PDA

View Full Version : Xin 1 chút kinh nghiệm về cái con Autorun >"<

[GT]Mario
23-04-2009, 10:35 PM
Tình hình máy nhà tớ bị dính con Auto Run. Lúc đầu thì bị dính ở chiếc USB. Giờ nó lây lan ra cả ổ C,D... Nó lập ra khá nhiều foder trống.
Tớ có dùng 1 số chương trình diệt như :
Autorun Remove
Autorun eater
BKAV
Kapersky
XP tool
..........
Nói chung là nhiều nhiều lắm >"<
Có cái thì quét đc nhưng reset xong lại vẫn thế ( Tớ k xài đóng băng )
Có ai có thể là chưa biết cách quét cho triệt để
Tớ mún xin ý kiến mọi người cho tớ 1 CTrinh nào ổn ổn để diệt tận gốc nó với. Chứ cứ diệt lại ra thế này khổ quá
THanks
trandung29
23-04-2009, 10:50 PM
bạn tắt autoplay của máy bạn trước rùi mới diệt, nếu k thì diệt hok sạch rùi restar máy lại nó cũng tự chạy rùi lây lan ra thui.
để tắt autoplay bạn vào run->gpedit.msc->administrative templates->system->turn off autoplay -> enable nó lên, chọn tất cả ổ đĩa->ok. sau đó run-> gpupdate /force.
†a|<e$!
23-04-2009, 10:52 PM
Bạn thử xài chương trình 1Click của mình xem như thế nào nhé!
http://truongton.net/forum/showthread.php?t=799578
jeffkieextreme
24-04-2009, 06:19 AM
không xài 1 click. vì nó vô hiệu với autorun, 1 click là dọn rác.
làm như sau: cài 3 phần mềm: autorun eater;BKAV; AVAST vào cho nó diệt autorun==> đảm bảo sạch.
cách thủ công: vào mycomputer==> tool==> folder option==> thẻ view==> show hidden file and folder, bỏ dấu chẹck trong các ô Hide extension... và Hide proteced.... ==> sau đó ok.
ra ngoài, vào từng ổ đĩa = cách chuột phải chọn open(không được nhắp đôi chuột vì sẽ kik hoạt virus), vào thấy file autorun và recycle thì xóa sạch....vậy là có thể diệt được phần nào.
theo mình thì cài phần mềm đi, pm wa yahoo mình mình send cho.
Thank mình nhé (keng cho mình càng tốt)!!!có 1 cái bấm chuột thui mà lị....:2T-bunny-(44):
blckwht
24-04-2009, 09:43 AM
Mình chẳng dùng phần mềm diệt virus nào cả :2T-khicon-(31):, bắt bằng tay k hà :2T-khicon-(118):, đối với mấy con autorun thì đơn giản lắm, enable chức năng turn off autoplay, trang bị thêm cái processxp để đề phòng con nào láu cá disable cái Task Manager...nhiêu đó thôi thì kiểu gì cũng chết :2T-khicon-(138):
†a|<e$!
24-04-2009, 10:23 AM
không xài 1click. vì nó vô hiệu với autorun, 1 click là dọn rác.

1Click có thể diệt autorun và cũng có thể bảo vệ máy tính khỏi autorun
đã đóng dấu kiểm nghiệm.:2T-bunny-(22):
[GT]Mario
24-04-2009, 12:09 PM
Kết quả của tớ >.<
xxxx://upnhanh.sieuthinhanh.com/userimages/images/sieuthiNHANH2009042411317m2eymjvhyj1202374_1.jpeg
Free ram 18% ( Cái này của 1 click )
Ổ C này
xxxx://upnhanh.sieuthinhanh.com/userimages/images/sieuthiNHANH2009042411317mzeynziynm1423302_1.jpeg
Ổ D này
xxxx://upnhanh.sieuthinhanh.com/userimages/images/sieuthiNHANH2009042411317njbin2e1yw1416150_1.jpeg

Các bạn thấy đấy! Giúp mình với :(( ( Tớ k post đc link )
[GT]Mario
24-04-2009, 12:14 PM
À tớ quên mất khi quét = 1 click thì nó báo là đã quét xong ( nhưng vẫn còn mặc dù reset máy ầm ầm )


Đây là sau khi đã kiểm tra hệ thống ( Của 1 click )


Log File Kiểm Tra Hệ Thống - 1Click


Các Proccess đang chạy:

----------------------------------------------------------
Proccess: System Idle Process
File:
Handle: 0
HandleCount: 0
ParentProcessId: 0
Priority: 0
ProcessId: 0
ThreadCount: 1
----------------------------------------------------------
Proccess: System
File:
Handle: 4
HandleCount: 466
ParentProcessId: 0
Priority: 8
ProcessId: 4
ThreadCount: 60
----------------------------------------------------------
Proccess: smss.exe
File: C:\WINDOWS\System32\smss.exe
Handle: 572
HandleCount: 24
ParentProcessId: 4
Priority: 11
ProcessId: 572
ThreadCount: 3
----------------------------------------------------------
Proccess: csrss.exe
File: C:\WINDOWS\system32\csrss.exe
Handle: 644
HandleCount: 542
ParentProcessId: 572
Priority: 13
ProcessId: 644
ThreadCount: 17
----------------------------------------------------------
Proccess: winlogon.exe
File: C:\WINDOWS\system32\winlogon.exe
Handle: 668
HandleCount: 585
ParentProcessId: 572
Priority: 13
ProcessId: 668
ThreadCount: 18
----------------------------------------------------------
Proccess: services.exe
File: C:\WINDOWS\system32\services.exe
Handle: 712
HandleCount: 312
ParentProcessId: 668
Priority: 9
ProcessId: 712
ThreadCount: 15
----------------------------------------------------------
Proccess: lsass.exe
File: C:\WINDOWS\system32\lsass.exe
Handle: 724
HandleCount: 352
ParentProcessId: 668
Priority: 9
ProcessId: 724
ThreadCount: 19
----------------------------------------------------------
Proccess: svchost.exe
File: C:\WINDOWS\system32\svchost.exe
Handle: 876
HandleCount: 227
ParentProcessId: 712
Priority: 8
ProcessId: 876
ThreadCount: 18
----------------------------------------------------------
Proccess: svchost.exe
File: C:\WINDOWS\system32\svchost.exe
Handle: 956
HandleCount: 335
ParentProcessId: 712
Priority: 8
ProcessId: 956
ThreadCount: 11
----------------------------------------------------------
Proccess: svchost.exe
File: C:\WINDOWS\System32\svchost.exe
Handle: 1052
HandleCount: 1432
ParentProcessId: 712
Priority: 8
ProcessId: 1052
ThreadCount: 65
----------------------------------------------------------
Proccess: svchost.exe
File: C:\WINDOWS\system32\svchost.exe
Handle: 1140
HandleCount: 123
ParentProcessId: 712
Priority: 8
ProcessId: 1140
ThreadCount: 6
----------------------------------------------------------
Proccess: svchost.exe
File: C:\WINDOWS\system32\svchost.exe
Handle: 1276
HandleCount: 197
ParentProcessId: 712
Priority: 8
ProcessId: 1276
ThreadCount: 11
----------------------------------------------------------
Proccess: explorer.exe
File: C:\WINDOWS\Explorer.EXE
Handle: 1528
HandleCount: 456
ParentProcessId: 1488
Priority: 8
ProcessId: 1528
ThreadCount: 13
----------------------------------------------------------
Proccess: spoolsv.exe
File: C:\WINDOWS\system32\spoolsv.exe
Handle: 1556
HandleCount: 138
ParentProcessId: 712
Priority: 8
ProcessId: 1556
ThreadCount: 11
----------------------------------------------------------
Proccess: SOUNDMAN.EXE
File: C:\WINDOWS\SOUNDMAN.EXE
Handle: 1800
HandleCount: 98
ParentProcessId: 1528
Priority: 8
ProcessId: 1800
ThreadCount: 2
----------------------------------------------------------
Proccess: ekrn.exe
File: C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
Handle: 1828
HandleCount: 284
ParentProcessId: 712
Priority: 8
ProcessId: 1828
ThreadCount: 15
----------------------------------------------------------
Proccess: egui.exe
File: C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
Handle: 1852
HandleCount: 125
ParentProcessId: 1528
Priority: 8
ProcessId: 1852
ThreadCount: 6
----------------------------------------------------------
Proccess: pctsTray.exe
File: C:\Program Files\Spyware Doctor\pctsTray.exe
Handle: 1860
HandleCount: 166
ParentProcessId: 1528
Priority: 8
ProcessId: 1860
ThreadCount: 6
----------------------------------------------------------
Proccess: oldmcdonald.exe
File: C:\Program Files\Autorun Eater\oldmcdonald.exe
Handle: 1872
HandleCount: 147
ParentProcessId: 1528
Priority: 8
ProcessId: 1872
ThreadCount: 1
----------------------------------------------------------
Proccess: ctfmon.exe
File: C:\WINDOWS\system32\ctfmon.exe
Handle: 1892
HandleCount: 153
ParentProcessId: 1528
Priority: 8
ProcessId: 1892
ThreadCount: 1
----------------------------------------------------------
Proccess: billy.exe
File: C:\Program Files\Autorun Eater\billy.exe
Handle: 1932
HandleCount: 88
ParentProcessId: 1872
Priority: 8
ProcessId: 1932
ThreadCount: 1
----------------------------------------------------------
Proccess: pctsAuxs.exe
File: C:\Program Files\Spyware Doctor\pctsAuxs.exe
Handle: 1964
HandleCount: 147
ParentProcessId: 712
Priority: 8
ProcessId: 1964
ThreadCount: 7
----------------------------------------------------------
Proccess: pctsSvc.exe
File: C:\Program Files\Spyware Doctor\pctsSvc.exe
Handle: 2020
HandleCount: 674
ParentProcessId: 712
Priority: 8
ProcessId: 2020
ThreadCount: 41
----------------------------------------------------------
Proccess: wdfmgr.exe
File: C:\WINDOWS\system32\wdfmgr.exe
Handle: 492
HandleCount: 93
ParentProcessId: 712
Priority: 8
ProcessId: 492
ThreadCount: 4
----------------------------------------------------------
Proccess: alg.exe
File: C:\WINDOWS\System32\alg.exe
Handle: 1704
HandleCount: 147
ParentProcessId: 712
Priority: 8
ProcessId: 1704
ThreadCount: 6
----------------------------------------------------------
Proccess: Ymsgr_tray.exe
File: C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
Handle: 2976
HandleCount: 102
ParentProcessId: 1884
Priority: 8
ProcessId: 2976
ThreadCount: 2
----------------------------------------------------------
Proccess: firefox.exe
File: C:\Program Files\Mozilla Firefox\firefox.exe
Handle: 3216
HandleCount: 471
ParentProcessId: 1528
Priority: 8
ProcessId: 3216
ThreadCount: 19
----------------------------------------------------------
Proccess: 1Click_1.2.0.exe
File: C:\DOCUME~1\MRMANH~1\LOCALS~1\Temp\Rar$EX03.282\1Click_1.2.0.exe
Handle: 2384
HandleCount: 450
ParentProcessId: 3960
Priority: 8
ProcessId: 2384
ThreadCount: 10
----------------------------------------------------------
Proccess: iexplore.exe
File: C:\Program Files\Internet Explorer\iexplore.exe
Handle: 808
HandleCount: 354
ParentProcessId: 1528
Priority: 8
ProcessId: 808
ThreadCount: 15
----------------------------------------------------------
Proccess: svchost.exe
File: C:\WINDOWS\system32\svchost.exe
Handle: 3320
HandleCount: 156
ParentProcessId: 712
Priority: 8
ProcessId: 3320
ThreadCount: 8
----------------------------------------------------------
Proccess: iexplore.exe
File: C:\Program Files\Internet Explorer\iexplore.exe
Handle: 3724
HandleCount: 651
ParentProcessId: 808
Priority: 8
ProcessId: 3724
ThreadCount: 25
----------------------------------------------------------
Proccess: wmiprvse.exe
File: C:\WINDOWS\system32\wbem\wmiprvse.exe
Handle: 1792
HandleCount: 170
ParentProcessId: 876
Priority: 8
ProcessId: 1792
ThreadCount: 7


Các khóa kiểm tra khởi động:

Messenger (Yahoo!)="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
SoundMan=SOUNDMAN.EXE
egui="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
ISTray="C:\Program Files\Spyware Doctor\pctsTray.exe"
Autorun Eater=C:\Program Files\Autorun Eater\oldmcdonald.exe



Kiểm tra khóa Winlogon:

AutoRestartShell=0001
DefaultDomainName=MR-6AD12180631E
DefaultUserName=MR MANH
LegalNoticeCaption=
LegalNoticeText=
PowerdownAfterShutdown=0
ReportBootOk=1
Shell=Explorer.exe
ShutdownWithoutLogon=0
System=
Userinit=C:\WINDOWS\system32\userinit.exe,
VmApplet=rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota=FFFFFFFF
allocatecdroms=0
allocatedasd=0
allocatefloppies=0
cachedlogonscount=10
forceunlocklogon=0000
passwordexpirywarning=000E
scremoveoption=0
AllowMultipleTSSessions=0001
UIHost=logonui.exe
LogonType=0001
Background=0 0 0
DebugServerCommand=no
SFCDisable=0000
WinStationsDisabled=0
HibernationPreviouslyEnabled=0001
ShowLogonOptions=0000
AltDefaultUserName=MR MANH
AltDefaultDomainName=MR-6AD12180631E



Kích thước các File hệ thống quan trọng:

C:\NTDETECT.COM |47564 Bytes
C:\ntldr |250032 Bytes
C:\AUTOEXEC.BAT |0 Bytes
C:\WINDOWS\regedit.exe |146432 Bytes | Mặc định: 146432 Bytes
C:\WINDOWS\NOTEPAD.exe |69120 Bytes | Mặc định: 69120 Bytes
C:\WINDOWS\explorer.exe |1032192 Bytes | Mặc định: 1033216 Bytes
C:\WINDOWS\System32\winlogon.exe |502272 Bytes | Mặc định: 502272 Bytes
C:\WINDOWS\System32\services.exe |108032 Bytes | Mặc định: 108032 Bytes
C:\WINDOWS\System32\cmd.exe |388608 Bytes | Mặc định: 388608 Bytes
C:\WINDOWS\System32\svchost.exe |14336 Bytes | Mặc định: 14336 Bytes
C:\WINDOWS\System32\userinit.exe |24576 Bytes | Mặc định: 24576 Bytes
C:\WINDOWS\System32\mmc.exe |815104 Bytes | Mặc định: 815104 Bytes
C:\WINDOWS\System32\shell32.dll |8454656 Bytes | Mặc định: 8454656 Bytes


File Autorun.inf trong ổ C:\
______________________

______________________



File Autorun.inf trong ổ D:\
______________________

______________________



File Autorun.inf trong ổ E:\
______________________

______________________



File Autorun.inf trong ổ F:\
______________________

______________________



Và bật lại 1 click
xxxx://upnhanh.sieuthinhanh.com/userimages/images/sieuthiNHANH2009042411317ndu1mdeyyj1200246.jpeg
Còn 9 % ram free:2T-bunny-(21):
blckwht
24-04-2009, 12:32 PM
oh thế đã turn off chức năng System Restore chưa, có thể đó là nguyên do dù đã quét nhưng vẫn bị lại đó

My computer >>> Properties >>> Tab System Restore >>> Check vào Turn off System Restore on all drivesà ngoài ra cũng có thể dùng Hjackthis để tìm hiểu các process của mấy con autorun đang chạy

http://www.merijn.org/files/hijackthis.zip (http://truongton.net/forum/vcheckvirus.php?url=http%3A%2F%2Fwww.merijn.org%2Ffiles%2Fhijackthis.zip)và post file log lên cho mọi người cùng phân tích giúp em
†a|<e$!
24-04-2009, 05:39 PM
Qua File Log mình đánh giá máy tính bạn như sau:

- Không nhiễm Virus (Chắc chắn).
- Không Autorun.
- Máy chậm. Bạn dùng quá nhiều thứ so với dung lượng RAM (512 MB) của bạn: Spyware DOctor, Autorun Eater, ESET NOD 32,...

hết. vấn đề autorun.inf đã được giải quyết. Và từ nay về sau, máy tính của bạn sẽ không bao giờ nhiễm Autorun.inf nữa.

Ngoài ra, nguyên nhân khiên cho Free RAM còn lại 9% sau khi dùng 1Click là do 1Click sử dụng 1 số RAM để tạo File Log và làm 1 số công việc.