banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Explorer.exe run to 100%  XML
  [Question]   Explorer.exe run to 100% 16/02/2008 07:07:15 (+0700) | #1 | 114879
KiemKhach
Member

[Minus]    0    [Plus]
Joined: 12/02/2004 18:10:21
Messages: 24
Offline
[Profile] [PM]
Hi all,
Không biết ai đã gặp trường hợp này chưa ?
- OS: xp sp2
- Máy đã cài đặt NAV lastest DAT.

Khi máy khởi động Explorer.exe luôn chiếm 100% CPU. Khi dùng Task Manager, processXP để kill process, sau đó New Task để load explorer.exe thì vẫn bị hiện tượng chiếm CPU 100%.

Dùng HijackThis cũng không tìm thấy key nào nghi ngờ cả .

Tớ đoán đây là một loại Rootkit nó inject vào file explorer.exe.

Mọi người cùng cho ý kiến nhé.

Thanks!
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 16/02/2008 10:40:55 (+0700) | #2 | 114901
[Avatar]
maithangbs
Elite Member

[Minus]    0    [Plus]
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
[Profile] [PM] [Email] [Yahoo!]
Chắc chắn rồi.
Bạn thử dùng đĩa Setup của XP. Copy đè file explorer.exe xem liệu có giải quyết được không?
Hy vọng là nó chỉ nhiễm vào mỗi file này.
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 17/02/2008 00:14:45 (+0700) | #3 | 114970
KiemKhach
Member

[Minus]    0    [Plus]
Joined: 12/02/2004 18:10:21
Messages: 24
Offline
[Profile] [PM]
Cũng có solution như vây, copy một file explorer.exe từ một máy clean và thay đổi key trong regedit trỏ tới file mới .

THKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nhưng solution này không khả thi, khi lam xong vẫn bị. Vấn đề là biết được nó là loại virus gì để có phương pháp phòng chống cho cả hệ thống.

Ai đã gặp trường hợp này thì vào thảo luận nhé!

Thanks!
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 17/02/2008 02:56:28 (+0700) | #4 | 114995
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Trường hợp này tôi gặp cũng khá nhiều rồi. Thường thì là 1 dạng Application Rootkit.
Bạn hãy thử sử dụng ProViewer hoặc dùng chính ProcessXP để view các module của Explorer. Tìm module lạ trong danh sách đấy (module tương ứng với 1 file .dll).
Nếu bạn không tìm được thì post list đó lên đây để mọi người cùng xem nha.
Gluck!
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 17/02/2008 07:27:35 (+0700) | #5 | 115041
[Avatar]
kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline
[Profile] [PM] [WWW]
Có thể sử dụng hai công cụ khá mạnh và free là :

1. GMER


Code:
It scans for:
# hidden processes
# hidden threads
# hidden modules
# hidden services
# hidden files
# hidden Alternate Data Streams
# hidden registry keys
# drivers hooking SSDT
# drivers hooking IDT
# drivers hooking IRP calls
# inline hooks

GMER also allows to monitor the following system functions:
# processes creating
# drivers loading
# libraries loading
# file functions
# registry entries
# TCP/IP connections


2. IceSword (sử dụng Google để tìm)
Tôi cũng có lược dịch một bài viết về IceSword, bạn có thể tham khảo thêm ở đây :
Code:
http://blog.360.yahoo.com/blog-gfHMZDUlaae0Jy6UTm1QLZxnxvmX2Uap_9Q-?cq=1&p=126


Regards
kienmanowar
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 18/02/2008 13:20:39 (+0700) | #6 | 115228
KiemKhach
Member

[Minus]    0    [Plus]
Joined: 12/02/2004 18:10:21
Messages: 24
Offline
[Profile] [PM]
Thanks kienmanowar, tut khá rõ ràng, mình sẽ thử reply lại ngay khi có kết quả.

[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 20/02/2008 22:37:34 (+0700) | #7 | 115672
hungtv2212
Member

[Minus]    0    [Plus]
Joined: 11/12/2006 14:56:12
Messages: 12
Offline
[Profile] [PM]
Cám ơn mấy bồ. Mình đang đi tìm các công cụ để nghiên cứu virus. Mong nhận được các bài viết hay của các bồ.
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 20/02/2008 23:05:41 (+0700) | #8 | 115678
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
A đúng rồi!
GMER và IceSword là hai tool vô cùng yêu thích của mình.
Tuy nhiên mình nghĩ chỉ cần ProView trong trường hợp này là đủ rồi.
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 21/02/2008 01:02:17 (+0700) | #9 | 115706
[Avatar]
johan_tran
Member

[Minus]    0    [Plus]
Joined: 16/05/2007 12:54:02
Messages: 98
Location: Hải Phòng
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mình cũng vừa mới dính xong. Dùng Autostart and Process Viewer thì explorer dùng đến 100% CPU( nhưng vì đang chạy diệt virus nên app này nó báo tới 200% CPU smilie, không hiểu sao).


Chỉ mới ngày hôm quá thôi, đang nhiên đang lành tự nhiên command prompt nhảy loạn xạ + registry change liên tù tì + thông báo+ yêu cầu scan online :






Mọi việc chỉ trong nháy mắt(cứ như thể bị một cuộc tổng tấn công vậy)
[Up] [Print Copy]
  [Question]   Re: Explorer.exe run to 100% 25/02/2008 03:46:23 (+0700) | #10 | 116471
Tran_Ngoc_Hao
Member

[Minus]    0    [Plus]
Joined: 24/02/2008 14:56:30
Messages: 1
Offline
[Profile] [PM]
Máy em cũng bị dính Virus như các bác, máy có phát hiện được Virus nó bảo ReStart, em chấp nhận, nhưng rồi khởi động lại máy thì Virus này vẫn còn. Các bác chỉ cho dùm.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|