<![CDATA[Messages posted by "kamikaze-2005"]]> /hvaonline/posts/listByUser/205305.html JForum - http://www.jforum.net virus svchost.exe cpu usage 100%

qasdew wrote:
Tôi cũng bị nè. Nguyên nhân do các file .exe bi nhiễm virut 
Nếu có thể thì đóng gói sysbck32 lại (nhớ đặt password) rồi up lên mediafire, đưa link + pass lên đây anh em tham khảo. Không hướng dẫn diệt bằng cách đoán mò được !]]>
/hvaonline/posts/preList/33886/218066.html#218066 /hvaonline/posts/preList/33886/218066.html#218066 GMT
Hỏi-Đáp về virus, trojan, spyware, worm... /hvaonline/posts/preList/11930/217699.html#217699 /hvaonline/posts/preList/11930/217699.html#217699 GMT Hỏi-Đáp về virus, trojan, spyware, worm... /hvaonline/posts/preList/11930/217697.html#217697 /hvaonline/posts/preList/11930/217697.html#217697 GMT Hỏi-Đáp về virus, trojan, spyware, worm...

H3x4 wrote:
Ơ, chả lẽ con virut đó nó nắm quyền máy đó rồi nó lại hack tiếp à :| nếu có vậy thì thằng coder đúng là hài :D Hehe, có gì mà giận thế :| 
Thế ông cấm nó send từ xxx.xxx.xxx.002 -> xxx.xxx.xxx.255 à? Đâu có giận, chỉ là đang cố gắng "bảo vệ đề án" :D]]>
/hvaonline/posts/preList/11930/217695.html#217695 /hvaonline/posts/preList/11930/217695.html#217695 GMT
Hỏi-Đáp về virus, trojan, spyware, worm...

H3x4 wrote:
Hehe, bạn thấy cái dòng do Kis thông báo không : Intrusion.Win.NETAPI.buffer-overflow.exploit TCP from 192.168.1.33 Rõ ràng là không đúng chứ còn có gì nữa là sao, giờ ông bảo vệ ổng hô: Có thằng ở nhà số 33 đang dùng đại bác bắn vào nhà ta ở cổng số 445 thông qua lỗ mèo chui :| Vậy chẳng lẽ trong nhà bạn có giặc à ??? 
Cái tui hỏi là tại sao ông dám chắc nhà số 33 với nhà đang bị bắn không phải cùng 1 chủ? Không ai cấm 1 người dùng 02 máy và cũng chưa ai cấm địa chỉ gửi và địa chỉ nhận phải khác nhau !!! Tui cũng không chắc là phải hay không vì tui dùng từ "có thể" còn ông rõ ràng là "Chả có malware hay virus nào ở trong máy bạn cả đâu" :| ]]>
/hvaonline/posts/preList/11930/217693.html#217693 /hvaonline/posts/preList/11930/217693.html#217693 GMT
Hỏi-Đáp về virus, trojan, spyware, worm...

H3x4 wrote:

kamikaze-2005 wrote:

kunkun1012 wrote:
Các bác cho e hỏi 1 chút KIS máy e thông báo 4/14/2010 10:04:48 AM Network Attack Blocker Detected: Intrusion.Win.NETAPI.buffer-overflow.exploit TCP from 192.168.1.33 to local port 445 Có phải máy e dính botnet o ạ 
Bạn vui lòng tham khảo trang này: Có thể bạn đã bị dính 01 malware tương tự, nếu có thể bạn hãy đóng gói mẫu và gửi lên cho mình. 
Hơ, gì mà hoành tráng thế, cái này đơn giản là có một cái auto exploit nào đó nó tấn công dựa voà lỗi Win.NETAPI trên kia và cuộc tấn công này xuất phát từ cái máy có IP .33 trong mạn Lan của bạn( rất có thể máy đó đã bị nhiễm virus rồi) , KIS thấy cuộc tấn công này nên nó chặn lại thôi. Chả có malware hay virus nào ở trong máy bạn cả đâu :|. 
Nếu kami nghi nó là do malware thì có gì không đúng? Malware không biết khai thác lỗi trên để lây lan? Và tại sao bạn dám khẳng định là máy có ip ...33 không phải là máy của kunkun1012?]]>
/hvaonline/posts/preList/11930/217689.html#217689 /hvaonline/posts/preList/11930/217689.html#217689 GMT
Hỏi-Đáp về virus, trojan, spyware, worm...

kunkun1012 wrote:
Các bác cho e hỏi 1 chút KIS máy e thông báo 4/14/2010 10:04:48 AM Network Attack Blocker Detected: Intrusion.Win.NETAPI.buffer-overflow.exploit TCP from 192.168.1.33 to local port 445 Có phải máy e dính botnet o ạ 
Bạn vui lòng tham khảo trang này: /hvaonline/posts/list/35307.html Có thể bạn đã bị dính 01 malware tương tự, nếu có thể bạn hãy đóng gói mẫu và gửi lên cho mình.]]>
/hvaonline/posts/preList/11930/217686.html#217686 /hvaonline/posts/preList/11930/217686.html#217686 GMT
Diệt virus bằng tay HOT HOT /hvaonline/posts/preList/35318/217679.html#217679 /hvaonline/posts/preList/35318/217679.html#217679 GMT Ai chỉ giúp con cndrive32.exe và msvmiode.exe.

mrsoftkiepdn wrote:
Số là máy của côn ty em đang dùng trong process cứ hiện 2 con này lên, em end process nó thì vào mạng, dù làm tất cả các cách: + Tắt mạng, tắt mấy con này trong process. + Dùng Bkav2965 ở trong safe mode để quét/ + Vào Windows\system32 xoá đi. + Vào registry xoá key của nó đi. Nhưng làm xong tất cả các bước này rồi mà khi khởi động lại, một lát sau là nó dính lại. Nó chạy mấy cái file sô.exe, hai con này chạy song song với nhau luôn. Anh em nào có ý gì hay không ? giúp em với. 
Hiện nay bộ combo 4 Cloak Malware: cndrive32, msvmiode, ltzqai, syscr đang được kami theo dõi. Hiện nó có khoản 10~20 biến thể mỗi con. Khi lây nhiễm vào máy nạn nhân nó sẽ sử dụng port 445 để phát tán và cập nhật qua Lan + Net. Hiện các phần mềm nổi tiếng chỉ tạm thời chặn chứ chưa diệt được vì nó có chế độ thông minh là "tự cập nhật biến thể của 3 virus còn lại với key đóng gói là random" khi đồng đội của nó bị disable. Sau đây là cách diệt bằng tay: (cài đặt winrar trước khi thực hiện) 1. Rút dây mạng. (Nếu có mạng Lan thì Disable NetBios) /hvaonline/readingRoom/item/1343.html). 2. Bật Task Manager -> Tab Processes -> EndTask theo thứ tự "các number process", "cndrive32", "msvmiode", "Explorer". 3. Trong Task Manager -> Tab Applications -> NewTask "Regedit" 4. Trong regedit làm như sau: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Xoá 02 value: "ExcludeProfileDirs", "Shell" Set value: "ParseAutoexec" từ 1 -> 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] Xoá value: "Microsoft Driver Setup" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Xoá 03 value: "Advanced DHTML Enable", "MSODESNV7", "Microsoft Driver Setup" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Xoá value: "Taskman" 5. Trong Task Manager -> Tab Applications -> NewTask "Relog". Đăng nhập vào lại. 6. Bật Task Manager -> Tab Processes -> EndTask theo thứ tự "các number process", "Explorer". 7. Trong Task Manager -> Tab Applications -> NewTask "Winrar". 8. Dùng winrar như explorer và làm như sau: Xoá cndrive32.exe, WindowsShell.Manifest trong C:\Windows\ Xoá các numbers.exe, msvmiode.exe trong C:\Windows\system32\ Xoá tất cả các thư mục trong C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ Xoá ltzqai.exe trong C:\Documents and Settings\(user name)\Application Data\ Xoá tất cả mọi thứ trong C:\Documents and Settings\(user name)\\Local Settings\Temp\ Xoá tất cả các thư mục trong C:\Documents and Settings\(user name)\Local Settings\Temporary Internet Files\Content.IE5\ ------ Chú ý máy bạn có bao nhiêu user thì phải kiểm tra và xoá hết trong mỗi user kể cả administrator--- Xoá tất cả rác trong C:\RECYCLER\ 9. Trong Task Manager -> Tab Applications -> NewTask "Explorer". 10. Cắm lại dây mạng (nếu có mạng Lan thì hãy diệt tất cả các máy trong mạng trước khi Enable NetBios) ]]>
/hvaonline/posts/preList/35307/217678.html#217678 /hvaonline/posts/preList/35307/217678.html#217678 GMT