English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Hosts -- virus????  XML
  [Question]   Hosts -- virus???? 25/10/2008 01:44:23 (+0700) | #1 | 156451
[Avatar]
 phamthaiha
Member
[Minus]    0    [Plus]
Joined: 08/11/2004 18:09:01
Messages: 57
Offline
[Profile] [PM]
Xin thưa là sau khi dính rất nhiều loại virus ,trojan ,spyware và đã "diệt xong" (k biết xong chưa nhưng AVG nó báo thế) .
Thì mỗi lần scan lại xuất hiện lên "con này" ,k hiểu nó là virus hay nó bị làm sao ,xin mọi người giúp đỡ .
Nó đây (quét = AVG)


Và sao khi mở nó ra theo như "hướng dẫn ở trên mạng" thì thấy thế này




Xin mọi người cho hướng giúp đỡ và giải quyết tình trạng này
Winxp Service pack2
.Hết ạ smilie
[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 25/10/2008 03:54:53 (+0700) | #2 | 156464
[Avatar]
 BlueBird
Member
[Minus]    0    [Plus]
Joined: 19/07/2003 04:08:08
Messages: 288
Location: Bến Thượng Hải
Offline
[Profile] [PM]
Xóa hết nội dung trong tập tin host đó đi... nhớ lưu lại smilie , khởi động lại, kiểm tra xem còn gì trong đó không.. AVG còn báo nữa không, nếu hết rồi thôi, còn báo thì máy của bạn chưa hết "dính" đâu.

* Thêm: tập tin host không phải là virus, nhưng nếu bạn không xóa hết nội dung trong đó thì bạn không thể vào các domain đó được.
[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 25/10/2008 06:41:34 (+0700) | #3 | 156484
protectHat
Member
[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]

BlueBird wrote:
Xóa hết nội dung trong tập tin host đó đi... nhớ lưu lại smilie , khởi động lại, kiểm tra xem còn gì trong đó không.. AVG còn báo nữa không, nếu hết rồi thôi, còn báo thì máy của bạn chưa hết "dính" đâu.

* Thêm: tập tin host không phải là virus, nhưng nếu bạn không xóa hết nội dung trong đó thì bạn không thể vào các domain đó được. 

Xóa hết vẫn bị báo như thường :d
Bạn lưu lại với nội dung như vầy thì không báo nữa
Code:
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

-> Thông tin trong host file được win truy cập trước khi hỏi DNS, nếu có host trong đây thì win không hỏi DNS server nữa. => không có thông tin vẫn vô được
[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 26/10/2008 04:37:33 (+0700) | #4 | 156602
[Avatar]
 phamthaiha
Member
[Minus]    0    [Plus]
Joined: 08/11/2004 18:09:01
Messages: 57
Offline
[Profile] [PM]
Sau khi check :Copy đoạn code trên ,làm như hướng dẫn nhưng :
-AVG vẫn báo như thường .
Tôi định bảo b send cho mấy cái file hosts và host.ics nhưng nó bảo k có host.ics (trong khi nhà tôi có -đã bỏ hết 3 kiểu hidden)

Hiện tượng tiếp theo (giờ mới để ý) :
-Nhà tôi xài Firefox ,mỗi lần vừa bật máy lên mà bật firefox là máy bị rs
-Chơi game ,bật chương trình nặng lên ,sau đó tắt đi ,bật firefox lên máy lại rs
-Vào Task manager kiểm tra lúc bật firefox smiliephần Processes)
+Mem Usage lên từ từ (từ vài KB đến vài chục MB) là máy tự động rs luôn .
* :Khắc phục :tắt chế độ auto rs trong Startup and Recovery thì khi bật firefox (kiểu như trên) thì đơ luôn máy (màn hình xanh) có mấy dòng sau :

Aproblem has been detected and windows has been shutdown to present damage to your computer
PAGE_FAULT-IN-NONPAGED-AREA
If this..................... and then select safe mode .
Technical infomation :
*** stop :0X00000050(0XE728E000, 0X00000000, 0XF772BAF1, 0X00000001)

Đã thử gỡ hẳn firefox ,xóa cả registry của nó ,tất tần tật liên quan ,vảo hẳn web firefox.com dow ver mới (3.0.3) về nhưng vẫn k ăn thua .
Đã uninstall rất nhiều chương trình ,.....................thiễu mỗi nước cài lại win là chưa làm

Ai bị rồi -hay có cách khắc phục thì giúp tôi với +_+ .
Xin cảm ơn trước


[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 27/10/2008 00:48:00 (+0700) | #5 | 156692
protectHat
Member
[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]
Trong C:\WINDOWS\system32\drivers\etc khi cài win lên không có file nào là host.ics cả.
bác có http://www.chicagotech.net/icssetup.htm cho máy khác không?
FF tuy nặng nhưng ko đến nỗi làm máy khởi động lại luôn như bạn. máy bạn Ram bao nhiêu?
[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 27/10/2008 01:19:54 (+0700) | #6 | 156696
[Avatar]
 phamthaiha
Member
[Minus]    0    [Plus]
Joined: 08/11/2004 18:09:01
Messages: 57
Offline
[Profile] [PM]
Ram ổn (3 thanh 256) ,từ trước đến giờ k có vấn đề .
Có ,máy có Lan với 3 máy #
FF đúng là k nặng lắm ,từ trước giờ chạy vẫn ổn ,nhưng từ lúc máy hay bị rs thì tôi mới bắt đầu để ý và rút ra kết luận là do ff (ở post trên tôi có nói lí do mà) .
K để tự động rs khi máy có lỗi thì sẽ thấy màn hình xanh chết chóc smilie
[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 27/10/2008 01:47:29 (+0700) | #7 | 156697
protectHat
Member
[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]
Mạng Lan không phải là share kết nối. bạn thử down hijackthis post log lên đây coi
[Up] [Print Copy]
  [Question]   Re: Hosts -- virus???? 27/10/2008 09:04:42 (+0700) | #8 | 156739
[Avatar]
 phamthaiha
Member
[Minus]    0    [Plus]
Joined: 08/11/2004 18:09:01
Messages: 57
Offline
[Profile] [PM]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:59:06 CH, on 26/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
D:\install\Y!M\unikey\UniKey.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chocongnghiep.com/danhbaweb/bao-chi-bao-dien-tu.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: # Copyright (c) 1993-2006 Microsoft Corp.
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\install\MF\IDM5.11.6\idm\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Autorun Eater] C:\Program Files\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download All Links with IDM - D:\install\MF\IDM5.11.6\idm\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - D:\install\MF\IDM5.11.6\idm\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - D:\install\MF\IDM5.11.6\idm\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MS_OFF~1\DAYNAY~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: sothink swf catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Sothink SWF Catcher - {e19adc6e-3909-43e4-9a89-b7b676377ee3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {e19adc6e-3909-43e4-9a89-b7b676377ee3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EB2BEDD-8C06-4DF6-8ADC-DA9814FF3DD1}: NameServer = 210.245.0.58,210.245.0.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{84852BD2-3E25-4EDA-A862-B13FE56DEC33}: NameServer = 210.245.0.58,210.245.0.11
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 4987 bytes






Đây là log ,có gì khả nghi k bà con????
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|