Mình nhác đánh lại hiện tượng lạ, nên copy qua đây luôn. Đây là bức thư mình gửi BKAV nhờ tư vấn , hiện tại mình vẫn đau đầu về chuyện này, đã tìm kiếm nát web vẫn chưa có câu trả lời xứng đáng !

Chào các anh chị ! Tôi đã làm như các anh chị nói từ trước khi gửi yêu cầu nhờ giúp đỡ đến các anh chị. Tôi đã làm mới lại tất cả các máy, trong lúc làm mới tôi đều rút cáp mạng. Đã format tất cả các partition ! Cài bản win mới . Lúc đầu tôi nghĩ bản win bị lỗi nên đi mua bản khác ở một cửa hàng khác đáng tin cậy. Sau khi cài, tôi đã cẩn thận dùng chương trình quét virus mới nhất trên web BKAV (đã lưu trong USB mới mua, được download từ một LAPTOP sạch có chạy các chương trình chống virus) để quét nhưng không có con nào. Tôi đóng băng deep freeze ! Sau khi đóng băng, tôi lại quét virus 1 lần nữa , rồi dùng Hijack this quét , vẫn thấy win sạch sẽ. Xong hết 20 máy, tôi bắt đầu gắn cáp mạng vào . Đến lúc truy cập vào Internet, đặc biệt là các trang có nhiều Flash như 24h.com.vn , thì tình trạng virus bắt đầu phát tán nhanh hơn.! Nếu để lâu, thỉnh thoảng có những máy tự tạo nhóm Network với các biểu tượng máy tính có tên bằng các mã số. Thử truy cập vào các máy trong nhóm Network mới tạo đó nhưng không được.Khi máy có cài Office 2003 hoặc 2000 , thì khi truy cập vào web có hiện tượng tự động chạy chương trình cài Office , xóa MScache của Office trong ổ D (office tự tạo khi cài đặt), thì nó tự động tạo lại thư mục đó ! Tất cả các máy đều tắt System Restore nhưng nó vẫn tự tạo ra thư mục System Volume Infomation và nằm ở trong đó hoạt động .Tôi nghĩ có lẽ do bản Office bị lỗi nên mua bản Office 2007 về cài ! Hiện tượng tự động cài đặt không còn nhưng hiện tượng virus vẫn hoạt động như vậy. Sau đó tôi nghĩ rằng có máy nào bị nhiễm mà tôi không biết nên nó tự lây lan trong mạng LAN. Tôi đã kiểm tra bằng cách tắt Modem, chỉ để mạng LAN hoạt động thôi. Tôi để 20 máy vậy từ khuya rồi đi ngủ, sáng hôm sau dậy kiểm tra , các máy vẫn bình thường không bị dính virus (trước khi kiểm tra tôi có khởi động máy, các máy đều có đóng băng). Tôi lại thử bật Modem, các máy bắt đầu dính virus !!!
Và sau 2 ngày theo dõi, tôi thấy được các hiện tượng sau :
Khi không có mạng Internet, máy tính hoạt động bình thường cho dù sử dụng tài nguyên của nhau.
Khi nối mạng Internet , trong Temporary Internet Files có xuất hiện một tập tin exe có tên x-file.exe, nguồn từ một trang web Trung Quốc, mặc dù tôi không truy cập gì liên quan đến trang đó cả (tôi chỉ thử các trang web như BKAV, .Dantri, Vietnamnet, 24h.com.vn).
Tôi vào system32\driver\etc theo dõi, sau khi nhiễm virus, hosts file bắt đầu bị thay đổi, từ dung lượng 1k ban đầu lên đến 201k !!! Tôi mở ra thì thấy nó thay thế vào đó bởi cả trăm trang web lạ ! (ví dụ : 127.1 ***.***.*** , không phải 127.0.0.1 như mặc định).
Trong windows\downloaded Program Files\ xuất hiện file lạ thumder Advise.dll
Trong windows có file update.dll
Trong system32 có :
qxfelk.exe (con này có lẽ chính vì luôn thấy xuất hiện), wrm32.dll, qxfelk.dll, eskisl.dl , ...rất nhiều !
Trong task manager thường thấy qxfelk.exe xuất hiện, rất nhiều file rundll32.exe luôn luôn chạy, cả trong phần System và phần User.
Thỉnh thoảng thường thấy thêm file cmd chạy, nó tự chạy một chút rồi tự tắt (hay có lúc mới xuất hiện). Rất nhiều file .gif chạy như 8.gif, 12.gif, ...
Đã thử rất nhiều cách, Deep freeze hầu như trở nên vô dụng, máy nào có cài chương trình diệt virus càng khó chịu hơn, cứ liên tục kêu tít tít hiển thị đầy cả màn hình vì phát hiện thấy virus. Chỉ cần tắt mạng, khởi động lại là mọi thứ trở nên bình thường !!!
Tôi thử dùng chương trình File Lock để khóa các file và thư mục nhạy cảm. Tôi khóa file hosts trong thư mục Etc , thư mục windows\Downloaded Program Files\ ===> vẫn bị.
Tôi khóa tiếp thư mục Temporary Internet Files , nó vẫn vào được thư mục Temp trong C:\Documents sandettings\Tên\Local Settings\
Tôi khóa thêm thư mục C:\Documents and Settings\Tên\Local Settings\Temp , nó vào thư mục windows\temp. Lúc này trên Task manager ít xuất hiện các file lạ hơn, chỉ có mấy file rundll32.exe luôn chạy , và thêm một file lạ nữa là system.exe , không có tên bên cột User name , ngốn đến gần 90% CPU !!!
Tôi khởi động lại lần nữa , rút cáp mạng và xóa luôn thư mục Temp này , thế là nó không vào được nữa .
Nhưng giờ lại chịu khổ với các chương trình chat, như Yahoo chẳng hạn. Chat không thấy chữ , tin nhắn không thấy chữ, mỗi lần họ chat tôi phải Unlock thư mục C:\Documents and Settings\Tên\Local Settings\Temp thì chat mới ra chữ, nhưng virus theo đó cũng vào luôn !
Một số phần mềm khi cài đặt cũng cần đến thư mục Temp này, vì vậy rất khó khăn . Unlock thư mục Temporary Internet Files vẫn được, không bị virus.
Bây giờ thì đỡ hơn một chút, nhưng mỗi lần ai chat thì phải Unlock thư mục Temp , vậy là virus hoành hành trên máy đó .
Xin chú ý thêm : KHÔNG CẦN VÀO WEB, CHỈ CẦN CÓ NỐI MẠNG INTERNET LÀ BỊ DÍNH !!!
CÁC THƯ MỤC TÔI LIỆT KÊ PHÍA TRÊN ĐÃ KIỂM TRA TRƯỚC KHI KẾT NỐI LÀ HOÀN TOÀN SẠCH SẼ , ĐÃ VÀO FOLDER OPTION BỎ CHỌN THƯ MỤC ẨN, FILE ẨN, FILE HỆ THỐNG ẨN ĐỂ KIỂM TRA !
Có phải trong modem wireless chỗ tôi đã bị dính virus ? (nhưng kiểm tra bằng kết nối không dây từ LAPTOP trong 20 phút thì không thấy gì, LAPTOP không nối chung workgroup). Hay là đường truyền VNPT chỗ tôi có vấn đề ?
Rất mong các anh chị giúp cho !

Bác "dọn" Win = BK thì kô lây gì đảm bảo lắm .Có thể virut nó nằm ở ổ khác .Bác thử làm sạch nguyên 1 máy ( format ổ C D E..)Cai lại Win , cài Bk, spyware doctor , Bitdefender... => "Đóng băng" tất cả các ổ rồi dùng ma đó "dọn" các máy còn lại xem thế nào .

cài KIS(kaspersky internet security 2009), update xong cho nó quét toàn bộ máy tính xem bác. Nếu không được, del hết dữ liệu các ổ, format toàn bộ máy, cài win mới đảm bảo ngon.

Tôi có ý này, bác xem thử có khả thi không nhá! Cài lại window trên 1 máy làm mẫu, tốt nhất format sạch sẽ tất cả ổ cứng rồi hãy cài win, format trong dos nhá.....reset lại moderm và đổi password cũng như username mặt định, còn IE thì thiết lập Sercurity lên mức High, tin chắc sẽ an toàn....có hạn chế là sercurity cao quá thì ko download dc.

Một vấn đề thật là thú vị.
Theo lời giải thích của bạn thì tôi suy đoán, xin nhắc lại là chỉ suy đoán.

Suy diễn
1. Không có có Internet -> không bị.
2. Vào Internet chưa làm gì hết là lảnh đủ (theo lời bạn nói).
3. Khi cài không có Virus (bạn đả kiềm soát và xác định như thế).

Thế thì Virus ở dâu ra. Trong Internet? (dù chỉ connect mà không vào một Website nào cả).

Với nhửng sự kiện trên thì với suy đoán của tôi thì con Virus (Spy, keylogger, Trojan??) đả nằm rải rác khắp nơi ở ~ máy con khác trong mạng LAN nội bộ. Tuy không biết là virus gì hay tên gì, tôi chỉ phỏng đoán nó lây qua LAN và nằm ngũ yên không hoạt động và chỉ thức giấc phá hoại khi có sư hiện diện (connect) của Internet.

Cách giải quyết, hay là cách tìm hiều thêm.

1. Tìm lọai Anti Virus khác mạnh hơn mà quét vào lúc mới cài không vảo Internet.
2. Cài lại máy, không kết mạng LAN với các máy khác mà chì một mình nó vào Internet mà không có connect LAN với máy khác. Tôi chắc rằng sẻ không có dính Virus.

3. Sau đó nối với các máy khác qua LAN của nhà hay công ty bạn rồi chờ Virus tấn công lại.

Tóm tắc theo suy luận của tôi là VIRUS nằm trong các máy con/chủ khác trong LAN nội bộ của bạn.

Bạn có thể tìm hiều thêm qua Google với "Virus attack through LAN"
[color=red]

Chủ topic cho mình xin mẫu virus này được không?

Các bạn có đọc kỹ bài mình post ko đó ???
TẤT CẢ CÁC ổ đĩa đều được Fdisk và phân chia lại, FORMAT lại các PARTITION !!!
TẤT CẢ CÁC MÁY đều FDISK , FORMAT và cài mới lại hoàn toàn !!!
TẤT CẢ CÁC MÁY đều kiểm tra rất tốt khi tắt MODEM !!!
Dùng Hijackthis kiểm tra VÔ CÙNG SẠCH SẼ !
DÙNG Antivir Antivirus quét không có một con. Dùng BKAV MỚI nhất không có một hạt bụi ! Xong đóng băng ! QUÉT LẠI 1 LẦN NỮA ===>>> VÔ CÙNG SẠCH SẼ !
Bật MODEM lên DÍNH !!! TẮT MODEM , khởi động lại máy ===>>> có đóng băng ===>>> OK !

[=========> Bổ sung bài viết <=========]


Một vấn đề thật là thú vị.
Theo lời giải thích của bạn thì tôi suy đoán, xin nhắc lại là chỉ suy đoán.

Suy diễn
1. Không có có Internet -> không bị.
2. Vào Internet chưa làm gì hết là lảnh đủ (theo lời bạn nói).
3. Khi cài không có Virus (bạn đả kiềm soát và xác định như thế).

Thế thì Virus ở dâu ra. Trong Internet? (dù chỉ connect mà không vào một Website nào cả).

Với nhửng sự kiện trên thì với suy đoán của tôi thì con Virus (Spy, keylogger, Trojan??) đả nằm rải rác khắp nơi ở ~ máy con khác trong mạng LAN nội bộ. Tuy không biết là virus gì hay tên gì, tôi chỉ phỏng đoán nó lây qua LAN và nằm ngũ yên không hoạt động và chỉ thức giấc phá hoại khi có sư hiện diện (connect) của Internet.

Cách giải quyết, hay là cách tìm hiều thêm.

1. Tìm lọai Anti Virus khác mạnh hơn mà quét vào lúc mới cài không vảo Internet.
2. Cài lại máy, không kết mạng LAN với các máy khác mà chì một mình nó vào Internet mà không có connect LAN với máy khác. Tôi chắc rằng sẻ không có dính Virus.

3. Sau đó nối với các máy khác qua LAN của nhà hay công ty bạn rồi chờ Virus tấn công lại.

Tóm tắc theo suy luận của tôi là VIRUS nằm trong các máy con/chủ khác trong LAN nội bộ của bạn.

Bạn có thể tìm hiều thêm qua Google với "Virus attack through LAN"
[color=red]

"2. Cài lại máy, không kết mạng LAN với các máy khác mà chì một mình nó vào Internet mà không có connect LAN với máy khác. Tôi chắc rằng sẻ không có dính Virus." <<<===== vẫn dính !!!

[=========> Bổ sung bài viết <=========]


Một vấn đề thật là thú vị.
Theo lời giải thích của bạn thì tôi suy đoán, xin nhắc lại là chỉ suy đoán.

Suy diễn
1. Không có có Internet -> không bị.
2. Vào Internet chưa làm gì hết là lảnh đủ (theo lời bạn nói).
3. Khi cài không có Virus (bạn đả kiềm soát và xác định như thế).

Thế thì Virus ở dâu ra. Trong Internet? (dù chỉ connect mà không vào một Website nào cả).

Với nhửng sự kiện trên thì với suy đoán của tôi thì con Virus (Spy, keylogger, Trojan??) đả nằm rải rác khắp nơi ở ~ máy con khác trong mạng LAN nội bộ. Tuy không biết là virus gì hay tên gì, tôi chỉ phỏng đoán nó lây qua LAN và nằm ngũ yên không hoạt động và chỉ thức giấc phá hoại khi có sư hiện diện (connect) của Internet.

Cách giải quyết, hay là cách tìm hiều thêm.

1. Tìm lọai Anti Virus khác mạnh hơn mà quét vào lúc mới cài không vảo Internet.
2. Cài lại máy, không kết mạng LAN với các máy khác mà chì một mình nó vào Internet mà không có connect LAN với máy khác. Tôi chắc rằng sẻ không có dính Virus.

3. Sau đó nối với các máy khác qua LAN của nhà hay công ty bạn rồi chờ Virus tấn công lại.

Tóm tắc theo suy luận của tôi là VIRUS nằm trong các máy con/chủ khác trong LAN nội bộ của bạn.

Bạn có thể tìm hiều thêm qua Google với "Virus attack through LAN"
[color=red]

"2. Cài lại máy, không kết mạng LAN với các máy khác mà chì một mình nó vào Internet mà không có connect LAN với máy khác. Tôi chắc rằng sẻ không có dính Virus." <<<===== vẫn dính !!!

nếu trong mạng Lan cái server mạng nội bộ bị dính virus, chỗ cq tớ cũng bị vậy

nếu modem, muợn cái khác test thử mới kết luận được OK

Có thể là mạng của bạn nhiễm virut, cái bản BKAV thì có gì tốt với những loại virut đấy đâu, bản cài symantec, hoặc kaspersky. Đừng tin vào BKAV nhiều quá

Con virus nằm trong cái USB và trong cái laptop sạch được cài các antivirus đấy!

Bạn cứ gửi mẫu virus lên đây là rõ ngay mà :)

Gọi điện lên ISP, đề nghị nó kiểm tra DNS server. Đây không phải là lần đầu tiên xảy ra vụ này!

Cám ơn các bạn đã quan tâm . Giải thích được rồi ! Tên chủ nhà cắm thêm 1 sợi cáp nữa mà không để ý , he he ! I am sorry ! Giải quyết xong hết rồi ^_^ !!!

Cám ơn các bạn đã quan tâm . Giải thích được rồi ! Tên chủ nhà cắm thêm 1 sợi cáp nữa mà không để ý , he he ! I am sorry ! Giải quyết xong hết rồi ^_^ !!!

Phù, làm cứ tưởng có ma :emlaugh:
__________________
iGala.net (http://fun.igala.net) - Android Tutorial, Symbian Tutorial, Windows Mobile Tutorial (http://whyandroid.com) - Vinpearl land (http://honngocviet.com/site/)

Video.iGala.net (http://video.igala.net) - Photo.iGala.net (http://photo.igala.net) - Anime.iGala.net (http://anime.igala.net)