<![CDATA[Latest posts for the topic "Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài"]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#268876 /hvaonline/posts/list/43275.html#268876 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#268888 /hvaonline/posts/list/43275.html#268888 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989  Đây là các file log bạn yêu cầu http://www.mediafire.com/?tp437qimu3l0ghd Qua theo dõi, mình nhận thấy file Explorer.exe có vẻ không chạy start up, mà chỉ khi mình duyệt explorer hoặc duyệt một thứ gì đó nó mới hiển thị, từ hôm qua đến nay thì chỉ thấy connect đến địa chỉ 111.90.150.183 Ip này cũng đã bị anh TQN nghi ngờ trong một topic: /hvaonline/posts/list/1110/39641.html Mong các bạn tiếp tục kiểm tra giúp mình nhé, xem có phải là biến thể malware mới của stl hay ko? t0m]]> /hvaonline/posts/list/43275.html#268897 /hvaonline/posts/list/43275.html#268897 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

bolzano_1989 wrote:
Khả năng lớn là gặp lại nhóm người biết mà không quen. Bạn tạm thời dừng các hoạt động quét và diệt virus với các phần mềm tìm và diệt virus tự động cho đến khi mình điều tra xong nhé. Ngoài ra ở máy tính đang dùng này, bạn đừng đăng nhập các tài khoản online quan trọng. Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/index.php?topic=7637.0 Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/index.php?topic=7918.0 Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/index.php?topic=7620.0 
Cũng mong sớm có phản hồi của bờ-rồ bên Xi em Xi]]>
/hvaonline/posts/list/43275.html#268901 /hvaonline/posts/list/43275.html#268901 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#268933 /hvaonline/posts/list/43275.html#268933 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269134 /hvaonline/posts/list/43275.html#269134 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269182 /hvaonline/posts/list/43275.html#269182 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269186 /hvaonline/posts/list/43275.html#269186 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269212 /hvaonline/posts/list/43275.html#269212 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269218 /hvaonline/posts/list/43275.html#269218 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269219 /hvaonline/posts/list/43275.html#269219 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
File này có thể có thuộc tính Hidden, cậu dùng WinRAR, 7Zip hay Total Commander để tìm. Hoặc dùng các lệnh DOS sau: cd \Windows\system32 attrib -r -h -s c6to4.dll dir c6to4.dll copy c6to4 xxx  
anh TQN! Chắc nó ra đi mất rồi
C:\Windows\System32>attrib -r -h -s c6to4.dll File not found - c6to4.dll 
còn file FFSJSHL.dll đây anh: http://www.mediafire.com/?qp5hacbhmcdefvr Lẽ ra em ngắt ổ cứng chạy System ngay khi có nghi ngờ thì tốt! elt0m]]>
/hvaonline/posts/list/43275.html#269221 /hvaonline/posts/list/43275.html#269221 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269225 /hvaonline/posts/list/43275.html#269225 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
Nếu trên máy các bạn có c6to4.dll, các bạn tìm giúp chúng tôi các file sau và up lên mediafire giúp: 1. X:\WINDOWS\ehome\skinbeta.wmz 2. X:\Documents and Settings\XXX\Local Settings\Application Data\Microsoft Help\MValidator.Lck 3. X:\WINDOWS\ehome\skinbeta.wmz 4. X:\Windows\system32\wbem\rdpuser.mof 5. X:\Program Files\Common Files\microsoft shared\Stationery\cversions.2.db 6. X:\Documents and Settings\XXX\Application Data\Protect\History.db Mẫu c6to4.dll này chính là mẫu trong bộ QTTask hồi xưa. 100%. Nhưng nguồn QTTask thì rõ ràng đã bị kill, không biết victim bị dính đám này từ thằng chủ chốt nào, IDM hay fake Unikey chăng ? Then en bét rì ga ! 
Em dùng Win7 thấy có mỗi thằng này 4. X:\Windows\system32\wbem\rdpuser.mof Cứ up lên anh xem thử: http://www.mediafire.com/?wr3xs7ykvorkgj2]]>
/hvaonline/posts/list/43275.html#269227 /hvaonline/posts/list/43275.html#269227 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269229 /hvaonline/posts/list/43275.html#269229 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269236 /hvaonline/posts/list/43275.html#269236 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên: 1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db 6. XXX\Application Data\Protect\History.db Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử ! 
OK! anh! Nhưng ngày mai em mới thực hiện được, đó là máy ở cơ quan làm việc! elt0m]]>
/hvaonline/posts/list/43275.html#269241 /hvaonline/posts/list/43275.html#269241 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên: 1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db 6. XXX\Application Data\Protect\History.db Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử ! 
Hi anh TQN! [1] đây nhé: http://www.mediafire.com/?d9edy8sh8hembmd Nhưng em tìm bằng Evething thấy nó ở C:\ProgramData\Microsoft\Windows\Caches\cversions.2.db Còn file [6] thì không thấy mà chỉ thấy bọn này C:\Windows\Prefetch\AgGlFaultHistory.db C:\Windows\Prefetch\AgGlFgAppHistory.db C:\Windows\Prefetch\AgGlGlobalHistory.db anh xem thử elt0m]]>
/hvaonline/posts/list/43275.html#269254 /hvaonline/posts/list/43275.html#269254 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

bolzano_1989 wrote:
Chào bạn elt0m, bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé, nhiều hôm nay bận nhưng mình sẽ theo vụ này đến cùng. Bọn này ngày càng tinh vi. Từ giờ trở đi, ở chủ đề này, khi được yêu cầu scan để lấy log với các công cụ, bạn vui lòng đổi tên file .exe công cụ thành tên iExplore.exe hoặc firefox.exe trước khi chạy file với quyền administrator. Thực hiện tắt các chương trình giả lập CD với DeFogger theo hướng dẫn sau: http://support.cmclab.net/vn/index.php?topic=6533.0 Thực hiện scan và gửi log Rootkit Unhooker, RootRepeal, GMER cho mình theo đúng trình tự các hướng dẫn sau: Hướng dẫn scan và gửi log Rootkit Unhooker: http://support.cmclab.net/vn/index.php?topic=6527.0 Hướng dẫn scan và gửi log RootRepeal: http://support.cmclab.net/vn/index.php?topic=6372.0 Hướng dẫn scan và gửi log GMER với tên file ngẫu nhiên: http://support.cmclab.net/vn/index.php?topic=6422.msg33887#msg33887 Sau đó khởi động lại máy tính rồi scan và gửi log OTL, boot log với Process Monitor cho mình theo các hướng dẫn sau: Hướng dẫn scan và gửi log OTL: http://support.cmclab.net/vn/index.php?topic=6593.0 Hướng dẫn scan và gửi boot log với Process Monitor: http://support.cmclab.net/vn/index.php?topic=7636.0 
@ bolzano_1989 Mình gửi bạn các report bạn yêu cầu qua PM nhé Riêng RootRepeal mình không tìm thấy bản chạy Win7, toàn báo lỗi, do vậy không thực hiện được elt0m ]]>
/hvaonline/posts/list/43275.html#269255 /hvaonline/posts/list/43275.html#269255 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269259 /hvaonline/posts/list/43275.html#269259 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
2 elt0m: Thank cậu. File đó là prefetch của Windows rồi, không phải file virus, chứng tỏ nó đã từng cversions.2.db đã từng được run trên máy cậu. Cậu up dùng tui file MSIDC92.tmp nữa nhé, run như service, sao lại có đuôi .tmp 
file MSIDC92.tmp đây anh ơi! C:\Windows\Installer\MSIDC92.tmp http://www.mediafire.com/?e0v4peihbnn23eh elt0m]]>
/hvaonline/posts/list/43275.html#269260 /hvaonline/posts/list/43275.html#269260 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269269 /hvaonline/posts/list/43275.html#269269 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
2 elt0m: bạn up lộn file rồi.  
Sorry, em sửa lại rồi nhé! http://www.mediafire.com/?e0v4peihbnn23eh elt0m]]>
/hvaonline/posts/list/43275.html#269271 /hvaonline/posts/list/43275.html#269271 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài http://www.hackforums.net/showthread.php?tid=2833850 Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động: http://pastebin.com/HeJrdu7N
SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon) 
Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi. Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi. @elt0m: Từ giờ về sau khi được mình yêu cầu gửi log thì bạn chỉ nên gửi log cho mình và anh TQN thôi. Từ giờ về sau, mình cũng sẽ yêu cầu gửi log chỉ cho riêng mình và anh TQN cũng như gửi hướng dẫn lấy mẫu cho riêng từng người (không gửi public ở forum nữa) khi có dấu hiệu của virus do đám stl viết. Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751 Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không?]]>
/hvaonline/posts/list/43275.html#269281 /hvaonline/posts/list/43275.html#269281 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

bolzano_1989 wrote:
Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi. Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi.  
Có lẽ vậy, lúc đầu mình chỉ nghi ngờ thôi nên đã public các thông tin đó, ngay sau đó thì process explorer.exe không thấy chạy nữa và file c6to4.dll cũng lập tức biến mất mà không tìm thấy nữa, mặc dù trong file log autorunsc có ghi nhận các file này. Up ảnh mình chụp màn hình ngày 29/8/2012 lúc process explorer.exe vẫn đang connect tới IP 111.90.150.183
Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751 Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không? 
Mình rất ít khi dùng IE, gần như không dùng. Còn phần mềm Trung Quốc hoặc liên quan đến Trung Quốc thì không bao giờ dùng, có một phần mềm khi đọc log thấy có vẻ Trung Quốc là UltraISO, để mình kiểm tra kỹ, nếu đúng là nguồn gốc hoặc của Trung Quốc, lập tức sẽ thay thế! [Cập nhật file có vẻ Trung Quốc] UltraISO HKCR\CLSID\{AD392E40-428C-459F-961E-9B147782D099} ISOShell (Verified) SHENZHEN YIBO DIGITAL SYSTEMS DEVELOPMENT CO. LTD. 1.0.0.2 c:\program files\ultraiso\isoshell.dll 2b6f2c334112e238143ed509bcc5cdb2 (MD5) 871ac70dd77ca64cf55bf589423864702b60c3a4 (SHA-1) d6635ca4c1462cacc1c345fc10a019124680980179dfc67e6e82f9ba41507d20 (SHA-256) elt0m]]>
/hvaonline/posts/list/43275.html#269286 /hvaonline/posts/list/43275.html#269286 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

TQN wrote:
Cậu có thể Ghost với compress high ổ C: của cậu rồi úp lên đâu đó giùm tui được không. Vì tôi biết, ngoài c6to4.dll, thì còn một loạt các mèo khác đã nằm sâu trong ngóc ngách máy cậu.  
Anh TQN! Tình hình ổ chạy System của em khi Ghost High Compress lên đến 12G :-( (chia thành 60 files mỗi file 200M) Nếu anh có thể download em sẽ up lên mediafire. elt0m]]>
/hvaonline/posts/list/43275.html#269292 /hvaonline/posts/list/43275.html#269292 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269293 /hvaonline/posts/list/43275.html#269293 GMT Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài

bolzano_1989 wrote:
Tôi xem nhanh qua các log bạn elt0m thì thấy cần thu thập những file độc hại sau từ bạn elt0m hay bất cứ bạn nào có các file này trên máy tính: C:\Windows\Installer\MSIDC92.tmp %AppData%\HTML Help\help.dat %Temp%\tmp2349230A98.tmp %SystemRoot%\system32\c6to4.dll %SystemRoot%\system32\wbem\rdpuser.mof %UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\drwtsn32.exe %UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.dll %UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.cfg %ProgramFiles%\Common Files\microsoft shared\Stationery\cversions.2.db %SystemRoot%\inf\ndiscap64.inf %SystemRoot%\CSC\Starter.xml %AppData%\Mozilla\profile.ini %AppData%\Microsoft\Office\OrgDB01.pip Một số file lạ, có thể chứa mã độc hại: C:\Windows\Twunk001.MTX C:\Windows\Twain001.Mtx C:\Windows\UAExcel.dll C:\Windows\UWeb.exe C:\Windows\UAWord.dll C:\Windows\UAPoint.dll C:\Windows\UCode.dll C:\Windows\System32\unrar.dll C:\Windows\unins000.exe C:\Windows\unins000.dat Các file có dạng sau cũng cần được thu thập: Các file có phần mở rộng file là .tmp trong thư mục %Temp% (trong trường hợp ở máy bạn là: C:\Users\Administrator\AppData\Local\Temp ) Thư mục ẩn sau cũng cần được thu thập: C:\EQTKA [2012/04/07 23:33:51 | 000,377,269 | RHS- | C] () -- \EQTKA Người nước ngoài cũng nhiễm virus của stl, cũng có biểu hiện như chủ topic: http://www.hackforums.net/showthread.php?tid=2833850 Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động: http://pastebin.com/HeJrdu7N
SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon) 
 
Đã gửi vào PM cho bolzano_1989 rồi nhé! elt0m ]]>
/hvaonline/posts/list/43275.html#269295 /hvaonline/posts/list/43275.html#269295 GMT
Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài /hvaonline/posts/list/43275.html#269349 /hvaonline/posts/list/43275.html#269349 GMT