banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Máy có hiện tượng lạ- phải chăng js/wk  XML
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 20/08/2006 11:52:25 (+0700) | #1 | 16407
[Avatar]
ChinhVn
Elite Member

[Minus]    0    [Plus]
Joined: 07/05/2003 12:06:21
Messages: 80
Offline
[Profile] [PM] [Yahoo!]
Hôm trước có vào trang web mà lão thần bài 777 đưa lên thế là máy bị dính trojan hay rs JS/w-o-n-k-a như QVT nói
Triệu chứng:
Chọn Run gõ cmd sẽ tự động reset máy.
Vào IE hay Firefox mà search với mấy từ khoá nhậy cảm kiểu như p-i-n-g, S_E_R_V_I_C_E_S._EXE , JS\W-o-n-k-a ...vv là chắc chắn máy sẽ reset ngay lập tức.

Các từ trên có dấu _ và - là do tớ viết thế này để gửi bài vì sợ máy rs smilie

Nếu là con js/wk như trên thì các bạn cho mình cách diệt bằng tay. Mình đã quét bằng Avira Anti Vir (free-av.com) Spyware doctor, trojanremover nhưng không hiệu quả.
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 20/08/2006 12:20:59 (+0700) | #2 | 16412
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hm... Bạn thử dùng:
1. Process Explorer
2. AutoRun
Trên www.sysinternals.com xem có gì lạ không ? Còn không biết thì cứ post result lên đây smilie
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 20/08/2006 12:35:14 (+0700) | #3 | 16416
mfeng
Researcher

Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
To ChinhVn,

Bạn đề cập đến website nào, ghi rõ địa chỉ ra đây được không?

Hiện tượng reset xảy ra thường do vr phát hiện ra title các window có từ khoá nhạy cảm: virus, cmd, registry, update, ... (đại loại như thế). Mình không nghĩ một vr dạng jscript lại có thể làm được như thế, khả năng là có một tiến trình (exe) là file vr chính thực hiện điều này. Bạn thử tìm kiếm bằng process explorer (hoặc chương trình tương đương) xem sao. Chú ý: có thể chạy Process Explorer cũng bị reset (vì có chữ "Process", nhỡ đâu :-D).
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 20/08/2006 12:54:10 (+0700) | #4 | 16419
[Avatar]
ChinhVn
Elite Member

[Minus]    0    [Plus]
Joined: 07/05/2003 12:06:21
Messages: 80
Offline
[Profile] [PM] [Yahoo!]
Đồng ý với ý kiến của Light.phoenix tớ cũng nghĩ rằng cái này khó có thể là do con jscript làm ra đc. Tớ rất hay quan tâm kiểm tra các tiến trình chạy trong phần Process của Task Manager. Sau khi vào site kia thì có thêm 3 tiến trình đáng ngờ chạy mà kô thể end task đc đó là: ping.exe, lsass.exe, services.exe .

Trang web mà tớ vào là trang trong topic " Đỉnh cao photoshop!" của lão 777
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 20/08/2006 13:02:23 (+0700) | #5 | 16424
[Avatar]
ChinhVn
Elite Member

[Minus]    0    [Plus]
Joined: 07/05/2003 12:06:21
Messages: 80
Offline
[Profile] [PM] [Yahoo!]
Rất may là từ khoá Process không có vấn đề gì. Result khi dùng Process Explorer đây:

Process PID CPU Description Company Name
System Idle Process 0 23.53
Interrupts n/a 0.98 Hardware Interrupts
DPCs n/a 0.98 Deferred Procedure Calls
System 4 4.90
SMSS.EXE 584 Windows NT Session Manager Microsoft Corporation
CSRSS.EXE 664 Client Server Runtime Process Microsoft Corporation
WINLOGON.EXE 688 Windows NT Logon Application Microsoft Corporation
SERVICES.EXE 732 Services and Controller app Microsoft Corporation
ATI2EVXX.EXE 904 ATI External Event Utility EXE Module ATI Technologies Inc.
SVCHOST.EXE 944 Generic Host Process for Win32 Services Microsoft Corporation
iexplore.exe 4024 1.96 Internet Explorer Microsoft Corporation
SVCHOST.EXE 1052 Generic Host Process for Win32 Services Microsoft Corporation
SVCHOST.EXE 1252 Generic Host Process for Win32 Services Microsoft Corporation
SVCHOST.EXE 1268 Generic Host Process for Win32 Services Microsoft Corporation
ccSetMgr.exe 1480 Symantec Settings Manager Service Symantec Corporation
ccEvtMgr.exe 1512 Symantec Event Manager Service Symantec Corporation
SPOOLSV.EXE 1624 Spooler SubSystem App Microsoft Corporation
WVSScheduler.exe 1760 Acunetix WVS Scheduler Acunetix Ltd.
INETINFO.EXE 1820 Internet Information Services Microsoft Corporation
MDM.EXE 1848 Machine Debug Manager Microsoft Corporation
SQLSERVR.EXE 1876 SQL Server Windows NT Microsoft Corporation
VSMON.EXE 260 TrueVector Service Zone Labs LLC
LSASS.EXE 744 LSA Shell (Export Version) Microsoft Corporation
ATI2EVXX.EXE 424 ATI External Event Utility EXE Module ATI Technologies Inc.
EXPLORER.EXE 1552 Windows Explorer Microsoft Corporation
ATIPTAXX.EXE 256 ATI Desktop Control Panel ATI Technologies, Inc.
ccApp.exe 628 Symantec User Session Symantec Corporation
ZLCLIENT.EXE 868 Zone Labs Client Zone Labs LLC
Skype.exe 1648 Skype. The whole world can talk for free. Skype Technologies S.A.
IDMan.exe 1548 Internet Download Manager Application (IDM) Internet Download Manager Corp., Tonec Inc.
YahooMessenger.exe 2036 Yahoo! Messenger Yahoo! Inc.
CTFMON.EXE 232 CTF Loader Microsoft Corporation
SWDOCTOR.EXE 2076 Spyware Doctor PCTools
FIREFOX.EXE 1468 Firefox Mozilla
WinRAR.exe 1188
procexp.exe 1968 0.98 Sysinternals Process Explorer Sysinternals
SWiSHpla.exe 3896 66.67 Macromedia Flash Player 7.0 r19 Macromedia, Inc.
winlogon.exe 2676
SERVICES.EXE 2916
LSASS.EXE 2964

ping.exe 1244 TCP/IP Ping Command Microsoft Corporation


2 tiến trình này là tớ nghi ngờ nhất bởi vì nó là 2 file exe nằm trong thư mục C:\Documents and Setting\Hanamichi\Local Settings\Application Data\


[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 20/08/2006 13:30:40 (+0700) | #6 | 16425
[Avatar]
ChinhVn
Elite Member

[Minus]    0    [Plus]
Joined: 07/05/2003 12:06:21
Messages: 80
Offline
[Profile] [PM] [Yahoo!]
Thanks Hoàng,light.phoenix nhiều smilie, tớ đã kill 2 process kia đi và sau đó test lại với các triệu chứng trên thì máy kô bị rs nữa.
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 21/08/2006 13:04:00 (+0700) | #7 | 16635
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Congratulations smilie). Lần sau chụp cái hình post lên cho lẹ, gõ chi cho mệt zạ smilie
Ngoài ra có 1 số process không cần thiết có thể disable hoặc kill đi cho nhẹ máy
(nhớ delete luôn 2 file đã kill và bỏ luôn các khoá autorun để tránh rác)
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 21/08/2006 23:49:21 (+0700) | #8 | 16715
[Avatar]
ChinhVn
Elite Member

[Minus]    0    [Plus]
Joined: 07/05/2003 12:06:21
Messages: 80
Offline
[Profile] [PM] [Yahoo!]
Ừa, đã làm rồi smilie thanks Hoàng ( smilie export ra file txt đó chớ, gõ mệt dạ lắm )
[Up] [Print Copy]
  [Question]   Máy có hiện tượng lạ- phải chăng js/wk 22/08/2006 09:24:10 (+0700) | #9 | 16858
t0ny4n
Member

[Minus]    0    [Plus]
Joined: 03/07/2006 10:47:01
Messages: 40
Offline
[Profile] [PM]
Trc' em cũng bị con tương tự thế này, nó còn hide folder + options của mình nữa.
Ngoài ra còn get cookies nữa.
Hơn nữa nó còn nhạy cảm với cả mấy từ như virus hay firewall nữa, nhưng lúc đó kô bít cách nào nên Ghost máy lun ~.~
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|