Giải quyết hậu quả của virus - School of Technology

kietit · 05-16-2008, 07:25 PM

Máy em bị nhiễm kon W32.Svich,CODE
http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-062911-2859-99
....nó tạo ra ở mỗ thư mục kon 1 file .exe ,Dùng Symantech diệt thj` nó chỉ diệt đúng 7 file chính ,những file kía thj` nó quét xong bỏ qua

Bác nào có cách kill triệt để kon này hông giúp em với ............
Mà thằng Symantech lởm quá ,del nó đi thj hậu quả khôn lg`(em del đi xong bị lỗi fai? cài lại win

) ,mà giữ lại thj`...........,bác nào có bản kaspersky kèm crack rthj` share cho em ,thanks much

babygirl_studyhack · 06-07-2008, 11:33 PM

Mình tìm được cái này nếu bạn vẫn còn bị thì hãy thử xem sao
Cách diệt sâu W32.Svich
Kiểu: Worm
Có kick thước khoảng: 244,483 bytes packed, 491,040 bytes unpacked

Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

• %System%\autorun.ini
• %System%\SSVICHOSST.exe
• %Windir%\Tasks\At1.job
• %Windir%\SSVICHOSST.exe
• [DRIVE LETTER]:\New Folder.exe
• [DRIVE LETTER]:\SSVICHOSST.exe
Tiếp theo nó sẽ khởi tạo file tới tất cả các ổ đĩa
[DRIVE LETTER]:\autorun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\"Yahoo Messengger" = "C:\WINDOWS\system32\SSVICHOSST.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe SSVICHOSST.exe"
Khởi tạo thêm file vào regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "[DRIVE LETTER]\New Folder.exe"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1"
Nó sẽ sử dụng câu lệnh để khởi động hàng ngày vào lúc 09:00:
AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su
C:\WINDOWS\system32\SSVICHOSST.exe
Tiếp theo nó sẽ tự động tải xuống file sau
• [[Only registered and activated users can see links. ][REMOVED]
• [[Only registered and activated users can see links. ][REMOVED]
• [[Only registered and activated users can see links. ][REMOVED]
• [[Only registered and activated users can see links. ][REMOVED]
Nó sẽ lưu trữ những đường dẫn ở trong
%System%\setting.ini
Tiếp theo nó sẽ gửi toàn bộ nộy dung sau cho tất cả những contacts có trong Yahoo! Messenger khi bạn online

• E may, vao day coi co con nho nay ngon lam [[Only registered and activated users can see links. ]
• Vao day nghe bai nay di ban [[Only registered and activated users can see links. ]
• Vao day nghe bai nay di ban [[Only registered and activated users can see links. ]
• Biet tin gi chua, vao day coi di [[Only registered and activated users can see links. ]
• Trang Web nay coi cung hay, vao coi thu di [[Only registered and activated users can see links. ]
• Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? " &[[Only registered and activated users can see links. ] &"
• Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... [[Only registered and activated users can see links. ]
• Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... [[Only registered and activated users can see links. ]
• Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... [[Only registered and activated users can see links. ]
• Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... [[Only registered and activated users can see links. ]

Những khuyến cáo:

- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet

Cách diệt:

1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
• Click Start > Run.
• Type regedit
• Click OK.
• Tìm đến khóa sau và ở cửa sổ bên phải bạn hãy xóa khóa sau đi
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\"Yahoo Messengger" = "C:\WINDOWS\system32\SSVICHOSST.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe SSVICHOSST.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "[DRIVE LETTER]\New Folder.exe"
• Restore the following registry entries to their previous values, if required:

HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1"
• Exit the Registry Editor.

Theo 911

05-16-2008, 07:25 PM	#1 (permalink)
kietit Senior Member Tham gia ngày: Nov 2007 Bài gởi: 233 : : ()	Giải quyết hậu quả của virus Máy em bị nhiễm kon W32.Svich,CODE http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-062911-2859-99 ....nó tạo ra ở mỗ thư mục kon 1 file .exe ,Dùng Symantech diệt thj` nó chỉ diệt đúng 7 file chính ,những file kía thj` nó quét xong bỏ qua Bác nào có cách kill triệt để kon này hông giúp em với ............ Mà thằng Symantech lởm quá ,del nó đi thj hậu quả khôn lg`(em del đi xong bị lỗi fai? cài lại win ) ,mà giữ lại thj`...........,bác nào có bản kaspersky kèm crack rthj` share cho em ,thanks much

Ðiều Chỉnh
Tạo trang in Email trang này
Xếp Bài
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode

06-07-2008, 11:33 PM	#2 (permalink)
babygirl_studyhack Junior Member Tham gia ngày: Dec 2007 Bài gởi: 17 : : ()	Mình tìm được cái này nếu bạn vẫn còn bị thì hãy thử xem sao Cách diệt sâu W32.Svich Kiểu: Worm Có kick thước khoảng: 244,483 bytes packed, 491,040 bytes unpacked Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %System%\autorun.ini • %System%\SSVICHOSST.exe • %Windir%\Tasks\At1.job • %Windir%\SSVICHOSST.exe • [DRIVE LETTER]:\New Folder.exe • [DRIVE LETTER]:\SSVICHOSST.exe Tiếp theo nó sẽ khởi tạo file tới tất cả các ổ đĩa [DRIVE LETTER]:\autorun.inf Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\"Yahoo Messengger" = "C:\WINDOWS\system32\SSVICHOSST.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe SSVICHOSST.exe" Khởi tạo thêm file vào regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "[DRIVE LETTER]\New Folder.exe" HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableTaskMgr" = "1" HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableRegistryTools" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1" Nó sẽ sử dụng câu lệnh để khởi động hàng ngày vào lúc 09:00: AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe Tiếp theo nó sẽ tự động tải xuống file sau • [[Only registered and activated users can see links. ][REMOVED] • [[Only registered and activated users can see links. ][REMOVED] • [[Only registered and activated users can see links. ][REMOVED] • [[Only registered and activated users can see links. ][REMOVED] Nó sẽ lưu trữ những đường dẫn ở trong %System%\setting.ini Tiếp theo nó sẽ gửi toàn bộ nộy dung sau cho tất cả những contacts có trong Yahoo! Messenger khi bạn online • E may, vao day coi co con nho nay ngon lam [[Only registered and activated users can see links. ] • Vao day nghe bai nay di ban [[Only registered and activated users can see links. ] • Vao day nghe bai nay di ban [[Only registered and activated users can see links. ] • Biet tin gi chua, vao day coi di [[Only registered and activated users can see links. ] • Trang Web nay coi cung hay, vao coi thu di [[Only registered and activated users can see links. ] • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? " &[[Only registered and activated users can see links. ] &" • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... [[Only registered and activated users can see links. ] • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... [[Only registered and activated users can see links. ] • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... [[Only registered and activated users can see links. ] • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... [[Only registered and activated users can see links. ] Những khuyến cáo: - Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống : Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server. - Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng. - Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp. - Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính. - Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr). - Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy. - Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét • Click Start > Run. • Type regedit • Click OK. • Tìm đến khóa sau và ở cửa sổ bên phải bạn hãy xóa khóa sau đi HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\"Yahoo Messengger" = "C:\WINDOWS\system32\SSVICHOSST.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe SSVICHOSST.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "[DRIVE LETTER]\New Folder.exe" • Restore the following registry entries to their previous values, if required: HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableTaskMgr" = "1" HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableRegistryTools" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1" • Exit the Registry Editor. Theo 911

Sponsored links

Sponsored links

Ðang đọc: 1 (0 thành viên và 1 khách)