[Question] Các bác giúp em diệt con vius này với |
29/03/2007 10:19:53 (+0700) | #1 | 50282 |
hoangcave
Member
|
0 |
|
|
Joined: 21/09/2005 09:08:28
Messages: 8
Offline
|
|
Máy của em dính con gì đó rất lạ, em chưa gặp bao giờ.
Nếu máy không vào internet thì không sao nhưng nếu vào internet nó sẽ bật ra một cửa sổ và sẽ đếm ngược rồi Shutdown.
Em dùng lệnh Shutdown -a thì cửa sổ đó đóng lại và máy không bị Shutdown nhưng tất cả các service bị khóa lại như IIS... và máy bị tước mất quyền Admin. Khi sử dụng một chương trình cần đăng nhập thì sẽ bị báo là sai U hoặc P. Ví dụ khi đã bật lên cửa số thông báo thì nếu Log off máy cũng không có tác dụng, nó vẫn báo sai pass khi đăng nhập lại, hoặc đăng nhập vào YM cũng vậy.
Em đã thử quét bằng Symantec Corporation 10, Bkav home bản mới nhất FixBlast.exe nhưng đều không có tác dung, không phát hiện nó là con gì.
Bác nào biết nó là con gi, cách diệt luôn thì càng tốt chỉ cho em với.
Cảm ơn các bác nhiều. |
|
|
|
|
[Question] Re: Các bác giúp em diệt con vius này với |
03/04/2007 12:04:24 (+0700) | #2 | 51278 |
hoangcave
Member
|
0 |
|
|
Joined: 21/09/2005 09:08:28
Messages: 8
Offline
|
|
Chán quá, ngay nào cũng vào xem ma chẳng có ai trả lời. Bác nào biết chỉ giúp em với. |
|
|
|
|
[Question] Re: Các bác giúp em diệt con vius này với |
04/04/2007 05:39:13 (+0700) | #3 | 51463 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Ẹc ) kô ai trả lời thì cài lại win cho rùi, lại còn để từ hôm ấy tới giờ )
Lâu lắm rùi kô có cao thủ vô đây chơi nhỉ ) Những biểu hiện này cũng chuối nhỉ, mình cũng chưa gặp bao giờ )
Chỉ bị như vậy khi vào IE, nghĩa là sau khi restart máy thì lại trở lại bình thường phải kô bạn ? -->> có phải Home Page đã bị thay đổi thành một trang có malware( tên gọi chung của virus,trojan,worm...) chỉ cần mở IE là máy sẽ tự động mở trang web đó đồng thời tải malware về( hoặc start malware đã bị cài vào máy từ trước) khi malware này hoạt động thì nó chỉ tạm chiếm quyền điều khiển máy và gây ra những hiện tượng như bạn thấy. Nhưng nó kô có chức năng start cùng với win nên sau khi bạn restart thì kô còn hoạt động và máy trở lại bình thường hoặc là vẫn bị thay đổi vài thứ nhưng bạn chưa nhận ra.-->Bạn đã kiểm tra Home page chưa ?
Bạn nên nói rõ bạn đã làm những gì để rút ra các kết luận:
- tất cả các service bị khóa lại
- máy bị tước mất quyền Admin
Khi sử dụng một chương trình cần đăng nhập thì sẽ bị báo là sai U hoặc P
Cái này thì chắc là phải cao thủ mới giải thích được. Đòi hỏi phải có kiến thức hơi sâu về hệ điều hành )
Bạn có biết xem Process kô. Để ý xem sau khi bị như vậy thì có process nào mới chạy, tìm xem nó đang ở đâu. đùng google để tìm thông tin về file đó. Nếu là trùng với tên của file trong hệ thống thì kiểm tra đường dẫn, nếu kô đúng với đường đẫn mặc định thì nó là malware rồi. |
|
|
|
|
[Question] Re: Các bác giúp em diệt con vius này với |
05/04/2007 03:55:57 (+0700) | #4 | 51663 |
hoangcave
Member
|
0 |
|
|
Joined: 21/09/2005 09:08:28
Messages: 8
Offline
|
|
Cảm ơn bác Ghost Ship đã quan tâm.
Thứ nhất là mỗi lần cài lại máy cũng mất khá nhiều thời gian hơn nữa cũng nên tìm hiểu xem nó là con gì mà quái đản như vậy.
Khi sử dụng IE, Home Page hoàn toàn không bị thay đổi. Bình thường em vẫn sử dụng IIS để chạy localhost. Nều ngắt Internet thì chạy localhost vô tư, nó không bao giờ hoạt động. Như vậy theo em hiểu nó sẽ không liên quan đến IE được sử dụng hay không.
Khi nó đã bật lên cửa sổ đếm ngược thì không thể Shutdown, Restart, Logoff đựoc máy, nó báo là không có Quyền để thực hiện các chức năng đó. Nếu nhấn Ctrl + Alt + Del để logoff thì sau đó không login vào được (nó báo sai User or Pass trong khi U & P vẫn hoàn toàn chưa bị thay đổi).
Đối với IIS khi đã bật lên cửa sổ đếm ngược thì không hoạt động được nữa, nó thông báo là No Services.
Khi đã bật lên cửa sổ đếm ngược, em vào xem trong Process và Startup đều không có gì lạ. |
|
|
|
|
[Question] Các bác giúp em diệt con vius này với |
05/04/2007 05:58:42 (+0700) | #5 | 51689 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Hiện tượng này giống như khi bị nhiễm worm họ Blaster hay Sasser.
Nếu Windows của bạn chưa cài hai bản patch cho các lỗi này, thì ngay khi kết nối internet, có khả năng máy tính bị worm tấn công, shellcode của worm đôi khi khiến service lsass và RPC bị crashed, dẫn tới hệ thống tự động shutdown trong vòng 60s.
|
|
|
|
|
[Question] Các bác giúp em diệt con vius này với |
05/04/2007 11:43:10 (+0700) | #6 | 51774 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
hoangcave wrote:
Máy của em dính con gì đó rất lạ, em chưa gặp bao giờ.
Nếu máy không vào internet thì không sao nhưng nếu vào internet nó sẽ bật ra một cửa sổ và sẽ đếm ngược rồi Shutdown.
Em dùng lệnh Shutdown -a thì cửa sổ đó đóng lại và máy không bị Shutdown nhưng tất cả các service bị khóa lại như IIS... và máy bị tước mất quyền Admin. Khi sử dụng một chương trình cần đăng nhập thì sẽ bị báo là sai U hoặc P. Ví dụ khi đã bật lên cửa số thông báo thì nếu Log off máy cũng không có tác dụng, nó vẫn báo sai pass khi đăng nhập lại, hoặc đăng nhập vào YM cũng vậy.
Em đã thử quét bằng Symantec Corporation 10, Bkav home bản mới nhất FixBlast.exe nhưng đều không có tác dung, không phát hiện nó là con gì.
Bác nào biết nó là con gi, cách diệt luôn thì càng tốt chỉ cho em với.
Cảm ơn các bác nhiều.
Tui xin ý kiến để tìm hiểu một số hiện tượng lạ tương tự như thế này.
+ Trước hết lệnh shutdown -a mang ý nghĩa: Abort a system shutdown. Lệnh này bạn sử dụng sau khi xuất hiện bảng thông báo shutdown, trong thời gian đó một số service đã bị stop.
+ Bạn bảo máy bị tước quyền Admin nghĩa là sao? Bạn có thể đăng nhập lại bằng user đó ko? hay là chỉ bị tước tạp thời? Bạn thử làm 1 phép thử như thế này: Tạo 1 user bình thường (ko có quyền admin) khởi động và vào máy bằng user đó xem thử có bị hiện tượng trên hay ko? Sau đó xem những processes có process nào lạ không?
+ Hiện tượng xảy ra khi connect vào internet, sao ko thử 1 chương trình filewall nào đấy để kiểm tra các file connect vào internet? ZoneAlarm chẳng hạn.
+ Chương trình quét virus chỉ tìm thấy những virus có trong list của nó. Nên việc ko tìm ra ko có nghĩa là ko có virus. (Bạn dùng Symantec coporation 10.0 nhưng update đến ngày nào?)
@Ghost Ship
Cài Win cũng nhanh, nhưng biết sử dụng, quản lý nó mới thú vị chứ )
Thân. |
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|
|
[Question] Re: Các bác giúp em diệt con vius này với |
05/04/2007 12:42:41 (+0700) | #7 | 51786 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
hoangcave wrote:
Khi sử dụng IE, Home Page hoàn toàn không bị thay đổi. Bình
thường em vẫn sử dụng IIS để chạy localhost. Nều ngắt Internet thì chạy localhost vô tư, nó không bao giờ hoạt động. Như vậy theo em hiểu nó sẽ không liên quan đến IE được sử dụng hay không.
Vào internet thì bị như vậy, nhưng lại không liên quan đến IE được sử dụng hay không. ẹc.. ẹc khó hỉu ghê. ) Có phải bạn dùng IE để vào internet thì kô có hiện tượng đó đúng kô? hiện tượng đó chỉ xảy ra khi bạn sử dụng IIS ( Internet Information Services ) để vào mạng đúng kô ? -->> rất có thể IIS bị lỗi hay gì đó, túm lại là lỗi này do IIS gây ra.
Khi đã bật lên cửa sổ đếm ngược, em vào xem trong Process và Startup đều không có gì lạ.
bạn có chắc là bạn thuộc hết từng Process đang chạy là của chương trình nào kô? Có thể con virus đó đã chạy từ lúc window khởi động và nó chỉ gây ra những hiện tượng như vậy khi bạn dùng ISS để vào internet.
Nếu đúng là tất cả các process đều an toàn thì chắc kô phải do virus đâu(hay con virus dùng rootkit ) , mà chỉ do IIS bị sao đó thôi. Bạn thử cài lại IIS xem.
|
|
|
|
|
[Question] Re: Các bác giúp em diệt con vius này với |
05/04/2007 13:31:07 (+0700) | #8 | 51792 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
FaL wrote:
+ Trước hết lệnh shutdown -a mang ý nghĩa: Abort a system shutdown. Lệnh này bạn sử dụng sau khi xuất hiện bảng thông báo shutdown, trong thời gian đó một số service đã bị stop.
Mình nghĩ hiện tượng: "bật ra một cửa sổ thông báo và sẽ đếm ngược rồi Shutdown" tương đương với lệnh shutdown -t x, x là số giây đếm ngược. lệnh này có nghĩa: là máy sẽ shutdown sau x giây.--> các service chỉ bắt đầu bị stop sau x giây. Còn lệnh shutdown -a có có tác dụng làm lệnh shutdown -t mất tác dụng (sẽ kô shutdown máy sau x giây và cửa sổ biến mất)
Cài Win cũng nhanh, nhưng biết sử dụng, quản lý nó mới thú vị chứ
Nhưng khi đã kô kiểm soát được nó thì tốt nhất là cứ cài lại ) nhiều con virus càng để nó sống lâu thì hậu quả càng tai hại. Khéo còn làm hỏng cả phần cứng.
light.phoenix wrote:
Hiện tượng này giống như khi bị nhiễm worm họ Blaster hay Sasser.
Nếu Windows của bạn chưa cài hai bản patch cho các lỗi này, thì ngay khi kết nối internet, có khả năng máy tính bị worm tấn công, shellcode của worm đôi khi khiến service lsass và RPC bị crashed, dẫn tới hệ thống tự động shutdown trong vòng 60s.
Hic nghe bác nói Pro wa' ) hoangcave để ý xem thời gian đếm ngược có phải là 60s kô. Nhưng em kô hiểu "kết nối internet" cụ thể là thế nào ? Là khi máy mình truy cập vào một trang web...hay là ngay khi mình cắm dây mạng vào máy.
Mà em tưởng malware có thể chui vào máy qua các lỗi của win, nhưng mình vẫn phải có một tác động nào đó tới nơi có malware (VD: mở trang web có chứa malware) thì malware mới có định hướng để tấn công vào máy của mình chứ. |
|
|
|
|
[Question] Re: Các bác giúp em diệt con vius này với |
05/04/2007 14:35:33 (+0700) | #9 | 51797 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
Ghost Ship wrote:
FaL wrote:
+ Trước hết lệnh shutdown -a mang ý nghĩa: Abort a system shutdown. Lệnh này bạn sử dụng sau khi xuất hiện bảng thông báo shutdown, trong thời gian đó một số service đã bị stop.
Mình nghĩ hiện tượng: "bật ra một cửa sổ thông báo và sẽ đếm ngược rồi Shutdown" tương đương với lệnh shutdown -t x, x là số giây đếm ngược. lệnh này có nghĩa: là máy sẽ shutdown sau x giây.--> các service chỉ bắt đầu bị stop sau x giây. Còn lệnh shutdown -a có có tác dụng làm lệnh shutdown -t mất tác dụng (sẽ kô shutdown máy sau x giây và cửa sổ biến mất)
+ Tớ đã hồ đồ (
---> Lần sau sẽ cẩn thận hơn. |
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|