|
|
Dashfer luôn đi kèm với các Worm khác mà.
|
|
|
Test gì đâu. Xài rùi mừ. Quan trọng là không hiểu nguyên lý làm việc.
....
zzzzz
|
|
|
Hiện công ty mình sửa dụng giải pháp chia VLan để tiện quản lý và phân quyền, tăng cường bảo mật. Như chúng ta đã biết có một số game muốn chạy được phải trong cùng mạng Lan. Game mà tôi muốn nói ở đây là War III. Số là cuối chiều thứ 7 mọi người thường chơi game với nhau. Do ở các VLan khác nhau nên mỗi lần muốn chơi lại phải đổi lại port trên switch rất mất công. Giải pháp cho trường hợp này thông thường là Hamachi hoặc các chương trình tương tự.
Đặc điểm của các chương trình này là phải cài đặt trên tất cả các máy muốn chơi và thiết lập chúng như một mạng Lan ảo. Điều đó thật dễ hiểu.
Tuy nhiên có người mới giới thiệu với tôi một chương trình mới tên là "battle lan" . Chỉ cần máy lập mạng chạy chương trình này. Trên config của chương trình chúng ta add địa chỉ IP của tất cả các máy muốn join là sẽ chơi được.
Tôi thực sự không hiểu làm thế nào mà chương tình này làm được vậy nhỉ? Chú ý là chỉ cần cài trên 1 máy duy nhất tạo game mà thôi.
Ai có cao kiến gì không?
|
|
|
Overflow wrote:
Bạn tìm 1 AV thịt được dòng này --> cài + quét tất cả các máy. Chắc hơn thì update thường xuyên --> có lẽ ổn
Vấn đề là ngoài Bkav ra lại không có AVR nào cập nhật virus này (có lẽ có KingSoft AVR nhưng mình chưa xài thử). Mà Bkav lại chưa cập nhật hết mẫu của dòng virus này nên có lúc diệt được, có lúc không.
Khắc phục tạm thời bằng arp -s.
|
|
|
Mohamad Reza Domiri wrote:
Em đang ngờ cái BKAV có điều gì mờ ám,cả 2 cái máy laptop mà em từng mượn của bạn bè để sử dụng đều gặp phải những vấn đề này mà rất trùng hợp là máy tính của họ đều cài bkav có bản quyền.Bác nào từng gặp qua cho ý kiến cái.
Bạn này thuộc dòng dõi tào tháo chăng
Nhiều khả năng là máy bạn đã từng bị virus, chương trình diệt virus đã diệt được con virus đó tuy nhiên không khắc phục lại đầy đủ trạng thái máy tính cho bạn. Việc diệt không perfectly như vậy gặp rất nhiều ở NAV, KAV. Trend và bit thì ít gặp.
|
|
|
kieuphong87 wrote:
FIRE-LION rất tuyệt .
Không đồng ý lắm! Mình nghĩ: "bác Hoàng rất tuyệt!" thì chính xác hơn .
|
|
|
Hix, còn này tớ thấy cũng nhàng nhàng mà. Tớ vừa làm vừa ăn bánh mỳ. Ăn xong bánh thì cũng làm xong cái máy cho con em. Làm gì tới mức 4 page, các bác tung hô ghê quá vậy.
Cái FastHelper của bác Hoàng cũng không cập nhật được con này. Bằng chứng là sau khi diệt xong tớ có copy mẫu về tính đọc. Cho FastHelper quét thử thì ko nhận diện được.
Mong bác fix sớm.
|
|
|
secmask wrote:
nếu keylog inject vào các trusted program thì sao nhỉ ?
Thì bó tay chứ sao.
|
|
|
Dạo này có nhiều con như vậy. Bạn thử xài Bkav xem. Hôm rồi tôi mang mẫu về nhà phân tích thử. Đến hôm rồi cập nhật Bkav thì bị Bkav kill mất.
|
|
|
Gần đây có nhiều virus hàng made in china có tính năng này. Chúng đều là worm nên diệt tay khá đơn giản.
Cảm ơn bác Look2me đã trả lời.
Nhưng vấn đề ở chổ: arp -a thấy Mac của thằng modem rùi
Lại dùng (Tool) search Mac toàn mạng.
Nhưng không hề tìm thấy máy con nào có Mac như vậy
=> Mac này đúng là Mac modem nhỉ
Nhưng sao Ping vào Modem thì Time > 2000ms?
Có khi Out luôn .
Tất cả vấn đề có lẽ ở đây :
/hvaonline/posts/list/17261.html
Bạn thử post kết quả 2 bản arp lên đây tôi xem. (1 bản lúc ban đầu, 1 bản sau khi sài tool quét toàn mạng).
Nếu bạn ko biết scan và quy mô mạng nhỏ có thể thử tắt lần lượt từng máy đến khi nào hết hiện tượng. Chú ý những máy của mấy chú hay nghịch ngợm và có vẻ có tí hiểu biết.
PS: Xem lại chính Mac của máy bạn: ipconfig /all
|
|
|
Hơ hơ có gì đâu.
Việc đầu tiên là xác định máy bị nhiễm trong mạng. Cách làm:
Vào ARP -a để xác định Mác giả của gateway.
Scan toàn hệ thống (xài tool) rồi vào ARP -a lại tìm cái IP nào có Mac giống Mac giả lúc nãy.
Từ IP ra máy.
Chú ý có thể dùng Cain để scan Mac các máy trong Lan sẽ nhanh hơn 1 chút.
Việc thứ 2 là tìm virus trên máy đó. (cái này thì nói nhiều rồi, nói suốt ngày rồi nhưng tựu trung lại là phải tự học )
Nếu bạn không tự tìm và diệt virus trên máy đó được thì có thể:
- Nhờ các bác ở HVA đây viết cho vài cuốn sách để đọc (ý đừng giận em nghe )
- Sài các tools AV
- Vất cái máy đó ra khỏi mạng, lấy búa đập đập.
|
|
|
Cái này là hiện tượng 1 virus trong mạng Lan của bạn bị nhiễm virus rồi sau đó ARP posoining toàn mạng, giả làm gateway, chặn giao thức HTTP lại rồi tự động chèn thêm các đoạn script (thực chất là chèn thêm 1 iframe).
Các diệt ( tùy virus, nói chung cũng thuộc hàng dễ vì chỉ là worm thông thường).
Phát hiện: dựa vào cách phát hiện 1 máy đang nghe trộm trong mạng. (so sánh Mac)
|
|
|
Nói câu này bác Hoàng đừng buồn nhé:"Nghĩ đi nghĩ lại thì tất cả các virus mà FH của bác H cập nhật đều thuộc dạng không đủ độ khó".
^^
Em nghĩ bác nên pt module diệt rootkit và virus lây file đi.
Đẳng cấp của 1 antivirus là nằm ở chỗ đó.
Bác làm 1 mình thì rõ ràng không thể ăn nhằm ở việc đua tốc độ cập nhật được.
|
|
|
.PE virus lây file.
Mệt cho bạn rồi, chia buồn. Những con này phải liên hệ với Bkav hoặc các hãng lớn thì may ra.
Trong HVA nhiều người giỏi nhưng để phân tích 1 em cỡ này tốn khá nhiều time nên chắc sẽ không có ai giúp được bạn đâu.
(Nếu cài lại máy nhớ format hết tất cả các ổ nhé!)
Thân.
|
|
|
mystery_hacker wrote:
Bạn bị Hijacked rồi! Bạn nên làm theo chỉ dẫn của bạn try_to_try!
wht does hijack mean?
|
|
|
ngutrencaychuoi wrote:
Máy mình đang bị tình trạng như thế này:
.... rồi lại vào TastManager định EndProcess hết những thứ không cần thiết hi vọng mở được MSConfig, nhưng cứ EndProcess 1 cái gì lạ lạ trong hệ thống là nó tắt luôn cái TastManager, nghi ngờ nó là virut nhưng không làm gì được . ...
Ngày trước mình có debug một con virus của China có tính năng tương tự, nó vẫn cho phép chạy task manager tuy nhiên lại kill cái của sổ Task Manager Warning (cửa sổ hiện ra hỏi yes, no lúc end process).
Bạn có thể vui lòng post log hijackthis lên đây để mọi người cùng xem không?
|
|
|
vi_tieu_bao222 wrote:
xin lỗi bác MOD và mọi người.
No13 có thể nói rõ thêm về start script được ko?
1. "mọi tài khoản từ admin đến user ở máy trạm đều bi máy server disable hết": Disable hết thì người dùng dùng bằng tài khoản nào? quyền của tài khoản đó là gì, tại sao lại phải disable?
2. start up script bạn có thể hiểu và các chương trình (.exe, .dll, .ocx ... PE files) hoặc các script (.bat, .vbs ...) được kích hoạt lúc Windows khỏi động (start up)
|
|
|
@LKL: 1985 đâu còn trẻ nữa mà ...
@tmd: tôi đọc tut của LKL thấy cũng còn nhiều chỗ không ổn và có vẻ LKL còn thiếu kinh nghiệm (hình như mới có 1 năm kn , 1 năm trước hãy còn tìm sư phụ mà ). Tuy nhiên tinh thầnh chia sẻ của bạn ấy là đáng quý. Như tôi đây rất lười viết bài, đó là do ý thức với cộng đồng của tôi chưa tốt. Do đó chúng ta có góp ý thì cũng nên theo hướng xây dựng, làm cho cái tut nó tốt hơn, chứ không phải phủ nhận sạch trơn.
Tut này chưa đạt, oki, rõ ràng. Nhưng nó vẫn có những khinh nghiệm đáng quý đấy chứ. Sai chỗ nào sửa chỗ đó, chỗ nào thiếu thì bổ xung.
Vài lời ...
|
|
|
Bảo mật thì không đi liền với việc "tăng tốc", nếu không muốn nói là ... chậm hơn (trong nhiều trường hợp).
Nếu bàn về vấn đề bảo mật cho tài khoản quản trị, bạn cần thực hiện:
1. Không bao giờ được sử dụng tài khoản Administrator mặc định trong hệ thống. (Đây là tài khoản dành riêng, cần đặt mật khẩu cẩn thận và chỉ được dùng trong trường hợp cần tạo các tài khoản admin khác).
2. Mỗi một quản trị hệ thống cần có một tài khoản có quyền admin riêng (không share tài khoản admin của mình cho người khác)
3. Mỗi quản trị hệ thống cần có một tài khoản người dùng riêng, để thực hiện các tác vụ thông thường.
4. System administrator hoặc AIO phải nắm vững được trong hệ thống của mình có bao nhiêu tài khoản quản trị.
Để vừa bảo mật mà lại tăng tốc PC thì nguyên tắc chung là: loại bỏ các dịch vụ không cần thiết trong hệ thống (các dịch vụ không cần thiết đó có thể mắc lỗi, gây nguy hiểm,..)
|
|
|
lion_king_lovely_1985 wrote:
@Look2Me:
3. "Không cần thiết phải làm vậy. Logout khỏi yahoo, vào registry, tìm trong key của Software/yahoo những cái bị thay đổi và sửa lại là được. "
-> Dạ, theo bác thì có phải ai cũng hiểu hết, nhớ hết các key của yahoo để mà biết nó đã thay đổi gì ko??? -> Ko thực tế thí nào, hoang đường, mất thời gian, và chưa thực sự hiệu quả. ( Mà nó ko chỉ change key của yahoo registry đâu pác ah! Nó có tới mấy loại, và cái loại bác nói ấy, chắc ko phải là mang tính chất tổng quát chứ??? )
Thân LKL!!!
Nếu tôi nhớ không nhầm thì bạn đang nói tới việc diệt các virus lây lan qua Yahoo.
Từ trước tới nay các virus lây lan qua Yahoo đã từng xuất hiện ở việt nam thì đều sử dụng chung 1 cơ chế. Nó chỉ thay đổi 1 chút registry về các content url mà thôi.
Nếu bạn thích nói chuyện tống quát thì gặp tmd, còn tôi, tôi thích vấn đề cụ thể, giải pháp hiệu quả.
Huhu Mod nào merge hộ em với, em không có tính spam 2 bài đâu, tại h mới đọc page 1 ....
|
|
|
ông tmd nhận xét vầy đúng mà không đúng. Trong phạm vi 1 topic không thể giải quyết được tất cả các trường hợp. Diet virus manual cũng không có tham vọng diệt được tất cả các loại virus, do đó chúng ta sẽ đề cập tới những trường hợp điển hình nhất mà thôi.
|
|
|
Bởi vì bạn đang xài Windows Vista Bussiness có cơ chế tự bảo vệc các thư mục của hệ thống.
|
|
|
Tôi cũng đành căng mắt ra mà đọc vậy.... Này thì nhận xét
lion_king_lovely_1985 wrote:
[size=+1]Vì đôi khi có thể đó chỉ là 1 số virus, keylog.... được ai đó tự Code. Nhưng 3 soft kia là làm việc với việc phân tích và kiểm tra tiến trình hệ thống, nên dù virus, trojan, spy... (LKL tạm gọi là Black Soft) ko nổi tiếng. Nhưng có tiến trình giống với nguyên tắc làm việc của những "black soft" đó! Nên các chương trình trên có thể phát hiện ra qua tiến trình hệ thống!
Gọi là malware. Định nghĩa kinh điển rồi, update đi thôi.
3) Nếu Msconfig của bạn cũng ....
Có lẽ bạn nên Ctrl + Alt + Del để End process 1 số Service ( Chỉ trừ các Sv có tên: svchost.exe, explorer.exe, services.exe, lsass.exe, csrss.exe, smss.exe, system, System Idle Process, alg.exe )
explorer.exe không phải là services và bạn có thể end task được.
[b]5) Với các loại "black soft" lây lan qua yahoo: Tốt nhất là làm các bước 1 -> 4 và thêm bước 5 bằng cách: gỡ chương trình yahoo đang dùng ra, rồi tìm thất cả các thư mục chứa thông tin về yahoo, thường là trong ổ C:\Programs... và có thể tốt nhất là Show Protect files > Vào %USERPROFILE%\Local Settings\Temp xóa hết những gì có thể trong đó đi! ( Đầu tiên chọn Select All và del, nếu ko đựoc nữa thì select từng cụm nhỏ 1 rồi del )-> rồi hãy tiếp tục cài lại yahoo!
Không cần thiết phải làm vậy. Logout khỏi yahoo, vào registry, tìm trong key của Software/yahoo những cái bị thay đổi và sửa lại là được.
Bạn nên tìm cách vào Dos dir xem trong các Part của mình như C:\, D:\, E:\.... còn có 1 file có tên là Autorun không. Nếu có thì tìm cách del đi nhé!!!
Để xóa autorun không ai vào Dos cả, quá mất thời gian. Bạn khuyên dùng NC mà lại không upload tools thì người ta biết tìm đâu?
Có cách đơn giản hơn đó là dùng câu lệnh của dos trong cmd.
|
|
|
Tôi không muốn đọc bài của bạn vì quá nhiều xanh đỏ. Cả chứ ký nữa.
Nếu bạn bớt xanh đỏ đi, tôi sẽ có thể đọc và nhận xét cho bạn.
Thân
|
|
|
XOboomer wrote:
Cám ơn bạn, mình đã diệt được roài. Phần mềm này hiệu quả thật nhưng vì là Freeware không biết có spyware tích hợp sẵn không. anyways, thx
Các mod cho phép em spam tí.
Không hiểu mẹt pác hoàng nhà ta biến dạng thế nào khi đọc được câu hỏi này
Cười chết mất thôi
|
|
|
@lion_king_lovely_1985: Hôm nay đọc được 2 bài của bạn khuyên cài lại windows rồi đấy!
@kill-sin: Mình nghĩ USB của bạn không bị sao cả. Windows không phải lúc nào cũng nhận được tất cả các USB, đôi khi do những lý do rất đơn giản là: cắm lỏng chẳng hạn.
Bạn thử cắm USB của bạn vào cổng phía sau máy xem.
Việc USB vẫn hoạt động bình thường tại máy ở nhà và máy ở công ty vì 2 máy đó đã từng nhận diện được USB của bạn.
Bạn nên hiểu là việc quét virus cho USB sẽ không thể làm hỏng USB. ( kô phải 100% nhưng ko muốn giải thích, bạn cứ tin vậy là được rồi)
|
|
|
conso1 wrote:
chân thành mà nói thi bkav là phan mền diệt virut tồi nhất quả đất!!!
bạn bị nhiễm loai vr này bao gôm cả autorun trước tiên bạn phải vào run gõ cmd vào đó và tiêu riệt vr autorun sau đó khởi động lại máy ,còn chức năng ẩn file thì bạn hãy vào rehedit tìm hạng mục hiden file và thiết đặt thành 0 , mà tốt nhất là bạn hẵy down phần mền sửa regedit về và vân hành nó xem sao?nếu vẫn 0 ổn thì hãy cop phần mền diệt vr # !!!
Tớ không nghĩ vậy!
1. Bạn đã cập nhật KAV (kas là gì nhỉ? ) không phát hiện ra gì trong khi Bkav lại quét ra =>Tồi nhất thế giới là không đúng.
2. Bạn có chắc là máy bạn ấy vẫn còn virus? Bạn nên phân biệt rõ "hiện tượng" là dấu hiệu nhận biết nhưng không đồng thời có nghĩa là máy bạn còn virus. Rất có thể trong trượng hợp này Bkav chỉ diệt virus mà không sửa lại cấu hình máy bạn nên vẫn còn hiện tượng. Ngày trước mình sử dụng NAV cũng hay bị sót lại file autorun.inf .
Theo mình bạn nên thử tham khảo các phương pháp để đặt lại file ẩn trong folder options hoặc xóa các file autorun (search trong diễn đàn chắc chắn có).
Nếu sau khi bạn thực hiện các phương pháp đó (ví dụ: đã xóa autorun.inf ) mà vài phút sau hiện tượng lại lặp lại (file này lại được tạo mới) thì mới khẳng định được là vẫn còn virus trong máy!
Chúc bạn thành công.
|
|