Phần mềm gián điệp, vi rút kỳ quặc, hỏi bác Phương Đông

Sất
19-12-06, 12:23
Chả là hiện giờ em đang viết cuốn " Chả sất 4h"
Nhà em đương hết sức thắc mắc vì máy tính bị vi rút. Lần trước đã một lần tự dưng mất toàn bộ dữ liệu ổ C, cả tiểu thuyết may còn giữ lại fie ở usb, đi sửa lại cả tuần thay ổ C gì đó. Hiện giờ tối hôm qua em viết bài sáng ra thấy riêng cái file tiểu thuyết giở ra bị ăn hết giữ liệu còn lại vài dòng nhắn gửi ko đọc được của bạn vi rut. Các file khác thì hoàn toàn ko sao.

MÀ cái usb của em cũng rất kỳ quặc, tự dưng có một cái file china gì đó mờ mờ em xóa đi nó lại xuất hiện và ko tài nào xóa được.

Hỏi bác Phương Đông và các bạn xem có phải vi rut phần mềm gián điệp ko, vì sau sự tình mình có điều kiện bên nhà sách bảo trì luôn máy tính, mình nghe tối qua họ cũng bị vi rut phá y như thế.

Vậy giờ đúng vậy thì phải tìm ai, địa chỉ ở đâu và sửa như thế nào ??
wasabi
19-12-06, 13:34
Chị Chả Sất mật thư kiểu gì đó cho em cái phai ấy, em xem thế nào.

PS: Nếu có gì lần sau chị lưu các file vào HÒM THƯ (ở trên Yahoo Mail hay Gmail), sẽ rất tiện.
wasabi
19-12-06, 22:37
Chị Chả Sất không hiểu bị ai tấn công mà hộp thư cũng đầy ự không nhận được thư trả lời của em nữa.

Sất has exceeded their stored private messages quota and can not accept further messages until they clear some space.

Chị gửi trực tiếp vào tên nick em @thanhnienxame.net nhé.
Sất
25-12-06, 13:25
Bi thân mến,

Mình vừa mới dính file gửi cho Bi, tuy nhiên không tài nào mà dính được. Cái file a china ấy. Tức là đính được song tự nhiên lại biến mất, đính lại lại được lại biến mất, đại khái thế.

Như vậy có đoán được là vi rút hoặc phần mềm gián điệp không ?

Trường hợp duy nhất là nếu như Bi tò mò và giúp được Sất thì gặp bạn đưa cái cổng usb cho bạn nghiên cứu bạn vi rut a chi na. CÒn nếu ko thì ko sao, mình kệ. Cho họ theo dõi, mình đường chính chả sợ bố con thằng nào cả.

Nhân thể mình hỏi Bi, việc này quan trọng với mình và giả thiết của cuốn truyện trong việc theo dõi theo diếc này.
Mình hỏi Bi, công ty Thái Nam ở Hà nội có phải là công ty an ninh mạng không ?.
Địa chỉ công ty đây http://www.thainam.net/

Trên trang đó đang bảo trì có nói bạn có bán phần mềm điều kiển từ xa.

http://www.thainam.net/Netop/
Đây là phần mềm chuyên dùng để điều khiển từ xa các hệ thống máy tính, với các ưu điểm nổi bật như tốc độ nhanh, bảo mật tốt, có khả năng bắc cầu (LAN to LAN) và hỗ trợ nhiều hệ điều hành (bao gồm Windows 9x, WindowsNT, Windows XP, Windows CE, Linux, DOS, OS/2, …) hơn các sản phẩm tương tự hiện có trên thị trường . Phần mềm này được ứng dụng nhiều trong công việc hỗ trợ kỹ thuật và quản trị hệ thống ở xa, cũng như trong quá trình triển khai các ứng dụng trên các hệ thống lớn. Nó giúp cho các chuyên gia hệ thống không phải di chuyển.

Phần mềm này được giới thiệu lần đầu tiên vào năm 1997 và liên tục được phát triển cho đến nay. NetOp School được xây dựng trên nền tảng của NetOp Remote Control
Tuy nhiên mình đồ là chính các bạn tổ chức theo dõi an ninh mạng thì phải.

Cảm ơn bạn rất nhiều.
Sất.
Phuongdong
26-12-06, 07:16
Chắc em bị dính con flashy.exe rồi, hoặc phiên bản của nó

Cách diệt con làm ẩn các file (ẩn Folder Options)
Tên : Troj/Glupzy-A
Kiểu : Trojan\Backdoor

Các tên khác:
Trojan.Win32.Disabler.i
BackDoor-DIY
Win32/Disabler.I
Backdoor.Glupzy
BKDR_GLUPZY.A

Các hệ điều hành lây nhiễm : Các version của Windows

Tác hại :
- Cho phép những ngýời khác truy cập vào máy tính
- Làm giảm cơ chế bảo mật hệ thống
- Cài chính nó vào trong Registry

Mô tả:
-Troj/Glupzy-A là 1 Backdoor Trojan chạy trên nền tảng Windows
-Troj/Glupzy-A chạy như 1 máy chủ telnet lây nhiễm vào máy tính
- Trojan này cũng thay đổi password cho ngýời sử dụng “Administrator” thành “hacked”
- Khi khởi chạy nó tự copy chính mình tới các thư mục <Startup>; <System32> tự tạo ra các files “systemID.pif” (thường nằm ở C:\Documents and Settings\Administrator\Start Menu\Programs\Startup) và “Flashy.exe” (thường nằm ở C:\Windows\System32)
-Khởi chạy Telnet và lắng nghe ở cổng 23
- Tạo ra giá trị khởi chạy trong registry
· Thêm vào regedit khóa khởi chạy sau
"Flashy Bot" = "%System%\Flashy.exe"

Gắn vào khóa con:
HKLM \Software\Microsoft\Windows\CurrentVersion\Run nó sẽ chạy mọi lúc vào hệ điều hành windows
-Thiết lập khóa con sau:
"NoFolderOptions" = "1" trong regedit: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
để gỡ bỏ Folder Options từ thanh công cụ trên Windows Explorer

- Thiết lập khóa sau: "HideFileExt" = "1"
trong khóa con của regedit :
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
để ẩn phần đuôi mở rộng của các files trong Windows Explorer.

-Thiết lập khóa con sau:"Hidden" = "2"
trong regedit:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

để không hiển thị các folders và các files ẩn

· Thiết lập khóa sau:
"Start" = "4"
nằm trong regedit :
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
để dừng việc chia sẻ mạng ..

-Thiết lập khóa sau “HideFileExt” = “1”
Nằm trong regedit
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Dùng để ẩn đi các phần mở rộng của các file, ẩn đi thư mục bị ẩn

Cách diệt:

Trước khi diệt ta tắt chức năng System Restore

Sau đó vào "Safe mode"

1- Vào ổ đĩa C:\

-Xóa file systemID.pif (Ở trong C:\Documents and Settings\Administrator\Start Menu\Programs\Startup)

-Xóa file Flashy.exe (C:\Windows\System32)

Nếu không tìm thấy các file trên hãy dùng cách tìm kiếm các file (Tìm cả các files ẩn “Searrch Hidden files and folder “) xóa đi

2- Vào Regedit :

Tìm đến khóa
- "Flashy Bot" = "%System%\Flashy.exe" xóa nó đi
Nằm trong HKLM \Software\Microsoft\Windows\CurrentVersion\Run

- "NoFolderOptions" = "1" thay giá trị “1” bằng “0”
ở trong HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- "HideFileExt" = "1" thay giá trị “1” bằng “0”
ở trong HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- "Hidden" = "2" thay giá trị “2” bằng “0”
Khóa nằm ở HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- “HideFileExt” = “1” thay giá trị “1” bằng “0”
Khóa nằm ở HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- "Start" = "4" thay giá trị “4” bằng “2”
Khóa nằm ở HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess


PS : Đời phải biết mình là ai chứ - Em ở lâu trong Biên hòa bây giờ anh lo lắm. Mệt quá đi
teppi
06-01-07, 23:26
Flashy.exe là virus giấu file và folder chứ không xóa, nó tự động chuyển tất cả các file và folder nằm cùng chỗ với nó thành hidden file rồi tạo một file giả giống y hệt thay thế. Nếu chị vào Windows Explorer, menu Tools đã mất phần Folder Options (dùng để hiện các file ẩn) thì mới là bị nhiễm Flashy.

Virus này có thể diệt bằng BKAV, khởi động lại máy sau khi quét là hết.
Sất
09-01-07, 11:28
Flashy.exe là virus giấu file và folder chứ không xóa, nó tự động chuyển tất cả các file và folder nằm cùng chỗ với nó thành hidden file rồi tạo một file giả giống y hệt thay thế. Nếu chị vào Windows Explorer, menu Tools đã mất phần Folder Options (dùng để hiện các file ẩn) thì mới là bị nhiễm Flashy.

Virus này có thể diệt bằng BKAV, khởi động lại máy sau khi quét là hết.


Chắc em bị dính con flashy.exe rồi, hoặc phiên bản của nó

Cách diệt con làm ẩn các file (ẩn Folder Options)
Tên : Troj/Glupzy-A
Kiểu : Trojan\Backdoor
PS : Đời phải biết mình là ai chứ - Em ở lâu trong Biên hòa bây giờ anh lo lắm. Mệt quá đi


Bạn Teppi ko biết ở đâu mới chui ra nhở.
eo ơi, hehe, có khi ở trung tâm an ninh mạng BK cũng nên.

Có mình mang cái usb đầy vi rut đến thì mới biết bạn exe đó mà bka các thứ diệt chứ, đúng không ?

Không biết có phải cái bạn mặt đen đen hết hồn khi mình dơ usb ra kể không.
Mà mình nhận được giấy chứng nhận virut không phải phần mềm gián diệp của trung tâm rồi cơ mà, việc gì ko khảo mà xưng thế.

Mà sáng hôm mình lấy chứng nhận virut, nhìn rõ ràng bạn mặt đen xóa đi hộ rồi mà về Bkav kêu còn 20 bạn virut a.exe mới kinh. Khởi động song rồi duyệt hết thật.

Mà cái file đó tên là a.exe. Không phải Flashy.exe Mà bác Phương Đông có nhìn thấy USB của em đâu mà phán kinh thế. Phải có chứng cớ chứ. Hay là bác chỉ ngửi hơi chữ em gõ ở Thăng Long bác đoán ra virut.

Thật, em hiện giờ càng ngày càng ko biết đường nào mà lần.

PhuongDong ah, Em vấn nghi ngờ em chưa ra khỏi trại đấy. Làm sao mà bạn vietnamnet lại đổi bạn Sất là bác sỹ trại điên mới ngu em chứ.