Messages posted by: stf

Có 2 khả năng:

1. Ổ cứng của bạn sắp hư (bị bad sector);
Cách giải quyết: dùng boot hirent chạy ch trình kiểm tra, nếu bị bad thì nên thay ổ cứng mới.

2. Các ổ đĩa (không cài WinXP) có chứa tập tin nhiễm virus nên ban đầu bạn vừa cài xong thì vào Windows bình thường, sau đó bạn truy cập ổ dữ liệu này (ko bị xoá khi cài lại WinXP) là hệ thống bị nhiễm trở lại gây nên hiện tượng treo như trên.
Cách giải quyết: cài phần mềm diệt virus kiểm tra tất cả ổ đĩa, nếu bị nhiễm mà ko diệt được thì dùng boot hirent cd xoá tất cả file bị nhiễm rồi cài lại win.

xsecure wrote:

hết sức đơn giản. bạn hãy đổi port remote desktop (mặc định 3389) thành port khác.với 20 port không trùng nhau thì connect dc 20 máy.khi connect thêm vào số port cuối.

Bổ sung thêm:

Theo hình trên, ví dụ ta nhập theo từng dòng:
1. Single - RDP01 - TCP - 3389 - 192.168.1.9 - 3389
2. Single - RDP02 - TCP - 3390 - 192.168.1.10 - 3389
3. Single - RDP03 - TCP - 3391 - 192.168.1.11 - 3389
4. Single - RDP04 - TCP - 3392 - 192.168.1.12 - 3389
............
20.....

Lúc đó từ bên ngoài ta kết nối theo từng port khác nhau tương tự hình sau:

luckyboyat6 wrote:

svchost.exe 50-55
system Idle process 40-46
firefox(3.6.7) 12-16
Đây anh ạ

Trên Task Manager bạn vào menu View/Select Columns check vào 'Image Path Name' xem đường dẫn file svchost.exe nằm ở thư mục nào.

1. Nếu không nằm trong system32 thì bạn End Process này, mở thư mục, bật option hiển thị đầy đủ extension của file rồi xoá file svchost.exe đi, trước khi xoá xem kích thước file bao nhiêu và hình icon như thế nào, sau đó tìm trên tất cả các ổ đĩa tất cả file *.exe có cùng kích thước, xem kết quả có file .exe nào giống icon ban đầu thì xoá đi (cẩn thận, nếu không rõ thì ko nên làm!). Xác suất thành công 50/50 vì có thể file này còn có 'bạn' đi kèm.

2. Nếu svchost.exe nằm trong system32 thì có thể máy bạn nhiễm 1 con mới lây lan qua service mạng (tương tự conficker). Bạn thử download tool MRT này về quét xem có phát hiện gì ko? http://www.microsoft.com/security/pc-security/malware-removal.aspx

Bạn có thể vào trang http://free.antivirus.com/hijackthis/ chạy chương trình HijackThis lấy log post lên đây để có thêm thông tin phân tích.

Các process nào chiếm nhiều CPU vậy bạn?

Chắc là không có hy vọng rồi bạn ơi, web thì bạn mở file mdb thay thế chuỗi MD5 khác (hoặc đổi group của 1 user khác mà bạn có pass thành group admin), mật khẩu ngân hàng thì ra NH làm thủ tục đổi pass lại thôi.

Bạn thử vào Task Manager end process svchost.exe có User Name là user logon của bạn (không phải LOCAL SERVICE, NETWORK SERVICE)

Nếu không end process được (malware thứ thiệt thì thường có nhiều process tự bảo vệ nhau, thằng này bị kill thì thằng khác chạy lại) thì bạn download chương trình Process Explorer ( http://technet.microsoft.com/en-us/sysinternals/bb896653), bạn chạy rồi chụp lại màn hình post lên đây nhe.

duongkhacphi wrote:

file đó đây bác xem giúp em
http://www.mediafire.com/?bffbpvp28njlq5b

File bạn gửi có code VBS khi chạy sẽ save 1 file svchost.exe vào thư mục %temp% và chạy nó, file exe này có chứa menu WinRar và dialog tiếng Nga. Có điều lạ là dung lượng text thêm vào trong file html khá lớn, gần 500k, cho thấy có 2 khả năng:

1. Server mà bạn đặt website chạy HĐH Windows bị nhiễm malware và nó tự tìm kiếm tất cả file html và chèn vào đoạn code VBS lây nhiễm;
2. Website và forum vbb của bạn có lỗ hổng nên bị tấn công, có thể đã bị upload shell lên chạy con shell này để tiến hành lây nhiễm chèn code vào các file html.

Để bảo đảm thì bạn cũng nên cài lại server và cập nhật đầy đủ các hotfix (nếu là server/vps riêng), kiểm tra kỹ lại code fix các lỗi của website (nếu tự lập trình) như sql injection, module upload ảnh...; update bản vá mới nhất (nếu dùng open source cms, forum).

Để xác định nhanh xem máy tính của mình có dính bot đang tấn công VietnamNet hay không, bạn có thể tắt hết trình duyệt (IE, FF, Chrome,...), chat yahoo, skype, zing,... rồi vào màn hình console (cmd.exe) chạy lệnh Code:

netstat

để xem danh sách các kết nối ra ngoài (ESTABLISHED), nếu thấy xuất hiện tên domain có .vn, hoặc dãy IP của Việt nam thì chạy tiếp các tool sniff để lấy thêm thông tin.

Trang kiểm tra thông tin về địa chỉ IP: http://all-nettools.com/toolbox/smart-whois.php

Danh sách các tool sniff: http://thedatalist.com/pages/Packet_Sniffing.htm (có thể sử dụng những tool khác với SmartSniff, Wireshark,... để mong STL chưa update code kịp smilie

soida wrote:

Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ

TQN wrote:

Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo.

Hai bác định vẽ đường cho hươu chạy sao smilie

vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke

inf....d

anhhainhaque wrote:

Hi,
Bạn gửi mẫu con đó lên đi. Không có mẫu sao mà thảo luận được.

http://www.mediafire.com/?xryajj2mmzt
http://www.mediafire.com/?izb0htj0bjt

password: inf..... (tự đoán các dấu chấm phía sau smilie

)

Mình vừa post mô tả mục đích patch 4 bytes TCPIP.SYS bên diễn đàn D32: http://forum.d32av.vn/viewtopic.php?pid=58

Mình có post thông tin về 1 con trojan+rootkit hết sức nguy hiểm bên diễn đàn D32.
Anh em cảm phiền qua bên này thảo luận và ủng hộ cho xôm tụ nhe (còn vắng vẻ quá ! smilie

)

http://forum.d32av.vn/viewtopic.php?id=25

http://www.lc.leidenuniv.nl/awcourse/oracle/nav/docindex.htm

Đọc mệt xỉu luôn !!!