[Question] Virus make Computer send and receive package automatically |
24/07/2007 10:34:03 (+0700) | #1 | 73496 |
|
phpvirus
Member
|
0 |
|
|
Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline
|
|
Hi all
Không biết các bạn và các "pác" ở đây gặp 1 con VIRUS này chưa. Em đã gặp và đã bó tay với nó rùi..
Hệ điều hành Win XP Home Edition...
Triệu chứng:
- Chỉ cần các bạn mở 1 file nào lên là lập tức nó sẽ SEND và RECEIVE với 1 số lượng khủng khiếp.
- Mình có 1 file NOTEPAD, size chỉ có 1 KB. Mà khi mình mở nó lên, rất lâu, khoảng 2 phút. Lúc đầu mình ko biết virus gì dùng các soft như AVG, SpyBot, Symantec..... wét ko ra. Khóc luôn.
- Về sau để ý, khi mình mở 1 file thì mình mở cái Status của CARD mạng lên kiểm tra theo.
Và mình nhận ra 1 điều rất lạ như sau. Không mở bất cứ 1 ứng dụng nào để ra NET. Nhưng khi mở 1 file hay chạy 1 application thì nó sẽ send đến máy đích (cái này là theo mình nghĩ). Vì Status của Card mang SENT cỡ 2,653 package, còn RECEIVE về là gần 6 triệu package.
Tiếp tục mở 1 file khác lên, thì số lượng package SENT là 2 triệu gói là RECEIVE về máy là 28 triệu gói.
còn rút dây mạng ra thì mở file đó rất lẹ.
Mình đã ra Safe Mode dùng BKAV và đã wét Bifdefender rồi nhưngko hết. Có ai biết cách giúp mình tiêu diệt con VIRUS này ko, tránh trường hợp fải cài lại máy.
Thân |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
24/07/2007 12:07:41 (+0700) | #2 | 73516 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Bạn upload thử con đó lên đây xem ? |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
24/07/2007 19:13:22 (+0700) | #3 | 73554 |
|
Bí Danh NJ
Member
|
0 |
|
|
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
|
|
Con Virus đó hay đấy - Mà Send kiểu đó nghi là TroJan hơn là Virus đó - Hihi - Tải thử các bản diệt Adware - Trojan thử - biết đâu nó gặp nó biến mất
Mod ơi ,hắn ta bị dính tìm cách diệt ko ra mà Mod kêu hắn Up con đó lên thì có lẽ hắn bó tay đó Mod - Hihi ! |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
24/07/2007 21:29:07 (+0700) | #4 | 73574 |
|
phpvirus
Member
|
0 |
|
|
Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline
|
|
Đúng thiệt, mình còn chưa biết nó là con gì dùng Protocol gì mà nó có thể send package ào ào như dzị. Còn thằng Bitdefender 10 nó báo cho mình là con Adware.Ballon.A mà lên mạng search thì ko thấy tài liệu nào nói dzìa con này cả.
Em mà biết nó là con nào, thì em luộc nó bằng các TOOL đặc chủng rùi MOD ơi. Sorry em ko thể up nó lên cho mọi người được.
Hôm nay em sẽ ráng tìm cách, cách ly nó ra và bắt gói, xem nó gửi ra cái gì, rùi chúng ta bàn tiếp các bạn há..... |
|
|
|
|
[Question] Re: Virus make Computer send and receive package automatically |
25/07/2007 02:30:36 (+0700) | #5 | 73645 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Khi "nó đang send đến máy đích" (cái này là theo bạn nghĩ) bạn vào run/cmd rùi gõ lệnh netstat -nao rùi để ý cái cột PID xem nó hiện những số gì.
Sau đó gõ tiếp lệnh tasklist(có tác dụng hiện danh sách process đang chạy trên máy) và bạn so xem cái số(một hoặc nhiều) hiện ở cọt PID bên trên tương ứng với dòng nào ở kết quả vừa hiện.
Chú ý cái cột Image Name là cột ghi tên của Process đã làm cái việc "send đến máy đich".
Bạn vào serch trong ổ C tên cái Process ấy xem nó nằm ở đâu rùi copy up nó lên đây cho bác Hoàng và mọi người nghiên cú )
Bạn hãy thử xem nhé )
Hôm nay em sẽ ráng tìm cách, cách ly nó ra và bắt gói, xem nó gửi ra cái gì, rùi chúng ta bàn tiếp các bạn há.....
--> cái này nghe hay hay đây lúc nào bạn share nhé |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
25/07/2007 02:35:04 (+0700) | #6 | 73646 |
|
Bí Danh NJ
Member
|
0 |
|
|
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
|
|
Nếu đã bảo là Adware thì bạn nên xài trình diệt đặc chủng về bọn này - Cách tốt nhất là nên xài thằng Spy Emergency 2007 4.0.225 (Link 1 : http://rapidshare.com/files/42258646/SpyEmergency.2007.4.0.225.rar
Link 2 : http://rapidshare.com/files/42114071/SE40.255TBE.rar)
Hoặc thằng AVG anti-Spyware Plus 7.5.1.43
Link 1 : http://download.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.1.43.exe
Serial: 70-THXMV1-PM-C01-SGX3D-T13-JFHJ
70-THXMV1-PM-C21-SJLI7-SLG-58CA
70-THXMV1-PM-C01-SGX3D-T13-JFHJ
70-THXMV1-PM-C21-S9I69-BH6-1IGK
70-THXMV1-PL-C21-SM2ZG-SKU-N3KV
70-THXMV1-PL-C21-S4F4S-UJS-PBXN
70-THXMV1-PM-C21-SLXBQ-U05-9L34
70-THXMV1-PM-C21-SJLI7-SLG-58CA
Mà sao tớ kiếm ra con Ballon-A này nhưng nó là virus nhỉ
http://www.sophos.com/security/analyses/phpballona.html |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
25/07/2007 04:48:36 (+0700) | #7 | 73671 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
25/07/2007 11:27:40 (+0700) | #8 | 73765 |
|
minhquan1712
Member
|
0 |
|
|
Joined: 07/09/2006 16:17:25
Messages: 240
Offline
|
|
Sau đó gõ tiếp lệnh tasklist(có tác dụng hiện danh sách process đang chạy trên máy) và bạn so xem cái số(một hoặc nhiều) hiện ở cọt PID bên trên tương ứng với dòng nào ở kết quả vừa hiện.
theo mình biết 1 số tiến trình có thể ẩn được trong taskmanger( mặc dù nó đang chạy nhưng bạn ko biết). Muốn biết tất cả những process đang chạy trong win mình nghĩ bạn dùng cái hijackthis(ko biết có đúng tên ko nhỉ ^^) rồi up file lên đây cho mọi người xem |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
26/07/2007 00:02:45 (+0700) | #9 | 73849 |
|
phpvirus
Member
|
0 |
|
|
Joined: 20/09/2006 00:31:36
Messages: 110
Location: TP HCM
Offline
|
|
Đúng như bạn minhquan1712 nói. Có 1 số chương trình nó chạy ẩn trong cả TaskManager.
Nhưng ko hiểu sao, giờ cái máy chạy còn hơn con rùa nữa.
Start Window trong Safe Mode mà nó chạy 1 tiếng đồng hồ.
Sáng giờ ko làm gì được cả.
Nhưng mình có chụp được 1 cái hình, ko biết có giúp gì cho các bạn trong quá trình tìm hiểu giúp mình vấn đề này ko?? Vì mình thấy hơi lạ.
Mình ko biết cũng chưa dùng wa chức năng up hình lên forum. Nên up lên đây. Có chậm hay gì thì các bạn thông cảm cho nha.
http://s206.photobucket.com/albums/bb45/phpvirus/?action=view¤t=port1.jpg
Thân
|
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
26/07/2007 03:58:32 (+0700) | #10 | 73894 |
|
minhquan1712
Member
|
0 |
|
|
Joined: 07/09/2006 16:17:25
Messages: 240
Offline
|
|
mình hồi đó cũng bị như bạn. Cái vấn đề chạy vào safe mod chậm mình nghĩ rất ít khả năng liên wuan đến con virus đó. HỒi đó máy mình cũng như bạn, chưa sử dụng đến internet thì vào cmd type netstat -n nó ra cả đống kết nối có vẻ như máy mình đang trở thành 1 zombie rồi thì fải(cái này theo mình nghĩ là vậy) mà mình cài bất cứ anti virus nào cũng ko wét ra con virus hay trojan jì hết( dù đã updated). Hôm sau mình cài thử vào máy cái zone alarm Pro thì thấy nó thông báo chặn được rất nhiều kết nối harmful đến máy mình. Nếu theo như máy bạn thì mình đề nghị thử là bạn rút dây mạng ra trước, sau đó down cái zone alarm Pro về máy và cài vào(nhớ tìm số serial luôn nhé ^_^) . Có thể nó sẽ ngăn được tình trạng gửi packet wóa nhiều của máy bạn vì cái fire wall của zone alarm Pro có vẻ rất mạnh. Good luck |
|
|
|
|
[Question] Virus make Computer send and receive package automatically |
26/07/2007 04:38:27 (+0700) | #11 | 73900 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Sử dụng tcpview, icesword(với quyền admin), . Kiểm tra phần port ở icesword để xem cái tiện ích nào mở port. TCPview để xem cái nào đang kết nối. Xem luôn Process ID.
Cái máy .178 kia là máy gì, ở tiệm nét? , trong mạng lan công ty?, bị keylogger ? ....
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|