| |
|
|
Mấy file .exe bị hư chắc cho con Virus đấy ăn vào rồi.
Vào safemode, dùng trình diệt Virus mà diệt thử xem.
Bạn chụp hình mấy cái Process trong TaskManager rồi đưa lên đây để mọi người biết nào ! Nói thế không thì chưa đủ đâu.
|
 |
|
|
Phải nó đây không anh Conmale ?
|
|
|
|
Bồ nghi ngờ Virus Load thêm .dll ở từng Process phải không. Việc này thì bồ yên tâm, không có Load thêm gì cả.
(mình đã dùng lệnh Listdlls > C:\test.txt để so sánh rồi, không có gì khác biệt cả)
Có 1 trường hợp cũng gây nên tình trạng này là:
_ Mình có 2 ổ CD, và Disable hết cả 2 ổ, sau khi Restart thì tình trạng nêu trên xuất hiện.
1 trường hợp nữa (đến hôm nay chợt nhớ ra)
_ Mình có 2 ổ CD, Disable 1 ổ, nhưng sau khi cài Game và cài Deamon (ổ đĩa ảo) thì lâu lâu xuất hiện tình trạng trên.
Cả 2 trường hợp đều liên quan đến ổ đĩa. (ảo lẫn thật) ??
|
|
|
|
Cùng Load nhiêu đó Process, vậy mà có lúc mỗi Process ngốn Ram rất nhiều, gây ra tình trạng trên >>> Máy cũng chậm theo.
Sorry vì không xếp theo Image Name.
|
|
|
|
Chuyển qua xài MediaNet của SCTV đi bồ, Hamachi OK liền à 
|
|
|
|
Có:
_ Ổ cứng Samsung 80 Gi, chia đều cho C: D: E: F:
_ Dữ liệu chứa đầy ổ E: và F:
_ Có 1 file Ghost Image Backup ổ C:
Hỏi:
Có thể nào với 1 File ảnh đó, Restore ổ cứng thành ra thế này không? Hoặc có trường hợp tương tự không?
_ ổ C: hồi phục trạng thái như lúc backup (cái này bình thường).
_ Mất tiêu ổ E: và F: (như bọt xà phòng). (lạ hoắc)
_ Còn lại ổ C: (39 Gi), ổ D: (38 Gi). (lạ ghê)
|
|
|
|
|
AntiVir đi bạn, và 1 Firewall nho nhỏ nữa.
|
|
|
|
@ cuti_ver2: anh conmale chưa châm thì để mình châm bạn chút xíu được không
1) Người đó đang lục đục đồ đạc thì thấy tự dưng ở đâu hiện ra cái My Computer (hoặc Control Panel ....) lù lù => sao mà vô lý thế => Chắc thằng này giấu cái gì đây ?!
2) Thư mục sau khi được biến đổi PATH đó chỉ cần Rename lại bằng bất cứ cách gì với bất cứ tên nào cũng được, chứ không nhất thiết phải nhớ tên cũ hoặc là vào DOS mới đổi tên được.
=> Người đó chỉ cần đổi tên cái FOLDER đáng nghi ngờ kia (My Computer, Control Panel ... ) thành tên gì bất kỳ là Folder cần giấu bị hiện nguyên hình, và truy cập vào đó dễ dàng ......
3) Nếu sử dụng DOS ảo trong WIN thì có thể Copy-Paste dễ dàng bằng Right Click.
==========================
seraphpl
Cháu muôn giấu để người khác không biết mình giấu.
Người cháu giấu rất giỏi về phần mềm. Tuy không chuyên về một lĩnh vực nhất định, nhưng có thể xem là Vọc sĩ trong echip.
Với 2 chi tiết bạn nêu trên thì có các giải pháp sau: (cũng chống được phần nào đấy nhỉ).
1) Xài Folder Secure Personal Ver 3.60 sẽ có 2 lớp ẩn.
_ Dù mở ẩn của Win rồi nhưng vẫn không thấy.
_ Dù biết được đường dẫn rồi nhưng vẫn không vào được.
=> Sẽ không gây nghi ngờ cho người cố ý tò mò.
2) Sợ người đó mò tới chỗ chứa chương trình (mặc định là C:\ProgramFiles\ ) thì chọn 1 chỗ nào đó cài đặt kín đáo và giả dạng khéo 1 chút.
_ Ví dụ như chọn C:\Windows\System32\ThưMụcĐánhLừa\Folder Secure Ver 3.60 mà cài vào.
_ Tiếp theo là đổi tên folder ThưMụcĐánhLừa đó cho giống giống với đám exe trong System32.
=> Sau khi đổi nó sẽ thành thế này C:\Windows\System32\đã_được_đổi_tên_gần_giống_mấy_file_exe\Folder Secure Ver 3.60
_ Tiếp tục đổi Icon của folder đã_được_đổi_tên_gần_giống_mấy_file_exe đó thành giống như File chạy exe. Bằng cách: Right Click lên Folder đó , chọn Properties, chọn Customize, chọn Change Icon, chọn Icon giống file exe, rồi OK, rồi OK.
_ Để giấu không cho Volkov Commander hoặc Norton Commander thấy thì thư mục đó nên đổi thành C:\Windows\System32\đã_được_đổi_tên_gần_giống_mấy_file_exe\khoảng trắng
"Khoảng trắng đó được tạo bằng cách đè phím Alt rồi nhấn 255 (bên Numlock) rồi buông ra.
3) Đặt Password cực khó và dài. (Muốn dò chắc phải dùng CPU Quad Core )  ) (Còn sợ bị Spy chụp hình, chắc phải cho cái Script tự Type Password luôn quá) 
_ Cẩn thận, có lẽ bạn cũng không nhớ nỗi đâu. Vì thế, soạn ra notepad trước đã.
_ Đè Alt rồi ấn 1 hoặc 2 hoặc 3 chữ số bên Numlock rồi buông ra. Sau động tác này bạn sẽ được 1 ký tự. Cố gắng tạo ký tự càng quái dị càng tốt. Càng nhiều càng tốt. (cẩn thận nha, sai là chính mình cũng không vô được đâu).
4) Thiết lập lại chương trình cho hữu dụng:
_ Run chương trình, vào Settings, chọn More Options:
+ Chọn Automatic Mode
+ Không chọn Run Folder Security Personal when Windows Start.
+ Chọn Don't show ........
+ Chọn Hide from the ........
|
|
|
|
Mình nghĩ mã hoá mất công hơn chứ.
Vả lại, khi mã hoá, tài liệu mật nằm sờ sờ ra đó, người khác nhìn thấy mà không truy cập được thì ít nhiều cũng thấy khó chịu. Vậy thà giấu bẳng nó đi. Để "Tôi chả có gì bí mật hết à nghen  )"
Có bạn nào ý kiến khác nữa không ?
|
|
|
|
|
Trong link mình giới thiệu có nói mà. Ít ra là tự phòng Virus cấp thấp.
|
|
|
|
Dùng http://www.gigafiles.co.uk/files/2941/Folder%20Secure%20Personal%20Ver%203.60.rar đi bạn.
Sau khi crack xong, chương trình vẫn đòi đăng ký, bạn cứ gõ đại là xong.
Ưu điểm:
_ Bảo vệ cả File và Folder.
_ Ẩn mạnh hơn Hidden của Windows (cộng thêm 1 lớp ẩn của Windows luôn cho nó mạnh). :lol
_ Khi mò ra rồi thì cũng không làm gì được cả.
_ Ẩn luôn chương trình. (Không có trong mục Add & Remove program, khỏi sợ họ xoá, đã vậy muốn xoá phải gõ đúng PASS mới cho xoá)
Chỉ còn cách là mò tới chương trình này mà phá PASS . Với người dùng chung giỏi phá PASS, cách tốt nhất là giảm thiểu khả năng mò ra được PASS. Bạn cứ tăng độ phức tạp của PASS lên bằng cách dùng các ký hiệu làm PASS đi. Ví dụ như : ¼ ½ ░ « Ü ▓ ╪ å ü ╓ ........ chẳng hạn . Còn nếu hắn ta quá cao tay thì chịu chứ biết sao giờ.
Mình nghĩ thế này: Với 2 lớp ẩn kia, khó mà định vị được chỗ giấu đồ. Việc này đã khéo léo tránh những cặp măt tò mò rồi, sợ chi phá PASS nữa. 
Ngoài ra, còn có chương trình mã hoá dữ liệu mật của anh conmale nữa đó, chắc hẳn là mạnh lắm (nhưng mình chưa xài thử ).
|
|
|
|
Trong tình trạng máy bị UpDown thế, bạn có thấy bất kỳ biểu hiện gì khác thường của Windows không? Post lên đây nhá.
Bạn nói là UpDown liên tục. Vậy Up là bao nhiêu Kb/s, Down là bao nhiêu Kb/s vậy?
Rồi sau 1 khoảng thời gian UpDown như thế, có xảy ra điều gì khác thường hay không? (như là 1 trang Web tự động Load ra chẳng hạn ...)
-----------------------------------
Vì xài XP Pack 1 nên mình không dùng cái Process Monitor được.
Vậy mình sẽ nói sơ về cái Registry Monitor.
**Mục đích sử dụng chương trình này là lần ra những chương trình "siêng năng hoạt động" (nhiều khả năng đó chính là những thằng đang phá rối, Virus)
_ Trước tiên bạn tắt bớt những ứng dụng (đại loại như: Vietkey, IDM,........ tắt luôn mấy trình diệt Virus càng tốt).
_ Run chương trình Registry Monitor. Đương nhiên sẽ thấy kết quả đến cả ngàn thậm chí là chục ngàn.
_ Tiếp theo là việc loại bỏ bớt 1 số Process không đáng nghi ngờ. Có thể loại bỏ bằng cách: Right Click lên Process cần bỏ, chọn Exclude Process.
_ Nhưng làm sao để xác định thằng nào không đáng nghi nào? Phải dùng chút kinh nghiệm quản lý Process của bản thân thôi. Theo mình nghĩ, "anh chàng UpDown liên tục" này sẽ làm việc rất siêng năng. Vì thế, cần quan tâm đặc biệt hơn đối với những anh "siêng năng".
+Một số proccess không đáng nghi ngờ: Explorer.exe, Regmon.exe, CSRSS.exe, LSASS.exe
Bạn dò dò thử xem nhé. Rồi Post lên đây.
|
|
|
|
Gửi cho bạn mẫu này.
http://s14.turboupload.com/f/1799456/1179347609/e25ab1f229453df563dc4a24c401d5a3/Quarantine.rar không được thì dùng http://www.yourfilehost.com/media.php?cat=other&file=Quarantine.rar
Con ncscv32.exe này inject vào nhiều kiểu đuôi lắm *.COM *.EXE *.PIF *.SCR , *.asp *.aspx *.htm *.html *.jsp *.php
Mới vừa lụm nó lại từ chương trình cứu dữ liệu, thấy hình như trình AntiVir PE không thèm ngó tới nó nữa (không hiểu).
|
|
|
|
http://www.quantrimang.com/view.asp?Cat_ID=16&Cat_Sub_ID=0&news_id=36400 có nói nè.
Theo đó thì USB có thể chuyển sang NTFS
|
|
|
|
louisenguyen wrote:
Cám ơn các bạn đã giúp đỡ, mình biết lý do tại sao roi
1 - Trong C:\windows co 1 con Backdoors.exe
2 - Nguồn ATX bị lỗi nên mình đem đi bảo hành rồi
Rốt cuộc mình cũng ko biết chính xác là cái nào 1 trong 2 cái đó
Thanks các bạn rất nhiều
Vấn đề Show Hidden File thì chỉ có thể là do con Backdoors.exe của bạn thôi.
Ủa, mà bạn đã giải quyết hoàn toàn được vấn đề Backdoors.exe (Show hidden file) chưa vậy, bạn kể sơ sơ quá trình xem.
Diệt bằng tay hay bằng máy vậy bạn?
|
|
|
|
Link trang chủ thì nó cứ Loading mãi
Còn link Down thì Not found.
Anh xem lại xem.
|
|
|
|
Default rồi mà vẫn vậy à.
Bạn Copy hết cái thông báo đó lên đây cho mọi người biết nào.
|
|
|
|
Bạn dùng http://www.gigafiles.co.uk/files/2941/Remove%20VIRUS%20tools/Process%20Monitor.rar hoặc http://www.gigafiles.co.uk/files/2941/Remove%20VIRUS%20tools/Registry%20Monitor.rar để dò thằng nào đang quậy thử xem.
BLUEEAGLE987 wrote:
Trui!... kết nối ko thành công mà up - down? Coi chừng thông báo giả đó !
Ủa, mấy bài viết ở trên có nói là Connect Fail à, chỗ nào vậy bạn?
|
|
|
|
|
_ Mình có cách khắc phục là: sau khi chọn mục "Xem bài mới từ lần truy cập trước", nếu kết quả tìm ra bao nhiêu trang thì bạn cứ Load hết bấy nhiêu ra rồi để đó duyệt từ từ. Khỏi sợ bị error.
|
|
|
|
Thì bạn hỏi cũng chưa rõ lắm.
Bạn nói rõ hơn xem.
|
|
|
|
PXMMRF: OK! Nó còn một File .dll nữa. Rất tiếc khi xóa nó tôi quên không ghi lại tên ( Nếu bạn nào cần biết, thì có khi tôi phải cho máy nhiễm lại virus, hề hề )
Hehe, vậy chắc phải nhờ bạn "dính" lại con đó lần nữa rồi.
Và nhờ bạn chỉ chỗ file dll dùm luôn nhé.
|
|
|
|
@PXMMRF: ra là thế, thanks.
@Ghost Ship:
1) Hình như bạn hiểu nhầm ý của mình. Ý của mình chả liên quan gì đến phần "......(và ngược lại)...... " cả.
2) Và có lẽ bạn đang soạn bài thì PXMMRF đã Reply nên bạn chưa kịp đọc bài của bạn ấy.
PS: mình có hiểu nhầm ý bạn không nhỉ ?? )
|
|
|
|
Delete Any có 3 cấp độ:
1) Xóa bình thường.
2) End process của File đó trước khi xóa.
3) Mạnh nhất: xóa file ở lần Reboot sau (tức là nó xóa trong DOS luôn).
|
|
|
|
|
Nếu việc còn lại chỉ là xóa File cứng đầu đó thì bạn thử http://www.gigafiles.co.uk/files/2941/Remove%20VIRUS%20tools/Delete%20Any%20v2.1.rar xem.
|
|
|
|
PXMMRF wrote:
3- Nhưng nếu chỉ Delete các File SSVICHOSST.exe nằm ở các thư mục trên thì không diệt nổi virus. Vì nó còn được add vào registry ( và ngược lại). Bởi thế, khi restart lại máy thì các file SSVICHOSST.exe lại được tạo lập lại tại các thư mục nói trên.
Bạn ơi, cho hỏi chút.
_ Ở dòng màu xanh mình quote, ý bạn nói: chỉ với 1 điều kiện Virus ghi vào REGISTRY là Virus đã có thể tự hồi phục rồi phải không?
Theo kiến thức của mình trước giờ, ít nhất phải còn sót lại mầm sống nào đó của Virus.
(Ví dụ như: ghi vào Registry là bắt buộc phải có rồi, và phải còn đâu đó mầm của Virus, hoặc một số File bị nhiễm Code độc của Virus)
Mong bạn giải thích dùm, thanks.
|
|
|
|
thực ra USB hay CD cũng đều giống nhau cả, nếu để mặc định trong Regedit để cho nó tự động Autorun thì cũng ok hết
chứ ko hề có vụ autorun ngay khi USB cắm vào ở mọi máy như bạn muốn đâu
Ra lão Bill default thế.
Vậy có thể tạm kết luận là Virus không thể tự Run qua đường USB rồi.
-----------------------------
Nhưng mình vẫn muốn hỏi 1 điều: 1 USB dính Virus (autorun), khi mình cắm vào, trình AV (cụ thể là Zone Alarm) liền chụp con Virus ấy.
Ở đây xảy ra 2 trường hợp:
1) Con Virus ấy tự động được kích hoạt, và đương nhiên là bị trình AV chụp.
2) Nó không thể tự động được kích hoạt, và trình AV có chế độ tự quét USB mỗi khi được cắm.
Vậy là trường hợp nào hả các bạn?
|
|
|
|
mummim wrote:
Mà con víu chèn mã độc vào tất cả các file .exe .html sao ? Thế thì coi như cả cái máy tràn lan virus rồi ....
Bạn gửi cho mình con virus này được không . Chỉ vì mình chưa gặp nó bao giờ nên muốn thử thôi . ^^ .
_Đúng đó bạn. Nó lây qua mấy File có đuôi đó để dành.
Mình nghĩ muốn làm sạch những File bị nhiễm bằng tay thì phải mổ xẻ cái File đó ra rồi xóa bớt đoạn Code độc (việc làm này với cao thủ thì may ra)
Vậy là bó tay các chiến sĩ diệt Virus bằng tay rồi.
_Hèm, không biết có được phép gửi mầm Virus lên đây không nữa??
|
|
|
|
Cám ơn bạn đã góp ý.
Mình xin nói thêm:
_ Khi con này chạy, CPU Usage tốn ít à (dưới 5%)
_ Nó còn chiếm luôn Icon của File nào bị nhiễm mà mình mới vừa thực thi.
Mình vừa thử cách TaskKill của Win, thấy nó có thể Kill hơn 3 Process được đó.
Mình sẽ làm theo 2 cách của bạn.
Nhưng không còn cách nào tự mình khắc phục nó à )
Mình đã dùng cách HASH trong Local Security Settings do Mod IQ hướng dẫn, nhưng vẫn không tác dụng với con này.
|
|
|
|
_Máy bạn mình bị nhiễm 1 con. Nó được Trend-Micro đặt tên là PE_FUJACKS.EA-O
Xem thêm thông tin nó http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FFUJACKS%2EEA%2DO&VSect=T
_Khi Virus đang chạy, nếu ai đó mở Registry Edit - Show hidden files - Task Manager thì nó sẽ tắt ngay (Tức là mở 3 thứ đó lên, nó sẽ tắt liền sau đó, chứ không phải là bị Disable by Admin nha).
_Những File liên quan đến nó: autorun.inf , ncscv32.exe , games.exe , setup.exe
_Mình hí hoáy Kill & Del nó 1 hồi thì nó cũng hiện lại . Thế là nhờ đến anh Google. Và biết thêm con này nó còn chèn mã độc vào các file có đuôi: *.COM *.EXE *.PIF *.SCR , *.asp *.aspx *.htm *.html *.jsp *.php
Vậy làm sao có thể diệt bằng tay mấy con loại này đây?
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
