English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ?  XML
Go to Page:  Page 2 Last Page
  [Question]   [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 19/12/2007 07:08:15 (+0700) | #1 | 104665
noobxxx
Member
[Minus]    0    [Plus]
Joined: 09/06/2005 08:10:58
Messages: 22
Offline
[Profile] [PM]
Trước tiên xin cảm ơn 2 bác Le Vu Hoang và bác Ghost Ship nhờ đó mà mình tránh được rất nhiều dạng virus autorun.inf .
Hai hôm nay mình mở IE lên nó xuất hiện một hộp quảng cáo nhỏ bên góc dưới phải màn hình toàn bằng tiếng Trung Quốc, nếu mình click vào nó hiện ra 1 trang web xxx, nếu mình click vào nút close (x) thì nó lại hiện ra 1 trang quảng cáo lạ, 2 trang trang này toàn bằng tiếng Trung Quốc. Còn nếu mình không làm gì để nguyên, sau đó bấm sang trang web khác thì nó mất đi, mình có cài bitdefender 2008 và 1 số chương trình nữa nhưng ko thấy thông báo gì cả? Hơn nữa mình thấy nó lây lan được sang máy tính khác vì mình có 1 máy tính cũ nữa để nghịch (máy này không vào web bao giờ, mình chỉ dùng để giả làm server) vậy mà hôm nay khi mình bấm nhầm vào IE của nó thì cũng thấy có cái hộp quảng cáo đó rồi. Mong bạn nào gặp phải trường hợp này có cách xử lý thì giúp đỡ mình. Cảm ơn các bạn.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 19/12/2007 14:45:06 (+0700) | #2 | 104739
[Avatar]
 angel_of_devil
Member
[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Dùng thằng Spybot (miễn phí) thịt đc đấy. Cài đặt và update spy/adware list rồi quét là ok. Nó là một dạng adware wwwected host ăn vào IE. Cty mình cũng bị dính thằng này. Đã thử với Spybot và diệt ngon.
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 20/12/2007 05:41:55 (+0700) | #3 | 104825
[Avatar]
 heroprince
Member
[Minus]    0    [Plus]
Joined: 19/12/2007 11:57:08
Messages: 1
Offline
[Profile] [PM]
Mình đã làm theo hướng dẫn của bạn nhưng vẫn không thể nào diệt được mặc dù đã dùng Spybot phiên bản mới nhất. Có ai biết cách nào diệt nó được không. Hiện chỉ còn cách dùng ISA chặn IP thui. smilie . 121.15.220.104. Cái Ip chết tiệt này. smilie smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 20/12/2007 22:15:44 (+0700) | #4 | 104942
noobxxx
Member
[Minus]    0    [Plus]
Joined: 09/06/2005 08:10:58
Messages: 22
Offline
[Profile] [PM]
Mình cũng vậy, đã thử qua spybot, rồi adware2007, rồi spyware đều ko phảt hiện ra em này, có dùng processxp để coi có chương trình nào chạy cùng không cũng không phát hiện ra luôn. Bọn Tàu khựa dạo này kinh quá...... Ai bị tình trạng này mà xử lý được rồi thì post lên nhé, không sợ giống bạn gì trong topic ngoài kia có con virus Tàu giờ máy đơ đơ...
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 20/12/2007 23:05:38 (+0700) | #5 | 104950
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Sử dụng vài tool này để lấy thông tin của HDH, system snapshot của mr Hoàng, hijackthisv2(hoặc hijackthis) của trendmicro, và listdlls của systernal. Chạy cái snapshot rồi post cái log khá dài của nó lên forum để kiểm tra, tương tự với hijackthis.
Post cái log của listdlls , cú pháp lấy log Ổ đĩa:\>listdlls >ổ đĩa:\>tên file.txt
Yêu cầu, user thuộc nhóm administrators có quyền debug.

Ví dụ: tại ổ C, có file listdlls.exe, người dùng đăng nhập với user thuộc nhóm administrators có quyền debug, chạy file listdlls
c:\>listdlls >c:\listdlls.txt
-> chạy file listdlls, sau đó xuất kết quả vào file listdlls.txt, tên file .txt có thể khác nhau. Chạy lệnh , ngồi chờ một chút.

Có thể dùng một cái firewall để kiểm tra cái gì đang kết nối ra ngoài.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 20/12/2007 23:06:47 (+0700) | #6 | 104951
[Avatar]
 Look2Me
Member
[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Cái này là hiện tượng 1 virus trong mạng Lan của bạn bị nhiễm virus rồi sau đó ARP posoining toàn mạng, giả làm gateway, chặn giao thức HTTP lại rồi tự động chèn thêm các đoạn script (thực chất là chèn thêm 1 iframe).
Các diệt ( tùy virus, nói chung cũng thuộc hàng dễ vì chỉ là worm thông thường).
Phát hiện: dựa vào cách phát hiện 1 máy đang nghe trộm trong mạng. (so sánh Mac)
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 21/12/2007 00:25:10 (+0700) | #7 | 104970
[Avatar]
 proxxmaxx
Member
[Minus]    0    [Plus]
Joined: 20/12/2007 11:52:03
Messages: 6
Offline
[Profile] [PM] [Yahoo!]
LookMe nói con này chính xác. Nó thay đổi luôn Mac của Modem. Ping tới modem thì Time khủng khiếp >2000ms.(bình thường time <= 1ms) Nhưng thử qua các chương trình chẳng thằng nào diệt đc mới ác chứ. Mình có dùng thử phần mềm SOLARWINDS dò MAC Address coi thằng nào đang giả dạng MAC Modem nhưng cũng không phát hiện ra.Đang nhức đầu mới con này. Anh em nào có kinh nghiệm Post bài giúp anh em nhé.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 21/12/2007 08:05:51 (+0700) | #8 | 105073
[Avatar]
 Look2Me
Member
[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Hơ hơ có gì đâu.
Việc đầu tiên là xác định máy bị nhiễm trong mạng. Cách làm:
Vào ARP -a để xác định Mác giả của gateway.
Scan toàn hệ thống (xài tool) rồi vào ARP -a lại tìm cái IP nào có Mac giống Mac giả lúc nãy.
Từ IP ra máy.
Chú ý có thể dùng Cain để scan Mac các máy trong Lan sẽ nhanh hơn 1 chút.
Việc thứ 2 là tìm virus trên máy đó. (cái này thì nói nhiều rồi, nói suốt ngày rồi nhưng tựu trung lại là phải tự học smilie )
Nếu bạn không tự tìm và diệt virus trên máy đó được thì có thể:
- Nhờ các bác ở HVA đây viết cho vài cuốn sách để đọc smilie (ý đừng giận em nghe )
- Sài các tools AV
- Vất cái máy đó ra khỏi mạng, lấy búa đập đập. smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 21/12/2007 23:58:14 (+0700) | #9 | 105210
[Avatar]
 proxxmaxx
Member
[Minus]    0    [Plus]
Joined: 20/12/2007 11:52:03
Messages: 6
Offline
[Profile] [PM] [Yahoo!]
Cảm ơn bác Look2me đã trả lời.
Nhưng vấn đề ở chổ: arp -a thấy Mac của thằng modem rùi
Lại dùng (Tool) search Mac toàn mạng.
Nhưng không hề tìm thấy máy con nào có Mac như vậy
=> Mac này đúng là Mac modem nhỉ
Nhưng sao Ping vào Modem thì Time > 2000ms?
Có khi Out luôn smilie .
Tất cả vấn đề có lẽ ở đây :
/hvaonline/posts/list/17261.html
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 22/12/2007 13:28:36 (+0700) | #10 | 105312
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

nó xuất hiện một hộp quảng cáo nhỏ bên góc dưới phải màn hình toàn bằng tiếng Trung Quốc, nếu mình click vào nó hiện ra 1 trang web xxx, nếu mình click vào nút close (x) thì nó lại hiện ra 1 trang quảng cáo lạ, 2 trang trang này toàn bằng tiếng Trung Quốc. Còn nếu mình không làm gì để nguyên, sau đó bấm sang trang web khác thì nó mất đi,
 

nó là cái banner của trang web đó, thì làm sao diệt smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 22/12/2007 22:45:59 (+0700) | #11 | 105339
[Avatar]
 tieuvuong_net
Member
[Minus]    0    [Plus]
Joined: 10/04/2004 19:48:33
Messages: 105
Location: The Dark
Offline
[Profile] [PM]

LeVuHoang wrote:

nó xuất hiện một hộp quảng cáo nhỏ bên góc dưới phải màn hình toàn bằng tiếng Trung Quốc, nếu mình click vào nó hiện ra 1 trang web xxx, nếu mình click vào nút close (x) thì nó lại hiện ra 1 trang quảng cáo lạ, 2 trang trang này toàn bằng tiếng Trung Quốc. Còn nếu mình không làm gì để nguyên, sau đó bấm sang trang web khác thì nó mất đi,
 

nó là cái banner của trang web đó, thì làm sao diệt smilie 


smilie Bác chụp cái ảnh và post link cái banner ấy cho anh em nghía xem nó là virus hay gì gì đấy smilie

- Nói chung muốn kill mấy loại banner thì dùng chức năng không hiển thị Images khi duyệt Web là khả thi nhất.
- Còn loại Pop-up bật lung tung thì tốt nhất là suy nghĩ khi nhấn chuột và dùng chức năng lock có trong trình duyệt sử dụng.
- Còn loại adware thì xem mấy cái BHO cái nào xấu thì del..
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 23/12/2007 00:00:32 (+0700) | #12 | 105347
faheel
Member
[Minus]    0    [Plus]
Joined: 30/06/2007 10:43:30
Messages: 5
Offline
[Profile] [PM]

LeVuHoang wrote:

nó là cái banner của trang web đó, thì làm sao diệt smilie 


Pó tay với bác, con này dùng ARP poisoning mà smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 23/12/2007 02:21:38 (+0700) | #13 | 105367
[Avatar]
 proxxmaxx
Member
[Minus]    0    [Plus]
Joined: 20/12/2007 11:52:03
Messages: 6
Offline
[Profile] [PM] [Yahoo!]

LeVuHoang wrote:

nó xuất hiện một hộp quảng cáo nhỏ bên góc dưới phải màn hình toàn bằng tiếng Trung Quốc, nếu mình click vào nó hiện ra 1 trang web xxx, nếu mình click vào nút close (x) thì nó lại hiện ra 1 trang quảng cáo lạ, 2 trang trang này toàn bằng tiếng Trung Quốc. Còn nếu mình không làm gì để nguyên, sau đó bấm sang trang web khác thì nó mất đi,
 

nó là cái banner của trang web đó, thì làm sao diệt smilie 


Cho mình đóng góp ý kiến chút:
Bác H nói : nó là cái banner của trang web đó, thì làm sao diệt
Đúng vậy nhưng vấn đề nó kô phải là banner quảng cáo của trang web đó.

Đây là kiểu tấn công ARP poisoning
Nó khốn nạn ở chỗ máy nào dính con này sẽ làm các máy khác nhận lầm MAC address của máy đó là MAC address Modem smilie .Như Bác Look2me đã có nói
"Cái này là hiện tượng 1 virus trong mạng Lan của bạn bị nhiễm virus rồi sau đó ARP posoining toàn mạng, giả làm gateway, chặn giao thức HTTP lại rồi tự động chèn thêm các đoạn script (thực chất là chèn thêm 1 iframe). "
khi mở IE thì có mấy cai banner quảng cáo của mấy thằng web xxx bay ra.
Cách diệt thì các bác trong này đã nói rồi cứ dùng Tool search MAC, thằng nào giả MAC modem thì cứ rút cable lấy búa đập đập smilie

Có điều muốn hỏi các bác là con này có phải con Win32.Xorer... dính trên SMSS.EXE; LSASS.EXE; NETCFG.DLL; PAGRFILE.PIF
Mong các bác chỉ giáo,thanks


[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 23/12/2007 05:09:32 (+0700) | #14 | 105395
[Avatar]
 Look2Me
Member
[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Gần đây có nhiều virus hàng made in china có tính năng này. Chúng đều là worm nên diệt tay khá đơn giản.

Cảm ơn bác Look2me đã trả lời.
Nhưng vấn đề ở chổ: arp -a thấy Mac của thằng modem rùi
Lại dùng (Tool) search Mac toàn mạng.
Nhưng không hề tìm thấy máy con nào có Mac như vậy
=> Mac này đúng là Mac modem nhỉ
Nhưng sao Ping vào Modem thì Time > 2000ms?
Có khi Out luôn .
Tất cả vấn đề có lẽ ở đây :
/hvaonline/posts/list/17261.html  


Bạn thử post kết quả 2 bản arp lên đây tôi xem. (1 bản lúc ban đầu, 1 bản sau khi sài tool quét toàn mạng).
Nếu bạn ko biết scan và quy mô mạng nhỏ có thể thử tắt lần lượt từng máy đến khi nào hết hiện tượng. Chú ý những máy của mấy chú hay nghịch ngợm và có vẻ có tí hiểu biết. smilie

PS: Xem lại chính Mac của máy bạn: ipconfig /all
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 23/12/2007 05:58:22 (+0700) | #15 | 105403
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Hoàng không biết phải ARP posoining không nhưng bạn proxxmaxx thấy banner ở Tất cả các trang web hay chỉ 1 ?
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 23/12/2007 06:19:52 (+0700) | #16 | 105404
[Avatar]
 tieuvuong_net
Member
[Minus]    0    [Plus]
Joined: 10/04/2004 19:48:33
Messages: 105
Location: The Dark
Offline
[Profile] [PM]

LeVuHoang wrote:
Hoàng không biết phải ARP posoining không nhưng bạn proxxmaxx thấy banner ở Tất cả các trang web hay chỉ 1 ? 

Không phải tất cả nhưng mà là đại đa số chẳng hạn VNexpress chẳng hạn, một cái banner to đùng và tương đối "đẹp", hoặc TuoiTrE.CoM.Vn một con chim cánh cụt toàn tiếng Tầu
smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 25/12/2007 06:02:36 (+0700) | #17 | 105824
[Avatar]
 proxxmaxx
Member
[Minus]    0    [Plus]
Joined: 20/12/2007 11:52:03
Messages: 6
Offline
[Profile] [PM] [Yahoo!]
Thanks bác Loock2Me nhìu.
Hôm bữa Scan MAC lần lượt chụp đc 3 tên giả mạo. Scan virus thì thấy toàn con Win32.Xorer. Nên mới nghi là do con này.

LeVuHoang wrote:
Hoàng không biết phải ARP posoining không nhưng bạn proxxmaxx thấy banner ở Tất cả các trang web hay chỉ 1 ? 


Trả lời bác như sau : Có nghĩa là mình cứ mở trình duyệt là nó bay ra nằm ngay góc phải hoặc phía trên màn hình. Sẵn củng cảm ơn bác H, Tool Fire Lion cũng làm sạch mấy con Win32.Xorer.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 25/12/2007 08:13:05 (+0700) | #18 | 105860
born2die
Member
[Minus]    0    [Plus]
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
[Profile] [PM]
Tool của bác Hoàng bảo con này là Trojan??? Hơi lạ nhỉ, không đúng định nghĩa lắm.

Nếu không quan tâm phần lây file (như ghostship) thì cũng phải gọi nó là worm (lây lan mà, ít nhất là qua USB nhé).
Còn đúng ra phải gọi là là virus lâu file (có thể để .Virus, .PE thay vì .Trojan).
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 26/12/2007 01:52:10 (+0700) | #19 | 106003
[Avatar]
 Look2Me
Member
[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Dạo này có nhiều con như vậy. Bạn thử xài Bkav xem. Hôm rồi tôi mang mẫu về nhà phân tích thử. Đến hôm rồi cập nhật Bkav thì bị Bkav kill mất.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 26/12/2007 05:07:01 (+0700) | #20 | 106020
noobxxx
Member
[Minus]    0    [Plus]
Joined: 09/06/2005 08:10:58
Messages: 22
Offline
[Profile] [PM]
Hix, sau mấy hôm mà cái con chim cánh cụt nó vẫn chềnh ềnh trên máy thế mới tức. Bác nào ở trên nói về ARP gì đó có thể làm ơn chỉ mình biết dùng tool nào quét vào nhận dinh MAC modem cách nào ko ? Thông cảm kiến thức mình hạn chế. Cảm ơn bạn nhiều.
Mong giúp đỡ để mình xử lý chú chim cánh cụt Tầu này với.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 27/12/2007 09:09:33 (+0700) | #21 | 106314
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

born2die wrote:
Tool của bác Hoàng bảo con này là Trojan??? Hơi lạ nhỉ, không đúng định nghĩa lắm.

Nếu không quan tâm phần lây file (như ghostship) thì cũng phải gọi nó là worm (lây lan mà, ít nhất là qua USB nhé).
Còn đúng ra phải gọi là là virus lâu file (có thể để .Virus, .PE thay vì .Trojan). 

uhm, thật ra phải là Xorer/Virus mới đúng. Trong lần update database tới Hoàng sẽ đổi tên lại.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 28/12/2007 00:16:50 (+0700) | #22 | 106417
[Avatar]
 angel_of_devil
Member
[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]

heroprince wrote:
Mình đã làm theo hướng dẫn của bạn nhưng vẫn không thể nào diệt được mặc dù đã dùng Spybot phiên bản mới nhất. Có ai biết cách nào diệt nó được không. Hiện chỉ còn cách dùng ISA chặn IP thui. smilie . 121.15.220.104. Cái Ip chết tiệt này. smilie smilie  

Xin lỗi bạn, lúc đầu mình tưởng con này "vớ vẩn", dùng Spybot quét ra mấy chú, vào web ko thấy nên tưởng xong rồi. Chủ đề này đã sang đến trang thứ 2 mà vẫn chưa có giải pháp nào triệt để. Hiện tại ở cty mình dùng cách thủ công như sau để hạn chế tối đa việc dính thêm virus ở các máy khi mọi người duyệt web:
- Tạo 1 file bat có nội dung chứa lệnh: arp -s <địa_chỉ_ip_modem> <địa_chỉ_MAC_modem>
cho file này chạy start-up (nên thêm string value trong HKLM\Software\Microsoft\Windows\CurrentVersion\Run thay vì Startup thông thường trong Windows)
- Chỉnh trong IE, block http://121.15.220.104, add cả địa chỉ này vào Restricted Sites trong phần Security
Cách trên hạn chế việc bị nhiễm thêm virus ở mấy trang popup thôi, hy vọng mọi người sớm tìm ra giải pháp triệt để smilie
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 28/12/2007 01:25:43 (+0700) | #23 | 106434
[Avatar]
 angel_of_devil
Member
[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Virus W32.Dashfer.Worm có xuất xứ từ Trung Quốc, bùng phát tại VN từ 14/12 và hoành hành với khoảng 14 biến thể. Hiện tượng khi nhiễm sâu này là máy tính vào bất kỳ trang web nào đều thấy một banner chữ Trung Quốc hiện lên trên đầu site.



Quá trình chèn banner, popup của virus Dashfer. Ảnh: BKIS

Theo Trung tâm an ninh mạng BKIS, nguồn phát tán chủ yếu của virus này là qua các website chứa mã độc và đĩa USB. "Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các PC khác trong cùng mạng, mạo danh là gateway của hệ thống", ông Vũ Ngọc Sơn, một chuyên gia của BKIS, mô tả. "Các kết nối ra Internet của mọi PC trong mạng lúc này sẽ bị lừa đi qua gateway giả mạo trước rồi mới tới cổng mạng thật. Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng".

Với phương thức "tung hỏa mù" như vậy, không phải máy tính nào xuất hiện banner cũng là bị dính virus vì trong mạng chỉ cần 1 máy nhiễm thì các máy khác vào mạng đều thấy bị chèn banner dù máy đó "sạch virus". Còn PC mà có virus chính là cổng mạng giả.

"Điều đó có nghĩa là muốn giải quyết triệt để, quản trị mạng cần quét virus cho toàn bộ các máy tính trong cơ quan. Trong trường hợp không có điều kiện để làm như vậy thì có thể xác định PC có virus và tận diệt trên máy này", ông Sơn nói. Cách xác định máy nhiễm virus W32.Dashfer.Worm

* Xác định địa chỉ của máy tính giả mạo bằng lệnh arp –a hoặc dùng một phần mềm quét mạng.

* Dùng địa chỉ tìm được ở trên để tra cứu trên hệ thống switch, từ đó ra được vị trí vật lý của máy tính bị nhiễm virus.

* Dùng Bkav (tải về tại bkav.com.vn) quét virus cho máy tính này.



Nguyễn Anh
(Theo VnExpress.net)
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 01/01/2008 04:03:29 (+0700) | #24 | 107351
nguoi_moi_biet
Member
[Minus]    0    [Plus]
Joined: 31/12/2007 12:32:48
Messages: 29
Offline
[Profile] [PM]
Các bác có thể chỉ rõ cụ thể hơn không vây?Ví như ở cơ quan em, lúc arp -a thì thấy có rất nhiều địa chỉ. Vậy thì bằng chách nào xác định được cái máy bị nhiễm vậy? Mong các bác giúp em, mấy ngày nay em đau đầu với con này lắm rồi!
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 01/01/2008 05:03:08 (+0700) | #25 | 107374
[Avatar]
 angel_of_devil
Member
[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Nhìn bên cột Physical Address xem những địa chỉ nào có địa chỉ MAC giống nhau thì cách ly ra. Diệt tận gốc mấy máy đó. Nhưng mấy ngày nay nảy sinh một vấn đề: BKAV home diệt ko tận gốc thì phải, hoặc là diệt các ổ USB ko tận gốc. Virus vẫn lây lan, ko diệt triệt để được thằng Dashfer này smilie Còn các AV nước ngoài thì chưa thịt đc thằng này
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 01/01/2008 06:22:23 (+0700) | #26 | 107397
Overflow
Member
[Minus]    0    [Plus]
Joined: 22/05/2007 18:55:46
Messages: 11
Offline
[Profile] [PM]
Bạn tìm 1 AV thịt được dòng này --> cài + quét tất cả các máy. Chắc hơn thì update thường xuyên --> có lẽ ổn
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 01/01/2008 22:47:55 (+0700) | #27 | 107546
nguoi_moi_biet
Member
[Minus]    0    [Plus]
Joined: 31/12/2007 12:32:48
Messages: 29
Offline
[Profile] [PM]
Cơ quan của em dùng chung máy in, nên khi arp -a thấy có rất nhiều địa chỉ mà lại không thấy cái nào trùng nhau. Lúc em arp -a lần đầu thì thấy cái Physical Address của Modem khác với Physical Address sau khi em đã delete hết cache. Dù sao cũng cám ơn các bác đã quan tâm

PS: Em thấy ở diễn đàn có bài viết về ARP rất hay , mà theo em nghỉ thì nó rất hữu ích trong việc tiêu diệt con này (http://hvaonline.net/hvaonline/posts/list/4619.html). Chỉ tiếc là đọc mới có 2,3 lần và cũng chưa thực hành được nên cũng chưa hiểu lắm.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 03/01/2008 00:28:06 (+0700) | #28 | 107759
[Avatar]
 intrepid
Member
[Minus]    0    [Plus]
Joined: 24/08/2004 20:05:53
Messages: 10
Location: Mặt trăng
Offline
[Profile] [PM]
Mạng ở chỗ mình cũng bị nhiễm con virut này, mình có xem hướng dẫn ở một site Trung Quốc và đã diệt được nó nay chia sẻ lại với các bác.

Đầu tiên cài đặt tường lửa ARP (ARP firewall Jinshan) download ở địa chỉ:
http://kad.www.duba.net/kas/KAntiarp.exe

Tiếp theo dùng phần mềm ATF-Cleaner-cn.exe để xóa Temporary Files
http://www.dodudou.com/down/download.php?fname=./02.%B3%A3%D3%C3%B9%A4%BE%DF/ATF-Cleaner-cn.exe


Sau đó tải phần mềm Windows liquidation assistant malicious (cập nhật phiên bản mới nhất) về quét cho tất cả các máy trong mạng là diệt được.
http://www.arswp.com/download.html

=>http://translate.google.com bác nào ko đọc được tiếng Trung thì nhờ trang đó chuyển sang tiếng Anh.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 03/01/2008 23:40:15 (+0700) | #29 | 108002
[Avatar]
 Look2Me
Member
[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

Overflow wrote:
Bạn tìm 1 AV thịt được dòng này --> cài + quét tất cả các máy. Chắc hơn thì update thường xuyên --> có lẽ ổn  

Vấn đề là ngoài Bkav ra lại không có AVR nào cập nhật virus này (có lẽ có KingSoft AVR nhưng mình chưa xài thử). Mà Bkav lại chưa cập nhật hết mẫu của dòng virus này nên có lúc diệt được, có lúc không.
Khắc phục tạm thời bằng arp -s.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách diệt virus hoặc adware lạ xuất hiện khi mở IE ? 09/01/2008 04:19:46 (+0700) | #30 | 109145
nguoi_moi_biet
Member
[Minus]    0    [Plus]
Joined: 31/12/2007 12:32:48
Messages: 29
Offline
[Profile] [PM]
Hic hic không ai vào cái topic này nữa hả? Vậy cuối cùng phương thức diệt con này là ra sao hả?
Cho em hỏi luôn: Tại sao một lần em arp -a thì lại thấy cái dịa chỉ Vật lý của Modem khác nhau ( mỗi lần mở máy lên á). Có cách nào xác định được cái địa chỉ chính xác của Modem không, để xác định được cái máy giả Mac của Modem í.
Bác Look2me có nói là dùng arp -s. Vậy dùng bằng cách nào để khắc phục tạm thời vậy
[Up] [Print Copy]
Go to Page:  Page 2 Last Page
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|