|
|
Tự dưng hôm qua mình kiểm tra task manager của máy thì phát hiện tiến trình TuneUpUtilitiesApp32.exe đang chạy, vào tìm trong Program & Future cũng không thấy chương trình TuneUp nào, cũng chưa bao giờ cài cả.
Dò đến nơi thì thấy nó nằm trong AppData/Local/TuneUp Utilities và AppData\Local\Microsoft\Windows\1033.
Mình quét thử trên Virustotal với KIS thì nhận dạng nó là Backdoor.Win32.Agent.dcji . Mình xoá xong thì nó tự tạo lại, quét toàn bộ máy bằng KIS xong thì nó vẫn tạo ra lại.
Gồm các file : TUAnalyzeInfo.dll ; tuneupsystemstatuscheck.db ; TuneUpUtilitiesApp32.exe ; uxtuneup-x86.dll Nhờ mấy bạn phân tích giúp
http://ge.tt/1vbSAGA1/v/0
pass : virus
https://www.virustotal.com/en/file/afa8e5343b3e6090e63ff6c5e83cf33639edee8ae509f50d2ad4380a8f606747/analysis/1387277215/
https://www.virustotal.com/en/file/46a6765ca76b484289b5892ff677d13f88d996f84cfd9ee2c63ec03ce73fcdec/analysis/1387328746/
https://www.virustotal.com/en/file/94fccf2eca819f83f717e15bc68264d284a34eb5637a165ab43cae69ea57b8f9/analysis/1387329086/
https://www.virustotal.com/en/file/8f372cb824bcef7207f895847ad1b17234e440e9b0f30d9f5660ff1423aaa9ef/analysis/1387329854/
|
|
|
Mình không rõ lắm nên không biết có vi phạm không.
Bạn gửi tên nick yahoo của bạn vào hộp thư của mình s3555-632@yahoo.com.vn để mình bạn thêm nhé. Ở đây không tiện cho lắm vì...
|
|
|
Có thể bạn bị dính loại virus : Fake.images trên facebook.
Bạn có thể dùng SuperAntispyware Pro + Malwarebytes Antimalware để quét toàn bộ máy sau đó lấy log gửi lên đây
|
|
|
tmd wrote:
Một triệu chứng thấy rõ nhất là homepage bị chỉnh về 1 page của laban.vn. NGười dùng muốn thiết lập này vẫn không được do adware/spyware mà laban.vn cài cắm vào máy người duyệt tự động chuyển homepage trình duyệt về lại trang laban.vn
Nó thường kèm theo trong các pack exe của safeshare. Cẩn thận bỏ tích ra nếu không muốn rắc rối.
Nếu bỏ tích rồi thì chỉ cần vào Appdata/<username>/Roaming hay Local gì đấy mình quên rồi. Xoá các file nằm ngoài cùng gồm laban.vn.exe(thì phải),icon.ico
Nếu lỡ tích rồi thì cũng làm như trên , và theo cách của bạn + thêm xoá laban.vn đằng sau location của shortcut trình duyệt của bạn là ok.
Có ai cho mình file cài đặt của laban để mình ngâm thì có thể sẽ có cách ( mình nghĩ vậy)
----------------------------
Bổ sung thêm 1 loại adware của trung quốc : adware.tencent phát hiện bởi SAS(SuperAntiSpyware) , khi người dùng cài đặt CFQQ
Và nhiều người chơi võ lâm tại nhà thì cảnh giác với cái csmtalk.
|
|
|
Nếu mà lưu lượng khổng lồ này nhằm vào HVA thì thế nào nhỉ? Tò mò thôi mấy mod tha cho mình
|
|
|
suntn1991 wrote:
Chào các thành viên của HVA, mình đang tìm hiểu về backtrack 5 r3, mình tìm trên mạng thì down về bản backtrack 5 có thông số như vậy
và cài trên máy ảo VMware 8 thì được như vậy
nó yêu cầu nhập id với pass nhưng mình k biết nhập như thế nào, ai có rành cái này xin chỉ giúp, cảm ơn !
Nhúng hình thì dùng lệnh [img][/img] nha bạn
|
|
|
Cyberghost VPN,HideIP VPN
|
|
|
minhdanh72 wrote:
Thực ra thì mấy anh STL có chết hồi nào đâu mà sống dậy Có điều từ 2011 trở lại đây mấy ảnh hình như không còn thích phô trương nữa (gắn cái "sinh tử phù" lên những trang web bị hack) mà thích núp trong bóng tối hơn.
Ẩn trong bóng tối để xuất hiện bất ngờ trong ánh sáng rồi biến mất
|
|
|
Bạn có thế cho mình vài mẫu để ngâm thử được không? Máy không vào FB đc )
|
|
|
Dùng các chương trình theo dõi tiến trình kết nối internet đến đâu (Zonealarm là lựa chọn số 1 của mình) . Tìm xem các file ***bk.dll,exe nằm ở đâu(Thường thì trong system32 hoặc windows) nếu bạn có thể dịch ngược các file của nó ra thì có thể có hy vọng. Tìm trong Appdata/Roaming để tìm thư mục chứa dữ liệu của keylog(Mình vô tình biết được vì 1 lần phá keylog tự mình nhiễm cho mình ) )
|
|
|
Chắc bạn định ăn cắp thông tin riêng tư của nhỏ đó để tống yêu nói chứ gì? Xin lỗi bạn chứ cua giá không thằng nào chơi hèn như thế đâu. Trừ khi là xem thử bạn gái nc với ai và làm gì trên FB,ZM để tránh trường hợp "tay 3" là hợp lý thôi. Tắt máy đi học đi bạn. Đất nước loạn vì bọn "Sống Theo Lệnh" rồi. Không muốn thêm mấy thằng phá nước ngay trong nước đâu bạn
|
|
|
bolzano_1989 wrote:
Cả 2 loại file .gif và .jpg đều có thể bị chèn mã exploit từ đó tải virus về máy tính và tiến hành lây nhiễm.
hoặc dùng 1 lỗi của muôn thủa người dùng : không bật "File name extensions". Từ đó hacker sẽ dùng 1 thủ thuật. dùng 1 icon của file hình trong shell32.dll của windows để nguỵ trang cho file. đổi tên file thành images.gif/png/jpg.exe . khi người dùng không bật "File name extensions" thì sẽ thấy là images.gif còn khi bật lên sẽ thấy images.gif.exe
|
|
|
crazykid wrote:
Đầu tiên bạn nên tắt hết các chương trình khởi động cùng windows. Có thể tắt trong khoá run ở regedit cho triệt để. Sau đó khi đăng nhập bạn lên một web nào đó sau đó tắt đi. Tắt toàn bộ các chương trình đang dùng tài nguyên mạng như firefox... dùng cmd gõ netstat -a xem có kết nối mạng nào lạ đang chạy không. Nếu vẫn còn kết nối lạ đang chạy thì nên vào safe mode quét virus bằng một soft uy tín có CSDL đầy đủ. Bạn nên format toàn bộ và cài lại windows nếu có thể
phải có 1 chút kiến thức mới có thể nhận dạng được. chứ không thì lại náo loạn như vụ con iflamer
|
|
|
DemonKnight_newbie wrote:
mod hỏi buồn cười thế . máy bạn dùng bkav à? đuà tí chác là dính agent thì phải cứ kav mà quất avast tạm dc nhưng k đáng tin cậy như kis
Ở đây không có khái niệm fan AV nhé bác conmale vô ban chết cả đám giờ
|
|
|
freeze_love wrote:
fmnguyenhuy wrote:
Lúc viết bài hơi vội và buồn ngủ nữa lên viết hơi khó hiểu a-e thông cảm.
Không phải biên dịch mà code của virus đó hoà trộn vào code của file và file đó vẫn thực thi như fie bình thường
tất nhiên là vì là một file bình thường lên chạy bình thường
]Một kiệt tác của Z0mbie mà cho đến nay, nhiều người nhắc lại vẫn phải thốt lên sự thán phục: virus W32.Zmist. Zmist xuất hiện năm 2000, với 1 engine được built-in: MiSTFALL. Được Peter Szor (trưởng nhóm nghiên cứu phát triển chiến lược cho Symantec Norton Antivirus) đánh giá là virus phức tạp nhất từ trước đến nay, Zmist qua mặt tất cả các chương trình chống virus với sự biến hình khủng khiếp. Zmist không phải là một virus nữa, mà là sự nhập hồn, nhập xác vào file bị nhiễm. Kỹ thuật này được gọi đúng với cách nó hoạt động: tích hợp mã.
Zmist dùng MiSTFALL engine để biên dịch lại file nạn nhân thành các chỉ lệnh, sử dụng thuật toán phân tích để loại trộn virus vào xen kẽ các opcode của file nạn nhân, rồi thế vào đó bằng virus code, tính toán lại các khoảng trống tham vấn dữ liệu và xây dựng lại hoàn toàn host file này. Virus opcode được xây dựng theo hình thái hoàn toàn ngẫu nhiên. File sau khi bị lây nhiễm sẽ chỉ còn là cái vỏ, mà nội dung hoàn toàn khác.
Một virus siêu biến hóa cùng một polymorphic decrytor. Kết quả là virus code và host code hoàn toàn lẫn lộn vào nhau theo thứ tự ngẫu nhiên và không có quy luật. Kết hợp cùng MiSTFALL còn là các opcode rác nằm xem kẽ khiến cho việc phát hiện một virus là cực kỳ khó khăn và không chính xác. Nó giống như film Matrix, khi đặc vụ Smith nhập vào những nạn nhân của hắn và từ đó điều khiển người khác. Tuyệt vời ở chỗ, file đó vẫn thi hành, không hề bị phá hủy, không xảy ra một lỗi nào, cứ như chưa từng có chuyện gì xảy ra vậy.
Zmist như đã nói ở trên, cho đến nay vẫn còn là một thách thức với các chương trình chống virus. Nó là một “sinh vật” minh chứng cho khả năng tìm tòi và sáng tạo của những vxer mũ trắng.
AutoIt có thể làm được chuyện này
Vì bằng chứng nào bạn nói autoit có thể làm được chuyện đó? Autoit làm gì có vào năm 2000?
|
|
|
TQN wrote:
Bị capture screen rồi.
Máy bác ấy là cấu hình yếu mà capture screen máy chịu sao nổi
|
|
|
kubiway25 wrote:
Vậy HVA có virus ak cũng may xài linux không chắc máy cũng tiêu @@!
Chỉ là nghi ngờ thôi bác
|
|
|
xnohat wrote:
Vì trong bài viết trên có 1 đoạn quote về 1 Javascript Exploit nên cái Avast cùi bắp nó alert.
Đám avast trước giờ toàn báo bí đao kiểu này, report mấy lần vẫn không có giải pháp sửa, ngu vãi lúa
cùi mà nó cứu đc mấy lần khỏi dính JS:KillAV trên mấy trang xxx.forumvi.com. công nhận nó nhúng hay thật
|
|
|
Em đang lang thang trên google tìm link [Firelion]IE-Protection thì thấy link của HVA. Nhấn vào thì Web Shield của Avast! IS báo có JS:ShellCode-M[Expl]. Em không biết có thật là HVA có Shell không? Anh conmale giải thích hộ em. Link topic đây : /hvaonline/posts/list/90/4002.html
|
|
|
Firefox đã chặn pluings của Oracle. Không biết Chrome đã chặn pluings này chưa
|
|
|
Nếu máy đã bị nhiễm virus từ trước thì cài lại win mà không format ổ C: Dnếu cần) thì virus vẫn nằm đó. Bạn có thể Tìm 1 chương trình Antivirus mạnh như KAS,KIS,NorTon,ESET.... theo mình thì bạn nên dùng Avast! vì nó nhẹ mà bảo vệ cũng được. Nếu quét xong mà chưa hết thì bạn pm lên đây
|
|
|
Chỉ dùng để gọi điện nên không thấy gì. sợ nó lợi dụng để điều khiển máy tính hay ăn cắp dữ liệu mới lo
|
|
|
Mình đoán thì có thể là Sality hoặc Configker. Nó đang cập nhật thêm mã độc để phá hệ thống. Như bác @bolzano_1989 thì gửi file đó lên đây. Nhấn vào tiến trình chọn Open file location để tìm tới. nén lại hoặc copy ra Desktop rồi nén. gửi lên đây để anh em phân tích rồi biết đường cứu
|
|
|
Nếu có thể thì Redirect sang google.com 1 thời gian. hoặc sang 1 trang web ma để bảo toàn web
|
|
|
hôm thứ 6 phát hiện ra con Win32:Sality . Sau 5h đấu với nó thì đã thua. Mọi file exe đều bị nhiễm Salicode. Nên cài lại win. Cài xong boot lên báo lỗi Keyboard Not Found. Vào phải dùng On-Screen Keyboard. Vào Device Manager mất tiêu cái Keyboard. Bật "Hidden Driver" thì thấy nó ẩn. Haizz. Mỏi tay quá... Cao thủ nào giúp với
|
|
|
toàn post tin xàm. cho nó sập đê. mưỡng post toàn tin gì đâu đâu
|
|
|
Vanxuanemp wrote:
Thêm một phần mềm mà anh em hay sử dụng là OneKey Ghost, phần mềm nay khi chạy kết nối đến 2 trang web là baidu.com và onkey.xxx gì đấy không nhớ, có lẽ đây cũng là một phần mềm trong bộ các phần mềm được phát tán có kèm theo trojan!! AE nào rev kính đề nghị thử check giúp xem với!
Cái này mới . Chứ mình dùng nó mãi có sao đâu
|
|
|
9/7 vẫn chưa thấy ai phàn nàn gì. Hình như lại bị lừa
|
|
|
Đã gửi mà không thấy phản hồi.
|
|
|
làm ơn cho xin mẫu để gửi về các av để diệt
|
|