Kết quả 1 đến 8 của 8
  1. #1
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Cool Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    Hôm rồi, có lẽ là nhân lúc tớ download ngoài mạng, một em virus cũng có lẽ là của Trung Quốc đã nhảy vào máy tớ. Sau khi vào máy tớ, ẻm làm máy tớ chậm khủng khiếp, chạy như rùa. Tớ phát hiện ra là em lây lan sang cả USB. Các hàn động của ẻm như sau:
    - Ẻm tạo một file SVOHOST.EXE nằm trong C:\Windows\System32 bên cạnh file SVCHOST.EXE lam tớ tí nữa thì nhầm. File SVCHOST.EXE là file hệ thống, còn cái file kia, nó là đồ giả mạo, khac nhau mỗi chứ C mí chữ O. Đểu
    - Ẻm tạo file sxs.exe và file autorun.inf trong tất cả các ổ trên máy mà ẻm nhận ra. Điều này lý giải vì sao mỗi lần tớ bung Ghost, cài lại máy,...thì tớ vẫn bị dính em (tớ cài đi cài lại tới 2 lần mới phát hiện ra hành vi của ẻm). Bởi vì có file autorun trong ổ, nên khi nhấn đúp chuột vào ổ nào đấy, nó sẽ thực thi file autorun này. File này sẽ load file sxs.exe và thế là tớ lại tiếp tục dính. Nó giống như khi bạn nhấn đúp chuột vào một đĩa CD cài chương trình, máy sẽ gọi file Autorun và từ đó làm theo lệnh của file autorun này. Tớ đã nghĩ đến trường hợp này khi mà tớ cài lại máy vẫn bị. Có điều chưa dệt được vì chưa biết nó là cái gì.


    - Ẻm khóa, không cho tớ hiện các file ẩn. Tớ mở folder options để xem các file ẩn, vì khi tớ xem Processes của máy rõ ràng phát hiện thấy có file SVOHOST.EXE, xem trong StartUp cũng thấy thằng này. Nhưng khi check trong thư mục system32 thì chả thấy mô. Cứ chuyển nó về Show all hiden file cấi thì chỉ cần bấm OK là nó lại giấu đi. Đểu.
    - Thỉnh thoảng, khi khởi đông máy em bung ra một hộp con con với cái chữ Runtim Error và thỉnh thoảng ẻ lại mở một trang web của Trung Quốc nào đó. Vì thế mà tớ mới gọi là virus của Trung Quốc. Nhưng ẻm cao tay ở chỗ, ẻm check coi có mạng không em mới mở site này. Còn không có mạng thì chỉ có cái hộp thoại đáng ghét khi khởi động thôi.

    ==> Kết quản là tớ rất bực mình. Tớ mí lên điễn đàn tin học nhờ các địa gia giúp. Chà, mới post lên cái đã có reply. Một bác chỉ cho tớ cái soft Reguard giá tới mấy chục đô cùng với cái link chỉ rõ là người ta biết diệt con virus đó nhưng cái link này chả nói diệt thế nào :-SS
    Một bác bảo tớ diệt bằng AVG, nhưng tớ lại phải tài tới hơn 30Mb bản Pro cùng với mấy chục đô để mua. Hik. Chán. Một bác thì bảo tớ kill processes của nó đi, rùi mở folder options mà cho hiện lại các file ẩn. Hik, tớ đã làm từ lâu, có được mô.

    Oài, tớ bực mình quá, chả thu được gì. Nhưng dù sao tớ cũng thử load cái Reguard về cài thử. Hik, nó lại càng khiến máy tớ chậm thêm ngàn lần. Thậm chí nó chậm hơn cả khi tớ không dính virus mà chỉ cài mình nó. Đã thế, mỗi lần khởi động nó lại scan mất tới 3 phút. Ai chờ nổi. Rồi thì nó nhận ra Unikey của tớ là "gián điệp". Hik ~x(
    Hik, đành vậy, tớ phải mày mò mà diệt nó thôi.

    Trước tiên, tớ biết nó nằm trong Registry nên tớ mới gõ Start +R sau đó gõ regedit để mở registry. Tớ bấm Ctrl +F để mở tìm kiếm. Tớ nhập vào svohost và bắt đầu tìm. Tìm được bất cứ cái nào liên quan đến file này tớ del sạch. Trong đó có khóa Autorun để nó load khi khởi động máy. Rứa là ok, nó không khởi động khi mở máy nữa.

    Đến đây tưởng ngon. Ai ngờ nó vẫn còn, vì không thể hiện file ẩn ==> nó vẫn nằm mô đó, mà cụ thể là trong ổ C rôi (lúc đó tớ chưa nghĩ ra nó còn trong cả D mí E của tớ). Xem processes thì không còn nữa. Dù sao cũng bắt đầu khoái ẻm này.

    Thế là tớ mí format quách cái ổ C, ngồi cài lại máy. Khi cài lại, khổ cái là ổ C không hề dính. Nhưng khi tớ nháy đúp vô ổ D để lấy bộ cài. Tớ mới phát hiện ra là nó không mở ổ D ra, chỉ nháy cái xong đứng im. Tớ mới tá hỏa, chít rồi, nó có cả mầm mống trong ổ này ==> Chắc chắn ổ E mình cũng dính. Mà khi nãy tớ lại làm cho nó xuất hiện trở lại vào ổ C roài . Rứa là công toi cái việc cài lại máy. Và quả nhiên khi tớ xem lại Processes (bấm Ctrl + Alt + Shift rồi chọn thẻ Processes) mí lại cái Folder Options thì thấy như cũ. Nhấn chuột phải vào ô D và E thấy có lệnh AutoPlay như là ổ CD ý, mặc định Windows làm gì có cái lệnh này ở ổ cứng. Đểu thật.

    Oài, Nghĩ mà thấy mình ngu. Cái triệu chứng đó tớ phát hiện lâu rồi, nhưng tớ cứ nghĩ là chuột của mình đểu nên không nhận ra. Hà hà. Thế là đành cài lại máy phát nữa cho nó sạch sẽ. Lần này cài xong, rút kinh nghiệm. Tớ vào Control Panel trước. Mở Foder Options trong đó và bắt hiện tất cả các file ẩn lẫn file hệ thống bằng cách ở thẻ View chọn Show hidden files and folders và bỏ chọn dấu kiểm trước Hide protected operating system files (recommended) . Sau đấy, tớ nhấn menu Start, chọn Search ==> For Files or Folders. Cửa sổ tìm kiếm hiện ra. Tớ nhấn chuột vào All Files an Folder.


    Tại khung All or part of the file name tớ gõ svohost.exe và tại phần More Advansed Options tớ chọn Search hidden files and folders. Rùi tớ bấm Enter. Nó search một lúc không ra. Roài, an tâm, chú này đã bị diệt.


    Giờ là diệt em virus mầm mống trong cái ổ D và E. Lần này biết là nó có file autorun nên tớ không click đúp nữa. Tớ nhấn chuột phải vào ổ D chọn Open. Hà hà, ổ D mở ra, quả nhiên nó có file autorun.inf ở trong. Tớ del thẳng cánh lun. Mở tiếp ổ E, tớ lại thấy nó. Và bỗng dưng tớ lại thấy thêm một file sxs.exe nữa giống hệt bên ổ D. Thế là tớ mới mở cái file autorun này ra. Quả nhiên là nó gọi đến file sxs này. Giờ tớ mới biết vì sao mà mình lại dính lại virus khi đã cài lại máy. Tớ định del nó đi thì nghĩ lại "tội nghiệp" nó, nó "ăn ở" với mình tới mấy ngày lận. Giờ bỏ đi phí. Thế là tớ Rar anh em nhà nó lại làm kỷ niệm. Ruì sau đó tớ mới del nó đê.

    Phù, công việc vẫn chưa xong. Nhấn chuột phải vào ổ D và E vẫn thấy lệnh AutoPlay, nghĩa là nó vẫn đang còn tàn dư trong máy. Tớ phải đảm bảo kô còn mầm mống nào nữa. Mà muốn thế thì cứ vào registry thôi. Tớ lại mở registry như khi nãy. Nhưng ở phần tìm kiếm tớ lại tìm với từ khóa sxs. Ngay lập tức bạn nhận được kết quả đầu tiên có địa chỉ: HKEY_CLASSES_ROOT\Interface\{C7CD7379-F3F2-4634-811B-703281D73E08}
    Bên trong nó có khóa:


    Ấy, đừng nóng. Đây là khóa của Win, không phải của em virus, đừng có xóa đi. Bấm F3 để tiếp tục tìm kiếm với cái từ khóa sxs. Lần này thì kết quả mong muốn hiện ra. Tại đường dẫn My Computer\HKEY_CURRENT_USER\Sofftware\Microsof\Cunr rentVersion\Explorer\MountPoints2 có tới hai mục con chứa dòng AutoCommand. Nhìn vào hình dưới, bạn có thấy nhánh con 0b1929a2...ob1929a3.... của MountPoints2 không. Xóa thẳng tay nó đi nhá.


    (String của AutoRun, có lệnh đến file sxs.exe trong system32)

    Rùi, cuối cùng thì cũng xong rùi. Mệt cả người.

    Các bạn thân mến. Tớ viết bài này để nếu anh dính ẻm virus này như tớ thì biết cách mà diệt. Tớ viết như thế này cho đỡ nhàm chứ nhiều khi nói hình sư quá đâm hoảng. Những chỗ tớ in đậm là đáng chú ý hoặc là làm theo như thế. Nếu có thắc mắc thì gọi tớ tớ trả lời. Cuối cùng thì bác mitom_boy ơi, vô đây mà coi cách diệt này (hik, tớ lây em này từ nhà bác mitom_boy nhà ta đấy ạ :-P). Phù, mệt quá. Đi ăn sáng phát. Chúc một ngày tốt lành.
    Lần sửa cuối bởi hrockvn, ngày 02-05-2007 lúc 10:46 AM.
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  2. #2
    Spamer Master DDT Friend ngayxua's Avatar
    Ngày tham gia
    31 Jul 2006
    Đang ở
    ~☀☀...Nhà choa...☀☀~
    Bài viết
    1,753
    Thanks
    0
    Thanked 3 Times in 2 Posts
    Rep Power
    61

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    Làm gì mà chú vất vả vậy cở chứ. Chú mượn cái ổ sạch, cài trình diệt virus Symantec cho cái ổ sạch sau đó updet phiên bản mới lên,cho cái ổ của chú làm ổ khách và diệt. Vậy là oke...
    - Hãy chú ý đến suy nghĩ của bạn; chúng sẽ trở thành lời nói.
    - Hãy chú ý đến lời nói của bạn; chúng sẽ trở thành hành động.
    - Hãy chú ý đến hành động của bạn; chúng sẽ trở thành thói quen.
    - Hãy chú ý đến thói quen của bạn; chúng sẽ trở thành tính cách.
    - Hãy chú ý đến tính cách của bạn; chúng sẽ trở thành số phận của bạn!


    Luôn luôn cố gắng vươn tới dù trong bất kỳ hoàn cảnh nào và thay đổi môi trường xung quanh chứ đừng chỉ để hoàn cảnh quyết định số phận bản thân.

  3. #3
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    Hổng khoái, tự mình chơi nó mí hay chứ. Thế nó mới thú. Nhưng thật ra cũng là một lần có thêm kinh nghiệm bản thân. Ví dụ từ giờ trở đi, không đc nháy đúp vào ổ USB Flash đề phòng nó gắn vô đó một em chẳng hạn
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  4. #4
    Tu luyện đệ tử ĐDT Member -OT-'s Avatar
    Ngày tham gia
    14 Feb 2006
    Đang ở
    Địa ngục
    Tuổi
    41
    Bài viết
    257
    Thanks
    0
    Thanked 0 Times in 0 Posts
    Rep Power
    60

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    hè được. Hôm nào anh mang cho chú 1 con. Hay cực. Đi dọa thì thôi rồi. Made in tay anh làm đấy nhá

  5. #5
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    Từ nay, nếu bị dính, bạn không cần format máy nữa. Nhấn Ctrl + Alt + Del chọn thẻ Processes rồi End task cái SVOHOST.EXE đi. Sau đó tìm các khóa trong registry như hướng dẫn ở trên. Tiếp theo là làm việc với cái Hide protected operating system files (recommended) để hiện cái file sxs.exe lên rồi xóa thôi.

    To bác -OT-: Gửi vào hrockvn@gmail.com cho em con
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  6. #6
    Nhập môn đồ đệ ĐDT Member
    Ngày tham gia
    09 Jan 2008
    Bài viết
    1
    Thanks
    0
    Thanked 0 Times in 0 Posts
    Rep Power
    53

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    Sau khi làm các bước giống như trên, tới khúc loại nó ra khỏi menu context khi right click lên ổ đĩa, để cho nhanh thi ta nên rename cái ổ đĩa trước, nếu vẫn còn thì làm típ như trên

  7. #7
    Nhập môn đồ đệ ĐDT Member
    Ngày tham gia
    19 Feb 2008
    Tuổi
    39
    Bài viết
    1
    Thanks
    0
    Thanked 0 Times in 0 Posts
    Rep Power
    53

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    Tớ biết chắc máy mình bị nhiễm virut, tớ google hiện tượng:


    Và nó dẫn tớ đến trang này. Triệu chứng vậy nhưng virus khác, và thuốc điều trị đơn giản hơn nhiều. Tớ rất ngại cài lại win, rất chăm ghost, và cũng không tin vào anti nhiều lắm, ngày trước cứ tin anti là cứu cánh giống như bây giờ cứ nghe bác nào bảo gì mách gì là tìm thầy tìm thuốc. Đủ cả cài vào chỉ tổ máy ì ạch. Mà nếu quét được mống nào thì sướng lắm. Có lần tải bản Bkav mới nhất quét nhà thấy số lượng Virus tăng lên đến mấy nghìn. Chắc kiểu này nghĩ mình bị ung thư di căn giai đoạn cuối cũng nên. Kết luận rằng update mới nhất đôi khi chỉ chữa ngọn. Có khi anti ngày hôm nay up nhưng quét chưa chắc đã bằng ngày hôm qua up date cũ. Cả khi không có nó còn nhận nhầm. Kas, Bit, Nod, Norton, Macf có lúc chẳng bằng anh Bkav bé bé hạt tiêu…

    Tớ tìm đến bài này và bắt đầu voọc luôn
    Nói luôn máy tớ sài deepfree cho 2 máy ảo và máy thật, Kas 5 person update mới nhất ngày hôm nay. Và chạy thêm cả VPC một máy ảo.

    Tớ có thói quen mở file theo kiểu Cửa sổ E rất ít khi click đúp khi mới bắt đầu. không biết máy mình bị nhiễm bao giờ, vì lần mới đây nhất ghost máy là hôm kia. Và nếu có bị một lần triệu chứng vậy thì cũng cho qua vì tin rằng Rest lại là anh Deep sẽ giải quyết hết không thì ghost. Lần này thế nào vô tình rest lần sau cũng lại nháy đúp vào ổ kiểu đó và vẫn bị vậy. Thế là có trò vui đây. Thử scan bằng Kas chơi vì update luôn mà lâu nay không nghe thấy tiếng chim lợn kêu. Hay là thằng này bị suy dinh dưỡng. Ngày trước mỗi khi update là mình hay vào seriall.com để thử xem chim lợn có kêu không. Lần này chẳng thấy nó kêu gì. Thằng Kas hôm nay chỉ là đồ bỏ đi.

    Đây là máy tớ kiểm tra lại khi bắt đầu voọc bài viết của trang này. vừa được rest và chưa click lại vội ngắm nó một lúc, rest thêm lần nữa chưa click lại vội ngắm nó một lúc… He he vẫn vậy


    Và sau khi click




    - Máy vẫn trong tình trạng đóng băng. Theo thói quen không fải bảo, tớ xóa béng cái đống ký tự của bọn ngoài hành tinh hay thằng Tây thằng Tàu đó đi cho dù nhầm còn hơn bỏ sót cùng với mấy cái file autorun.inf. quái quỉ ở trong ổ D,E đi (Lúc trước thử xoá là nó lại mọc ra). Nếu win có khùng tớ cho đi gặp ghost. Từ trước đến giờ vẫn tin vậy lên là tớ rất chăm ghost. Virut mang mầm bệnh là fải triệt, Ghost là ma là chết. chết là hết cái nào đáng sợ hơn. Giải quyết được vấn đề, may có bài viết này và tớ cũng không phải ghost lại, cũng không fải cài lại win, cài lại win chắc chết em… Giải quyết rất nhanh không mệt như soạn bài viết này

    Nói thêm là các key bạn đưa ra thì giống nhau nhưng subkey thì hoàn toàn khác. điều này đúng khi tớ soi lại máy ảo

    Có thể tại máy thật tớ dùng themes vista còn máy ảo vẫn theme xp. Máy ảo vẫn ngon lành không bị làm sao.

    Lần này trước khi rest tớ có cẩn thận quá không khi chèn vào cái ổ D,E cái file kiểu như thế này không biết là mẹo đọc ở cái 4r nào



    Đưa ra một kink nghiệm xử lý virus cho các cậu tham khảo. Xin lỗi viết dài quá.

    Ý quên tớ có đóng gói con đó lại đây. bác nào cần mẫu liên hệ tớ gửi cho để thực hành xem có đúng như tớ nói không, sai chết...

  8. #8
    HaKuNa☻♀ ♥ ♥ ♂☻ MaTaTa Core Member Bách_Hợp's Avatar
    Ngày tham gia
    08 Jul 2007
    Tuổi
    35
    Bài viết
    1,874
    Thanks
    0
    Thanked 0 Times in 0 Posts
    Rep Power
    58

    Mặc định Re: Tiêu diệt Virus SVOHOST.EXE của Trung Quốc

    ồ cảm ơn nhe tui về sẽ diệt tên virus này ha ha!
    HaKuNa☻♀ ♥ ♥ ♂☻ MaTaTa


Thông tin về chủ đề này

Users Browsing this Thread

Có 1 người đang xem chủ đề. (0 thành viên và 1 khách)

Các Chủ đề tương tự

  1. Trả lời: 5
    Bài viết cuối: 12-06-2007, 01:24 PM
  2. hãy bảo vệ máy tính của bạn bơi virus
    Bởi 1stPrO trong diễn đàn Tin học
    Trả lời: 0
    Bài viết cuối: 04-01-2007, 07:10 PM
  3. Loại bỏ Virus YM như thế nào
    Bởi hrockvn trong diễn đàn Security
    Trả lời: 0
    Bài viết cuối: 29-10-2006, 03:25 PM
  4. Danh sách các link có virus hoặc nghi ngờ có virus
    Bởi hrockvn trong diễn đàn Security
    Trả lời: 4
    Bài viết cuối: 08-10-2006, 01:38 AM
  5. Tự bảo vệ trước dịch Virus Việt.
    Bởi haidh trong diễn đàn Security
    Trả lời: 1
    Bài viết cuối: 06-10-2006, 11:03 AM

Đánh dấu

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •