banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Máy của tôi có nhiễm virus kô ???  XML
  [Question]   Máy của tôi có nhiễm virus kô ??? 15/04/2007 06:12:49 (+0700) | #1 | 53760
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Dạo này mạng chỗ tôi hay chập chờn, thỉnh thoảng bị rớt mạng vài phút rồi lại có. Hôm qua có một nhân viên mạng tới kiểm tra. NV đó nói có hai máy trong mạng LAN có virus làm tràn cổng MODEM dẫn tới hay rớt mạng. Trong dó có IP của máy tôi.

Tôi thì thấy máy mình vẫn bình thường: chạy các ứng dụng bình thường, kô bị chậm. Registry,Task manager,folder options...vẫn vào được, các Process kô có cái nào lạ.

Scan bằng HijackThis được kết quả:

Logfile of HijackThis v1.99.1
Scan saved at 8:40:32 AM, on 4/14/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG7\avgcc.exe
D:\MyPictures\desktop.ini\Tools diet virus\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D6EB3A2C-A12D-4E6C-9AE6-E864105988AB} (OnGameDownLoad Control) - http://222.255.38.131/activeX/OnGameDownLoad.cab
O16 - DPF: {E5B1C45A-84BD-4A90-82D0-6C1601FE161D} (OnGameWebCtrl Control) - http://www.ongame.com.vn/activeX/realSender.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe 


Mọi người kiểm tra hộ tôi với!

NV đó vào DOS và làm thế nào đó rồi màn hình hiện ra một loạt dòng(Tôi kô kô hiểu gì về mạng và các lệnh liên quan đến mạng).trong mỗi dòng là IP của một máy. các máy khác chỉ hiện IP ở một dòng, còn máy của tôi hiện ở hai dòng, máy bị nhiễm còn lại có tới 7~8 dòng. Nhìn vào đó, NV đó nói máy tôi bị nhiễm virus, và máy có khoảng 7~8 dòng kia nhiễm nặng hơn. Ai biết NV đó đã làm gì thì làm ơn chỉ tôi với, liệu làm như vậy có thể đưa ra kết luận là máy nhiễm virus kô? trong khi kiểm tra máy tôi kô dùng ứng dụng nào liên quan đến mạng, mà chỉ có một người đang chơi một game nhỏ trong máy.

Từ lúc ấy cứ mỗi khi rớt mạng là mọi người lại bảo tại máy tôi phát tán virus, mà mình thì lại kô phát hiện ra con virus ấy nó ở chỗ nào. Ức chế quá !! smilie-))

help me Plzzz !!!

Mấy hôm nữa cài lại win rồi dùng Deep Freeze khỏi phải nói chuyện virus nữa.
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 17/04/2007 09:24:47 (+0700) | #2 | 54173
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Chán ghê! chả hiểu gì cả.
Hôm qua down Kaspersky về quét tìm được 2 file acdapp.lsp(Virus.ALS.Bursted) và một file SSSInst.dll(AdWare.Win32.comet.ac) chả hiểu chúng nó hoạt động kiểu gì smilie-))

Thằng hàng xóm nó chơi Game online, nên lúc nào bị dis mạng là nó lại gọi điện cho dịch vụ nhờ kiểm tra. Tối hôm qua, họ chả cần đến mà vẫn biết trong mạng LAN có một máy đang bị virus làm nghẽn mạng(May kô hải máy mình smilie) )sang máy ấy xem thì đúng là ông chủ máy ấy đang vào một trang web đen để down ảnh và được khuyến mại thêm virus liên tục (AVG ở máy ông ấy liên tục báo có virus) Nhưng lão ấy kệ cứ down, down xong thì restart là hết vì máy lão ấy dùng Deep Freeze.

Sao chả có bác nào nói cho em biết mấy làm mạng làm thế nào để biết máy nào có virus thế. smilie-)) chán kô để đâu hết!!!
[Up] [Print Copy]
  [Question]   Máy của tôi có nhiễm virus kô ??? 17/04/2007 10:56:34 (+0700) | #3 | 54197
[Avatar]
napoleon_tq
Elite Member

[Minus]    0    [Plus]
Joined: 05/12/2006 12:06:39
Messages: 1295
Offline
[Profile] [PM]

Ghost Ship wrote:

NV đó vào DOS và làm thế nào đó rồi màn hình hiện ra một loạt dòng(Tôi kô kô hiểu gì về mạng và các lệnh liên quan đến mạng).trong mỗi dòng là IP của một máy. các máy khác chỉ hiện IP ở một dòng, còn máy của tôi hiện ở hai dòng, máy bị nhiễm còn lại có tới 7~8 dòng. Nhìn vào đó, NV đó nói máy tôi bị nhiễm virus, và máy có khoảng 7~8 dòng kia nhiễm nặng hơn. Ai biết NV đó đã làm gì thì làm ơn chỉ tôi với, liệu làm như vậy có thể đưa ra kết luận là máy nhiễm virus kô? trong khi kiểm tra máy tôi kô dùng ứng dụng nào liên quan đến mạng, mà chỉ có một người đang chơi một game nhỏ trong máy.
 

Theo mình đoán thì họ dùng lệnh netstat để kiểm tra xem có connect nào ra ngoài không khi mà không mở trang web nào. Cột Local address là các IP trong mạng Lan, cột Foreign Address là IP kết nối ở bên ngoài, theo bạn nói có máy hiện 1,2 dòng có máy hiện 7,8 dòng chính là số kết nối mà virut đưa ra ngoài. Mình hiểu sơ sơ vậy thôi, mấy lệnh dos mình không rành lắm.
Tuỳ tâm biến hiện.
[Up] [Print Copy]
  [Question]   Máy của tôi có nhiễm virus kô ??? 17/04/2007 10:58:17 (+0700) | #4 | 54199
[Avatar]
napoleon_tq
Elite Member

[Minus]    0    [Plus]
Joined: 05/12/2006 12:06:39
Messages: 1295
Offline
[Profile] [PM]

Ghost Ship wrote:

NV đó vào DOS và làm thế nào đó rồi màn hình hiện ra một loạt dòng(Tôi kô kô hiểu gì về mạng và các lệnh liên quan đến mạng).trong mỗi dòng là IP của một máy. các máy khác chỉ hiện IP ở một dòng, còn máy của tôi hiện ở hai dòng, máy bị nhiễm còn lại có tới 7~8 dòng. Nhìn vào đó, NV đó nói máy tôi bị nhiễm virus, và máy có khoảng 7~8 dòng kia nhiễm nặng hơn. Ai biết NV đó đã làm gì thì làm ơn chỉ tôi với, liệu làm như vậy có thể đưa ra kết luận là máy nhiễm virus kô? trong khi kiểm tra máy tôi kô dùng ứng dụng nào liên quan đến mạng, mà chỉ có một người đang chơi một game nhỏ trong máy.
 

Theo mình đoán thì họ dùng lệnh netstat để kiểm tra xem có connect nào ra ngoài không khi mà không mở trang web nào. Cột Local address là các IP trong mạng Lan, cột Foreign Address là IP kết nối ở bên ngoài, theo bạn nói có máy hiện 1,2 dòng có máy hiện 7,8 dòng chính là số kết nối mà virut đưa ra ngoài. Mình hiểu sơ sơ vậy thôi, mấy lệnh dos mình không rành lắm.
Tuỳ tâm biến hiện.
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 18/04/2007 02:13:10 (+0700) | #5 | 54301
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Cám ơn bác napoleon_tq đã chỉ giáo em sẽ ngâm cú cái lệnh này smilie) vừa thử xong nhưng chưa hỉu mấy smilie)

C:\Documents and Settings\Evil>netstat

Active Connections

Proto Local Address Foreign Address State
TCP GHOST:1058 localhost:1110 ESTABLISHED
TCP GHOST:1110 localhost:1058 ESTABLISHED
TCP GHOST:1050 cs22.msg.dcn.yahoo.com:5050 ESTABL
TCP GHOST:1059 sip37.voice.re2.yahoo.com:https ES
TCP GHOST:1221 192.168.1.19:netbios-ssn TIME_WAIT
TCP GHOST:1222 192.168.1.37:netbios-ssn TIME_WAIT
TCP GHOST:1223 192.168.1.19:netbios-ssn TIME_WAIT
TCP GHOST:1224 192.168.1.19:netbios-ssn TIME_WAIT
TCP GHOST:1226 192.168.1.19:netbios-ssn TIME_WAIT 


Bác nào giải thích hộ em với.
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 18/04/2007 18:52:36 (+0700) | #6 | 54451
[Avatar]
napoleon_tq
Elite Member

[Minus]    0    [Plus]
Joined: 05/12/2006 12:06:39
Messages: 1295
Offline
[Profile] [PM]
Bạn gõ lệnh netstat -na (có dấu cách) và quan sát ở 2 cột Local Address và Foreign Address xem sao. Phía sau IP của máy lan là thể hiện Port kết nối ra ngoài. Cột State thì để ý những cái nào Established (đã thiết lập).
Tuỳ tâm biến hiện.
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 19/04/2007 11:02:26 (+0700) | #7 | 54579
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
C:\Documents and Settings\Evil>netstat -na

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1110 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING
TCP 192.168.1.33:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1025 *:*
UDP 0.0.0.0:1264 *:*
UDP 0.0.0.0:1327 *:*
UDP 0.0.0.0:1750 *:*
UDP 0.0.0.0:2050 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:2218 *:*
UDP 127.0.0.1:2260 *:*
UDP 127.0.0.1:3456 *:*
UDP 192.168.1.33:123 *:*
UDP 192.168.1.33:137 *:*
UDP 192.168.1.33:138 *:*
UDP 192.168.1.33:1900 *:* 


C:\Documents and Settings\Evil>netstat -an |find /i "established"
TCP 127.0.0.1:1110 127.0.0.1:2360 ESTABLISHED
TCP 127.0.0.1:2360 127.0.0.1:1110 ESTABLISHED
TCP 192.168.1.33:2361 219.160.161.58:80 ESTABLISHED

C:\Documents and Settings\Evil> 
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 19/04/2007 11:13:28 (+0700) | #8 | 54581
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
đây là những việc mà NV đó đã làm:
1.Run (mở Run)
2.telnet 192.168.1.1 (vào modem)
3.Gõ pass Modem
4.gõ 24 (vào mục 24.System Maintenance)
5.Gõ 8 (vào mục 8. Command Interpreter Mode)
6.P660R-61C> ip nat iface wanif0 s (lệnh để kiểm tra)
P660R-61C> ip nat iface wanif0 s

Iface wanif0 Internet Network Address Translation:
Table Size: 1024 Timeout: 180 sec Timer period: 1 sec
Starting External Port: 10000
NAT Table - addr: x9436250c table: x9456cbd8
Outgoing: Total 228, TCP 132, UDP 15, ICMP 81, Unroutable 0
Incoming: Total 217, TCP 121, UDP 15, ICMP 81, Unroutable 0
Table: Allocated 103, Freed 99, Full 0, Expired 18, Cache hit 34%
Slot Prot Internal-IP smilieort Outgoing-IP smilieort External-IP smilieort Idle
1 UDP 58.187.148.96:1024 58.187.148.96:1024 210.245.0.11:53 31
2 UDP 192.168.1.33:123 58.187.148.96:10000 207.46.130.100:123 174
3 -
4 TCP 192.168.1.33:1240 58.187.148.96:10019 61.200.81.151:80 29
5 -
6 TCP 192.168.1.33:1218 58.187.148.96:10008 204.13.160.129:80 36
7 -
8 -
9 -
10 -
11 - 


Bác nào giải thích hộ em với. Hình như dùng cái lệnh này để phán máy em có virus là kô chính xác lắm. Chiều này NV ấy ngồi ngay trên máy em làm, và lúc ấy máy em chính là máy có nhiều dòng nhất. Nhưng sau đó em tự làm thì lại chả thấy dòng nào. Giờ thì còn kô vào được MODEM
C:\Documents and Settings\Evil>telnet 192.168.1.1
Connecting To 192.168.1.1...Could not open connection to the host, on port 23: C
onnect failed
C:\Documents and Settings\Evil> 
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 19/04/2007 11:36:58 (+0700) | #9 | 54585
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
C:\Documents and Settings\Evil>tracert 58.187.148.96

Tracing route to 58.187.148.96 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1
2 38 ms 38 ms 38 ms 210.245.0.42
3 76 ms 76 ms 77 ms 58.187.148.96

Trace complete. 

Lúc chiều tối nay em gõ lệnh :netstat -an |find /i "established" và thấy lạ là IP 58.187.148.96 này established với tất cả các máy trong mạng LAN chỗ em. Thằng này khả nghi quá bác nào giải thích hộ em với.
bác nào chỉ hộ em lệnh để từ địa chỉ IP --> tên máy đó với.
[Up] [Print Copy]
  [Question]   Máy của tôi có nhiễm virus kô ??? 22/04/2007 14:22:12 (+0700) | #10 | 55157
tran linh
Member

[Minus]    0    [Plus]
Joined: 22/04/2007 01:39:55
Messages: 26
Offline
[Profile] [PM]
hic may cua minh ma khong biet ten sao?
[Up] [Print Copy]
  [Question]   Re: Máy của tôi có nhiễm virus kô ??? 23/04/2007 02:35:57 (+0700) | #11 | 55221
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Chài smilie nản nhỉ ? chắc những người am hiểu về mạng rất ít khi vào box virus -->> khả năng vấn đề của mình được giúp ở đây là 0.001% smilie)

Thôi tự mình giúp mình vậy, chỉ còn biết chờ vào Google thôi.

[Up] [Print Copy]
  [Question]   Máy của tôi có nhiễm virus kô ??? 24/04/2007 23:28:19 (+0700) | #12 | 55547
[Avatar]
hacker_club
Member

[Minus]    0    [Plus]
Joined: 11/04/2007 10:11:51
Messages: 26
Location: Vinh - NghênAn
Offline
[Profile] [PM]
vào thảo luận hệ điều hành windows đi !!!!!!! smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|