Vào http://www.google.com.vn lại ra www.Nkora.net

Vào http://www.google.com.vn lại ra www.Nkora.net

Việc khá khẩn nhưng hỏi trong "trạm cấp cứu" ít quan tâm quá, tớ lôi ra đây nhé.

Một máy ở cơ quan tớ bị tình trạng này:
Dùng IE
Vào www.google.com.vn thì nó ra trang Nkora.net hoặc một trang gì đó về bóng bánh. Còn một số trang nữa khi vào cũng bị ra trang Nkora.net. nếu gõ vào thanh address dòng google.com.vn vẫn bị.
Ping google.com.vn ra được địa chỉ IP, truy cập bằng địa chỉ IP đó vẫn vào được Google.

Đã kiểm tra virus bằng AntiVir => không có.
Đã kiểm tra file host => sạch
DNS đặt manual: 203.162.4.190 và 203.16.2.4.191

HijackThis trông rất sạch (trang hijackthis.de vào được nhưng không submit log lên được nên ko rõ lắm)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:04:19 AM, on 3/23/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
Crogram FilesAviraAntiVir PersonalE***ion Classicsched.exe
C:WINDOW***plorer.EXE
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
Crogram FilesAviraAntiVir PersonalE***ion Classicavgnt.exe
C:WINDOWSsystem32ctfmon.exe
Crogram FilesIPMsgipmsg.exe
C:WINDOWSsystem32CAPRPCSK.EXE
C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
Crogram FilesAviraAntiVir PersonalE***ion Classicavguard.exe
Crogram FilesYahoo!MessengerYahooMessenger.exe
Crogram FilesMicrosoft OfficeOFFICE11EXCEL.EXE
Crogram FilesUniKeyUniKeyNT.exe
Crogram FilesInternet Exploreriexplore.exe
Crogram FilesWINRARWINRAR.EXE
Cocuments and SettingsPham Thi TamDesktopHiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://tuoitre.com.vn/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [CAPON] C:WINDOWSsystem32SpoolDriversw32x863CAPONN.EXE
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [avgnt] "Crogram FilesAviraAntiVir PersonalE***ion Classicavgnt.exe" /min
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - Startup: IPMSG for Win32.lnk = Crogram FilesIPMsgipmsg.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://CROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - CROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O17 - HKLMSystemCCSServicesTcpip..{BE06F641-E257-4593-894A-537DA5A7BA9F}: NameServer = 203.162.4.190,203.162.4.191
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - Crogram FilesAviraAntiVir PersonalE***ion Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - Crogram FilesAviraAntiVir PersonalE***ion Classicavguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - Crogram FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe

--
End of file - 3068 bytes

Có bác nào gặp trường hợp này chưa? Giúp mấy , máy này của Kế toán.

Có thể máy khác bị con virus trung quốc giả gateway bác ạ
bác thử ipconfig /all xem có thấy cái gateway lạ nào không ?
nếu có thì xử lý máy đó trước

Cái này, tui đi ngồi ở ngoài quán, gặp hoài. Chán chả buồn phàn nàn với chủ quán nữa, nó có biết sửa đâu.
Vào google, nó cho ra ngay trang người nhớn. Rồi vào 1 trang nào đó, nó cũng lại nhẩy về trang đó. Ghét vãi ra.
Cách xử lý là xoá cái shortcut của IE đi, cho người đó cùng Firefox là ko gặp hiện tượng đó nữa.
Bao giờ cài lại máy thì quay lại dùng IE cũng đuợc.

Hi Karamen,
Hình như dạo này gần đây nhiều máy bị cái này lắm thì phải. Bác có thể cho mình biết 1 số thông tin khác không:
- Bác dùng đường truyền của ai thế : FPT hay VNN hay Viettel.
- Bác thử cài Safari, Chrome hay Firefox xem có bị thế không?.
- Bác kiểm tra cho mình thấy cái DNS của bác thông qua cái ipconfig /all .
- Homepage của bác có bị thay đổi không?.
- Điều cuối cùng quan trọng nhất: bác thử đổi DNS của máy mình xem. Rồi sau đó duyệt vài trang hay khởi động lại và mở lại xem cái DNS có bị thay đổi hay không?.
Đây không phải là dạng Virus, mà chỉ là 1 dạng spy DNS làm thay đổi DNS và redirect ra 1 trang web chỉ định. Bác dùng các trình virus thì khác nào đem muối bỏ bể. Bác nên dùng các trình diệt Internet Security thì tốt nhất.
Máy ở cty mình đã từng bị, cái này dựa vào lỗi của IE chưa được update nên thay đổi DNS cho dù bác có đổi DNS gì gì thì nó cũng sẽ đổi lại như theo cách của nó. Ngoài ra, môt thời gian gần đây hệ thống máy chủ của VNN bị nhiễm virus loại này nên khi vào vẫn bị.
Lưu ý: khi một máy bị nhiễm, thì mình nên cách ly máy này ra, vì chỉ cần có share và nối mạng lan thì nó sẽ tự động thay đổi DNS của cả 1 loạt các máy khác trong LAN. Việc này đơn giản là nó ghi 1 đoạn Java SCRIPT dựa vào lỗ hổng của IE7. Mỗi lần bạn mở IE thì nó sẽ chạy đoạn Script này. Đoạn Script này chỉ có tác dụng duy nhất là Redirect trang bạn đánh ra 1 trang khác như knora.com.
Dạng dạng thế này (khi vào trang knora.com, bạn chờ 1 chút là nó lại chuyển qua cái trang google.com.vn ngay. Bạn view source thì sẽ thấy đoạn code này):
<script type="text/JavaScript">
<!--
function timedRefresh(timeoutPeriod) {
setTimeout("location.reload(true);",timeoutPeriod);
}
// -->
</script>
Thân
WINGS

Thưa bác Wings và các bác.
- Mạng của cơ quan em thuộc VDC (DNS 203.162... mà)
- Em dùng FireFox vẫn bị
- ở trên em đã có thông báo rằng em đặt DNS bằng tay ( 203.162.4.190; 203.162.4.191), IP config thì nó ra cái này.
- Home page không bị thay đổi, em đặt Blank
- Đổi DNS sang cái khác rồi duyệt vài trang rồi check lại thì em chưa làm.
Và các thông tin khác:
- Chỉ có mỗi máy đấy bị, các máy khác trong cùng mạng LAN không hề gì.
- Điều quan trọng: Hôm nay nó tự hết . Chẳng hiểu, nếu DNS bị thì các máy khác trong cơ quan em cũng phải bị chứ, vì em đều đặt DNS bằng tay cả. Cái lỗi này em search trên mạng cũng có nhiều người bị, nhưng từ đời nào đến giờ rồi và cũng chưa có cách khắc phục triệt để.
Chưa kịp thử các cách bác wing hướng dẫn thì nó đã tự hết nên em cũng bó vài chục thứ. Thôi khi nào bị lại em tiếp tục nghiên cấu.
Cảm ơn các bác đã quan tâm.
Bluetea: Việc vào trang này nó nhảy ra trang khác thì bình thường, virus, spyware, thay đổi file host.... những cái đó tớ đã kiểm tra hết rồi nhưng vẫn bị trường hợp này nên mới tịt, nhờ các bác trên này xem hộ.
Dohaian: Có lẽ ko phải virus đâu bác, tớ check bằng AntiVir rồi, con virus giả gateway nó có từ lâu rồi chắc Avira phải cập nhật rồi chứ. Tớ ipconfig thì vẫn thấy bình thường.
Có lẽ là do ISP bị thôi.