xitrumvndn
15-09-2008, 23:49
Mình nhác đánh lại hiện tượng lạ, nên copy qua đây luôn. Đây là bức thư mình gửi BKAV nhờ tư vấn , hiện tại mình vẫn đau đầu về chuyện này, đã tìm kiếm nát web vẫn chưa có câu trả lời xứng đáng !
Chào các anh chị ! Tôi đã làm như các anh chị nói từ trước khi gửi yêu cầu nhờ giúp đỡ đến các anh chị. Tôi đã làm mới lại tất cả các máy, trong lúc làm mới tôi đều rút cáp mạng. Đã format tất cả các partition ! Cài bản win mới . Lúc đầu tôi nghĩ bản win bị lỗi nên đi mua bản khác ở một cửa hàng khác đáng tin cậy. Sau khi cài, tôi đã cẩn thận dùng chương trình quét virus mới nhất trên web BKAV (đã lưu trong USB mới mua, được download từ một LAPTOP sạch có chạy các chương trình chống virus) để quét nhưng không có con nào. Tôi đóng băng deep freeze ! Sau khi đóng băng, tôi lại quét virus 1 lần nữa , rồi dùng Hijack this quét , vẫn thấy win sạch sẽ. Xong hết 20 máy, tôi bắt đầu gắn cáp mạng vào . Đến lúc truy cập vào Internet, đặc biệt là các trang có nhiều Flash như 24h.com.vn , thì tình trạng virus bắt đầu phát tán nhanh hơn.! Nếu để lâu, thỉnh thoảng có những máy tự tạo nhóm Network với các biểu tượng máy tính có tên bằng các mã số. Thử truy cập vào các máy trong nhóm Network mới tạo đó nhưng không được.Khi máy có cài Office 2003 hoặc 2000 , thì khi truy cập vào web có hiện tượng tự động chạy chương trình cài Office , xóa MScache của Office trong ổ D (office tự tạo khi cài đặt), thì nó tự động tạo lại thư mục đó ! Tất cả các máy đều tắt System Restore nhưng nó vẫn tự tạo ra thư mục System Volume Infomation và nằm ở trong đó hoạt động .Tôi nghĩ có lẽ do bản Office bị lỗi nên mua bản Office 2007 về cài ! Hiện tượng tự động cài đặt không còn nhưng hiện tượng virus vẫn hoạt động như vậy. Sau đó tôi nghĩ rằng có máy nào bị nhiễm mà tôi không biết nên nó tự lây lan trong mạng LAN. Tôi đã kiểm tra bằng cách tắt Modem, chỉ để mạng LAN hoạt động thôi. Tôi để 20 máy vậy từ khuya rồi đi ngủ, sáng hôm sau dậy kiểm tra , các máy vẫn bình thường không bị dính virus (trước khi kiểm tra tôi có khởi động máy, các máy đều có đóng băng). Tôi lại thử bật Modem, các máy bắt đầu dính virus !!!
Và sau 2 ngày theo dõi, tôi thấy được các hiện tượng sau :
Khi không có mạng Internet, máy tính hoạt động bình thường cho dù sử dụng tài nguyên của nhau.
Khi nối mạng Internet , trong Temporary Internet Files có xuất hiện một tập tin exe có tên x-file.exe, nguồn từ một trang web Trung Quốc, mặc dù tôi không truy cập gì liên quan đến trang đó cả (tôi chỉ thử các trang web như BKAV, .Dantri, Vietnamnet, 24h.com.vn).
Tôi vào system32\driver\etc theo dõi, sau khi nhiễm virus, hosts file bắt đầu bị thay đổi, từ dung lượng 1k ban đầu lên đến 201k !!! Tôi mở ra thì thấy nó thay thế vào đó bởi cả trăm trang web lạ ! (ví dụ : 127.1 ***.***.*** , không phải 127.0.0.1 như mặc định).
Trong windows\downloaded Program Files\ xuất hiện file lạ thumder Advise.dll
Trong windows có file update.dll
Trong system32 có :
qxfelk.exe (con này có lẽ chính vì luôn thấy xuất hiện), wrm32.dll, qxfelk.dll, eskisl.dl , ...rất nhiều !
Trong task manager thường thấy qxfelk.exe xuất hiện, rất nhiều file rundll32.exe luôn luôn chạy, cả trong phần System và phần User.
Thỉnh thoảng thường thấy thêm file cmd chạy, nó tự chạy một chút rồi tự tắt (hay có lúc mới xuất hiện). Rất nhiều file .gif chạy như 8.gif, 12.gif, ...
Đã thử rất nhiều cách, Deep freeze hầu như trở nên vô dụng, máy nào có cài chương trình diệt virus càng khó chịu hơn, cứ liên tục kêu tít tít hiển thị đầy cả màn hình vì phát hiện thấy virus. Chỉ cần tắt mạng, khởi động lại là mọi thứ trở nên bình thường !!!
Tôi thử dùng chương trình File Lock để khóa các file và thư mục nhạy cảm. Tôi khóa file hosts trong thư mục Etc , thư mục windows\Downloaded Program Files\ ===> vẫn bị.
Tôi khóa tiếp thư mục Temporary Internet Files , nó vẫn vào được thư mục Temp trong C:\Documents sandettings\Tên\Local Settings\
Tôi khóa thêm thư mục C:\Documents and Settings\Tên\Local Settings\Temp , nó vào thư mục windows\temp. Lúc này trên Task manager ít xuất hiện các file lạ hơn, chỉ có mấy file rundll32.exe luôn chạy , và thêm một file lạ nữa là system.exe , không có tên bên cột User name , ngốn đến gần 90% CPU !!!
Tôi khởi động lại lần nữa , rút cáp mạng và xóa luôn thư mục Temp này , thế là nó không vào được nữa .
Nhưng giờ lại chịu khổ với các chương trình chat, như Yahoo chẳng hạn. Chat không thấy chữ , tin nhắn không thấy chữ, mỗi lần họ chat tôi phải Unlock thư mục C:\Documents and Settings\Tên\Local Settings\Temp thì chat mới ra chữ, nhưng virus theo đó cũng vào luôn !
Một số phần mềm khi cài đặt cũng cần đến thư mục Temp này, vì vậy rất khó khăn . Unlock thư mục Temporary Internet Files vẫn được, không bị virus.
Bây giờ thì đỡ hơn một chút, nhưng mỗi lần ai chat thì phải Unlock thư mục Temp , vậy là virus hoành hành trên máy đó .
Xin chú ý thêm : KHÔNG CẦN VÀO WEB, CHỈ CẦN CÓ NỐI MẠNG INTERNET LÀ BỊ DÍNH !!!
CÁC THƯ MỤC TÔI LIỆT KÊ PHÍA TRÊN ĐÃ KIỂM TRA TRƯỚC KHI KẾT NỐI LÀ HOÀN TOÀN SẠCH SẼ , ĐÃ VÀO FOLDER OPTION BỎ CHỌN THƯ MỤC ẨN, FILE ẨN, FILE HỆ THỐNG ẨN ĐỂ KIỂM TRA !
Có phải trong modem wireless chỗ tôi đã bị dính virus ? (nhưng kiểm tra bằng kết nối không dây từ LAPTOP trong 20 phút thì không thấy gì, LAPTOP không nối chung workgroup). Hay là đường truyền VNPT chỗ tôi có vấn đề ?
Rất mong các anh chị giúp cho !
Chào các anh chị ! Tôi đã làm như các anh chị nói từ trước khi gửi yêu cầu nhờ giúp đỡ đến các anh chị. Tôi đã làm mới lại tất cả các máy, trong lúc làm mới tôi đều rút cáp mạng. Đã format tất cả các partition ! Cài bản win mới . Lúc đầu tôi nghĩ bản win bị lỗi nên đi mua bản khác ở một cửa hàng khác đáng tin cậy. Sau khi cài, tôi đã cẩn thận dùng chương trình quét virus mới nhất trên web BKAV (đã lưu trong USB mới mua, được download từ một LAPTOP sạch có chạy các chương trình chống virus) để quét nhưng không có con nào. Tôi đóng băng deep freeze ! Sau khi đóng băng, tôi lại quét virus 1 lần nữa , rồi dùng Hijack this quét , vẫn thấy win sạch sẽ. Xong hết 20 máy, tôi bắt đầu gắn cáp mạng vào . Đến lúc truy cập vào Internet, đặc biệt là các trang có nhiều Flash như 24h.com.vn , thì tình trạng virus bắt đầu phát tán nhanh hơn.! Nếu để lâu, thỉnh thoảng có những máy tự tạo nhóm Network với các biểu tượng máy tính có tên bằng các mã số. Thử truy cập vào các máy trong nhóm Network mới tạo đó nhưng không được.Khi máy có cài Office 2003 hoặc 2000 , thì khi truy cập vào web có hiện tượng tự động chạy chương trình cài Office , xóa MScache của Office trong ổ D (office tự tạo khi cài đặt), thì nó tự động tạo lại thư mục đó ! Tất cả các máy đều tắt System Restore nhưng nó vẫn tự tạo ra thư mục System Volume Infomation và nằm ở trong đó hoạt động .Tôi nghĩ có lẽ do bản Office bị lỗi nên mua bản Office 2007 về cài ! Hiện tượng tự động cài đặt không còn nhưng hiện tượng virus vẫn hoạt động như vậy. Sau đó tôi nghĩ rằng có máy nào bị nhiễm mà tôi không biết nên nó tự lây lan trong mạng LAN. Tôi đã kiểm tra bằng cách tắt Modem, chỉ để mạng LAN hoạt động thôi. Tôi để 20 máy vậy từ khuya rồi đi ngủ, sáng hôm sau dậy kiểm tra , các máy vẫn bình thường không bị dính virus (trước khi kiểm tra tôi có khởi động máy, các máy đều có đóng băng). Tôi lại thử bật Modem, các máy bắt đầu dính virus !!!
Và sau 2 ngày theo dõi, tôi thấy được các hiện tượng sau :
Khi không có mạng Internet, máy tính hoạt động bình thường cho dù sử dụng tài nguyên của nhau.
Khi nối mạng Internet , trong Temporary Internet Files có xuất hiện một tập tin exe có tên x-file.exe, nguồn từ một trang web Trung Quốc, mặc dù tôi không truy cập gì liên quan đến trang đó cả (tôi chỉ thử các trang web như BKAV, .Dantri, Vietnamnet, 24h.com.vn).
Tôi vào system32\driver\etc theo dõi, sau khi nhiễm virus, hosts file bắt đầu bị thay đổi, từ dung lượng 1k ban đầu lên đến 201k !!! Tôi mở ra thì thấy nó thay thế vào đó bởi cả trăm trang web lạ ! (ví dụ : 127.1 ***.***.*** , không phải 127.0.0.1 như mặc định).
Trong windows\downloaded Program Files\ xuất hiện file lạ thumder Advise.dll
Trong windows có file update.dll
Trong system32 có :
qxfelk.exe (con này có lẽ chính vì luôn thấy xuất hiện), wrm32.dll, qxfelk.dll, eskisl.dl , ...rất nhiều !
Trong task manager thường thấy qxfelk.exe xuất hiện, rất nhiều file rundll32.exe luôn luôn chạy, cả trong phần System và phần User.
Thỉnh thoảng thường thấy thêm file cmd chạy, nó tự chạy một chút rồi tự tắt (hay có lúc mới xuất hiện). Rất nhiều file .gif chạy như 8.gif, 12.gif, ...
Đã thử rất nhiều cách, Deep freeze hầu như trở nên vô dụng, máy nào có cài chương trình diệt virus càng khó chịu hơn, cứ liên tục kêu tít tít hiển thị đầy cả màn hình vì phát hiện thấy virus. Chỉ cần tắt mạng, khởi động lại là mọi thứ trở nên bình thường !!!
Tôi thử dùng chương trình File Lock để khóa các file và thư mục nhạy cảm. Tôi khóa file hosts trong thư mục Etc , thư mục windows\Downloaded Program Files\ ===> vẫn bị.
Tôi khóa tiếp thư mục Temporary Internet Files , nó vẫn vào được thư mục Temp trong C:\Documents sandettings\Tên\Local Settings\
Tôi khóa thêm thư mục C:\Documents and Settings\Tên\Local Settings\Temp , nó vào thư mục windows\temp. Lúc này trên Task manager ít xuất hiện các file lạ hơn, chỉ có mấy file rundll32.exe luôn chạy , và thêm một file lạ nữa là system.exe , không có tên bên cột User name , ngốn đến gần 90% CPU !!!
Tôi khởi động lại lần nữa , rút cáp mạng và xóa luôn thư mục Temp này , thế là nó không vào được nữa .
Nhưng giờ lại chịu khổ với các chương trình chat, như Yahoo chẳng hạn. Chat không thấy chữ , tin nhắn không thấy chữ, mỗi lần họ chat tôi phải Unlock thư mục C:\Documents and Settings\Tên\Local Settings\Temp thì chat mới ra chữ, nhưng virus theo đó cũng vào luôn !
Một số phần mềm khi cài đặt cũng cần đến thư mục Temp này, vì vậy rất khó khăn . Unlock thư mục Temporary Internet Files vẫn được, không bị virus.
Bây giờ thì đỡ hơn một chút, nhưng mỗi lần ai chat thì phải Unlock thư mục Temp , vậy là virus hoành hành trên máy đó .
Xin chú ý thêm : KHÔNG CẦN VÀO WEB, CHỈ CẦN CÓ NỐI MẠNG INTERNET LÀ BỊ DÍNH !!!
CÁC THƯ MỤC TÔI LIỆT KÊ PHÍA TRÊN ĐÃ KIỂM TRA TRƯỚC KHI KẾT NỐI LÀ HOÀN TOÀN SẠCH SẼ , ĐÃ VÀO FOLDER OPTION BỎ CHỌN THƯ MỤC ẨN, FILE ẨN, FILE HỆ THỐNG ẨN ĐỂ KIỂM TRA !
Có phải trong modem wireless chỗ tôi đã bị dính virus ? (nhưng kiểm tra bằng kết nối không dây từ LAPTOP trong 20 phút thì không thấy gì, LAPTOP không nối chung workgroup). Hay là đường truyền VNPT chỗ tôi có vấn đề ?
Rất mong các anh chị giúp cho !