bị nhiễm virut

[chautuanpro91]

mình bị nhiễm virut mà khi cứ bật task manager thì máy tự log off làm sao diệt được nó đây,mình ghost lại rồi mà cũng không hết,bị nhiễm wa ổ D:/ mất rồi

[diemmy9x]

mình bị nhiễm virut mà khi cứ bật task manager thì máy tự log off làm sao diệt được nó đây,mình ghost lại rồi mà cũng không hết,bị nhiễm wa ổ D:/ mất rồi

Có thể máy bạn bị nhiễm con Mixa_I ,bạn thử tải file này về fix xem nhé [attachment=30524:utf_8____antiMixa.zip]

[lehiep108]

máy tui cũng bị như thế ,nhưng giờ khởi động lai kô vào được win ,safe mode cũng kô vào được ,ai có cách gì giúp tui với ,cần gấp lắm cảm ơn nhiều

[sebweb]

Nguy cơ là bạn đã bị nhiễm sâu W32.Rontokbro@mm

Cách diệt virus W32.Rontokbro@mm





Virus W32.Rontokbro@mm được symantec phát hiện từ tháng 10 -2005 và nó thật sự lây lan mạnh vào những tháng cuối năm nay bị nhiễm thường tạo ra các folder giống như folder gốc của thu mục chứa nó khi click vào nó thì nó liên kết tới My ducment



khi vào run gõ lệnh cmd ,regedit ......thì máy sẽ khởi động lại ngay lập tức



Mô tả



Copy chính nó vào trong các files sau



* C:\Windows\PIF\CVT.exe

* %UserProfile%\APPDATA\IDTemplate.exe

* %UserProfile%\APPDATA\services.exe

* %UserProfile%\APPDATA\lsass.exe

* %UserProfile%\APPDATA\inetinfo.exe

* %UserProfile%\APPDATA\csrss.exe

* %UserProfile%\APPDATA\winlogon.exe

* %UserProfile%\Programs\Startup\Empty.pif

* %UserProfile%\Templates\A.kotnorB.com

* %System%\3D Animation.scr



Chú ý :

* %System% là kí hiệu tới thư mục System . ví dụ nó được mặ định là C:\Windows\System (Windows 95/98/Me),và là C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).

* %UserProfile% là đường dẫn profile folder hiện tại . mặc định ở trong: C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP).

1. tạo ra folder có tên như sau :

%UserProfile%\Local Settings\Application Data\Bron.tok-24

2. ghi thêm trong filesC:\Autoexec.bat với câu lệnh sau :



"pause"



3.thêm giá trị sau



"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"



vào trong registry



HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run



vì vậy nó luôn chạy khi windows khởi động .



4. thêm giá trị sau :



"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"

vào trong thanh ghi :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

vì vậy nó luôn khởi dộng cùng windows.

5. chỉnh sửa giá trị sau :



"DisableRegistryTools" = "1"

"DisableCMD" = "2"

thêm nó vào trong registry :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Policies\System

6. sửa lại giá trị sau :

"NoFolderOptions" = "1"

in the registry subkey:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Policies\Explorer\



khóa này có tác dụng làm ẩn Folder Options trong Explorer làm cho ta không thấy đựoc các files hay thư mục dưới dạng ẩn .



8. thêm 1 task vào trong the Windows scheduler để thực hiện chạy files sau vào 5:08 chiều mỗi ngày



%UserProfile%\Templates\A.kotnorB.com



9 .Tự động khởi động lại máy khi nó dectect các ký tự như sau :



* ..

* .@

* @.

* .ASP

* .EXE

* .HTM

* .JS

* .PHP

* ADMIN

* ADOBE

* AHNLAB

* ALADDIN

* ALERT

* ALWIL

* ANTIGEN

* APACHE

* APPLICATION

* ARCHIEVE

* ASDF

* ASSOCIATE

* AVAST

* AVG

* AVIRA

* BILLING@

* BLACK

* BLAH

* BLEEP

* BUILDER

* CANON

* CENTER

* CILLIN

* CISCO

* CMD.

* CNET

* COMMAND

* COMMAND PROMPT

* CONTOH

* CONTROL

* C.r.@.c.k

* DARK

* DATA

* DATABASE

* DEMO

* DETIK

* DEVELOP

* DOMAIN

* DOWNLOAD

* ESAFE

* ESAVE

* ESCAN

* EXAMPLE

* FEEDBACK

* FIREWALL

* FOO@

* ***

* FUJITSU

* GATEWAY

* GOOGLE

* GRISOFT

* GROUP

* HACK

* HAURI

* HIDDEN

* HP.

* IBM.

* INFO@

* INTEL.

* KOMPUTER

* LINUX

* LOG OFF WINDOWS

* LOTUS

* MACRO

* MALWARE

* MASTER

* MCAFEE

* MICRO

* MICROSOFT

* MOZILLA

* MYSQL

* NETSCAPE

* NETWORK

* NEWS

* NOD32

* NOKIA

* NORMAN

* NORTON

* NOVELL

* NVIDIA

* OPERA

* OVERTURE

* PANDA

* PATCH

* POSTGRE

* PROGRAM

* PROLAND

* PROMPT

* PROTECT

* PROXY

* RECIPIENT

* REGISTRY

* RELAY

* RESPONSE

* ROBOT

* SCAN

* SCRIPT HOST

* SEARCH R

* SECURE

* SECURITY

* SEKUR

* SENIOR

* SERVER

* SERVICE

* SHUT DOWN

* SIEMENS

* SMTP

* SOFT

* SOME

* SOPHOS

* SOURCE

* SPAM

* SPERSKY

* SUN.

* SUPPORT

* SYBARI

* SYMANTEC

* SYSTEM CONFIGURATION

* TEST

* TREND

* TRUST

* UPDATE

* UTILITY

* VAKSIN

* VIRUS

* W3.

* WINDOWS SECURITY.VBS

* WWW

* XEROX

* ***

* YOUR

* ZDNET

* ZEND

* ZOMBIE



10. Vì vậy nó có thể tấn công tràn lụt vào các website sau



* israel.gov.il

* playboy.com



11.Tập hợp tất cả các địa chỉ Email có từ tất cả các ổ đĩa từ ổ C tới ổ Y có phần đuôi mở rộng như sau :



* .asp

* .cfm

* .csv

* .doc

* .eml

* .html

* .php

* .txt

* .wab



12. sử dụng giao thưc SMTP để gửi email tới tất các các địa chỉ email nó tìm thấy nó email có nội dung sau :

From: [SPOOFED]

Subject: [BLANK]

Message:

BRONTOK.A [ By: H[REMOVED]Community ]

-- Hentikan kebobrokan di negeri ini --

1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA

( Send to "NUSAKAMBANGAN")

2. Stop Free ***, Absorsi, & Prostitusi

3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: H[REMOVED]unity --



và nó gửi đính kèm files.



Kangen.exe



































Cách diệt :



1.Trước hết bạn tải phần mềm diệt virus của hãng symantec về :



http://www.911.com.vn/download/savceclt.exe



bản updates offline mới nhất của symantec tại đây :



http://definitions.symantec.com/defs/20060425-007-i32.exe



sau khi cài chương trình symantec xong thì chạy bản updates .



hoặc bạn có thể dùng chương trình BKAV bản mới nhất để diệt con này .







bạn có thể download tại đây



http://namsao.homeftp.net/911/download/Bkav2005Home.exe



- tắt chế độ restore system



-sau đó cài đặt phần mền diệt virus ra



2.Khởi động máy trong chế độ safe mode quét hết các ổ đĩa



3. bước chỉnh sửa lại registry



đầu tiên bạn download đoạn code này



http://www.911.com.vn/download/khoa_regedit.vbs



về chạy nó sau đó bạn vào trong run gõ regedit sau đó bạn tìm tới những K.@.y sau và xóa tất cả những gì có trong đó đi



HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Policies



HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\

Policies



HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run



Sau cùng khởi động lại máy hoàn tất quá trình diệt virus.



Nguồn: 911.com.vn

[rungram90]

máy tui cũng bị như thế ,nhưng giờ khởi động lai kô vào được win ,safe mode cũng kô vào được ,ai có cách gì giúp tui với ,cần gấp lắm cảm ơn nhiều

Bạn tham khảo bài viết này nhé

Sử dụng Recovery Console



Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console



Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any K.@.y to boot from CD.



Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).



Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).



Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).



Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).



cd system32



copy userinit.exe wsaupdater.exe



exit



​Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường



Chọn Start > Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.



Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon



Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn Modify.



Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe) (hình 1)



Chọn OK và đóng Registry Editor.



Bước 3. Xóa tập tin wsaupdater.exe



Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị (Administrators).



Chọn Start > Run, gõ dòng lệnh %Windir%\system32, nhấn OK (hoặc mở Windows Explorer, tìm đến thư mục Windows\System32)



Tìm tập tin wsaupdater.exe trong thư mục Windows\System32, chọn Delete, nhấn OK xác nhận xóa.



Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải được thực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windows hoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiến hành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại theo các hướng dẫn trong bài “Chăm sóc và bảo dưỡng Windows Registry” (ID: A0205_90).

Nếu vào được win quét thấy con W32.Rontokbro@mm thì làm theo cách của Tiêu Long Vân