banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Kết nối lạ ra bên ngoài  XML
  [Question]   Kết nối lạ ra bên ngoài 30/11/2012 23:01:44 (+0700) | #1 | 271481
Search_IT
Member

[Minus]    0    [Plus]
Joined: 21/02/2011 20:50:49
Messages: 61
Offline
[Profile] [PM]
Em có tải một file exe trên mạng về, sau khi chạy nó thì có một số vấn đề như chạy chậm hoặc bị treo tiến trình. Em đã kiểm tra bằng cách chạy file tcpview.exe của microsoft thì nó có kết nối ra địa chỉ bên China.

Giờ em đã xoá cái file đó đi nhưng không hết, xem PID nó đang chạy là 1386 (chính là PID đang kết nối sang China). Mà xem PID 1386 bật khi đó chính là file svchost.exe của microsoft (xem bằng procesxp.exe). em đã scan file này bằng virustotal mà file đó báo là file sạch (0/45).

Nhờ các anh tìm hộ em cái chương trình nào đang kết nối ra ngoài để em xoá bỏ nó ạ.
[Up] [Print Copy]
  [Question]   Kết nối lạ ra bên ngoài 01/12/2012 20:33:33 (+0700) | #2 | 271499
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Gửi cái file đầu tiên mà bạn đề cập đã tải về lên đây cho mọi người xem qua.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Kết nối lạ ra bên ngoài 04/12/2012 15:15:28 (+0700) | #3 | 271550
[Avatar]
tdtv-bkt432
Member

[Minus]    0    [Plus]
Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline
[Profile] [PM]
Mình đoán thì có thể là Sality hoặc Configker. Nó đang cập nhật thêm mã độc để phá hệ thống. Như bác @bolzano_1989 thì gửi file đó lên đây. Nhấn vào tiến trình chọn Open file location để tìm tới. nén lại hoặc copy ra Desktop rồi nén. gửi lên đây để anh em phân tích rồi biết đường cứu
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|