banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: kamikaze-2005  XML
Profile for kamikaze-2005 Messages posted by kamikaze-2005 [ number of posts not being displayed on this page: 0 ]
 

qasdew wrote:
Tôi cũng bị nè. Nguyên nhân do các file .exe bi nhiễm virut 


Nếu có thể thì đóng gói sysbck32 lại (nhớ đặt password) rồi up lên mediafire, đưa link + pass lên đây anh em tham khảo. Không hướng dẫn diệt bằng cách đoán mò được !
Mà nếu chỉ mỗi mình virus mới biết dùng cái cổng 445 đó thì KIS đã chẳng báo cái ...33 kia bị nhiễm virus cho rồi còn vòng vo rào trước đoán sau làm gì ?
Thế ông có dám khẳng định là chỉ có 01 con virus biết khai thác lỗi đó và con virus đó không có biến thể ? smilie

H3x4 wrote:
Ơ, chả lẽ con virut đó nó nắm quyền máy đó rồi nó lại hack tiếp à smilie nếu có vậy thì thằng coder đúng là hài smilie
Hehe, có gì mà giận thế smilie 


Thế ông cấm nó send từ xxx.xxx.xxx.002 -> xxx.xxx.xxx.255 à?
Đâu có giận, chỉ là đang cố gắng "bảo vệ đề án" smilie

H3x4 wrote:
Hehe, bạn thấy cái dòng do Kis thông báo không :
Intrusion.Win.NETAPI.buffer-overflow.exploit TCP from 192.168.1.33

Rõ ràng là không đúng chứ còn có gì nữa là sao, giờ ông bảo vệ ổng hô:
Có thằng ở nhà số 33 đang dùng đại bác bắn vào nhà ta ở cổng số 445 thông qua lỗ mèo chui smilie

Vậy chẳng lẽ trong nhà bạn có giặc à ??? 


Cái tui hỏi là tại sao ông dám chắc nhà số 33 với nhà đang bị bắn không phải cùng 1 chủ?
Không ai cấm 1 người dùng 02 máy và cũng chưa ai cấm địa chỉ gửi và địa chỉ nhận phải khác nhau !!!

Tui cũng không chắc là phải hay không vì tui dùng từ "có thể" còn ông rõ ràng là "Chả có malware hay virus nào ở trong máy bạn cả đâu" smilie

H3x4 wrote:

kamikaze-2005 wrote:

kunkun1012 wrote:
Các bác cho e hỏi 1 chút KIS máy e thông báo
4/14/2010 10:04:48 AM Network Attack Blocker Detected: Intrusion.Win.NETAPI.buffer-overflow.exploit TCP from 192.168.1.33 to local port 445
Có phải máy e dính botnet o ạ 


Bạn vui lòng tham khảo trang này:
Có thể bạn đã bị dính 01 malware tương tự, nếu có thể bạn hãy đóng gói mẫu và gửi lên cho mình. 


Hơ, gì mà hoành tráng thế, cái này đơn giản là có một cái auto exploit nào đó nó tấn công dựa voà lỗi Win.NETAPI trên kia và cuộc tấn công này xuất phát từ cái máy có IP .33 trong mạn Lan của bạn( rất có thể máy đó đã bị nhiễm virus rồi) , KIS thấy cuộc tấn công này nên nó chặn lại thôi. Chả có malware hay virus nào ở trong máy bạn cả đâu smilie


Nếu kami nghi nó là do malware thì có gì không đúng? Malware không biết khai thác lỗi trên để lây lan? Và tại sao bạn dám khẳng định là máy có ip ...33 không phải là máy của kunkun1012?

kunkun1012 wrote:
Các bác cho e hỏi 1 chút KIS máy e thông báo
4/14/2010 10:04:48 AM Network Attack Blocker Detected: Intrusion.Win.NETAPI.buffer-overflow.exploit TCP from 192.168.1.33 to local port 445
Có phải máy e dính botnet o ạ 


Bạn vui lòng tham khảo trang này: /hvaonline/posts/list/35307.html
Có thể bạn đã bị dính 01 malware tương tự, nếu có thể bạn hãy đóng gói mẫu và gửi lên cho mình.
1. Đã dùng một sản phẩm diệt virus trợ giúp thì không phải là diệt bằng tay.
2. Không phải con virus nào cũng là rootkit.
3. Khi diệt bằng tay thì bước đầu tiên là phân tích virus trên các phương diện (bios firmware, mbr, regedit, file) rồi tìm ra giải pháp (có thể hướng dẫn lại theo các bước) chứ không phải search tùm lum rồi del từa lưa.
4. Nếu hướng dẫn cho hệ điều hành nào thì phải ghi cụ thể. VD: trong môi trường windows thì phải ghi là windows. Nếu quá chi tiết thì phải có cả thông tin sản phẩm.
5. Dùng từ ngữ cho nó chính xác vì "thế hệ trẻ em mai sau", dốt thuật ngữ chuyên ngành thì hãy dùng nghĩa tiếng việt chứ đừng có thể hiện cái "đầu con gà cắm cổ con vịt"! Clear Bios là cái gì thế ??!

mrsoftkiepdn wrote:
Số là máy của côn ty em đang dùng trong process cứ hiện 2 con này lên, em end process nó thì vào mạng, dù làm tất cả các cách:
+ Tắt mạng, tắt mấy con này trong process.
+ Dùng Bkav2965 ở trong safe mode để quét/
+ Vào Windows\system32 xoá đi.
+ Vào registry xoá key của nó đi.
Nhưng làm xong tất cả các bước này rồi mà khi khởi động lại, một lát sau là nó dính lại. Nó chạy mấy cái file sô.exe, hai con này chạy song song với nhau luôn.
Anh em nào có ý gì hay không ? giúp em với. 


Hiện nay bộ combo 4 Cloak Malware: cndrive32, msvmiode, ltzqai, syscr đang được kami theo dõi. Hiện nó có khoản 10~20 biến thể mỗi con. Khi lây nhiễm vào máy nạn nhân nó sẽ sử dụng port 445 để phát tán và cập nhật qua Lan + Net.

Hiện các phần mềm nổi tiếng chỉ tạm thời chặn chứ chưa diệt được vì nó có chế độ thông minh là "tự cập nhật biến thể của 3 virus còn lại với key đóng gói là random" khi đồng đội của nó bị disable.



Sau đây là cách diệt bằng tay: (cài đặt winrar trước khi thực hiện)

1. Rút dây mạng. (Nếu có mạng Lan thì Disable NetBios) /hvaonline/readingRoom/item/1343.html).

2. Bật Task Manager -> Tab Processes -> EndTask theo thứ tự "các number process", "cndrive32", "msvmiode", "Explorer".

3. Trong Task Manager -> Tab Applications -> NewTask "Regedit"

4. Trong regedit làm như sau:



[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Xoá 02 value: "ExcludeProfileDirs", "Shell"

Set value: "ParseAutoexec" từ 1 -> 0



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

Xoá value: "Microsoft Driver Setup"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Xoá 03 value: "Advanced DHTML Enable", "MSODESNV7", "Microsoft Driver Setup"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Xoá value: "Taskman"



5. Trong Task Manager -> Tab Applications -> NewTask "Relog". Đăng nhập vào lại.

6. Bật Task Manager -> Tab Processes -> EndTask theo thứ tự "các number process", "Explorer".

7. Trong Task Manager -> Tab Applications -> NewTask "Winrar".

8. Dùng winrar như explorer và làm như sau:



Xoá cndrive32.exe, WindowsShell.Manifest trong C:\Windows\

Xoá các numbers.exe, msvmiode.exe trong C:\Windows\system32\

Xoá tất cả các thư mục trong C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\



Xoá ltzqai.exe trong C:\Documents and Settings\(user name)\Application Data\

Xoá tất cả mọi thứ trong C:\Documents and Settings\(user name)\\Local Settings\Temp\

Xoá tất cả các thư mục trong C:\Documents and Settings\(user name)\Local Settings\Temporary Internet Files\Content.IE5\

------ Chú ý máy bạn có bao nhiêu user thì phải kiểm tra và xoá hết trong mỗi user kể cả administrator---



Xoá tất cả rác trong C:\RECYCLER\



9. Trong Task Manager -> Tab Applications -> NewTask "Explorer".

10. Cắm lại dây mạng (nếu có mạng Lan thì hãy diệt tất cả các máy trong mạng trước khi Enable NetBios)


 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|