banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Ghost Ship  XML
Profile for Ghost Ship Messages posted by Ghost Ship [ number of posts not being displayed on this page: 0 ]
 
Click right chuột vào cái biểu tượng yahoo ở khay đồng hồ rồi chon Exit.

cu teo wrote:
hôm qua bị virus, diệt rồi nhưng khởi động lai vẫn còn, hỏi thì mấy anh nói là vào safe mode để diệt. Nhưng em không biết cách diệt trong safe mode, chỉ em một tí nhé các anh, kĩ kĩ một tí. tin học em kém lắm. 


vào safe mode để diệt chỉ đơn giản là khởi động máy ở chế độ safe mode rồi quét như bình thường thôi.

Khởi động ở chế độ safe mode như sau: khi ấn nút Power trên cây xong thì ấn nút F8 trên bàn phím rồi chon dòng safe mode trên màn hình và ấn Enter. smilie

Trả lời đúng như thắc mắc smilie nếu băn khoan thì hỏi thêm.

alipapa wrote:
nó disable cả regedit và task mannga, vào gpedit.msc để khôi phục lại regedit như mọi khi vẫn làm thì cũng không có kết quả ,vào comp mant đánh chữ regedit cũng vậy luôn 


Chắc là khi vào regedit và task manager có xuất hiện thông báo lỗi. bạn thử post nội dung thông báo ấy lên đây xem.

Bạn dùng hijackthis quét rồi qost kết quả lên đây xem thế nào.
Tự động lây qua mạng rất nhanh ư?

Các bác cho em hỏi: có thể tạo ra mọt chương trình có khả năng sử dụng quyền của acc trên máy khác để kích hoạt một file kô.

Có thể tất cả các máy trong cty bác đều share full ổ nên virus đã đẩy file mầm của nó sang. file mầm này có hình cái filder nên các nhân viên đã mở chúng nên.

hãy kiểm tra xem có share full ?
@quanta: con này hay đấy. Bác hãy mang USB đó sang máy khác rồi vào run gõ attrib -s -h H:\Autorun.inf (H là ổ USB)

Rồi vào cái file Atorun ấy xem nội dungnos Open file nào . bác dung attrib hiện nốt cái file đó rồi up lên đây cho bác Hoàng và mọi người phân tích là xong ngay thôi smilie)

havythoai wrote:
Các bạn cho tôi hỏi là máy tính bị nhiễm 1 con virus cứ 5 phút là shutdown máy, cứ bật máy tính lên chơi khoảng 5 phút là tự động shutdown máy. Trường hợp này giải quyết thế nào nhỉ ? 


Shutdown từ từ hay là tắt phụt như cắt nguồn điện hả bác.

Nếu là shutdown từ từ thì Bác phải để ý xem có thôgn báo nào hiện ra kô, có hiện tượng nào bất thường nữa kô, nếu biết kiểm soát những Process đang chạy và thì phát hiện virus rất dễ.

Nếu tắt như cắt nguồn điện thì có thể xảy ra nếu quạt chíp có vấn đề. Chíp quá nóng cũng sẽ dẫn đến hiện tượng như vậy.

Máy em còn tắt phụt như cắt điện rồi lại khởi đôgnj lại ngay đây này. Chưa biết nguyên nhân vì sao. Hom trước em đã remove hết tất cả các ứng dụng để theo dõi và kô thấy như vậy nữa. kô biết do chương trình nào smilie(

LeVuHoang wrote:
Hôm nay lọ mò cái đống malware của tmd

Một số malware mà bkav diệt/ko diệt được.
http://w13.easy-share.com/1256484.html
 

Có 1 con là 123.rar khá hay (các AVes đặt tên là Magania). Khi được kích hoạt, trojan sẽ không cho phép các chương trình khác đọc file bị nhiễm (\system32\Ir32_a.exe). Điều này sẽ khiến các AVes không thể kiểm tra nội dung file để xác định xem có phải malware/virus hay không.
Hoàng vừa test với 1 hệ thống chạy Windows XP với 2 chương trình: AVG FreeActive Virus Shield (Kaspersky) thì cả 2 chương trình này đều không diệt được (nếu hệ thống chưa bị nhiễm thì detect được nhưng nhiễm vào rồi thì không quét ra).

Ghost Ship hay bạn nào muốn tìm hiểu thì down về quậy thử. 


Với cách diệt bằng tay thì đâu cần biết nội dung của file là gì smilie) Chỉ cần Process của nó hiện ra mà em kô biết nó có tác dụng gì, kô phải của OS là em sẽ tìm xem nó được kích hoạt như thế nào rồi del kô thương tiếc smilie)

Em nghĩ nếu là virus có Process riêng thì kô thành vấn đề smilie)
Hăng hái học tập hay hăng hái Spam đây? khóc vừa thôi kô nick lại được đề danh "bảng đen" bây giờ. giúp thì cũng phải có thời gian chứ . Ai hơi đâu suốt ngày ngồi chờ ông post bài rồi trả lời bao giờ. Mới có mấy phút mà cứ nhộn hết cả lên.

trong cái hijackthis đầu thì có file này khả nghi: C:\WINDOWS\system32\Deleteme.vbs

Trong các Process đang chạy thì kô có cái nào nghi vấn, nhưng có key này khả nghi, có thể đây là key kích hoạt virus hoạt động. đàu tiên là nó kích hoạt cái file Deleteme.vbs, file Deleteme.vbs có thể có chức năng inject một file dll nào đó vào các Process của hệ thống. Đây có thể là một con virus kô có Process riêng.

Key khả nghi:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\Deleteme.vbs

Tích vào dòng này trong hijackthis và fix là cách vô hiệu nó đơn giản và chính xác nhất.

Hijack thứ 2 kô còn thấy key này. nếu Symantec phát hiện ra con này thì hãy dùng Semantec quét toàn bộ thư mục C:\Windows xem còn mầm của con này kô.

Lẽ ra trước khi xóa file Deleteme.vbs cần phải tìm tất các các file .dll trong C:\Windows xem có file dll nào được tao ra cùng thời gian với file Deleteme.vbs hay kô. Nhưng kô sao, chỉ cần vô hiệu được cái key kích hoạt nó thì còn mấy cái file mầm của nó trong C:Windows cũng chẳng sao.

Hãy restart máy rồi quét lại bằng BKAV xem còn kô.

Lần này update Symantec Song thì ổ D:\ khi mở tại Nút Open biến mất mà ra chữ ngoằn ngoèo khó hiểu.  


Đó là do trong ổ D của bạn đã có Autorun của virus. theo tôi biết thì hiện tượng Open biến thành như vậy xảy ra ngay sau khi máy nhiễm virus chứ kô phải sau khi update Symantec đâu. Hay là cậu lại vừa dính con mới ?

Xử lý cái ổ D (và tất cả các ổ khác nữa chứ kô phải ổ D đâu, tôi chưa thấy con nào tạo Autorun ở mỗi ổ D cả, hay thằng tác giả này lại bị "vui tính" smilie) ) như sau:

Vào Run gõ lệnh sau: attrib -s -h D:\Autorun.inf

Làm tương tự với các ổ có hiện tượng như vậy.

VÀo ổ D bằng cách vào Run gõ D:

Bây giờ bạn sẽ nhìn thấy cái file Autorun.inf nó hiện ra, bạn hãy click đúp mở nó ra và hãy để ý sau dấu = ở 2 dòng sau là cái gì. Có thể chỉ là một file .exe

open=
shellexecute=
 


hãy thay cái tên file .exe sau dấu bằng ấy vào cái Autorun.inf trong cái lệnh trên kia. và quay lại ổ D xem cái file .exe đó nó hiện ra. Ngắm nghía nó một tẹo rồi delete đi. À quên trước khi del hãy zip nó lại và up lên cho các bác Pro phân tích.

Nếu sau khi del 2 cái file Autorun và .exe đó và khởi động lại máy mà cái ổ D vẫn thế thì có nghĩa là con virus tạo ra cái đó vẫn đang hoạt động và lúc đó chúng ta lại bắt đầu một hành trình mới smilie)
... Hệ thống mạng này khi bị nhiễm, nó lây lan ra tất cả các máy. Tớ đã format tất cả,có nghĩa là ổ cứng không còn gì. ...khi tớ cài mới lại hệ điều hành , tất nhiên không có dữ liệu , khi kết nối internet như vào yahoo gởi mail thì bị dính liền 


Chài! đây là trường hợp quái dị và khó tin nhất mà mình tứng nghe smilie)

Bác có thể nói rõ khoảng thời gian từ lúc máy thứ nhất bị nhiễm tới khi tất cả các máy bị nhiễm là bao lâu kô?

Theo những gì mà em biết thì virus trong mạng Lan chỉ lây sang nhau như sau: virus từ máy bị nhiễm (virus đã được kích hoạt tại máy đó) chỉ chuyền file mần của nó sang ổ đĩa hoặc thư mục được share full ở máy chưa bị nhiễm. Và máy chưa bị nhiễm này muốn bị nhiễm thì phải có ai đó ngồi trên máy đó kích hoạt cái file mầm được truyền sang đó. Trừ khi cái máy bị nhiễm có quyền truy cập vào acc admin của các máy khác trong mạng và tự kích hoạt nó tại các máy này smilie) Khủng vậy sao smilie

khi tớ cài mới lại hệ điều hành , tất nhiên không có dữ liệu , khi kết nối internet như vào yahoo gởi mail thì bị dính liền 


Bác có thể nói rõ: dựa vào biểu hiện như thế nào của máy mà bác kết luận máy vừa bị nhiễm do bác duyệt web kô?

Hãy tường thuật lại chi tiết tất cả những thao tác của bác từ lúc cài lại Win tới lúc bác phát hiện ra máy đã bị nhiễm.

Bác có biết file Autorun.inf và cách xử lý nó kô?

Hãy trả lời thật cụ thể để tìm ra nguyên nhân chính xác bác nhé.
Gõ Delface vào mục tìm kiếm của BKIS lại chẳng ra kết quả nào hêt smilie(

Dùng hijackthis scan rồi Post nội dung file Hijackthis.log lên đây.
http://download.hijackthis.eu/hijackthis_199.zip


Ặc ! cái máy này xem ra còn nhìu vấn đề lắm. Đây là hijackthis mới hay cũ thế bác?

Có 2 process khả nghi
C:\WINNT\svhost.exe cái này thì chắc là virus rồi
C:\WINNT\MEDIADRIVE_.EXE cái này thì hijackthis kô biết. nếu bác cũng kô biết thì cứ xử nó luôn đi.

Sau đây là những dòng cần phải Fix:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16.*.*;10.6.*.*;10.6.1.7;

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: Seekmo Toolbar - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - C:\Program Files\SeekmoToolbar\Bin\4.8.4.0\SkHostIE.dll (file missing)

O3 - Toolbar: Seekmo Toolbar - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - C:\Program Files\SeekmoToolbar\Bin\4.8.4.0\SkHostIE.dll (file missing)

O4 - HKLM\..\Run: [MEDIADRIVE.EXE] C:\WINNT\MEDIADRIVE_.EXE

O4 - HKLM\..\Run: [net32] C:\WINNT\svhost.exe

O4 - HKLM\..\Policies\Explorer\Run: [Graphics] C:\WINNT\_default .pif

O4 - HKCU\..\Policies\Explorer\Run: [WinNT] C:\Documents and Settings\administrator\Application Data\Microsoft\WinNT.com

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\phbfoqty.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9475EF28-2D4F-49B6-9D11-6BF552E3FE9F}: NameServer = 85.255.116.104,85.255.112.229

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229

O23 - Service: Indexing Service cisvcdmserver (cisvcdmserver) - Unknown owner - C:\WINNT\system32\inetppf.exe


Nếu là mới thì Bác hãy kill 2 process svhost.exe MEDIADRIVE_.EXE rồi dùng hijack this Fix hết những dòng đó đi rồi quét lại và post lại kết quả lên đây em xem có cái nào cứng đầu kô? sau khi Fix xong bác hãy vào xóa 2 cái file :
C:\WINNT\svhost.exe

C:\WINNT\MEDIADRIVE_.EXE

Sau đó bác restart và kiểm tra xem còn 2 Process đó đang chạy kô. Xem ra con virus này nó đã tạo ra khá nhiều thứ linh tinh trên máy bác. nhiều quá và em đang vội nên kô xem kỹ được.

MÀ máy bác đang để quá nhiều chương trình cùng khởi động với máy. chắc cái khay đồng hồ dài ra tới giữa màn hình ấy nhỉ smilie) bác xem cái nào kô cần dùng thường xuyên thi bỏ đi cho máy nó bon . chẳng hạn như:

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
...

Nếu muốn kô cho chúng chạy lúc khởi động thì Fix những dòng đó bằng hijackthis

tmd wrote:
Reply càng về sau càng linh tinh và kinh dị quá, mod làm gì đó đi.  

Cái gì mà linh tinh với chả kinh dị chứ đại ca tmd ? smilie cái tui thấy linh tinh và kinh dị ở đây chính là cái đầu của đại ca, cái suy nghĩ của đại ca thôi smilie

3. Tại sao tôi có cài Anti Virus nhưng máy vẫn bị nhiễm ? (tiếp theo )
- Vì người dùng tự kích hoạt/vô tình kích hoạt con malware đó.  


Nếu kô phải do người dùng kích hoạt hay vô tình kích hoạt thì virus lây vào máy như thế nào nhỉ smilie
8. Những thao tác nào của người dùng máy tính dẫn đến virus được kích hoạt ?

1. kích đúp trực tiếp lên file mầm của virus. ví dụ: kích đúp lên các file hình folder có đuôi .exe
2. Mở ổ đĩa chứa file Autorun.inf bằng thao tác kích đúp lên ổ đĩa. mà cái file Autorun.inf ấy nó lại có tác dụng kích hoạt một file mầm của virus nằm quanh đâu đấy smilie Ví dụ mở USB chứa Autorun bằng thao tác click đúp.

Trên đây là 2 cách kích hoạt cơ bản và phổ biến nhát mà người dùng hay mắc phải nhất hiện nay. ( Ít nhất là trong những người em biết )

Nguyên nhân click vào các thứ trên mạng cũng chiếm tỉ lệ cao nhưng rất đa rạng và có vẻ khó đề phòng.

nolateforbegin wrote:
Khi AV đặt chế độ quét tự động theo lịch cũng có thể xảy ra hiện tượng đó khi đến giờ hẹn và Av tự động quét. 

Chẳng lẽ khi đặt chế độ tự động quét theo lịch nó ko xuất hiện cho bạn thấy à? 


Nhiều AV tự động đặt lịch quét ngay khi cài xong chứ kô phải người dùng đặt. AVG chẳng hạn, nó thường đặt tự động quét và update lúc 8h00'AM, nên cứ đến giờ đó là tự nhiên máy đơ lì, chạy ì ạch nếu để ý thì sẽ thấy thêm một biểu tựong nữa cảu AVG ở khay đồng hồ phải click vào đấy rồi stop thì mới hết đơ máy. Mình thường disable 2 cái này ngay khi cài xong.

Nếu AV thông báo đã phát hiện và diệt virus thì phải để ý xem cái file bị phát hiện đó nó nằm ở đâu thì mới kết luận chính xác được. 

Thì ở đây virus lây lên đĩa của bạn, giả sử máy trong mạng đã map 1 thư mục của bạn thì AV phát hiện virus trên đó chứ ở đâu smilie


Đúng là trên HDD của máy mình rồi, nhưng nếu là trong một thư mục đang được share thì kết luận là virus do máy khác trong mạng Lan truyền sang. Còn nếu trong thư mục chứa các file được tải về từ mạng thì phải kết luận là do mạng tải về ...

Có thể bạn đang lướt web "đen" và vô tình tải virus về và AV đã phát hiện --> cũng tự động bật lên thông báo như vậy.
Khi AV đang quét thì nó ngốn rất nhiều tài nguyên máy nên dẫn đến máy chậm,nét ì ạch là chuyện đương nhiên. 

smilie), đang làm việc mà bạn, với lại virus về phát hiện 1 lần rồi nó ngăn lại chứ có xuất hiện liên tục, chạy đến treo máy. Mình có lần thấy rõ ràng thằng Symantec Client 10 bó tay trước cái USB mình bỏ vô, nhiễm 4 con mà nó quét một hồi treo cả máy, vừa vô là nó liên tục chép vô các ổ đĩa, thư mục. smilie


Đang làm việc nhưng tiện mạng cũng có thể vừa làm việc vừa "ấy ấy" được mà smilie tăng cảm hứng làm việc cũng được chứ sao smilie
3. Tại sao tôi có cài Anti Virus nhưng máy vẫn bị nhiễm ?

Bởi vì AV bạn cài ra chỉ có tác dụng ngăn ngừa những loại virus mà nó đã phát hiện ra(đã được cập nhật trong CSDL về virus của nó) nên nếu bạn kích hoạt một con virus mà AV của bạn chưa cập nhật thì Av sẽ kô ngăn cản con virus đó lây vào máy của bạn.

Thậm chí bạn vừa update AV nửa phút trước đây nhưng nó vẫn kô ngăn đựoc máy bạn nhiễm virus. dù AV của bạn có mạnh và nổi tiếng đến đâu. Vì kô có AV nào cập nhật được hết tất cả các loại virus.

Thậm chí có AV cập nhật được hết tất cả các loại virus đi nữa thì nó cũng kô thể cập nhật ngay khi virus mới được tạo ra. Thường thì phải có ai đó nhiễm rồi gửi mẫu tới cho trung tâm AV rồi AV đó mới cập nhật con virus đó( trừ khi tác giả kô phát tán mà gửi mẫu luôn cho trung tâm AV) vì thế nếu bạn là 1 tronh những người đầu tiên "may mắn" đó thì máy bạn vẫn bị nhiễm virus dù AV của bạn cso khủng đến đâu smilie)

nolateforbegin wrote:
6. Tôi xài máy ở công ty, máy tôi luôn bật antivirus, đột nhiên chương trình xuất hiện thông báo đã diệt virus liên tục dẫn đến máy chạy rất chậm? Net ì ạch? Nguyên nhân do đâu?
Đó là do virus đang trực tiếp truyền từ một máy nào đó bị nhiễm, có thể bạn đã share thư mục hay ổ đĩa cho họ và họ đã map nó làm ổ đĩa. Tốt nhất là tạm thời ngắt kết nối từ máy bạn rồi diệt sạch máy bị nhiễm mới kết nối lại.

[size=x-small]PS: vài ý kiến nhỏ. Hy vọng giúp ích[/size] 


Khi AV đặt chế độ quét tự động theo lịch cũng có thể xảy ra hiện tượng đó khi đến giờ hẹn và Av tự động quét.

Nếu AV thông báo đã phát hiện và diệt virus thì phải để ý xem cái file bị phát hiện đó nó nằm ở đâu thì mới kết luận chính xác được.

Có thể bạn đang lướt web "đen" smilie và vô tình tải virus về và AV đã phát hiện --> cũng tự động bật lên thông báo như vậy smilie

Khi AV đang quét thì nó ngốn rất nhiều tài nguyên máy nên dẫn đến máy chậm,nét ì ạch là chuyện đương nhiên.
Theo 911:
Thông tin về con w32.gammima như sau:

Nếu bác chạy Win XP Nó tạo ra các file sau trong Windows:
C:\Windows\Help\D563BA79B410.exe
C:\Windows\Help\D563BA79B410.dll
C:\Windows\D563BA79B410.dll

Tạo các key sau trong registry để tự kích hoạt:
HKEY_CLASSES_ROOT\CLSID\{64281F9B-71AE-4C6B-9688-C3E820D99255}
HKEY_LOCAL_MACHONE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{64281F9B-71AE-4C6B-9688-C3E820D99255}

Bác thử kiểm tra Process xem có process D563BA79B410.exe đang chạy kô. nếu có thì kill nó đi. Hình như con này hoạt động bằng cách inject file D563BA79B410.dll vào các Process.

Bác hãy vào registry tới hay đường dẫn kia xem chúng kích hoạt file nào. rồi xóa luôn 2 cái key đó đi nhớ kiểm tra xem chúng có được tạo lại ngay kô. Nếu kô được tạo lại thì bác khởi động lại máy rồi vào xóa 3 cái file của nó trong C:\Windows.

Nếu mấy cái key đó được tạo lại ngay thì bác thử vào safe mode xóa chúng thử xem. Kô biết mấy cái key đó có kích hoạt được virus trong safe mode kô.

Túm lại là phải xóa được 3 cái file và 2 cái key đó thì mới cơ bản vo hiệu được con này.

Bác nói là bác đã format toàn bộ nghĩa là toàn bộ ổ C thôi phải kô? chứ toàn bộ HDD mà vẫn dính thì đúng là bị tấn công từ xa theo IP rồi smilie COn này nó tạo ra Autorun.inf và file Shell.exe ở trong các ổ nên nếu bác format hết ổ C nhưng kô làm sạch Autorun và file shell.exe này thì bác sẽ bị nhiễm lại ngay nếu click đúp vào các ổ. Chắc là do cái file Shell.exe này nó được +s +h nên mấy AV kia kô phát hiện ra.

Bác hãy mở ẩn System và xóa 2 cái này ở các ổ đi. Nếu có thể thì Bác Post lên đây cho em nội dung cái file Autorun.inf bác nhá hình như cái Autorun của con này kô tạo ra dòng Autoplay mà là dòng Open.

Còn về con Infostealer thì em thấy có lắm loại Infostealer quá chả biết bác dính loại nào smilie)
Công cụ trên thì có khác gì AVG hay KAV điều tôi muốn là phải biết được file nào tạo ra cái đó ,tạo ra cái đó như thế nào?... khi đã hiểu rõ về nó rồi thì tự tay mình sẽ vô hiệu nó bằng cách can thiệp vào các ngóc ngách trong win chứ kô phải nhờ đến soft nào hết. Như thế mới thú.
vào web ko cho mặc định tên web 

Bạn có thể nói rõ : kô cho mặc định tên web là thế nào kô?
thông báo lỗi bị nhiêm xuất hiện thường xuyên  

Bạn có thể chụp ảnh hoặc viết nội dung cái thông báo ấy lên đây được kô?

hoangmai2004 wrote:
Trình độ IT luôn phát triển không ngừng. Mình chưa nghe ai trong giới IT cho rằng kiến thức của mình đã đủ. Đó là kinh nghiệm thực tế của mình , tại sao các bạn không thử một lần theo cách của mình xem sao? 


Mình nghĩ ko nên dùng câu :"Trình độ IT luôn luôn phát triển kô ngừng" ở đây, mà nên nói là: "mức độ hiểu biết về IT của những người ham tìm hiểu liên tục tăng" thì mới đúng smilie)

Mình kô nói cách của bạn sai mà mình muốn nói cách của bạn có nhiều thao tác thừa. Đúng hơn là vừa thừa vừa thiếu. nếu bạn thực sự có hứng thú với trò này thì bạn sẽ sớm nhận ra mình thừa thiếu thế nào thôi smilie)

Muốn biết mình làm thừa bước nao thì hãy tìm hiểu xem khởi động ở chế độ safe mode thì khác khởi động bình thường như thế nào, Kill Process ở Utilities khác với End process ở task manager như thế nào. smilie)

Muốn biết mình thiếu như thế nào thì hãy tìm hiểu xem virus bây giờ dùng những cách nào để khởi động cùng với Win. Mức độ phát hiện virus của BKAV như thế nào? Hiểu quả với những loại virus được tạo ra ở đâu?
Sắp xếp cái "đống bùng nhùng" ấy theo kiểu Details rồi xem dung lượng từng file là bao nhiêu, Date created, date Modified, type thế nào. CHủ yếu là xem Date Created là ngày giờ nào.

Cậu làm thế nào mà kết luận cái đống đó dung lượng 15,5GB? Cậu có quét cả cái đống bùng nhùng đó đó rồi vào Properties xem dung lượng là bao nhiêu kô?.

Ra ngoài xem ổ báo dùng hết bao nhiêu xem dung lượng chênh lệch là bao nhiêu.

Dù cái đống dữ liệu kia bị biến mất thì cũng có thể phục hồi phần nào bằng chương trình phục hồi dữ liệu chứ. Thử vào google mà tìm soft phục hồi dữ liệu về thử xem.
Làm gì có con virus nào hoạt động cả trong DOS lần trong Win như thía nhỉ smilie) chắc là tại thiết kế "củ chuối" của cái máy củ chuối ấy thôi smilie)
ồ! giống máy tên hàng xóm mình ghê smilie) Kô biết cái logo System Alert đó hoạt động kiểu gì. Mình đã kiểm tra kô có Process lạ, xuất hiện cả ở safe mode. Có lẽ nó đã nhiễm vào một Process nào đó của OS. Quên chưa thử chiêu thay hết các Process đang chạy của OS smilie Mà đâu phải file nào OS cũng cho thay có file muốn thay phải vào dos hoặc tháo HDD sang máy khác smilie(

Có bác nào biết tiêu diệt cái logo kia mà kô cần phải down soft kô ạ? chỉ em với smilie(

Thằng hàng xóm hôm trước update cái AVG cũng diệt được smilie) nhưng diệt đươc nó như vậy chả thú chút nào smilie)
Toi dung ban BKAV home cap nhat ngay 30/06/2007, co phat hien virus w32.catchymq.worm va da thong bao diet, nhung diet xong no lai phat sinh tro lai. Co cach nao de diet no tan goc khong vay(toi da turn off System Restore va netwok) 


Ghét mấy bố BKISS thật. BKAV của mấy bố phát hiện ra virus, đặt tên cho virus vậy mà vào trang của các bố gõ tên con virus đó vào mục tìm kiếm lại chả tìm thấy kết quả nào smilie sao lại vậy nhỉ? hay mình kô biết tìm smilie( Chỉ tìm thấy mấy con lâu lâu rồi thôi. smilie(

@hoangmai2004: đã xác định là phải cài MagicTweak và dùng tack manager để tìm và kill process của virus thì bạn vào kiểu safe mode để làm gì vậy?

Đã kill process của virus ở bước 4 lại còn end process ở bước 5 là sao? smilie) chẳng nhẽ ở bước 4 chỉ kill biểu diễn rồi lại kích hoạt smilie) Mà bây giờ những con kô cho task manager end Process của nó đâu có ít smilie)

Đâu phải con nào cũng hiện trong msconfig.

Nho phải diệt o chế độ safe mode thi moi co tac dung  


Tại sao lại phải diệt ở chế độ safe mode thì mới có tác dụng vậy bạn smilie)
Mình chưa bao giờ thấy và nghe về con virus nào có chức năng đó smilie Nêu đúng là virus thì nó làm thế để làm gì nhỉ smilie)

Nhưng file mà bạn attach là dùng một địa chỉ mail hay là mail nào cũng thế? Bạn sang máy khác attach thử xem. Cần phải xác định xem do mail hay do máy.

Quái dị nhỉ smilie bạn thử để máy ở chế độ hiện đuôi file xem những cái file có đuôi gì. Kiểm tra dung lượng ổ xem có phải là dữ liệu bị delete hay chỉ bị ẩn đi thôi. Thử mở ẩn hệ thống xem có được kô.

Mà chỉ bị ở ổ G thoi à bạn? Tại sao lại kô bị ở tất các các ổ dữ liệu nhỉ? có lẽ kô phải do virus đâu.

longname wrote:
Cái này là do Autoplay rồi bây giờ bạn vào My computer--->>>Tools---->Folder Options...------>>>View ở Hidden files and foldens bạn chọn Show hidden files..... và đánh dấu kiểm vào Hide protected operatinh... rồi vào USB xóa file Autoplay đi khởi động lại máy
Làm tương tự với ổ C,D và các ổ khác làm xong khởi động laismilie smilie smilie-))  


Đọc kỹ lại những hiện tượng mà chủ topic đã mô tả ở bài đầu tiên đi cậu. Mà dù cậu có nói đúng thì cũng kô có file Autoplay nào đâu bạn ạ smilie)

trieuanh wrote:
Bây giờ chắc chỉ còn cách ghost lại thôi. xin hỏi các bạn khi ghost xong thì dùng phần mềm nào quét, lúc chưa quét là kô nên vào các ổ khác phải kô ???????? vì làm vậy sẽ bị dính lại
 


Muốn rọn hết con này bằng AV thì phải xem AV định dùng có phát hiện ra con này kô. nếu con này tạo ra file Autorun.inf ở các ổ thì kô nên mở các ổ bằng thao tác kick đúp lên các ổ hoặc chọn dòng in đậm đầu tiên của menu khi click phải chuột lên ổ. Mà phải vào ổ bằng cách khác (quá nhiều cách) rồi xóa file Autorun.inf đi. Trước khi xóa file Autorun.inf phải đọc nội dung của nó xem nó kích hoạt file nào rồi tìm và xóa luôn cái file đó đi. Sau đó khởi động lại máy và vào các ổ bình thường (bằng thao tác click đúp)

Nghe nói cái Autorun của con shell.exe này nó tạo ra hai dòng Open đậm trên đỉnh thay cho dòng Autoplay đậm bình thường nên sẽ có hai dòng Open. Em đang tìm mẫu con này mà chưa thấy smilie) bác nào có up lên em thưởng thức tí smilie)
Chài smilie) đọc xong cứ tưởng mình vẫn đang ngồi ở box tán gẫu mới "chuối" chứ smilie
Hình như trong đó kô có dạy đóng port như thế nào smilie bác chỉ cho cháu một chút về vấn đề này đựơc kô smilie)

Cháu sợ hiểu được đống tếng Anh đó viết gì thì thằng nào đó đã chui vào máy cháu phá tanh bành hết rồi smilie cái thằng 192.168.1.19 kia chẳng hạn, sao nó lại nối với máy cháu làm gì nhỉ cháu có share cái gì đâu smilie(
Em đã search cả 3 file này trong C:\Windows nhưng ko thấy file nào nhưu vậy cả bác Hoàng ạ :?smilie
connet.exe
connet.DLL
connetKey.DLL 


Khi quét bằng hijackthis em thấy cái file regscan.exe được kích hoạt bởi một key trong HKCU\..\Run

Khi thực thi, nó execute Internet Explorer lên rồi inject vào process này. Tiếp theo, mở các port: 1029, 1030, 1035 -> 1041.  


Đây là kết quả sau khi em gõ netstat -nao

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 828
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:38210 0.0.0.0:0 LISTENING 2024
TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING 1368
TCP 192.168.1.33:139 0.0.0.0:0 LISTENING 4
TCP 192.168.1.33:2062 192.168.1.19:139 TIME_WAIT 0
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 616
UDP 0.0.0.0:1035 *:* 940
UDP 0.0.0.0:1044 *:* 940
UDP 0.0.0.0:1195 *:* 940
UDP 0.0.0.0:1382 *:* 940
UDP 0.0.0.0:1422 *:* 940
UDP 0.0.0.0:3456 *:* 1812
UDP 0.0.0.0:4500 *:* 616
UDP 127.0.0.1:123 *:* 892
UDP 127.0.0.1:1900 *:* 1076
UDP 127.0.0.1:2054 *:* 3736
UDP 192.168.1.33:123 *:* 892
UDP 192.168.1.33:137 *:* 4
UDP 192.168.1.33:138 *:* 4
UDP 192.168.1.33:1900 *:* 1076 


Hình như chỉ có 1035 là đang mở, Đóng nó lại như thế nào bác Hoang ơi!
mà sao lại có cổng tận 38210 thế bác Hoàng? mấy cái *:* có nghĩa là gì thế bác.

Nếu cái process IEXPLORE.EXE bị inject rồi thì phải làm thế nào? có cần copy file IEXPLORE.EXE ở máy khác về thay thế kô bác?
 
Go to Page:  First Page Page 1 2 3 4 6 7 8 Page 9 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|