Em yêu!
Cách đây 1 tháng, lúc từ Bull về, mở cái Service Manager lên là thấy một cái service với một cái tên quái quỉ có executable path là "\\125.234.135.66\Admin$\eraseme_xxxxx.exe" (xxxx là một chuỗi số...)... Áh, nó giống giống cái IP access vào WAN của modem mình (xài Vịt-teo mà...).. Dùng IP to Location (http://www.ip2location.com) thì thấy cái này nó nằm tuốt Hà Nội... Ôi, bó tay... Chỉ biết stop/disable cái service này ngay lập tức :|.. Kiếm mòng mòng trong thư mục Windows với System32 thì một lũ file exe với cái tên eraseme_xxxxx.exe (xxxxx là một con số) tùm lum, vào registry Windows Current Version/Run... thì cũng moi ra được thêm vài con *.exe nữa.. Hic, chạy cái HijackThis (http://www.spywareinfo.com/~merijn/downloads.html) lên ngồi xem đỏ con mắt mà kô thấy gì lạ nên dừng... Lập tức lấy cái KillBox (http://www.downloads.subratam.org/KillBox.zip) ra để xẻo ngay mớ exe này rồi restart máy...
Tưởng vậy là xong :|... Hix, ai ngờ hôm trước, tự nhiên trong thư mục C:\ có một cái folder tên Winnt ẩn... Ặc, mở ra thì... trời ơi! Tools tùm lum! Toàn là đồ nghề cho để chạy backdoor, remote control kô à :((... May là mình khi nào cũng chọn show "hidden files" và "protected operation system files" cho nên mới thấy cái folder này, cũng hên là máy mình xài WinXP SP2, chứ nếu chơi Win2K thì giờ nó nằm lẫn lộn trong cái system folder là tiêu rồi :(( --> Huhu, "bổn cũ soạn lại", tiếp tục dùng một loạt các tool ở trên để remove mớ malware này :((... Àh, nói luôn, nên uncheck cái "Hide extension for known file types" luôn, chứ giống như bé "Sán lãi", hôm bữa nghe bé đó nói là click lầm vào một cái file virus exe có biểu tượng cái Folder do tưởng nó là cái thư mục :D :)) :))... Ngu hả cưng, cho mài chết :)):))...
Dạo gần đây, tự nhiên mỗi lần logon vào profile của mình (máy mình chạy Multi User) thấy hơi chậm nhưng kô để ý... Trời ạ, hôm qua, dùng TCPView (http://download.sysinternals.com/Files/TcpView.zip) mở lên thì thấy từ đâu trong mớ data hỗn độn, xuất hiện một loạt các connections đến cái địa chỉ remote khốn nạn 125.234.x.x... Hic, local thì mở port 135 (epmap), remote thì lăn vào cái máy gì lạ hoắc (resolve cái address thì ra là: vuong va myphuong!)! Hiểu! Thì ra là nó làm sao đó trên máy mình, connect vào cái máy khốn nạn kia để down mớ tool chạy backdoor và remote control ở trên... Cũng may, lúc đó máy kia nó chưa bật lên, nên chưa down đươc tool về... Hix... Khổ thân tui, chạy xem trong phần Process ở cái Task Manager của Windows kô thấy gì lạ, chạy Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html) và cái ProcessViewer (http://www.prcview.com) cũng kô thấy gì lạ... Hic, bó tay! Àh, để ý là thấy cái svchost.exe chạy hơi nhiều... Hic, tối hôm qua chỉ dừng lại ở đó, quên nữa, bật cái Firewall của Windows lên, hi vọng nó chặn được gì đó...
Hic, hôm nay... Trời ơi... Vẫn như trên, chạy ra command line xem thử thằng nào đang xài port 135: netstat -p... Hic, có 3 thằng, nhưng 3 thằng đó đều là của Windows... Vô phương cứu chữa... Ông Thành kêu là bé virus này sống ký sinh với thằng svchost.exe, nhưng cũng kô phải vì cái file size kô đổi, cụ thể hơn là service File System Monitor/Restore của Windows mình vẫn đang chạy... Hic, lên google một phát thì có một bé bị y chang, nó kêu là dùng RootkitRevealer (http://download.sysinternals.com/Files/RootkitRevealer.zip) để xem có những cái application nào chạy khi startup mà kô hiện trong process listing rồi xẻo nó... Quét một hồi ra một loạt file linh tinh, trong đó có file C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini và C:\Documents and Settings\XXXX\Start Menu\Programs\Startup\desktop.ini (XXXX là account của mình)... Xử xong & restart lại máy, mở TCPView lên thì kô thấy connection nào đến cái dãy địa chỉ quái quỉ kia nữa... Mừng quá, chuyển từ invisible sang available với status "Sạch bóng Virus :))))))))))))".. Hehe...
Àh, rootkit nói ngắn gọn là bộ công cụ để làm ẩn mình các process, Invisible ấy mà :D, với các process viewer thông thường như TaskManager, ProcessEx, ProcessViewer :)... Sau này nếu có viết virus, nhất định mình sẽ làm cho con của mình ẩn đi trong cái Task Manager, ẩn xong rồi thì... kekeke...
Mà quên nữa, một số lão lăn vào chửi "Máy của programmer mà để dính virus :&..."... Hehe... Xin lỗi, hôm bữa thừa nước đục thả câu send đi một loạt cái "vui quá: http://..../zz.exe" gì đó cho vui thôi mà, ai để ý một tí là thấy cái địa chỉ trỏ đến con virus kô tồn tại, lý do là đã sửa số 1 thành số 0 trong cái IP rồi :))... Còn hôm nay thì hổng phải mình xài máy... Bình thường thằng Invisible này kô hề bật Firewall lẫn cài chương trình diệt Virus đâu :-"... Virus mà muốn cắn "em yêu" của Invisible thì ít nhất phải chạy qua cái "brain" của Invisible đã :))
Thôi, hết rồi... Tóm lại cách remove một Virus cho những ai dùng Windows như sau:
1. Chạy cái ProcessEx hoặc ProcessViewer, sau đó kết hợp với HijackThis xem thằng nào lạ thì xẻo trực tiếp hoặc dùng KillBox để xẻo.
2. Chạy tiếp cái RootkitReveal để xem còn bé nào chạy ủn ỉn ở bên trong hệ thống hay kô thì xẻo luôn.
3. Trong quá trình scan & detect manually, xài thêm TCPView hoặc netstat để xem thử connection chạy linh tinh ra sao...
4. Hỏi Invisible :)) :)) :))
Trời ơi, 1h21 rồi :|... Thôi, đi ngủ :)
Subscribe to:
Post Comments (Atom)
Hi hi ;)), nguyên nhân để rước mấy con virus này thì chắc ai cũng biết :>. Phải cẩn thận như cháu này, ko bao giờ click vào các link trên Y!Messenger cụ Invi đưa cho ;))
ReplyDeleteHờ, em không rõ lắm.
ReplyDeleteXử bằng cả HijackThis, xem bằng Process Explorer, Services manager rồi thì sao lại không biết nó khởi động nữa anh nhở? Có đường khác để nó khởi động ngoài là 1 service hay reg trong registry sao anh?
Người tấn công you dùng ADSL của Viettel à? You muốn biết rõ 'sơ yếu lý lịch' của nó để đến tận nơi 'xử' nó, thì cho tui biết IP nó dùng để kết nối, và giờ cụ thể nó dùng IP đó.
ReplyDelete@Mon: :D
ReplyDelete@Lihavim: Ờ, cũng bó tay... Dường như nó đã nhiễm vào một ứng dụng thông thường nào đó rồi :|.. Chứ anh chạy luôn cái Tool Autorun của Sysinternal cũng kô thấy gì lạ hết :|...
@KimChi: Uh, chắc là vậy, vì IP đó nằm trong dải IP của Vịt-teo quản lý :D... Thôi, có biết cũng kô làm được gì.. Tha cho nó :D... Cám ơn bạn nhiều ;-)
@Duy: Xài Linux đến 4 năm rồi à? :O... Hèn gì.. b-)
4 năm nay em hổng biết ViRus là gì :">
ReplyDelete:O. Anh Invi xoá dùm em 2 "comment" đầu nha. Em click sao mà nó ra 3 "comment" giống nhau :D
ReplyDeleteSao mà trùng hợp vậy, tao cũng vừa qua đại nạn virus hôm qua, và reinstall windows là "câu trả lời cuối cùng của em", bị virus đổi pass account Administrator, mặc dù nghe nói có Advanced Password Recovery có thễ reset pass nhưng mà thôi, điên quá rồi, reset rồi không biết còn bị nó đổi lại không với lại có cả đống virus còn nằm trong đó :(
ReplyDeleteCái con virus file .exe mà có icon là thư mục thì anh diệt cái một, không cần tool tiếc gì hết, search xoá bằng tay là xong.
Nghĩ lại từ trước đến giờ chỉ toàn gặp mấy con virus nhải nhép nên năm sáu năm trời chỉ dùng mỗi BKAV và diệt virus bằng tay là chính :D
Vừa kéo ADSL, bước chân ra giang hồ là gặp ngay phải cao thủ : WinSpy. Có sẳn AVG, rỏ ràng chỉ nó scan system32 mà nó cứ scan folder khác, search được WinSpyRemoval tưởng là đúng thuốc đúng bệnh ai ngờ cài xong, mới chạy một lần thì bị nó disable mất tiêu, đút cái đĩa Norton AV vào, setup vừa chạy lên, chưa kịp chọn option cũng bị disable :(
Cái khó ló cái...ngu: vô Task Mangager set priority của process con virus xuống low, rồi debug nó, sau đó đóng VisualC lại thì có thể đóng process lại được, bình thường thì nó để critical session, nhưng đến process thứ hai thì bị restart máy, sau đó máy cứ restart liên tục, chưa log on vô win đã restart lại. Không còn cách nào khác, cài lại win :(
Vừa cài lại win, bước đầu tiên là cài NAV, sau đó LiveUpdate nó, rồi quét hết mấy ổ còn lại cho chắc ăn. Ai ngờ thằng NAV ăn hại, virus thì quét không ra, mấy cái crack của TotalCommander, WinRar... thì "diệt không cần hỏi". Hic, trong lúc search lại mấy cái crack, đi vô mấy trang bậy bạ, lại dính phải Adware Look2Me mặc dù NAV AutoProtect đang on :(( Từ đó trở đi, cứ 10, 15 phút là NAV lại báo file xxx.dll infected Adware Look2Me, Quarintine REBOOT REQUIRED. Lần đầu nghe lời nó reboot xong, del được file đó, nhưng một hồi sau lại dính file khác, scan hết computer rồi, diệt hết rồi, rescan lại phát hiện ra virus. Dù sao em này cũng chỉ là adware, online thì tự mở IE vô trang youtruth gì đó, offline thì em nằm im.
Còn một thằng khác,chẳng biết dính bằng cách nào, bình thường log vô win là ko cần pass gì hết, một mình một máy để pass chi cho mệt, ko ngờ sau khi restart lại, được thông báo là sai pass nên không thể log in. Đúng là giọt nước tràn li, một lần nữa cài lại win.
Bây giờ xài lại AVG update internal database rồi. Dù AVG lẫn NAV chẵng thằng nào đáng tin nhưng mà AVG nhẹ hơn, có nó an tâm hơn một tí :)
Còn một chuyện nữa, trước giờ cứ tưởng mấy thằng trong startup list là set ở cái gì ... -> CurrentVersion ... -> Run. Còn thằng Adware Look2Me mất dạy này này ăn theo WinLogon nên dùng Task Manager chỉ thấy mấy thằng ăn theo của nó, dùng HijackThis thì có thể phát hiện ra nhưng mà kêu nó xoa ko được, vô regedit xoá bằng tay cũng không được => bó tay.
ReplyDelete@Sán lãi yêu dấu: Mày cũng bày đặt chơi "manually" nữa à? :D.. Down cái tool Autorun tao giói thiệu ở trên kìa, chạy lên sẽ thấy tất cả các nguồn tiếp tay cho một chương trình tự động chạy lúc khởi động :)
ReplyDeleteDownloadable link: http://download.sysinternals.com/Files/Autoruns.zip
@Bác Ngao: [-(... Kô giúp mấy ông già mà chưa có bồ :))
xài chiêu thứ 4 của thằng invisible. :)).
ReplyDeleteKhà khà, hôm rồi thằng này send cho 1 cái link, tưởng cái gì click vào. Cũng may là đang ngồi máy trong cơ quan nếu không thì toi với nó rồi. Đã vậy còn đưa lên Status: Con xin lỗi mọi người, mượn dao giết người thôi. Ai ẩu chết ráng chịu.
ReplyDeleteCạch thằng 4 mắt này luôn.
Trời, đại ca Nguyên ở xa vậy mà cũng vào đây comment, tội lỗi, tội lỗi... Qua vụ virus này em bị nhiều bà con nghỉ chơi quá anh ơi :(.. huhu...
ReplyDelete2 nam troi nay ko co "em yeu" o nha de om nen chang co chien "em iu" bi virus can => Gia su co "em iu" o nha ma bi virus can thi DL cung po tay luon :((. Lau roi ko dung den mot cai tool de diet virus hic hic. Virus co can em thi em chi co chit hu hu
ReplyDeleteĐáng tội chết lắm. "Biết luật phạm luật" <==== Lux đầu trảm đâu rồi, chém thằng này phứt cho rồi =))
ReplyDelete