Virus xih9.cmd + autorun.inf

**jichangwook** · 11-12-2008, 04:53 PM

Hiện mình không mắc mạng, bạn nào biết tên virus (xih9.cmd + autorun.inf) này giúp mình tiêu diệt nó dùm. Hiện giờ thì chưa có gì bất thường nhưng do mình cắm USB bị dính tên này nên giờ tất cả các ổ đĩa đều có, nó đang ẩn và vô hiệu folder options. Xin cứu nguy gấp [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/plzno.gif[/IMG] [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/plzno.gif[/IMG] [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/plzno.gif[/IMG] [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/plzno.gif[/IMG] [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/plzno.gif[/IMG] , mình đang chuẩn bị thi nên cho mình hồi âm sớm.

**votantai** · 11-12-2008, 04:59 PM

Bạn dùng KAV 2009 diệt là ok nhất đó bạn

Sau đó dùng cái này để khôi phục lại những tiện ích win bị virut phá nha

http://www.*******************/dd/index.php...mp;#entry396190

^^

**fpicseo** · 11-12-2008, 05:20 PM

Gửi bởi biibii

Bạn dùng KAV 2009 diệt là ok nhất đó bạn

Sau đó dùng cái này để khôi phục lại những tiện ích win bị virut phá nha

http://www.*******************/dd/index.php...mp;#entry396190

^^

Thanks biibii. Bây giờ mình thử xem.

Cho mình hỏi luôn sao AVG free mình cài trước giờ không bảo vệ, mà cũng không phát hiện ra, phải chăn tên này mới xuất hiện.

**quataovang** · 11-12-2008, 05:23 PM

bạn tải bkav về diệt xem nhé.http://www.bkav.com.vn/home/MuatheBkav2.aspx?d=10.

cách 2 : ckvo.exe à. Con này mình có rồi. Cái files virus nó tạo ra trong các ổ c,d,e,g là file có tên xih9.cmd và tất nhiên có kèm autorun.inf của nó (2 loại này có thuộc tính ẩn).

Ở đây mình nói cách diệt chung cho dòng họ xxvo.exe

5/ xxvo.exe. Kích thước 105 Kb. Trong đó, xx là 2 ký tự bất kỳ tùy từng biến thể của virus, ví dụ kavo.exe, tavo.exe, amvo.exe, ckvo.exe.

A/ Hoạt động cơ bản.

+ Tạo file autorun.inf và file xyz.abc (xyz là những ký tự bất kỳ tùy từng biến thể của virus, abc là đuôi của file virus, ví dụ xih9.cmd, 1weicxa.com…) vào tất cả các ổ đĩa để làm nguồn lây nhiễm.

+Sau khi được kích hoạt, virus sẽ tạo ra 2 module trong thư mục %temp% mang tên aajc.dll và vr.sys (hoặc x3q.sys). Chúng sẽ tạo ra 2 file xxvo.exe, xxvo1.dll xxvo0.dll trong thư mục System32 đồng thời ghi giá trị "amva" với data là "C:\Windows\System32\xxvo.exe" vào khóa Run trong Registry rồi kích hoạt xxvo.exe chạy. Khi xxvo.exe được kích hoạt, nó sẽ gởi file xxvo0.dll cho ứng dụng rundll32 xử lý, xóa các file x x x.sys trong thư mục %temp%. Sau khi gọi xong xxvo0.dll, xxvo.exe sẽ tự động tắt chỉ còn lại xxvo0.dll chạy ngầm cùng hệ thống. Trong file xxvo.dll sẽ có đoạn mã liên tục sao chép lại file autorun.inf và file xyz.abc vào các ổ đĩa để làm nguồn lây nhiễm mới. Ứng dụng xxvo0.dll sẽ thay đổi giá trị CheckedValue trong khóa ShowAll từ 1 thành 0 làm cho người dùng không thể kích hoạt chế độ hiển thị file ẩn được. Trong những lần khởi động sau, file xxvo.exe cũng chỉ được gọi lên lúc khởi động để kích hoạt xxvo0.dll nên hầu như người dùng không hề biết máy mình bị nhiễm. (theo anh Ngọc mốc)

+ Thêm vào khóa

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\

“X= C:\Windows\System32\xxvo.exe” (X là ký tự bất kỳ)

Để virus được kích hoạt cùng windows khi khởi động.

+ Tự check 2 dòng “do not show hidden files and folders” và “Hide protected operating system files” trong folder options đồng thời sửa dữ liệu của value CheckedValue từ 1 thành 0 trong khóa

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVerson\Explorer\Advanced\Folder\Hidden\ShowAll\ để vô hiệu chức năng thay đổi 2 dòng đượ check trên. Điều này dẫn tới máy không thể hiện file ẩn cũng như file hệ thống (trong đó các các files của virus).

+ Có biến thể có thể gây log out yahoo tự động.

B/ Cách diệt

- B1/ Làm virus ngừng hoạt động.

+ Vào start/run gõ msconfig nhấn enter.

+ Chọn thẻ startup và hủy check của khóa “xxvo.exe = C:\windows\system32\xxvo.exe”.

+ Log off máy lại.

- B2/ Sửa lại những giá trị trong registry mà virus gây ra

+ Vào start/run gõ regedit nhấn enter.

+ Vào regedit và tìm tới khóa

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVerson\Explorer\Advanced\Folder\Hidden\ShowAll\

Rồi thay đổi giá trị của CheckedValue từ 0 thành 1

- B3/ Vào folder options tích vào dòng “Show hidden files and folders” và hủy check dòng “ Hide protected operating system files (Recommended)” để hiện được file ẩn, file hệ thống, cũng là để cho virus hiện nguyên hình.

-B4/ Dùng tổ hợp phím windows + E để mở ổ đĩa và mở bằng cây thư mục bên tay trái rồi vào các địa chỉ sau xóa các file của virus

+ Vào c:\windows\system32\ để xòa file xxvo.exe, xxvo0.dll, xxvo1.dll (với C là ổ cài hệ điều hành)

+ Vào các ổ c, d, e (cả usb nếu có) để xóa các file autorun.inf và xyz.abc. Muốn biết cụ thể file xyz.abc của virus tên là gì thì bạn mở file autorun.inf của nó lên và xem dòng open=xyz.abc. Ví dụ có dòng open= xih9.cmd thì file xih9.cmd chính là virus

+ log off lại máy

* Lưu ý: - Làm lần lượt từng bước

- Trong quá trình làm không được nhấp đúp vào các ổ đĩa hay nhấp chuột phải chọn explore.

- Nếu lỡ làm sai thì phải làm lại từ B1

**boylangtu** · 11-12-2008, 05:42 PM

Gửi bởi mrkha

bạn tải bkav về diệt xem nhé.http://www.bkav.com.vn/home/MuatheBkav2.aspx?d=10.

cách 2 : ckvo.exe à. Con này mình có rồi. Cái files virus nó tạo ra trong các ổ c,d,e,g là file có tên xih9.cmd và tất nhiên có kèm autorun.inf của nó (2 loại này có thuộc tính ẩn).

Ở đây mình nói cách diệt chung cho dòng họ xxvo.exe

5/ xxvo.exe. Kích thước 105 Kb. Trong đó, xx là 2 ký tự bất kỳ tùy từng biến thể của virus, ví dụ kavo.exe, tavo.exe, amvo.exe, ckvo.exe.

A/ Hoạt động cơ bản.

+ Tạo file autorun.inf và file xyz.abc (xyz là những ký tự bất kỳ tùy từng biến thể của virus, abc là đuôi của file virus, ví dụ xih9.cmd, 1weicxa.com…) vào tất cả các ổ đĩa để làm nguồn lây nhiễm.

+Sau khi được kích hoạt, virus sẽ tạo ra 2 module trong thư mục %temp% mang tên aajc.dll và vr.sys (hoặc x3q.sys). Chúng sẽ tạo ra 2 file xxvo.exe, xxvo1.dll xxvo0.dll trong thư mục System32 đồng thời ghi giá trị "amva" với data là "C:\Windows\System32\xxvo.exe" vào khóa Run trong Registry rồi kích hoạt xxvo.exe chạy. Khi xxvo.exe được kích hoạt, nó sẽ gởi file xxvo0.dll cho ứng dụng rundll32 xử lý, xóa các file x x x.sys trong thư mục %temp%. Sau khi gọi xong xxvo0.dll, xxvo.exe sẽ tự động tắt chỉ còn lại xxvo0.dll chạy ngầm cùng hệ thống. Trong file xxvo.dll sẽ có đoạn mã liên tục sao chép lại file autorun.inf và file xyz.abc vào các ổ đĩa để làm nguồn lây nhiễm mới. Ứng dụng xxvo0.dll sẽ thay đổi giá trị CheckedValue trong khóa ShowAll từ 1 thành 0 làm cho người dùng không thể kích hoạt chế độ hiển thị file ẩn được. Trong những lần khởi động sau, file xxvo.exe cũng chỉ được gọi lên lúc khởi động để kích hoạt xxvo0.dll nên hầu như người dùng không hề biết máy mình bị nhiễm. (theo anh Ngọc mốc)

+ Thêm vào khóa

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\

“X= C:\Windows\System32\xxvo.exe” (X là ký tự bất kỳ)

Để virus được kích hoạt cùng windows khi khởi động.

+ Tự check 2 dòng “do not show hidden files and folders” và “Hide protected operating system files” trong folder options đồng thời sửa dữ liệu của value CheckedValue từ 1 thành 0 trong khóa

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVerson\Explorer\Advanced\Folder\Hidden\ShowAll\ để vô hiệu chức năng thay đổi 2 dòng đượ check trên. Điều này dẫn tới máy không thể hiện file ẩn cũng như file hệ thống (trong đó các các files của virus).

+ Có biến thể có thể gây log out yahoo tự động.

B/ Cách diệt

- B1/ Làm virus ngừng hoạt động.

+ Vào start/run gõ msconfig nhấn enter.

+ Chọn thẻ startup và hủy check của khóa “xxvo.exe = C:\windows\system32\xxvo.exe”.

+ Log off máy lại.

- B2/ Sửa lại những giá trị trong registry mà virus gây ra

+ Vào start/run gõ regedit nhấn enter.

+ Vào regedit và tìm tới khóa

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVerson\Explorer\Advanced\Folder\Hidden\ShowAll\

Rồi thay đổi giá trị của CheckedValue từ 0 thành 1

- B3/ Vào folder options tích vào dòng “Show hidden files and folders” và hủy check dòng “ Hide protected operating system files (Recommended)” để hiện được file ẩn, file hệ thống, cũng là để cho virus hiện nguyên hình.

-B4/ Dùng tổ hợp phím windows + E để mở ổ đĩa và mở bằng cây thư mục bên tay trái rồi vào các địa chỉ sau xóa các file của virus

+ Vào c:\windows\system32\ để xòa file xxvo.exe, xxvo0.dll, xxvo1.dll (với C là ổ cài hệ điều hành)

+ Vào các ổ c, d, e (cả usb nếu có) để xóa các file autorun.inf và xyz.abc. Muốn biết cụ thể file xyz.abc của virus tên là gì thì bạn mở file autorun.inf của nó lên và xem dòng open=xyz.abc. Ví dụ có dòng open= xih9.cmd thì file xih9.cmd chính là virus

+ log off lại máy

* Lưu ý: - Làm lần lượt từng bước

- Trong quá trình làm không được nhấp đúp vào các ổ đĩa hay nhấp chuột phải chọn explore.

- Nếu lỡ làm sai thì phải làm lại từ B1

Thanks mrkha. Bk thì đở phải gở bỏ AVG.

Chủ đề: Virus xih9.cmd + autorun.inf

Công cụ Chủ đề

Hiển thị

Virus xih9.cmd + autorun.inf

Quyền viết bài

Địa chỉ nâng mũi uy tín tại Quảng...

Bác sĩ chuyên nâng mũi tại Quảng...

Trùy rung tình yêu, dụng cụ tình...

giải pháp hóa đơn điện tử

Bảng giá phân phối kẹo sâm Hamer...