Messages posted by "nkp"

(HVA News) Hỏi đáp nhanh về siêu mã độc Flame

nkp — GMT

sangteamtham wrote:

nkp wrote:

sangteamtham wrote:

Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn :D
Ở chỗ nào có kết luận này vậy?. Hay là bạn tự sướng nhỉ.
http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers "The vast majority of Flame infections are machines running Windows 7 32 bit. Windows XP is following next. It’s important to say that Flame does not run on Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware." "Summary and conclusions: The Flame command-and-control infrastructure, which had been operating for years, went offline immediately after our disclosure of the malware’s existence last week. We identified about 80 total domains which appear to belong to the Flame C&C infrastructure. The Flame C&C domains were registered with an impressive list of fake identities and with a variety of registrars, going back as far as 2008. The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings. The data uploaded to the C&C is encrypted using relatively simple algorithms. Stolen documents are compressed using open source Zlib and modified PPDM compression. Flame is using SSH connections (in addition to SSL) to exfiltrate data. The SSH connection is established by a fully integrated Putty-based library. Windows 7 64 bit, which we previously recommended as a good solution against infections with other malware, seems to be effective against Flame"

Thanks.

(HVA News) Hỏi đáp nhanh về siêu mã độc Flame

nkp — GMT

sangteamtham wrote:

Nó kết luận 1 cái rất hay là nếu bạn dùng windows 7 bản 64bit thì bạn an toàn :D

Ở chỗ nào có kết luận này vậy?. Hay là bạn tự sướng nhỉ.

Mọi người giúp em Zing nó nhiễm malware gì?

nkp — GMT

bolzano_1989 wrote:

nkp, bạn gửi vài file html và executable file lên cho mọi người xem kĩ hơn được không :) ?

Của bạn đây. http://www.filefactory.com/file/2t7qnmx3vkcd/n/bds.zip Bắt đầu từ dòng 195 nhé. ;)

Mọi người giúp em Zing nó nhiễm malware gì?

nkp — GMT

Zing thì mình không biết. Nhưng bóng đá số (bongdaso.com) thì chắc chắn là có.

Site này bị SQL Injection từ năm 2009. Mới check lại thì vẫn còn bị, chưa fix.

Cách ngăn chặn upload shell hay sửa các lỗ hổng vbb 4.0.x

nkp — GMT

hàng download từ vbb việt là hàng chính hãng hả bạn. Mình không nghĩ vâỵ, vbb việt toàn hàng null. Bạn tấn công người khác, người khác trả thù. Vâỵ bạn nên hỏi người ta phương thức thì hơn.

Share thư mục cho account FTP trong Cpanel

nkp — GMT

Hic.Tình hình là vấn đề này khó quá.Mong các Pro giúp với

Share thư mục cho account FTP trong Cpanel

nkp — GMT

Dạ xin lỗi em quên mất. :( Nó không cùng cấp anh ạ. Folder1 và Folder2 nằm trong FolderParent SharedFolder cùng cấp với FolderParent Thêm cPanel Version: 11.25.0-RELEASE Apache version 2.2.13 PHP version 5.2.9 Anh có cần thêm thông tin gì nữa không ạ?

Share thư mục cho account FTP trong Cpanel

nkp — GMT

Em có một vấn đề khá là rắc rối.Mong mọi người giúp đỡ.Tình huống của em nó thế này. Em có một cái hosting Linux(Shared) giờ em tạo ra 2 account FTP mới(1,2) cùng với account chính. Account ftp 1 được chỉ định cho folder 1. Account ftp 2 được chỉ định cho folder 2. Account chính em có một Folder chia sẻ cho 2 account kia là ShareFolder Giờ em phải làm cách nào với Cpanel để cho phép 2 Account Ftp(1,2) kia cùng có thể truy xuất vào ShareFolder của Account chính. Cám ơn.

lỗi avatar trên các forum

nkp — GMT

Cái này là Xài upload do code tự viết.Theo mình thì VBB nó đã check Extension hết rồi.Vả lại nếu mình upload lên file là avatar.php.jpg chẳng hạn.Nó sẽ không đưa ra link direct của file đó cho bạn đâu.Một là thông qua một id hay là đổi encrypt tên file rồi cộng thêm Extension.Thì lú đó bạn không thể khai thác lỗi mà thường chúng ta hay làm.Giống như quăng shell lên theo kiểu abc.php.jpg đâu. rồi chạy http://www.site.com/images/abc.php.jpg.Tìm cách khác đi bạn

Không thể vào trực tiếp một số trang web vào buổi tối

nkp — GMT

Mình đang xài ADSL của NetNam.Ban ngày mình vào các trang web như ngoisao.net, baobongda.com.vn, manutd.com.vn thì bình thường, không vấn đề Nhưng về khuya khoảng 11h trở đi cho tới sáng mình không thể vào được các trang web trên một cách trực tiếp.Tình trạng này xảy ra khoảng hơn 2 tuần rồi.Ban đầu mình nghĩ ban đêm họ tắt Server nhưng không phải.Mình thử vô thông qua một Web proxy thì ok không vấn đề gì xảy ra. Có ai biết như thế này là nguyên nhân gì không ạ. Mong các Pro giải thích dùm mình với

Re: Thắc mắc: Virus làm Task Manager im re,msconfig ko chạy được?

nkp — GMT

Mấy bác đoán bệnh giống như thầy bói xem voi vậy. Bạn download Hijack This về scan và đưa Post log lên đây.Người nào biết sẽ giải thích cho bạn.Chứ bạn nói như thế nào không lần ra được.

Re: Có ai biết thế này là bị sao không, mình bó tay với nó

nkp — GMT

Ở đây là tự nhiên bị out chứ cúp điện ai làm gì.Vấn đề này vẫn chưa tìm hiều được.Theo mình biết thì con virus mavo cũng có thể làm được việc này.Nhưng mình đã scan rất kỹ bằng NOD32, KIS cả hai điều update hẳn hoi.Kể cả việc gắn ổ cứng qua máy khác.Và vô Dos tìm thử có mavo không cũng không thấy. Ai biết thì chỉ tớ với nha

Re: Thắc mắc: Virus làm Task Manager im re,msconfig ko chạy được?

nkp — GMT

Máy bồ bị virus nó xóa đi hoặc nó sữa Registry thì làm sao vô được.Vô đây download chương trình diệt virus của anh LeVuHoang về diệt.Nếu vẫn diệt không được thử tìm chuơng trình khác như NOD32, KIS thử xem.Diệt xong rồi thì hãy xài tool có trong chuơng trình của anh Hoang phục hồi lại các chúc năng kia. Link đây: http://fasthelper.fire-lion.com/download/FastHelperSetup.zip

Re: Có ai biết thế này là bị sao không, mình bó tay với nó

nkp — GMT

Cái này chỉ bị trong thư mục Firefox 3 Beta 4 thôi.Các Folder con trong thư mục này mình điều xóa được.Chỉ có mấy cái trên là mình không xóa được thôi.Mình thử Rename Folder FireFox 3 Beta 4 thì được nhưng vẫn không xóa được. Hehe đang viết thì tự nhiên xóa được rồi.Lả thế này: Mình vô Dos thực rồi cũng xóa không được.Thử xài Mini Win tron Hirent Boot cũng không được.Xử dụng Nc ở Dos cũng bó tay.Điên lên mình đi ăn cơm thế là rút dây điện cái phựt.Ăn xong lên khởi động là nó Check đĩa.Mình nghĩ chắc do tắt máy đột ngột nên không quan tâm.Vố đang ngồi viết Ngẫm nghĩ một rồi thử lại gõ cmd> cd c:\program files\ gõ thử Rd thì không báo lỗi.Bất ngờ, mở explore ra thấy nó biến mất rồi hahahah.Bây giờ thì cài lại Firefox 3 Beta 4 đã Ok.Mình bó tay với nó. Bây giờ thì đã xử lý xong xui.Ok.Nhưng vẫn chưa biết nguyên nhân tự nhiên nó sinh ra nhưng Folder đặc biệt như thế. Các Pro có ai biết thì giải thích cho mình với nha. À mình có Rar nó lại trước khi xóa.Mình đã thử xả nén ra nhưng những Folder đặc biệt đó Winrar nó không giải nén được.

Có ai biết thế này là bị sao không, mình bó tay với nó

nkp — GMT

Là thế này.Mình xài FireFox 3 Beta 4 tự nhiên đứt cái phụt.Thấy có vấn đề nên xem thì bị mất hêt.Cài lại cũng không chạy được.Thế là vô xem thử thấy nó thế này.

Thử xem có delete được không, nó thông báo thế này làm mất hứng.

Vào cmd cũng xử không được.Dù đổi tên thì vẫn không cho xóa.Bó tay. Bây giờ Post lên anh em xem thử.Tí nữa khởi động lại xài Dos thực xem sao. Có gì sẽ thông báo sau. Nhưng vẫn chưa biết nguyên nhân là gì.Anh em nào biết giải thích dùm tớ với.

Re: Virus làm chuyển qua 1 site khác !!!

nkp — GMT

Symantec nhận dạng ra con này là Trojan.Peacomm.D còn KIS là Email-Worm.Win32.Zhelatin.pv Có thể máy bạn đã bị nhiễm Bạn tải chương trình diệt Virus nào về quét nó ở máy bạn đi.Thử xem có dính chú nào không. Nếu không thì có thể server bị nhiễm rồi.Liên lạc server nhờ họ giải quyết dùm cho.

Re: Hỏi thêm về con Virus gây Logoff khi Logon.

nkp — GMT

Cũng gần như vậy.Như thế này con Mixa khi máy nào nhiễm sẽ tự tạo ra một file userinit.exe ở C:\windows\ và một file system.exe nằm ở C:\windows\system32\ và một số file dll nữa mình không nhớ rõ tên và Sửa khóa "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" có giá trị C:\windows\system32\userinit.exe, ban dầu thành C:\windows\userinit.exe, Lúc này máy bị nhiễm nhưng file userinit.exe ở trong thư mục C:\windows\ vẫn còn vì vậy máy bạn vẫn logon vào bình thường.Nhưng khi bạn diệt hay gọi là xóa file system.exe ở C:\windows\system32\ và userinit.exe ở C:\windows\ đi lúc này máy bạn vẫn xài bình thường vì khóa "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" chưa được dùng đến và giá trị do virus ghi là C:\windows\userinit.exe, nếu như bạn không sữa lại cho đúng là C:\windows\system32\userinit.exe, vì file này đúng chính xác nó ở đường dẫn như thế. Vì vậy nếu bạn không sữa khi khởi động lại máy vào phần logon thì window sẽ không tìm thấy file userinit.exe nào trong đường dẫn c:\windows\ vì thế ta bị logoff ra lại ngay cả khi bạn vô chế độ Saft Mode thì vẫn bị Logoff.Biện pháp khắc phục trường hợp này là vô DOS hay xài công cụ gì cũng được miễn là có thể copy file userinit.exe từ thư mục C:\windows\system32\userinit.exe vào thư mục C:\windows\ lúc này bạn khởi động máy và logon vào bình thường không bị sao cả.Khi vào window được rồi thì bạn nên xóa file vừa userinit.exe vừa copy lúc nãy ở C:\windows\ và sưa key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" lại cho đúng là C:\windows\system32\userinit.exe, là ok. Con này mình xử cũng trên 20 máy rồi nên cũng có chút kinh nghiệm.Ban đầu mình bị và tự diêt sau này mình trị con này cho toàn là tụi bạn mình bị dính không à haha.Mình cũng bị nữa nên đúc kết được bấy nhiêu và chia sẽ cùng bạn thế thôi.

Re: virus gì đây??

nkp — GMT

Bạn thử post log của Hijack This lên đây thử xem.Bạn có thể lấy link ở phía trên đó.

Re: virus gì đây??

nkp — GMT

Bạn nói vậy làm sao biết được máy bạn bị sao

Re: virus gì đây??

nkp — GMT

Bác "maithangbs" lộn xộn quá.Đọc chưa kỹ đã vội kết luận Đúng là con này đó: C:\WINDOW\17PHolmes1001186.exe Bạn download cái này về http://www.incodesolutions.com/downloads/removeitpro_trial.exe Cài đặt và xử nó đi.Con này là một con Win32.X đó. Chúc may mắn

Re: virus gì đây??

nkp — GMT

Anh ấy viết nhầm ấy mà.Ý anh ấy là bạn Post log Hijack This lên cho mọi xem thử máy bạn có thể bị nhiễm gì đó.Nếu bạn không có Hijack This thì download tự link này http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip

Re: Con virus bên game Đột Kích đây là link của nó , help......

nkp — GMT

Hi.Đột nhiên vô vtc.vn đọc tin.Thấy bài này viết về cái dụ này nè. Anh em vô xem. http://vtc.vn/games/diemgames/179662/index.htm Em xin không bình luận gì cả.

Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ

nkp — GMT

Ở trên có nhiều cách diệt mà đâu cần Repair lại Windows đâu bạn "AH".Bạn hãy chọn cách mà dùng.Mình chưa xài cái tool của pác "sherlock_anh" nhưng nghe có vẻ làm hấp dẫn lắm đó.Bạn thử xài xem sao.Nếu có kết quả thì thông báo cho anh em biết với.Nếu không có hiệu quả xài cách của mình cũng được.Mình đảm bảo được 100% đó..Diệt virus mà cứ diệt xong phải Repair lại cả Windows thì hơi mệt đó bạn. Chúc may mắn

Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ

nkp — GMT

Bạn "luckyluke113" đọc chưa kỹ ý của bạn "Seaboy" viết rồi đó.Bạn "seaboy" viết thế này mà.

seaboy wrote:

Tình hình, là máy của 1 đứa bạn nó bị nhiễm virus mixa, mình ko trực tiếp diệt, nhưng thằng bạn mình diệt xong bằng bkav hết virus thì lại bị vào win cứ bị log off, sau đó nó kêu mình lên giải quyết giùm di chứng, mình đã sửa lại regedit phần Code:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
"Shell"="explorer.exe"
_Đã vào win được nhưng ngặt 1 nỗi explorer.exe vẫn bị chặn, nghĩa là chỉ hiện thị được cái hình nền và phải thao tác mọi thứ bằng taskmanager, mình đã dùng taskmanager mở lại explorer nhưng lại tự động bị tắt liền, đã thử repair lại win nhưng vẫn chẳng có tác dụng, vẫn bị như thế, ko biết có ai biết về vấn đề này ko nhỉ, có biết thì chỉ mình với nhé.

Còn nếu như theo lời bạn

Nếu mà vừa mới vào HĐH , chưa kịp làm gì đã bị nó đá văng ra ngoài

thì quá dễ.Bạn vào vào Dos và copy file Userinit.exe từ C:\windows\system32\ vào C:\windows\ .Bạn khởi động là máy.Và vào win xóa file userinit.exe ở C:\windows\ nếu thích và vào Registry "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" sửa khóa Userinit lại cho đúng như thế này là được C:\windows\system32\userinit.exe,

Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ

nkp — GMT

Theo mình nghĩ không cần xài cái "winXP PE" của pác "luckyluke113".Mình nghĩ thế này bị khóa explorer.exe nhưng vẫn có thế vào được Registry mà đúng không?Có gì sai đừng cười nha, theo mình cái dòng này của bạn "seaboy"có vấn đề "Userinit"="C:\\WINDOWS\\system32\\userinit.exe" .Theo ngu kiến của mình thì dòng này là C:\Windows\system32\userinit.exe, là chính xác nguyên thủy nó khi bị virus sẽ bị chỉnh sửa thành thế này C:\Windows\userinit.exe, Bạn thử sửa lại thành C:\Windows\system32\userinit.exe, thử xem sao.Đúng theo bạn "Luckyluke113" là phải có dâu "," ở cuối.

Re: Virus secret.exe!!!!

nkp — GMT

Con này thì các bạn tải NOD32 bản mới nhất về diệt là được thôi.À diệt xong các bạn hãy vào Run->Regedit.Vào khóa sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Bạn sửa khóa Userinit của nó là C:\Windows\userinit.exe, thành C:\Windows\system32\userinit.exe, nha các bạn.Nếu các bạn không sửa lại khi đăng nhập sẽ bị logofff ra lại.Tới đây là xong.Bây giờ đã diệt được nó. Còn bạn nào lỡ đã tắt máy hay Restart khi chưa sửa trong Registry thì đừng sợ nha.Hãy làm theo cách sau.Bạn lấy một đĩa Hirent Boot.Boot từ CD sau đó bạn dùng Win 98 hay chương trình quản lý file này trong đó cũng được hay Nc từ Dos cũng được.Bạn hãy Copy file Userinit.exe từ thư mục C:\Windows\system32\ sang thư mục C:\Windows\ là xong.Sau đó bạn khỏi động lại máy.Bạn lại vào Run->Regedit.Vào khóa sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Bạn sửa khóa Userinit của nó là C:\Windows\userinit.exe, thành C:\Windows\system32\userinit.exe, Sau đó xóa file Userinit.exe tại thư mục C:\Windows\ là xong. Đây là cách diệt con virus secret.exe của mình với NOD32.Cách này mình đã làm thành công trên 3 máy ở nhà mình rồi.Còn pác nào có cách diệt nào nữa thì Post lên anh em tham khảo nha.Kiến thức mình cũng còn hạn chế À quên cái khóa C:\Windows\system32\userinit.exe, có dấu phẩy " , " ở cuối nha.Không có dấu "," là bó tay đó Chúc may mắn

Re: giúp trị con autorun.inf

nkp — GMT

Mấy bác này thiệt là....Đâu phải autorun.inf là một loại đâu, có nhiều loại khác nhau vẫn tạo ra file autorun.inf trong cơ chế lây truyền của nó mà.Mấy bác phải xác định được file nguồn của virus đang chạy ở đâu.Loại virus gì thì mấy bác mới xử nó được chứ.Còn nếu không biết được là loại nào thì tốt nhất nên tải các chương trình Anti Virus về rồi xử.Tùy từng pác thích cái gì mà tải về xử.Tớ thì thích nhất NOD32 xài chung với Kaspersky đó.Thỉnh thoảng lấy BKAV và FireLion quét nữa hehe.Ai nói là mấy mình hoàn toàn sạch virus đâu.

Re: pagefile.pif, LSASS.EXE, SMSS.EXE

nkp — GMT

Con này mình gặp ở nhiều máy rồi.Mình đã từng rất nhiều phương pháp nhưng không được.Mình chỉ xài cách này thì mới hết virus ở các ổ đĩa. Các bạn xài Hiren Boot.Sau khi khởi động cùng DOS và vào WIN98 Mini.Cái này ở phần File Manage thì phải.Mình không nhớ rõ.Các bạn vô thử tìm nha.Sorry vì trí nhớ mình dạo này kém quá.Sau khi vô được Win98 các bạn tiến hành format ổ đĩa hệ điều hành.Và sau đó qua các ở đĩa còn lại tìm file pagefile.pif, autorun.inf, smss.exe, lsass.exe và xóa đi.Thế là xong các bạn cài lại hệ điều hành và chương trình.Nếu như bạn muốn sạch virus hơn nữa thì bạn cài chương trình diệt virus cập nhật và quét lại là ok.Mình đã làm như vậy ít nhất là 3 máy và điều thành côngi.Chúc các bạn thành công.