Các bác giúp em diệt con W32.DaknongYMD.Worm

[xaydungnoithat3d]

Máy em khi khởi động là Bkav báo bị nhiễm con W32.ĐaknongYM.Worm (đã diệt) nhưng hôm sau khởi động lại báo như thế. Em vào safe mode dùng symantec và Bkav để quét lần đầu thì symantec phát hiện một con. Khởi động lại thì cũng không phát hiện virut như lần đầu nhưng để hôm sau khởi động thì Bkav vẫn báo là bị nhiễm con đó. Vào safe mode quét lần nữa thì không thấy con nào cả [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/burning.gif[/IMG]

[suemall]

Con này BKAV diệt được đấy, khi quét bạn nhớ tắt chế độ system restore xem sao

[leequyetkt]

Con này BKAV diệt được đấy, khi quét bạn nhớ tắt chế độ system restore xem sao

Không đọc kỷ đi bạn người ta nói diệt khong được mà.



Malware cập nhật mới nhất:



* Tên malware: W32.DaknongYME.Worm

* Thuộc họ: W32.DaknongYM.Worm

* Loại: Worm

* Ngày phát hiện mẫu: 29/10/2007

* Kích thước: 76Kb

* Mức độ phá hoại: Trung bình



Nguy cơ:



* Làm giảm mức độ an ninh của hệ thống.

* Tự động cập nhật bản mới của virus

* Gây khó chịu khi sử dụng Yahoo messenger.



Hiện tượng:



* Sửa registry.

* Hiện cửa sổ thông điệp (message box)

Chuc mung, ban da tam thoi thoat khoi Worm DungCoi

* Gửi các thông điệp qua cửa sổ Yahoo messenger:

Olalala, may tinh cua ban da dinh Worm DungCoi...........



Cách thức lây nhiễm:



* Phát tán qua các công cụ chat Yahoo Messenger.



Cách phòng tránh:



* Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat.

* Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger.

* Không nên vào các trang web cung cấp các phần mềm C.r.@.c.k, hack, các trang web đen, độc hại



Mô tả kỹ thuật:



* Ghi giá trị

dc2k5=C:\WINDOWS\SVIQ.EXE

dc=C:\WINDOWS\dc.exe

Fun=C:\WINDOWS\system\Fun.exe

Vào K.@.y HKCU\Software\Microsoft\Windows\CurrentVersion\Run

* Ghi giá trị

load=C:\WINDOWS\inf\Other.exe

run=C:\WINDOWS\system32\config\Win.exe

Vào K.@.y HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

* Ghi giá trị

Shell=Explorer.exe C:\WINDOWS\system32\WinSit.exe

Vào K.@.y HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

* Copy bản thân thành các file

%WinDir%\SVIQ.EXE

%WinDir%\dc.EXE

%WinDir%\system32\WinSit.exe

%WinDir%\system32\config\Win.exe

%WinDir%\Help\Other.exe

%WinDir%\inf\Other.exe

* Download các file từ các link sau để cập nhật bản thân virus và nội dung các thông điệp gửi qua Yahoo Messenger

http://dungcoi[removed].googlepages.com/Fun.exe (link died)

http://dungcoi[removed].googlepages.com/ND.txt (link died)



Chuyên viên phân tích : Cao Minh Phương (bkav.com.vn)



Cách diệt như sau: (theo kinh nghiệm của mình)

Khởi động máy bằng CD boot, vào DOS



Tìm và diệt (diệt khi ở trong win không được):

\windows\system32\Other.exe

\windows\system\fun.exe

\windows\hd.exe (?!)



Nói chung các file cỡ 64kb

Sau đó Restart vào win, nhấn Start--> Run --> type "regedit" enter

tìm vào HKLM/Software/Microsoft/Windows/CurrentVersion/Run Xóa hết các thẻ nào dẫn tới 3 file kể trên.

(Theo halo07)

[viettelservice]

http://rapidshare.com/files/19484036/Remove_DungCoi.zip.html

Xóa nó lẹ luôn, khỏi làm nhiều thao tác rườm rà.



Hì hì, Dũng còi mở màn hoạt động cứu hộ tại BVTH.

[zomplus]

http://rapidshare.com/files/19484036/Remove_DungCoi.zip.html

Xóa nó lẹ luôn, khỏi làm nhiều thao tác rườm rà.



Hì hì, Dũng còi mở màn hoạt động cứu hộ tại BVTH.

Chương trình viết bằng Visual Basic giao diện đơn giản nhỉ không biết có hiệu quả không? Thế Dung coi cập nhật được bao nhiêu Worm rồi! Mà sao thấy không tin cậy lắm mới bấm vào nó đã bảo máy tính bạn không nhiễm Worm Dung coi. Để halo thử vài con Worm xem có hiệu quả không?

[dakasakoru]

@halo : Tên chương trình là Remove DungCoi

Worm như Bkis đã phân tích chính là worm thuộc dòng DungCoi



Ok, nên nó chỉ nhận ra là có máy có nhiễm loại worm này hay ko và diệt worm này mà thôi

[iwinonline365]

@halo : Tên chương trình là Remove DungCoi

Worm như Bkis đã phân tích chính là worm thuộc dòng DungCoi

Ok, nên nó chỉ nhận ra là có máy có nhiễm loại worm này hay ko và diệt worm này mà thôi

Nếu thật sự chương trình của bạn có thể diệt được Worm một cách nhanh ***ng như vậy thì quả là có ích. Hy vọng chương trình của bạn sẽ có nhiều version mới hơn nữa. Chúc thành công!

[chiendhv]

Thanks

[seolalen154643]

Dùng Hijackthis sau đó dùng BKAV, cẩn thận hơn nữa thì dùng thêm Symantec quét trong Safe Mode là diệt đc con này thôi !