Đổi màu giao diện
Truyền thống

Virus làm mất mạng. Cứu với

Thảo luận trong 'Xử lý vấn đề về Virus' bắt đầu bởi oxOOOxo, May 5, 2009.

  1. oxOOOxo Tân Binh

    Triệu chứng trong một mạng:

    - Một số máy đang chạy bình thường, bật máy khác lên thì không vào được mạng nữa. Không thể ping tới modem adsl

    - Một số máy cứ hiện thông báo trùng địa chỉ IP mặc dù đã thiết lập địa chỉ IP tĩnh và chắc chắn là không trùng

    - Do virus trên một máy nào đó trong mạng giả mạo địa chỉ của modem ADSL làm các máy khác bị lừa truy cập Internet thông qua một cổng giả mạo -> không vào được. Vẫn có thể ping bình thường các máy khác trong mạng với nhau

    - Dùng phần mềm xem IP các máy trong mạng LAN thì thấy có 1 số máy có IP kiểu như 192.168.1.38l225.147.1.23 đôi khi cả cái IP 192.168.1.1 cũng có thêm một dãy IP khác phía sau giống như thế kia.

    - Kiểm tra Ping thì bị time out đều, sau một thời gian có các triệu chứng trên thì không máy nào kết nối được internet nữa, cài lại WIN thì hết nhưng sau vài hôm lại bị nhiễm, có thể do 1 máy trong mạng nhiễm lây sang.

    - các phần mềm quét virus không phát hiện được gì, Ai biết cách phòng chống hay diệt loại này chỉ mình với, chứ mấy ngày lại cài WIN 1 lần oải quá [​IMG]
  2. thangbomgh

    thangbomgh Thiếu Úy

    Với con này thì mình nghĩ bạn nên dùng [topic="101937"]Malwarebytes' Anti-Malware[/topic]

    Update rồi scan,chương trình khá nhẹ,có thể cài trên các máy yếu
  3. anhphe076

    anhphe076 Binh Nhì

    Tình trạng này đã xẩy ra từ 3-5 Đại lý Internet Ở Cần Thơ rồi!! Chỉ còn cách tốt nhất là là cài mới tòn bộ thui!! Bạn nên cài 1 máy cho hoàn hảo sạch cho tấc cả Ổ cứng!! Hoặc mượn 1 Source phòng Game nào đó sạch về bun ra thôi!! Con virus tạo Card mạng ảo này thì Mình đã bó tay lâu rồi!! Mặc dù kinh nghiệm đầy mình.... Mình cũng đã đưa nhiều câu hỏi lên mấy diễn đàn IT nhưng vô dụng thui!! Chúc may mắn!!
  4. kidnat

    kidnat Binh Nhì

    máy nhiễm virus conficker rùi,dùng cái này kill nó bạn nhé:

    http://www.download.com.vn/Data/Soft/2009/...load.com.vn.zip

    hoặc bạn chỉ cần cài symantec và update bản mới nhất sau đó vào safe mode để quét là có thể được bạn ạ

    Phải nói là con này rất cứng đầu, có khi format hết HDD mà nó vẫn còn.
  5. kidnat

    kidnat Binh Nhì

    Bổ sung:

    Công cụ miễn phí có thể “mò” ra dấu vết của sâu Conficker được Sysmantec có tên Conficker removal tool có thể tải miễn phí ở địa chỉ : http://www.symantec.com/norton/theme.jsp?t...=conficker_worm.



    Hoặc tải file này : [attachment=52716:W32.Down...val_Tool.exe]

    Đính kèm:

  6. ngoctr

    ngoctr Binh bét Ban quản trị

    Humor khẳng định đây không phải là sâu Conflicker.

    Rất đơn giản:



    1. Có nhiều virus có thể làm ngắt mạng.

    2. Các tiệm nét đều cài DF để đóng băng.



    Vậy virus nào có thể qua mặt DF?



    Câu trả lời là SafeSys.exe

    Con này xuất xứ China, bypass DF bằng cách sử dụng công nghệ Rootkit.

    Cách xử:

    1. Ngắt mạng.

    2. Ghost

    3. Xóa hết các file autorun.inf và các file exe đi kèm trong các ổ đĩa.



    Làm hết các máy rồi mới nối mạng.



    Cách chống:



    DF5 và 1 vài phiên bản DF6 vẫn bị dính.

    Vậy các bạn làm như sau:

    Tải bản DF mới về 1 máy, cài và test xem có dùng được hay không?

    (Thử bằng cách kích hoạt virus và kiểm tra nó có qua mặt được DF nữa hay không?)

    Hoặc tìm bản DF có bản quyền.



    Thân!
  7. bomviet

    bomviet I'm me

    Với con này như bác Hurmorist vn chỉ có cài đặt phần mềm quét virus Symantec phiên bản mới nhất theo dạng Server - Client (máy chủ - máy con)

    http://www.benhvientinhoc.com/dd/lofiversi...php/t33787.html

    http://www.benhvientinhoc.com/dd/index.php?showtopic=28946

    Hay có thể dùng Rising Av, hoặc Kingsoft KT xem->Vì nó là của TQ mà /////^^

    Nhớ tắt system restore+http://download.bleepingcomputer.com/sUBs/ComboFix.exe diệt nó nha

    PS:Với các máy bị nhiễm nặng thì có cách format và làm lại

    Các diệt bằng tay cho các cao thủ tham khảo

    Code:
    Mới đây, đã có 1 con Virus cực mạnh xuất hiện, gây khốn đốn cho nhiều anh em phòng Net - phải thức khuya để cài đi cài lại, tắt reset router... Hôm nay mình xin nêu những đặc điểm chính của con virus này và cách diệt nó (Safesys.exe)
    
    
    
    Đặc điểm :
    
    - Đường lây nhiễm : Qua USB hoặc các trang web độc hại.
    
    - Khi được kích hoạt sẽ ghi một đoạn mã độc vào BootSector của ổ cứng (điều này làm nhiều anh em lầm tưởng là máy tính của mình bị virus xuyên thủng băng). Nói dễ hiểu là nếu máy của bạn đóng băng, bạn vẫn sẽ bị nhiễm con này nếu kích hoạt nó.
    
    - Đoạn mã độc ghi vào BootSector trên có khả năng gọi kết nối internet ngoài Dos và duy trì kết nối đó. (Đây chính là đường lây nhiễm LAN và Online). Nhưng các bạn yên tâm, nó không phải ăn Router (modem) của bạn, nên bạn ko cần reset lại router làm gì, mà chỉ cần tắt router đi thôi là OK rồi !
    
    - Một đoạn REG được ghi vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run --> để có thể chạy vào lúc khởi động Windows.
    
    - Một file Safesys.exe được lưu trong C:\Program Files\Common Files để có thể lây nhiễm qua USB và nằm chờ thời trong ấy để có thể hoàn hành trở lại một lần nữa.
    
    
    
    Cách diệt :
    
    1. Tắt router.
    
    2. Boot bằng đĩa Hiren --> Vào Dos --> đánh lệnh fdisk/mbr (lệnh này để làm lại bootsector cho ổ cứng) ==> nếu máy tính của bạn đang đóng băng, chỉ cần chạy tới đây là OK rồi, khởi động lại máy và vào windows bình thường.
    
    3. Khởi động lại máy, vào Safemod của Windows --> vào Regedit xoá keyname Safesys tại : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    
    4. Dùng trình tìm kiếm của windows để search file (tất cả các file, kể cả file ẩn) (Lưu ý bạn nên set folder option của mình là hiện tất cả các file, kể cả phần mở rộng và tập tin hệ thống). Tìm kiếm lần lượt và xoá sạch đi những file Aurorun.inf, Safesys.exe trên tất cả các ổ đĩa.
    
    5. Vào C:\Program Files\Common Files xoá file Safesys.exe còn lại
    
    
    
    Vậy là sạch rồi đó, bạn đã diệt đựoc virus Safesys.exe này.
    
    
    
    Chú ý : Virus Safesys.exe này khi nhiễm vào máy tính, đã truy vấn gọi nhiều virus khác trên mạng đến cùng phá nên mình không biết có thể diệt tận gốc rễ của nó chưa. Chúng ta nên chờ bác Quảng ra tay, chờ Bkis tìm hiểu thấu đáo và đưa ra cách diệt.


    Code:
    1. Start -- > Run --> gõ vào Gpedit.msc.
    
    2. Computer Configuration --->Windows Settings -->Security Settings-->Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
    
    Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
    
    3. Click chuột phải vào Additional Rules, chọn New Hash Rule
    
    ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771
    
    
    
    ở ô File infomation Copy đoạn này vô:
    
    SafeSys.exe
    
    48 KB
    
    3/3/2009 6:58:08 PM
    
    
    
    ở ô Security level để mặc định là : Disallowed
    
    
    
    
    
    
    
    Xong, bấm OK là đã chặn đc con virus này trên máy bạn rồi đó ! Bạn thử ra ngoài kiếm cái USB nào bấm thử vào con Virus đó xem, nó sẽ ko chạy đc đâu !
    
    Cách này áp dụng cho nhiều file khác, nếu bạn muốn cấm file đó chạy trên máy của mình


    [​IMG]
  8. itvn_2008

    itvn_2008 Binh Nhất



    169E1">Nếu là SafeSys.exe thì diệt dễ lắm chỉ 5 giây thôi không phải ghost hay cài lại máy. Nếu các bạn muốn liên hệ qua yahoo hoặc phone cho mình nha.
  9. ngoctr

    ngoctr Binh bét Ban quản trị



    Con này không ghi vào MBR. Nó ngang hàng DF nên có thể ghi vào hệ thống mà DF ko kiểm soát được -> Có DF cũng như không.





    5s để chạy chương trình à?

    Xin thưa là 1 hacker muốn đạt đến tầm để viết con này ít nhất cũng cần có đến 5năm kinh nghiệm.

    Nếu bạn muốn giúp đơ mọi người thì tôi khuyên bạn nên chân tình hơn.



    PS:



    Cách cài AV dùng cho các máy đơn và máy cơ quan (Ko dùng DF) và hầu hết AV mạnh đã xử nó.

    Các máy tiệm NET thì hẳn nhiên ko nên cài AV vì:

    1. Nặng máy.

    2. Dễ xung đột với câc chương trình chống hack của các game online -> Ko chơi được.

    Cách hay nhất là tìm và thử 1 bản DF tốt.





    Thân!
  10. abcabctrung

    abcabctrung Tân Binh

    tui đã bị trương hợp này rồi

    ping qua CMD các website vẫn đc

    vào net bằng fire fox vẫn đc

    nhưng kô vào đc bằng IE ...kô vào đc các ứng dụng interner khác nữa ( như yahoo và các game online)

    đã hỏi nhiều người và thử dùng 1 số cách : người thì bảo virus... người thì bảo cutnet....[​IMG] [​IMG] [​IMG]

    ....nhưng cách hiệu quả cuối cùng là format toàn bộ và cài laị win :(

    mong bạn sớm khắc phục đc tình trạng trên
  11. itvn_2008

    itvn_2008 Binh Nhất



    169E1">Hoàn toàn không sai. Con này mình đã kill thành công rồi không chỉ con này mà cả biến thể của nó là con xsafesys.exe



    Mình đã cho 10 máy tại cơ quan nhiễm >>> test rồi. Và phân tích vào môi trường của nó, rồi lập trình và kích vô Anticafe. Nó kill sạch trong 5 giây. Mình nói là trên tinh thần trách nhiệm và nghiêm túc.
  12. trungcad

    trungcad Trung Sĩ

    Nghe có vẻ rất pro!đọc thì thấy chung chung!chẳng hiểu gì cả!hãy biến IT của bạn thành bình dân đi!vì diễn đàn vì cộng đồng mà có phải ai cũng pro đâu!xin cảm ơn bạn
  13. itvn_2008

    itvn_2008 Binh Nhất



    169E1">Bạn bị nhiễm virus tạo IP giả rồi. Bạn downd 2 file này của mình về. Sau đó kích vô tiện ích scan_ip để kiểm tra IP. Nếu 2 cái giống nhau chứng tỏ là nhiễm virus. Tiếp đến bạn dùng cái tiện ích check_ip và kích vô >>> nó sẽ làm mới lại IP là ok.

    Đính kèm:

Chia sẻ trang này

Quần áo trẻ em Quà tặng | gấu bông | thú nhồi bông | Hộp quà | Quà sinh nhật | Quà 8/3 | Quà NOEL | Quà VALENTINE | Quần áo trẻ em | áo khoác | độ xe | mua bán xe | giá xe