banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... xin giúp về virut  XML
  [Question]   xin giúp về virut 06/07/2007 02:34:59 (+0700) | #1 | 69128
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
hiên tại mạng của mình bị 2 con virut sau :w32.gammima,Infostealer. Mình đã tham khảo cách diệt tại 911 và symantec . Thậm chí mình đã format toàn bộ nhưng khi cài hdh mới và kết nối mạng internet bằng modem adsl là bị dính . Mong mọi người cho ý kiến . thân
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 06/07/2007 08:56:25 (+0700) | #2 | 69213
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cứ tìm ra file lây nhiểm của nó rồi phân tích tiếp. Trường hợp có hơn một máy bị lây nhiễm, một máy nào đó sẽ dùng đường "share cái gì đó" để lây nhiễm lung tung.

Tệ hại nhất là trường hợp "tương tự slammer" cái nhóm IP nạn nhân vào danh sách hỏi thăm sức khỏe thường trực(hiếm).

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   xin giúp về virut 06/07/2007 11:45:14 (+0700) | #3 | 69257
[Avatar]
qhoa83
Member

[Minus]    0    [Plus]
Joined: 08/01/2007 04:28:10
Messages: 149
Offline
[Profile] [PM] [Yahoo!]
Nếu đã format lại toàn bộ mà còn bị nhiễm . Mình nghĩ bạn nên coi lại phân vùng không chứa hệ điều hành của bạn. Tức là nơi lưu trữ tài liêu đó. Tốt nhất là cách ly bằng các khi cài đặt rút dây mạng ra trước khi cài đặt lại hãy load các cả các hotfix của Windows. sau khi cài đặt xong install hotfix + 1 chương trình antivirus rồi mới connect lại vào mạng. Tuyệt đối không lấy bất kỹ data nào trong phân vùng còn lại. Đển thời điểm này bạn có thể quyét những phân vùng còn lại.
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 06/07/2007 12:24:36 (+0700) | #4 | 69262
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Theo 911:
Thông tin về con w32.gammima như sau:

Nếu bác chạy Win XP Nó tạo ra các file sau trong Windows:
C:\Windows\Help\D563BA79B410.exe
C:\Windows\Help\D563BA79B410.dll
C:\Windows\D563BA79B410.dll

Tạo các key sau trong registry để tự kích hoạt:
HKEY_CLASSES_ROOT\CLSID\{64281F9B-71AE-4C6B-9688-C3E820D99255}
HKEY_LOCAL_MACHONE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{64281F9B-71AE-4C6B-9688-C3E820D99255}

Bác thử kiểm tra Process xem có process D563BA79B410.exe đang chạy kô. nếu có thì kill nó đi. Hình như con này hoạt động bằng cách inject file D563BA79B410.dll vào các Process.

Bác hãy vào registry tới hay đường dẫn kia xem chúng kích hoạt file nào. rồi xóa luôn 2 cái key đó đi nhớ kiểm tra xem chúng có được tạo lại ngay kô. Nếu kô được tạo lại thì bác khởi động lại máy rồi vào xóa 3 cái file của nó trong C:\Windows.

Nếu mấy cái key đó được tạo lại ngay thì bác thử vào safe mode xóa chúng thử xem. Kô biết mấy cái key đó có kích hoạt được virus trong safe mode kô.

Túm lại là phải xóa được 3 cái file và 2 cái key đó thì mới cơ bản vo hiệu được con này.

Bác nói là bác đã format toàn bộ nghĩa là toàn bộ ổ C thôi phải kô? chứ toàn bộ HDD mà vẫn dính thì đúng là bị tấn công từ xa theo IP rồi smilie COn này nó tạo ra Autorun.inf và file Shell.exe ở trong các ổ nên nếu bác format hết ổ C nhưng kô làm sạch Autorun và file shell.exe này thì bác sẽ bị nhiễm lại ngay nếu click đúp vào các ổ. Chắc là do cái file Shell.exe này nó được +s +h nên mấy AV kia kô phát hiện ra.

Bác hãy mở ẩn System và xóa 2 cái này ở các ổ đi. Nếu có thể thì Bác Post lên đây cho em nội dung cái file Autorun.inf bác nhá hình như cái Autorun của con này kô tạo ra dòng Autoplay mà là dòng Open.

Còn về con Infostealer thì em thấy có lắm loại Infostealer quá chả biết bác dính loại nào smilie)
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 06/07/2007 21:46:35 (+0700) | #5 | 69296
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
như đã trình bày ở trên. Hệ thống mạng này khi bị nhiễm, nó lây lan ra tất cả các máy. Tớ đã format tất cả, có nghĩa là ổ cứng không còn gì. tớ cho cài symantec phiên bản 9 , và theo symantec thì phiên bản này có thể diệt 2 con này. nó cũng cô lập nhưng triệu chứng vẫn còn. Khi tớ cài mới lại hệ điều hành , tất nhiên không có dữ liệu , khi kết nối internet như vào yahoo gởi mail thì bị dính liền .
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 06/07/2007 23:32:25 (+0700) | #6 | 69320
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Vẫn như cũ, xin khổ chủ một file của 2 con đó. Chuyện nguyên một mạng Lan bị dính là chuyện thường gặp. Còn format nguyên hệ thống đó, tức toàn bộ ổ cứng, vẫn bị lại , phải xem lại vài chuyện. Như usb,thẻ nhớ của nhân viên,... reset lại modem adsl. Có nhìn vào cái hướng dẫn sơ sơ của symantec cũng không biết gì hơn được khi không có cái mẫu.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 03:38:20 (+0700) | #7 | 69396
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
xin hỏi cái mẫu là cái gì thế ? tất cả trường hợp tmd đưa ra đều không dính dáng tới . Máy bị nhiễm ngồi tại máy format toàn bộ , cài lại hdh , reset modem ... lựot web là dinh chưởng liền . Mong các bác đọc kỹ giùm phần em nói.
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 03:56:53 (+0700) | #8 | 69400
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Tức là xin cái file con malware đó. Lướt web vnexpress.net hay tuoitre.com.vn hay tinhdonphuong.com rồi bị dính ? Ví dụ vậy thôi.

Phải coi là lướt ở đâu. Vì hiện tại trang web có kèm hàng khai thác lỗi windows thật sự nhiều. Kể cả mail yahoo chứa spam có link khai thác lỗi windows cũng nhiều không kém.
Giờ ngồi vào một máy, mở vài software đơn giản theo dỏi traffic,thay đổi file,registry một tí xíu. Nếu có cái gì gi log lại coi càng tốt. Vậy mới biết được.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 04:38:10 (+0700) | #9 | 69424
quanlypho
Member

[Minus]    0    [Plus]
Joined: 01/07/2006 21:19:20
Messages: 95
Offline
[Profile] [PM]
Dùng NOD32 phiên bản 2.7.3x thì diệt tốt con này.
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 05:35:00 (+0700) | #10 | 69444
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
hey tất cả đều đã nêu mà sao mình phải lập lại hoài vậy trời .
@tmd : nếu cậu quan tâm đến thì đọc kỹ giùm tớ, chú ý giùm cái phần tớ dùng mail yahoo. Ngoài ra cũng lên trang 24h.com và tuoitre. nếu những cái trang này bị gì đó thì chắc toàn hệ thống mạng việt nam bị nhiễm rồi. Hi vọng nhận được lời giải đáp của "chuyên gia".

@quanlypho : symantec cũng diệt được, cũng chỉ chỉnh sửa một vài thông số nhưng nó cứ hiển lên cái bảng cô lập hoài làm ngừoi sử dụng bình thường sợ ...kêu . thanks
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 06:22:05 (+0700) | #11 | 69462
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cho hỏi người xài cái máy đó có hay bị spam không, có bao giờ nhận mail lạ có đính kèm bất kỳ loại file nào không. Nếu có thì khả năng từ người này mà ra.
Chỉ liệt kê ra các loại khả năng lây nhiễm có thể có, người quản lý mạng tự nhận biết và tìm hiểu thực tế. Bạn cũng hàng chữ xanh sao mà nói chuyện buồn cười vậy.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 07:01:36 (+0700) | #12 | 69476
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

vikjava wrote:
như đã trình bày ở trên. Hệ thống mạng này khi bị nhiễm, nó lây lan ra tất cả các máy. Tớ đã format tất cả, có nghĩa là ổ cứng không còn gì. tớ cho cài symantec phiên bản 9 , và theo symantec thì phiên bản này có thể diệt 2 con này. nó cũng cô lập nhưng triệu chứng vẫn còn. Khi tớ cài mới lại hệ điều hành , tất nhiên không có dữ liệu , khi kết nối internet như vào yahoo gởi mail thì bị dính liền .  


uhm tớ sẽ xác minh lại vấn đề . Cho tớ hỏi có khi nào modem adsl bị gắn vài con vào không nhỉ .

@tmd: hàng chữ xanh là sao thế tmd. Nó nói lên điều gì ah.
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 07/07/2007 12:59:38 (+0700) | #13 | 69574
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
... Hệ thống mạng này khi bị nhiễm, nó lây lan ra tất cả các máy. Tớ đã format tất cả,có nghĩa là ổ cứng không còn gì. ...khi tớ cài mới lại hệ điều hành , tất nhiên không có dữ liệu , khi kết nối internet như vào yahoo gởi mail thì bị dính liền 


Chài! đây là trường hợp quái dị và khó tin nhất mà mình tứng nghe smilie)

Bác có thể nói rõ khoảng thời gian từ lúc máy thứ nhất bị nhiễm tới khi tất cả các máy bị nhiễm là bao lâu kô?

Theo những gì mà em biết thì virus trong mạng Lan chỉ lây sang nhau như sau: virus từ máy bị nhiễm (virus đã được kích hoạt tại máy đó) chỉ chuyền file mần của nó sang ổ đĩa hoặc thư mục được share full ở máy chưa bị nhiễm. Và máy chưa bị nhiễm này muốn bị nhiễm thì phải có ai đó ngồi trên máy đó kích hoạt cái file mầm được truyền sang đó. Trừ khi cái máy bị nhiễm có quyền truy cập vào acc admin của các máy khác trong mạng và tự kích hoạt nó tại các máy này smilie) Khủng vậy sao smilie

khi tớ cài mới lại hệ điều hành , tất nhiên không có dữ liệu , khi kết nối internet như vào yahoo gởi mail thì bị dính liền 


Bác có thể nói rõ: dựa vào biểu hiện như thế nào của máy mà bác kết luận máy vừa bị nhiễm do bác duyệt web kô?

Hãy tường thuật lại chi tiết tất cả những thao tác của bác từ lúc cài lại Win tới lúc bác phát hiện ra máy đã bị nhiễm.

Bác có biết file Autorun.inf và cách xử lý nó kô?

Hãy trả lời thật cụ thể để tìm ra nguyên nhân chính xác bác nhé.
[Up] [Print Copy]
  [Question]   Re: xin giúp về virut 09/07/2007 22:02:11 (+0700) | #14 | 70081
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
cảm ơn các bác đã quan tâm. Sau khi đổi modem adsl chết tiệt và kiểm tra thì ok rùi. Nghe nói hiện tại một số loại modem mới có hổ trợ chuyên về game. Không biết tên kỹ thuật nào đó có tool gắn vài thứ đồ chơi không nữa. Ah thông tin về hai con trên có một con lấy use và pass người chơi game online đó . Trên 911 nó phân tích thế .
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|