất nhiều thứ lạ mà người dùng chưa từng thấy cũng như chưa từng tải về cài đặt trước đây.

Thứ ba là một số thiết lập trên hệ thống bị thay đổi mà người dùng không hề hay biết. Ví dụ trang chủ (homepage) của trình duyệt bị thay đổi sang trang khác và không thể đổi lại như cũ được nữa. Thứ tư là PC tự dưng chạy chậm hơn bình thường rất nhiều.

Thứ đến Conficker ngăn cản không cho người dùng truy cập đến một số thư mục nhất định cũng như không cho phép truy cập đến các website của các hãng bảo mật như www.symantec.com, www.mcafee.com... Trên hệ thống tự dưng xuất hiện một số tác vụ được lập lịch chạy thường xuyên (schedule task).

Cách diệt Conficker

Một khi PC đã lây nhiễm sâu Conficker thì có thể nói các phần mềm diệt virus gần như bị vô hiệu hóa hoàn toàn không thể tiêu diệt được nó. Chính vì thế mà các hãng bảo mật đã phát triển những công cụ diệt virus độc lập dành riêng cho từng loại mã độc riêng biệt. Để tiêu diệt dưới đây xin giới thiệu đến độc giả công cụ diệt Conficker của hãng bảo mật Symantec – một trong những công cụ đơn giản và dễ sử dụng nhất.

Bước 1: Người dùng hãy tải về công cụ này tại đây. Nhắp chuột phải và chọn “Save Link As” với trình duyệt Firefox và “Save Target As” đối với Internet Explorer. Người dùng nên lưu tệp tin này ở vị trí dễ tìm thấy như màn hình Desktop chẳng hạn.

Bước 2: Đóng mọi chương trình đang chạy, ngắt hoàn toàn kết nối Internet và vô hiệu hóa tính năng System Restore của hệ thống.

Bước 3: Chạy chương trình vừa tải ở trên.

Bước 4: Sau khi chương trình chạy xong khởi động lại PC. Người dùng nên chạy lại chương trình một lần nữa để bảo đảm hệ thống sạch.

Bước 5: Tải về và cài đặt bản cập nhật bảo mật MS08-067 của Microsoft tại đây. Đơn giản nhất là dùng tính năng Automatic Updates của Windows để cập nhật.

Tự bảo vệ

Nếu như may mắn chưa bị lây nhiễm sâu Conficker thì người dùng cũng nên triển khai các biện pháp để bảo vệ mình trước không chỉ sâu Conficker mà cả các loại mã độc khác.

Đối với sâu Conficker thì người dùng nên nhanh chóng tải về và cài đặt bản cập nhật MS08-067 sớm chừng nào hay chừng đó. Tốt nhất người dùng nên bật tính năng tự động cập nhật Automatic Updates để cho Windows tự động tải về và cài đặt mọi bản cập nhật cần thiết.

Bên cạnh đó người dùng cũng nên sử dụng các chương trình chống virus danh tiếng như Kaspersky, Symantec Norton … để bảo vệ hệ thống. Vô hiệu hóa hoàn toàn tính năng AutoRun của Windows bằng theo bài hướng dẫn video này.

Ngoài ra người dùng cũng nên áp dụng các biện pháp sử dụng Internet an toàn như không nên mở các tệp tin đính kèm từ các email không rõ nguồn gốc, nên tập thói quen quét các ổ đĩa USB khi kết nối vào hệ thống, nên sử dụng mật khẩu bảo vệ Windows…
Theo VnMedia

 

[thephi99]

Em đọc hoa cả mắt luôn tiếng Tây cũng nhiều ta cũng nhiều, rồi cuối cùng cũng biết tý, mấy cái này em có biết, Cảm ơn các bác.