banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Virus làm chậm MS Office  XML
  [Question]   Virus làm chậm MS Office 26/06/2007 04:53:56 (+0700) | #1 | 66950
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Chào anh em !
Anh em cho hỏi có loại virus nào làm cho các ứng dụng MS Office bị chậm hẳn đi không?

Lúc click save as sau đó chọn 1 folder muốn save thì rất chậm. Hay bị tình trạng Not responding.
Tớ kiểm tra CPU Usage thì không vấn đề gì. Luôn chỉ load ở mức độ 3-5%.


Nhưng khi tớ tạo 1 account mới và chạy lại excel thì mọi việc lại bt.
Tớ đang dùng Nod32 để scan nhưng không thấy gì cả.
Thanks
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 05:06:28 (+0700) | #2 | 66953
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
chưa thấy bao giờ, trước tớ chỉ thấy 1 ca là cài antivirus , nó tích hợp vào quét virus cho office, kết cục là virus đâu ko thấy mà chỉ thấy cái antivirus ko bít nó làm cái gì mà khi save là đơ cái máy, bó chíu..
[Up] [Print Copy]
  [Question]   Re: Virus làm chậm MS Office 26/06/2007 05:09:52 (+0700) | #3 | 66955
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Có, các loại macro lây vào .xls của excel. Hiện tại vẫn còn một loại XF.SIC lây vào .xls của excel. Hơi phiền phức chứ không làm chậm hẳn.

Có, cách đây 1,5 năm , có gặp một trường hợp word(office XP) save/open file .doc cực kỳ lâu->ngồi chờ và phải reset máy PC, chưa biết nguyên nhân do đó là máy của người ta.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Virus làm chậm MS Office 26/06/2007 05:14:02 (+0700) | #4 | 66958
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

tmd wrote:
Có, các loại macro lây vào .xls của excel. Hiện tại vẫn còn một loại XF.SIC lây vào .xls của excel. Hơi phiền phức chứ không làm chậm hẳn.  


Phiền phức cụ thể là gì lão?
Có hiện tượng gì xảy ra khi bị nhiễm xf.sic ?
Tool gì để fix nào hiểu quả nhất?
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Virus làm chậm MS Office 26/06/2007 05:16:03 (+0700) | #5 | 66961
luckylac
Member

[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
uh... nó bắt dc event save là macro rồi... chỉ cần disable macro đi là xong... office 2003 trở xuống thì xem mấy cái thư mục xlsstart hay gì đó.... ko thì unhide cái document có chứa macro đi...rồi tìm mà kill....
trc đây cũng có mấy con lây qua macro khá nguy hiểm.. giờ thì ít ai xài vì lộ code ... mà AV nó cũng chặn từ lâu rồi....
[Up] [Print Copy]
  [Question]   Re: Virus làm chậm MS Office 26/06/2007 05:26:12 (+0700) | #6 | 66962
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Mỗi lần mở file .xls bị nhiễm, nó cứ báo mất một cái file book1.xls nào đó, phải enter(nhấn vào OK) để nó tiếp tục.
Tool diệt nó nhanh nhất là http://download.yousendit.com/F869CB2D5C806642, quét giùm cái file trước khi sử dụng.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 06:23:16 (+0700) | #7 | 66987
[Avatar]
BLUEEAGLE987
Member

[Minus]    0    [Plus]
Joined: 30/11/2006 18:05:00
Messages: 77
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ko chắc là macro của exel vì hiện tượng này còn xẩy ra trên word.doc nữa mà! Bl bị 1 lần, nhưng ko phải máy của mình nên ko wan tâm lắm. Nếu bit thì mấy po cc thêm thông tin nha!!
Nod hiện nay đứng thứ 4, thử kav hay nav đi! Nếu máy kha khá thì dùng thử mc xem đc ko.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 06:31:28 (+0700) | #8 | 66993
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Đúng rồi. Nó làm chậm chung cả Word , Power Point chứ không riêng gì Excel.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Virus làm chậm MS Office 26/06/2007 06:37:57 (+0700) | #9 | 66995
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Hiện tượng đó mới thấy trên office 2002(XP) chưa thấy trên 2000 và 97 và sau 2002
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 07:18:10 (+0700) | #10 | 67003
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Tôi đang dùng MS Office 2003. smilie
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 07:42:51 (+0700) | #11 | 67010
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
@thangdiablo: có thể do bad disk; thangdiablo thử chạy chkdsk cho disk đó xem sao.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 07:47:27 (+0700) | #12 | 67011
[Avatar]
osamabinladel
Member

[Minus]    0    [Plus]
Joined: 02/07/2006 11:11:38
Messages: 410
Location: bãi bom
Offline
[Profile] [PM] [Yahoo!]
không biết con sohand ji`ji` đó có đáp ứng đc nhu cầu lầm chậm office của cá bác không
em thì đã từng pó hand với nó rồi
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 10:47:42 (+0700) | #13 | 67038
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

gsmth wrote:
@thangdiablo: có thể do bad disk; thangdiablo thử chạy chkdsk cho disk đó xem sao. 

Tớ không nghĩ do bad disk vì khi tớ thử tạo 1 profile mới ( account mới ) thì dùng excel, word tốc độ save as lại bình thường.

oámabinladen wrote:
không biết con sohand ji`ji` đó có đáp ứng đc nhu cầu lầm chậm office của cá bác không
em thì đã từng pó hand với nó rồi
 


Tớ không có nhu cầu làm chậm office mà tớ muốn khắc phục tình trạng này.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 10:57:30 (+0700) | #14 | 67041
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Lão Thắng thử disable Macro xem ?
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 11:19:32 (+0700) | #15 | 67043
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

LeVuHoang wrote:
Lão Thắng thử disable Macro xem ? 


User bên tôi nó dùng Office 2003.
Chỉ có option chọn macro là Low thôi lão. Chứ không có disable.
Để tôi test thử xem sao.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Virus làm chậm MS Office 26/06/2007 11:25:32 (+0700) | #16 | 67046
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
MOd thử kiểm tra lúc user(chạy ms office chậm) đó sử dụng bộ office, thông tin nào của user(thông thường là profile/registry/thông tin cấu hình..) được dùng, rồi so sánh với user chạy bình thường khác(mod tạo mới). Sử dụng offfice 2003,2000 chưa thấy hiện tượng này.
Nếu chuyện này xảy ra trên hệ thống nhiều máy khác nhau, có thể do lỗi của phần mềm, có xung đột với cái gì đó. Còn xảy ra trên một máy lẻ-> chịu.

Ấn định Macro ở mức nào cũng ảnh hưởng đến toàn bộ các user khác.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 26/06/2007 22:54:04 (+0700) | #17 | 67118
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
To : Levuhoang
Tôi đã chọn macro là low rồi nhưng tình trạng vẫn bị.
Nghĩa là nó chỉ bị 1 tình trạng duy nhất là save as và open foder rất chậm.

To tmd : Hiện tại tình trạng này đang xảy ra trên 2 máy của kế toán.
Để tớ thử kiềm tra lại xem.

Thank
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 27/06/2007 03:03:22 (+0700) | #18 | 67174
[Avatar]
hieuhoc
Member

[Minus]    0    [Plus]
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
[Profile] [PM]

thangdiablo wrote:
To : Levuhoang
Tôi đã chọn macro là low rồi nhưng tình trạng vẫn bị.
Nghĩa là nó chỉ bị 1 tình trạng duy nhất là save as và open foder rất chậm.

To tmd : Hiện tại tình trạng này đang xảy ra trên 2 máy của kế toán.
Để tớ thử kiềm tra lại xem.

Thank 

Cơ quan mình một vài máy cũng bị thế sau một thời gian sử dụng cũng chưa tìm được nguyên nhân. smilie(
Mình nghĩ chắc do vấn đề về license thì phải smilie .
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 00:14:37 (+0700) | #19 | 198138
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]

thangdiablo wrote:
Nghĩa là nó chỉ bị 1 tình trạng duy nhất là save as và open foder rất chậm. 

Không chỉ có thế đâu vào bất kỳ ứng dụng nào của word và excel đều bị not responding. Máy một người trong cơ quan mình bị rồi. Vào view printer cũng bị not responding, save as,.. cũng vậy. Mình xem process mà không thấy gì lạ. Xem luôn start up trong msconfig vẫn bình thường. Máy có cài KIS không biết có phải tại nó khôngsmilie. Bóc office cài lại vẫn không có kết quả, máy vẫn ở tình trạng cũ. KIS phát hiện ra con net- worm.win32.kido.ih, win32.virut.ce (KIS cảnh báo máy tính đang bị đe dọa màu đỏ). Hix mọi người có cần mình lấy file log máy đó không? Mọi người cho mình biết thêm là mình phải kiểm tra những gì trong máy đó:Có cần kiểm tra registry không? (Mình đã kiểm tra Run không thấy tiến trình nào nghi ngờ chạy cùng Windows), Các file ẩn vẫn được hiển thị (Có thêm cái thư mục RECYCLE (Mấy cái USB cắm vào kiểu gì cũng dính; Avira báo là worm.kido.ih.40 nhưng không diệt được thì phải) chứa cái file ảnh tên tùm lum nản quá trời). Mọi người cho biết ý kiến thêm nhésmilie. Máy nhiễm nhiều loại virus biết diệt thế nào hix.
Ps: Hôm trước có máy dính con system.exe và usuerinit.exe (hình như là sohand gì đó) tạo một loạt file .tmp 1-..n khóa log file,.. tắt startup ko được. Tìm khắp google tìm cách giải quyết thử hết mà vô vọng. Cài sửa Win rồi tiếp tục diệt nhưng vẫn bị khóa logfile. Hix nản cài lại Win. Hix hình như giờ virus không còn tấn công taskmgr, registry,.. như xưa nữa. Pó taysmilie
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 07:19:48 (+0700) | #20 | 198164
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Cho cái Log Hijack lên đi rồi tính tiếp.
Hiện tại là chắc chắn còn 2 thằng trùm trong máy đấy (Kido, Virut.ce)

Cái con system.exe và userinit.exe, dù cho đến thời điểm này đã xuất hiện vài biến thể lạ lùng nhưng không tới nỗi phải bó tay.

Vấn đề Office vẫn còn là ẩn số ...
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 12:39:32 (+0700) | #21 | 198185
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Có khả năng không phải dính virus gì, mà là máy map 1 ổ đĩa tới 1 máy tính chết ngỏm lâu rồi mà vẫn chưa xoá cái link đó, hoặc có khả năng ổ đĩa mềm cũ có vấn đề trục trặc.
Hoặc có thể dùng các tiện ích như là Web Folder (save file vào 1 web server), hay là dùng kết nối share point mà share đó ngỏm rồi.
Thằng Office nó rất ngu, mỗi khi save as hay open 1 file, nó đi scan thư mục gốc và 1 số thông số gì đó (ví dụ: dung lượng đĩa trống) tất cả các ổ đĩa, các folder mà hệ thống có định nghĩa. Scan phải cái chết rồi nên time-out lâu lắm. Ai dùng đĩa mềm sẽ thấy, mỗi khi save as/open, sẽ thấy đĩa mềm đọc cạch cạch 1 tí.
Có lẽ chính vì thế tạo account mới thì nhanh vì account này sạch sẽ, không có kết nối đi đâu nên không bị sao.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 21:24:55 (+0700) | #22 | 198198
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]

myquartz wrote:
Có khả năng không phải dính virus gì, mà là máy map 1 ổ đĩa tới 1 máy tính chết ngỏm lâu rồi mà vẫn chưa xoá cái link đó, hoặc có khả năng ổ đĩa mềm cũ có vấn đề trục trặc.
Hoặc có thể dùng các tiện ích như là Web Folder (save file vào 1 web server), hay là dùng kết nối share point mà share đó ngỏm rồi.
Thằng Office nó rất ngu, mỗi khi save as hay open 1 file, nó đi scan thư mục gốc và 1 số thông số gì đó (ví dụ: dung lượng đĩa trống) tất cả các ổ đĩa, các folder mà hệ thống có định nghĩa. Scan phải cái chết rồi nên time-out lâu lắm. Ai dùng đĩa mềm sẽ thấy, mỗi khi save as/open, sẽ thấy đĩa mềm đọc cạch cạch 1 tí.
Có lẽ chính vì thế tạo account mới thì nhanh vì account này sạch sẽ, không có kết nối đi đâu nên không bị sao. 

Đâu chỉ riêng save as mình thử view print, print,.. đều not responding.
Có lẽ dính virus rồi: KIS phát hiện nó là virus Virus.Win32.Virut.ce và net-worm.win32.kido.ih
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 22:11:58 (+0700) | #23 | 198199
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]

kamikazeq wrote:
Cho cái Log Hijack lên đi rồi tính tiếp.
Hiện tại là chắc chắn còn 2 thằng trùm trong máy đấy (Kido, Virut.ce)

Cái con system.exe và userinit.exe, dù cho đến thời điểm này đã xuất hiện vài biến thể lạ lùng nhưng không tới nỗi phải bó tay.

Vấn đề Office vẫn còn là ẩn số ... 


Đây là log hijack:

MÁY 1:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:13:09 PM, on 11/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS1\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS2\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

--
End of file - 3744 bytes

Ps: Mình cập nhật KIS và quét lại hôm qua. Hôm nay đã vào bình thường không còn bị not responding (Hix hôm nay mới lấy log không biết còn dấu vết gì không). Mọi người phân tích log và cho mình hỏi mấy cái dạng thế này: {e2e2dd38-d088-4134-82b7-f2ba38496583} là chữ kiểu Hex phải không? Mình tắt ctfmon.exe (vào start\setting\control panel chọn regional and language chọn thẻ language\detail chọn advance click vào turn off advance text services) rồi mà sao nó vẫn chạy, có phải vì cái này không "O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe" nhưng hôm qua mình vào Run không thấy nósmilie(Có lẽ mình chỉ kiểm tra bên nhánh HKLM hix). Còn đoạn này có nghĩa là gi: O17 - HKLM\System\CCS\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS1\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS2\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181. Trong cơ quan còn một máy nữa bị như vậy. Mình sẽ post log sau
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 22:26:45 (+0700) | #24 | 198200
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
Mình post tiếp log hijack của một máy khác: (Máy này lúc not responding lúc thì bình thườngsmilie)
MÁY 2:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:21:54 AM, on 11/13/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sttray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UniKey\UniKey.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vn.rd.yahoo.com/customize/ycomp/defaults/sp/*http://vn.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://vn.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Searchurl,(Default) = http://vn.rd.yahoo.com/customize/ycomp/defaults/su/*http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dantri.com.vn/
R3 - urlSearchHook: Yahoo! Thanh công cu? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Thanh công cu? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF0CB5EE-CF97-4C79-A239-959616CE04CB}: NameServer = 203.162.0.11,203.162.0.181
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 4797 bytes

Ps: Để dễ dàng phân tích mình xin chọn thứ tự 1 2 cho 2 máy. Máy sau sẽ là máy 2. Tiện đây cho mình hỏi thêm có chương trình nào chạy mà giấu được cả hijack ko?smilie

Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 23:13:45 (+0700) | #25 | 198202
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Bác kekhocdoi này.
1. Bác hỏi phải kiểu Hex không? Em không rõ lắm, bác nghe lời bác quanta search google "CLSID" đi. Nếu tìm được tài liệu hay, share cho em cái link đọc cùng.

2. Ctfmon em cũng không biết nốt. Công ty bác có dùng tiếng Hàn tiếng Nhật hay tiếng Trung không, em đoán mò là nó liên quan đến cái đó.

3. Cái O17... , bác truy regedit theo đến tận cùng cái đường dẫn đó đi. Cái CCS em đoán là CurrentControlSet. 203.162.0.11 và 203.162.0.181 viết tắt là DNS còn đầy đủ ra là Domain Name Server hay Domain Name Service em không nhớ, chỉ biết nó có nhiệm vụ đổi từ tên miền ra địa chỉ IP. Chắc công ty bác đang dùng thuê bao dịch vụ Internet của VDC phải không?

4. Còn vụ Office 2k3, em gặp 2 trường hợp rồi. Bác tham khảo nhé.
+ Có một loại virus tự động copy file lpk.dll hoặc usp10.dll vào các thư mục chứa các ứng dụng hiện hành hoặc vào các file nén dạng *.rar chứa bộ cài hoặc các thư mực chứa file setup.exe để cài các ứng dụng. Khi bác run hoặc cài đặt application tương đồng với việc bác cho con virus đó chạy cùng. Con này tự tìm cả các thư mục được Share all trên mạng LAN có chứa file *.exe, nó cũng lại copy file lpk.dll hoặc usp10.dll vào đó. User run cái file *.exe trên máy mình thế là lại dính theo.
+ Loại tiếp liên quan đến MSOCache. Theo cách MS đặt tên thư mục này là vùng đệm của các ứng dụng của bộ Office. Một lần em dính con virus nó xóa mất 2 file PRO11.MSI và SKU011.CAB trong thư mục MSOCache khiến Word không thể run được, nó đòi lấy 2 file đó từ bộ cài Office mới có thể tiếp tục dùng Word. Em (lại) đoán virus này nó lợi dụng Word mỗi lần run là mỗi lần mở các file trên nên nó sửa file gốc và chèn vào đó thêm những gì nó muốn. Con virus em gặp chắc là chưa hoàn thiện hoặc bị Kas 6 Workstation ở máy đó chặn nên gây ra lỗi trên.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 13/11/2009 23:38:35 (+0700) | #26 | 198204
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]

HiTnRuN wrote:
Bác kekhocdoi này.
1. Bác hỏi phải kiểu Hex không? Em không rõ lắm, bác nghe lời bác quanta search goolge "CLSID" đi. Nếu tìm được tài liệu hay, share cho em cái link đọc cùng.

2. Ctfmon em cũng không biết nốt. Công ty bác có dùng tiếng Hàn tiếng Nhật hay tiếng Trung không, em đoán mò là nó liên quan đến cái đó.

3. Cái O17... , bác truy regedit theo đến tận cùng cái đường dẫn đó đi. Cái CCS em đoán là CurrentControlSet. 203.162.0.11 và 203.162.0.181 viết tắt là DNS còn đầy đủ ra là Domain Name Server hay Domain Name Service em không nhớ, chỉ biết nó có nhiệm vụ đổi từ tên miền ra địa chỉ IP. Chắc công ty bác đang dùng thuê bao dịch vụ Internet của VDC phải không?

4. Còn vụ Office 2k3, em gặp 2 trường hợp rồi. Bác tham khảo nhé.
+ Có một loại virus tự động copy file lpk.dll hoặc usp10.dll vào các thư mục chứa các ứng dụng hiện hành hoặc vào các file nén dạng *.rar chứa bộ cài hoặc các thư mực chứa file setup.exe để cài các ứng dụng. Khi bác run hoặc cài đặt application tương đồng với việc bác cho con virus đó chạy cùng. Con này tự tìm cả các thư mục được Share all trên mạng LAN có chứa file *.exe, nó cũng lại copy file lpk.dll hoặc usp10.dll vào đó. User run cái file *.exe trên máy mình thế là lại dính theo.
+ Loại tiếp liên quan đến MSOCache. Theo cách MS đặt tên thư mục này là vùng đệm của các ứng dụng của bộ Office. Một lần em dính con virus nó xóa mất 2 file PRO11.MSI và SKU011.CAB trong thư mục MSOCache khiến Word không thể run được, nó đòi lấy 2 file đó từ bộ cài Office mới có thể tiếp tục dùng Word. Em (lại) đoán virus này nó lợi dụng Word mỗi lần run là mỗi lần mở các file trên nên nó sửa file gốc và chèn vào đó thêm những gì nó muốn. Con virus em gặp chắc là chưa hoàn thiện hoặc bị Kas 6 Workstation ở máy đó chặn nên gây ra lỗi trên. 


1. Mình nhớ hình như đọc ở đâu đó cái dãy địa chỉ viết theo kiểu hex (thập lục phân). Mình sẽ search CLSID. wikipedia cũng có http://en.wikipedia.org/wiki/Globally_Unique_Identifier không biết bác đã đọc chưa (đoán là rồi smilie ). Tui vừa mới search
2. Ctfmon.exe mình nghe nói là file lưu lại clipboard gì đó quên rồi (Của MS office thì phải).
3. Công ty mình dùng thuê bao dịch vụ VDC đúng rồi. Mình đã truy tận cùng Registry đó và thấy dhcp, default gate way,..vv nhưng ý mình muốn hỏi làm sao biết được các chữ số đó chứa cái gì (đặt tên thì cũng phải có liên hệ không thì ai hiểu mà tìm được). CCS: đúng như Bác nói, CS1, CS2 hình như là CurrentControlset1 ,2. Mình nghĩ dãy số kia phải có ý nghĩa nào đó để mình biết nó liên quan đến DNS. Nếu không cho dù ai giỏi nhớ mấy cũng..smilie
4. Mình sẽ nghiên cứu thêm (Hơi khó hiểusmilie). Bác giải quyết thế nào? (Chia sẻ kinh nghiệm đi smilie )
a. 2 file kia bác làm sao biết. Có chương trình ứng dụng nào có nó không? Nếu có virus sẽ copy đè lên ah. Tác dụng của nó chắc phải google hix.
b. Cũng gặp một lần nhưng không hiểu lắmsmilie.

PS: Logfile còn dấu vết bị gì không. Mọi người làm ơn chỉ rõ từng máy để mình tham khảo với
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 14/11/2009 01:10:40 (+0700) | #27 | 198207
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
1. Với bác Ok rồi nhỉ dù em không hiểu gì smilie
2. Ko có gì
3. DNS sao ko nhớ được?
+ VDC 203.162.0.181
+ Netnam 202.151.160.12
+ Viettel Hỏi giáo sư Gúc để biết thêm chi tiết
+ OpenDNS 222... bác hỏi bác Gúc giùm
Nếu ko nhớ thì tạo 1 file *.txt ở ngoài Desktop ghi ra đó. Hoặc chụp 1 cái ảnh *.jpg lấy nội dung cần nhớ làm desktop wallpaper. Mở máy nhìn thấy ngay, mãi rồi cũng phải nhớ. Nói nhỏ là em thấy bác hơi cầu kỳ vụ tạo cả background cho từng folder.
DNS có nhiệm vụ gì thôi ko nói nữa. Vì ngoài google, bác có thể hỏi tổng đài hỗ trợ của VDC hoặc tìm một tài liệu nào đó về IP address (giờ mới thấy thấm thía lời khuyên của các tiền bối như conmale luôn khuyên anh em cày thật kỹ kiến thức cơ bản)
4.
a. Ví dụ cho dễ hiểu nhé
C:\Program Files\mtd2002 chứa file mtd2002EVA.exe dùng để chạy cái từ điển Lạc Việt, khi run application sẽ gọi thêm các file *.dll (thư viện liên kết động). Con virus kia nó tự biến nó thành một phần cần thực thi của từ điển Lạc Việt bằng cách đó. Cách giải quyết: tìm các file lpk.dll và usp10.dll virus giả danh (có cùng dung lượng 72k, 75k hoặc 76k) xóa hết đi thôi.
b. Cũng gặp nhưng chỉ đến hôm sau là Kas tự động diệt trên 3 máy trong LAN nên em ko quan tâm nữa. Chỉ hơi nhớ là nó liên quan đến file sethcc.exe, truy trong threatexpert.com là ok.
5. Hijack cũng nhiều trường hợp bị qua mặt lắm
*** Bác mở nhiều thread quá mà ko đi sâu. Hướng giải quyết vấn đề của em khác bác. Em tự mình lục tung tất cả mọi thứ có thể ở bất cứ đâu, chỉ khi nỗ lực cá nhân không thể mới cầu cứu người khác. Em biết trên hva này ngọa hổ tàng long nên chỉ đưa ra câu hỏi khi đã ngâm cứu thật kỹ mà vẫn không thể giải quyết nổi.
6. Về con kido worm. Bác có thể vào trang kaspersky down các tools cần thiết. Chỉ lưu ý là phải làm trong SafeMode
7. Về vấn đề ping, bác có thể dùng Visual Route 2007 (portable) hoặc các bản tương tự.
Trong thread nào đó bác conmale cũng đã nói đến ping trong *nix nữa. Tìm hiểu thêm giao thức ICMP và bản chất của ping là gì?
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 16/11/2009 21:19:52 (+0700) | #28 | 198381
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
Cám ơn bác nhiều lắm. Mình sẽ cố nghiên cứu thêm hixsmilie
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 16/11/2009 22:51:06 (+0700) | #29 | 198385
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Đây bác. Không biết con Kido Worm (conficker) có thêm phiên bản nào mới không?
Còn đây là cách thường dùng để trị nó.
+ Download bộ Kido Killer smilie gồm: KK_v3.4.7.exe + các bản vá ở http://kaspersky.nts.com.vn/tin-tuc/bai-viet-ho-tro-ky-thuat/222-cach-diet-virus-net-wormwin32kido http://forum.kaspersky.vn/showthread.php?t=4495.
+ Thêm một chi tiết nhỏ. Vào Windows Firewall sẽ thấy một key rất lạ. Đây là cách em thường dùng để nhận biết loại Worm này. Nên Delete nó ngay




+ Vào Safe Mode. Lỡ máy còn tàn dư (như trường hợp trên là bác dính 2 loại virus) không vào đc Safe Mode, bác sang 1 máy khác có thể vào safe mode được, Export Key SafeBoot theo đường dẫn HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot ra một file reg, copy qua và run trên máy cần xử lí. Hoặc download ở http://www.mediafire.com/?zmmmnmb0lrf pass: kido
+ Chạy file KK_v3.4.7.exe. Hehe, kk = kệ kệ nó xử thằng kido worm. Xong bác chạy 3 bản vá kia. Lưu ý download đúng bản vá cho Windows XP SP1 hoặc SP2. Các bản vá này nếu có hiệu lực sẽ hiện lên thông báo yêu cầu Restart máy.
[Up] [Print Copy]
  [Question]   Virus làm chậm MS Office 16/11/2009 23:03:06 (+0700) | #30 | 198386
[Avatar]
kekhocdoi
Member

[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
Cảm ơn bác nhiều nha nhưng hix chưa kịp làm gì thì người ta gọi nhân viên kỹ thuật đến cài lại máysmilie. Người làm việc công sở mà biết thế mình cài lại trước. Bó tay nhưng dù sao cũng biết thêm đôi chút.

PS: Về vấn đề mạng mình chỉ tìm hiểu vòng ngoài chưa được chính thức làm việc nên cũng đâu có quyền gìsmilie. Không thao tác trên server được. Dù sao thì biết thêm chút nào hay chút đó. Một lần nữa cám ơn bác HiTnRuN (tên bác đặt viết hoa gì lạ quá smilie). Mấy cái vụ folder đó mình dùng từ lâu nên cũng chẳng sửa đổi gì nữa (cho đẹp tí mà).
Nói lại về mục 1 tý nhé: Họ dùng chữ Hex quy định ClSID nhưng theo một tiêu chuẩn gì đấy chứ không phải theo nghĩa của nó hix thế thì có trời mới nhớ cho nổi.
5. Mình sẽ rút kinh nghiệm hix
7. Mình cũng mới hiểu sơ qua về ICMP và ping thôismilie. Nói chung mọi thứ vẫn mù tịt (Đang trên đường khám phá smilie )

Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|