IndexĐăng NhậpĐăng kýThành viênNhómTìm kiếmShopTrợ giúp
Chào mừng bạn ghé thăm Forum XlClub »[X]«
»»--XlClub family--««

:::»+ Mời bạn đăng nhập tại đây+«:::

»++Chưa có tài khoản? Bạn bấm vào đây để Đăng Ký+«

Share|
Tiêu đề

Cách diệt Virus Online Safesys.exe, xuyên thủng băng !

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down
Tác giảThông điệp

kutepaul
Đế Vương

Nam Posts Posts : 1941
Points Points : 6936
Thanked Thanked : 91
Đến từ Đến từ : Sao Hỏa
Phương châm sống Phương châm sống : Nếu ra chiến trường để bảo vệ tổ quốc, tôi sẵn sàng. Nếu ra chiến trường để bảo vệ chế độ, tôi lưỡng lự. Nếu ra chiến trường để bảo vệ những kẻ sâu mọt tôi kiên quyết từ chối.
Level: Kinh nghiệm: 1941%
Sinh mệnh: 1941/100
Pháp lực: /100

Bài gửiTiêu đề: Cách diệt Virus Online Safesys.exe, xuyên thủng băng ! Fri May 20, 2011 10:46 pm

[You must be registered and logged in to see this image.]
[You must be registered and logged in to see this image.]
Mô tả :
- Xuất hiện 1 chương trình tiếng Tàu trong máy
- Làm trùng Ip trong mạng LAN dẩn đến disconnect , ipconfig thì không thấy trùng.
- Trong mỗi partition có 2 file : Autorun.inf và Safesys.exe
- C:\Programfiles\Common\ Xuất hiện Safesys.exe
- C:\Windows\System32\ Xuất hiện a1.exe,a4.exe,a9.exe... ,g1.exe,g2.exe,.....hoặc những file tương tự
- C:\Document and settings\Local setting\User\Temp C:\Document and
settings\Local setting\User\Temporary internet file\ Safesys.exe,
Safesys[1].......
- Còn nửa nhưng nhiều quá kế k0 hết
Quá trình tấn công của virus :
- Tạo ra file "Program Files\sNiu.dll". Sau đó dùng Rundll32 để kích
hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng
của dll này để làm gì.
- Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là ".tmp", nằm
trong thư mục "DOCUMENTS AND SETTINGS\\LOCAL
SETTINGS\Temp". Driver này được đăng ký với tên là DogKiller. Đây là
driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực
tiếp lên ổ cứng và qua mặt DeepFreeze.
- Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là ".fon" và copy
vào thư mục "windows\Fonts". Driver này có mục đích hỗ trợ driver chính.
- Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ
đĩa. Sau đó nó copy thêm một bản nữa vào "Program Files\Common Files".
Đây là file mà virus đăng ký chạy cùng win với khoá
"HKLM\Software\Microsoft\Windows\CurrentVersio n\Ru n"
- Cũng từ driver, virus sửa lại nội dung của file
"Windows\System\spoolsv.exe". Đây là dịch vụ quản lý share máy in của
win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh
qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra,
virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
- Đăng ký một lô các khoá "Image Execution Options" để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ....

Quá trình kích hoạt virus :
- Virus được kích hoạt qua 2 đường : khởi động file "SafeSys.exe" cùng
với win và gọi bởi dịch vụ dỏm "spoolsv.exe". Tham số truyền vào khi
virus khởi động cũng rất khả nghi ""c:\program files\common
files\safesys.exe" -SSDT". Mình cũng chưa phân tích kỹ xem virus cần
tham số này để làm gì.
- Khi đã khởi động xong, virus sẽ gọi tiến trình
"windows\system32\svchost.exe" của win và inject code vào tiến trình
này. Tiến trình này giờ đã trở thành virus và nó sẽ gọi thêm một tiến
trình giống như vậy để bảo vệ lẫn nhau. Khi xong việc, SafeSys sẽ tự kết
thúc. Phần việc còn lại là của svchost.
- Tiến trình svchost bị nhúng code sẽ thực hiện các công việc phá hoại
và lây lan của virus. Ngoài ra nó còn liên tục kiểm tra ( khoảng sau 5
giây ) xem có tồn tại các tool như Icesword, autoruns,... hay ko, nếu có
nó sẽ kill ngay. Mèo cũng chưa phân tích xem nó kill IS như thế nào.

Nội dung file autorun:
[AutoRun]
Open=SafeSys.exe
Shell\Open=´ò¿ª(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=×ÊÔ´¹ÜÀíÆ÷(&X)
Shell\Explore\Command=SafeSys.exe


Các file mới được tạo thành:
c:\AutoRun.inf. Kích thước:169 bytes
%ProgramFiles%\Common Files\SafeSys.exe
c:\SafeSys.exe. Kích thước:50.320 bytes

%Windir%\Temp\Temporary Internet Files\Content.IE5\0DW1MO35\desktop.ini
%Windir%\Temp\Temporary Internet Files\Content.IE5\CPQRGHUJ\desktop.ini
%Windir%\Temp\Temporary Internet Files\Content.IE5\desktop.ini
%Windir%\Temp\Temporary Internet Files\Content.IE5\MBOMW6J8\desktop.ini
%Windir%\Temp\Temporary Internet Files\Content.IE5\WOJ8IYZO\desktop.ini. Kích thước:67 bytes
%Windir%\Temp\Temporary Internet Files\Content.IE5\index.dat. Kích thước:32.768 bytes
Các thư mục mới được tạo thành:

  • %Windir%\Temp\Cookies
  • %Windir%\Temp\History
  • %Windir%\Temp\History\History.IE5
  • %Windir%\Temp\Temporary Internet Files
  • %Windir%\Temp\Temporary Internet Files\Content.IE5
  • %Windir%\Temp\Temporary Internet Files\Content.IE5\0DW1MO35
  • %Windir%\Temp\Temporary Internet Files\Content.IE5\CPQRGHUJ
  • %Windir%\Temp\Temporary Internet Files\Content.IE5\MBOMW6J8
  • %Windir%\Temp\Temporary Internet Files\Content.IE5\WOJ8IYZO
Tạo các khoá registry:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arvmon.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoGuarder.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\findt2005.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IsHelp.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\killhidepid.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.COM
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvfw.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavCopy.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStore.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravt08.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwolusr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsMain.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSTray.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safebank.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]

      • SafeSys = "%ProgramFiles%\Common Files\SafeSys.exe"
      so that SafeSys.exe runs every time Windows starts

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arvmon.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoGuarder.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\findt2005.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IsHelp.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\killhidepid.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.COM]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvfw.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavCopy.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStore.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravt08.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwolusr.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsMain.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSTray.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safebank.exe]

      • Debugger = "ntsd -d"

    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe]

      • Debugger = "ntsd -d"

    • Startup thi thấy nó nằm ở C:\Program File\Common Files\SafeSys.exe

Con trojan này có xuất xứ từ Trung Quốc. Hàng "Made in China" có khác.


Hậu quả này :nó đánh sập mang Lan , kết nối link uptade chính nó , khi nó update full
sẽ có 1 biễu tượng Icon màu đen ( giống CMD )có 3 chữ www và 1 biểu
tượng hình ổ đĩa mạng có dau X màu đỏ ( dấu hiệu mang Lan bị disconet)
Làm windows tê liệt , nhiệt độ CPU 100%. Nó disble Kasperkey.Dùng BKAV
diệt nó (không sạch sẽ hết, đc vài ngày thì lại bị lại) sẽ để lại 1 Window nặng nề + 1
đống Error các Soft (yahoo,Office...) không khởi đông được




1.Bạn tham khảo cách này xem có được không ( Paul copy từ [You must be registered and logged in to see this link.] )
Các bác tránh nó cho các máy như sau ( không cần Antivirus )

1. Start -- > Run --> gõ vào Gpedit.msc.
2. Computer Configuration --->Windows Settings -->Click chuột phải
nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level để mặc định là : Disallowed

Xong, bấm OK là đã chặn đc con virus này trên máy bạn rồi đó ! Bạn thử
ra ngoài kiếm cái USB nào bấm thử vào con Virus đó xem, nó sẽ ko chạy đc
đâu !
Cách này áp dụng cho nhiều file khác, nếu bạn muốn cấm file đó chạy trên máy của mình
Con virus này rất dai dẳng, khó remove nó, tốt nhất là bảo vệ máy mình trước, nếu không muốn Fdisk lại cả HDD

2. Vì con này có nguồn gốc từ TQ -> bạn thử dùng Rising Av, hoặc Kingsoft KT xem


Cách diệt :

1. Tắt router.

2. Sử dụng đĩa Hiren Boot để vào môi trường DOS, sau đó đánh lệnh fdisk/mbr (lệnh này để làm lại bootsector cho ổ cứng)

- Nếu máy tính của bạn đang đóng băng, chỉ cần chạy tới đây là OK rồi, khởi động lại máy và vào windows bình thường.

3. Khởi động lại máy, nhấn F8 vào Safemod của Windows, sau đó vào Regedit xoá keyname Safesys tại :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

4. Dùng trình tìm kiếm của windows để search file (tất cả các file, kể
cả file ẩn) (Lưu ý bạn nên set folder option của mình là hiện tất cả các
file, kể cả phần mở rộng và tập tin hệ thống). Tìm kiếm lần lượt và xoá
sạch đi những file Aurorun.inf, Safesys.exe trên tất cả các ổ đĩa.

5. Vào C:\Program Files\Common Files xoá file Safesys.exe còn lại



_________________
Paul - nAivE aNd innOcEnt [You must be registered and logged in to see this image.]
[You must be registered and logged in to see this image.]


Huân chương:
Tài sản:

Hãy cảm ơn bài viết của kutepaul bằng cách bấm vào"" nhé!!!

Về Đầu Trang Go down

Xem lý lịch thành viên

nhokpret123
Đế Vương

Nam Posts Posts : 1263
Points Points : 7681
Thanked Thanked : 101
Đến từ Đến từ : Hell of Angel
Phương châm sống Phương châm sống : Hận cuộc đời, hận ông trời
Level: Kinh nghiệm: 1263%
Sinh mệnh: 1263/100
Pháp lực: /100

Bài gửiTiêu đề: Re: Cách diệt Virus Online Safesys.exe, xuyên thủng băng ! Sat May 21, 2011 11:39 am

Tao thề với mày diệt xong là tụi nó mù mắt hết Nam mô !!




Huân chương:
Tài sản:

Hãy cảm ơn bài viết của nhokpret123 bằng cách bấm vào"" nhé!!!

Về Đầu Trang Go down

Xem lý lịch thành viên http://xlclub.forumvi.com

Tiêuđề

Cách diệt Virus Online Safesys.exe, xuyên thủng băng !

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang
Trang 1 trong tổng số 1 trang
::.
Permissions in this forum:Bạn không có quyền trả lời bài viết
XL Club Bh :: PC words :: Phần mềm-
#
BH trường THCS THĐ, khóa 2010 - 2011
Địa chỉ: Phường Trung Dũng, BH, Đồng Nai
Xây dựng và phát triển bởi các thành viên XlClub
.
Copyright © 2010 - 2011, www.xlclub.forumvi.com .
Skin làm bởi Pretkuzl
Powered by phpBB2 - Host in France. Support by Forumotion.
Hiển thị tốt nhất với trình duyệt Google Chrome