English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nhờ mọi người kiểm tra giùm con virus này  XML
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 18/06/2009 05:18:13 (+0700) | #1 | 183834
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Nhờ các bạn check hộ mình

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:03, on 06/17/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Documents and Settings\Welcome\Desktop\Ko xoa\Thu thuat\autoruns.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Documents and Settings\Welcome\Desktop\Ko xoa\LK VPN2\ProcessExplorer\procexp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Documents and Settings\Welcome\Desktop\Ko xoa\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_url = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_url = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vnn777.com/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Searchurl = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Searchurl = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Searchurl,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - urlSearchHook: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Program Files\Foxit\tbFox0.dll
R3 - urlSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - (no file)
O2 - BHO: AddTask Class - {24F06550-65E3-4D1C-8CFE-839C296B5530} - C:\Program Files\eREAD6.0\IEeREAD.dll
O2 - BHO: Info cache - {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Aseo\pbhealth.dll (file missing)
O2 - BHO: (no name) - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - (no file)
O2 - BHO: AddTask Class - {6A19C29D-ED45-4483-8999-9F939C8161F2} - C:\Program Files\eREAD6.0\WebHook.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Program Files\Foxit\tbFox0.dll
O2 - BHO: WebHelper Class - {986488AF-13D5-9DDF-4FEF-9FB88698CFC1} - (no file)
O2 - BHO: (no name) - {9963387B-212E-4643-B207-82DAEA0E713D} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Program Files\Foxit\tbFox0.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [BlackBerryAutoUpdate] C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe /background
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKCU\..\Policies\Explorer\Run: [1] avp.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7-10] rundll32 advpack.dll,LaunchINFSectionEx NR_IE7en.inf,AfterUserStart,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Desktop Manager.lnk = C:\Program Files\Research In Motion\BlackBerry\DesktopMgr.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ò×Ȥ¹ºÎï - C:\Program Files\AD4All\link1\ebaylink.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8569D715-FF88-44BA-8D1D-AD3E59543DDE} (ActiveReports Viewer2) - http://www.covcci.com.vn/Controls/arview2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18E56FE3-0C76-487B-82A9-E87F80D66C54}: NameServer = 203.113.131.1,172.16.15.7,203.162.0.11,203.162.0.181,203.162.4.1,203.162.4.190,203.162.4.191,203.210.142.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{298473D1-17EC-4D2D-8884-C40D54DD0078}: NameServer = 203.162.0.181,203.210.142.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D9D369A-2241-42C6-BAD4-9D3720350612}: NameServer = 203.162.0.181,203.210.142.132
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)
O23 - Service: Windows Accounts Driver (windows_0) - Unknown owner - C:\WINDOWS\system32\5HsDt.exe (file missing)
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe

--
End of file - 10837 bytes
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 18/06/2009 05:43:57 (+0700) | #2 | 183836
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Một số biểu hiện như sau
- Tạo file C:\Windows\sethcc.exe
- Khóa regedit
- Khóa msconfig
[img]http://farm4.static.flickr.com/3539/3635403534_a3e1f7abe0.jpg?v=0[/img]
- Tạo thêm một đường dẫn để chạy file trong msconfig
[img]http://farm3.static.flickr.com/2433/3634591889_6bd26e4b01.jpg?v=0[/img]
- Không thể mở các ứng dụng Microsoft Offfice, yêu cầu cài thêm file SKU011.CAB
- Mình đã scan file sethcc.exe qua trang http://virusscan.jotti.org nhưng không thấy thông báo gì

Nhờ các bạn phân tích và chỉ mình cách diệt con này

Mẫu của nó http://www.mediafire.com/?jztmzdiwnyy
pass giải nén 123
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 18/06/2009 05:58:31 (+0700) | #3 | 183838
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
mình sửa nhầm, mod xóa giùm
@ freeze_love: riêng chỗ này thôi
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 18/06/2009 06:01:32 (+0700) | #4 | 183839
[Avatar]
 freeze_love
Member
[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]
Chả hiểu bạn này nữa. Sao bảo là kiểm tra rồi hồi sau bảo mod xóa nhỉ?
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 18/06/2009 07:40:21 (+0700) | #5 | 183848
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Ầy, sao ko upload mẫu wuauclt.exe ở dllcache, malware ở đó đấy.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 18/06/2009 20:49:05 (+0700) | #6 | 183898
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
File bol cần http://www.mediafire.com/?mz2ma2jdqtz
Mình thấy nó có cùng dung lượng (52k) với file trong C:\Windows\system32 nên bỏ qua
Hơn nữa, đó là cách mà các virus khác ghi vào trong regedit để khóa không cho chạy một số file nhất định.
Mình đã gặp nhiều con virus khác (Dashfer) cũng tạo key debugger giống như vậy với các file thực thi của các chương trình avp.exe của Kas, procexp.exe của Process Explorer, gmer.exe, regedit.exe, msconfig.exe,...
Nhưng kiểu khóa này có nhược điểm là chỉ cần đổi tên file thực thi sẽ lại chạy bình thường
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 20/06/2009 09:06:59 (+0700) | #7 | 184112
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Vì file wuauclt.exe không nằm ở vị trí thông thường nên ta có quyền nghi ngờ . Lần sau, bạn đã kiểm tra được những gì đề nghị bạn đưa lên đây hết để khỏi phí thời gian như vậy .
Các dll của malware như trên nhiều biến thể của họ malware này có lắm .
Bạn cho mình biết rõ thêm địa chỉ của các file .dll malware mẫu mà bạn đã phát hiện trong máy . Những file .dll đó bạn đã delete được chưa ?

Bạn hãy thực hiện đúng theo thứ tự và chuẩn xác các bước sau,nếu gặp lỗi hay trở ngại gì thì thông báo ngay :

Bạn vào Windows Explorer, gõ vào thanh địa chỉ : %USERPROFILE% => enter rồi dùng 7-zip hoặc Winrar nén tất cả đối tượng trong folder này lại với tên userprofilebackup.zip hoặc userprofilebackup.rar với password là backup

Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .

Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .

Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chạy và create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .

Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Tiếp tục với AVZ, click menu File => chọn System Analysis => chỉnh "list of processes + DLLs without repeating" thành "list of DLLs for each process", chỉnh "Only active services and drivers" thành "All services and drivers" , click chọn "Add System Analysis log to ZIP" => click Start , chọn nơi save log , chạy xong thì upload file avz_sysinfo.zip và đưa link cho mình .

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Run Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .

Tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt

Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Nén,upload và đưa link 2 file sau : info.txt , log.txt

Tải : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop
Nén,upload và đưa link file sau :RootRepeal.log

Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Chạy xong , upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 21/06/2009 06:03:40 (+0700) | #8 | 184194
[Avatar]
 clubvictim
Member
[Minus]    0    [Plus]
Joined: 16/06/2009 01:06:03
Messages: 1
Offline
[Profile] [PM] [Yahoo!]
smilie smilie smilie smilie
Cái này bạn đừng làm liều mà đi đứt. Không phải con virus nào cũng diệt bằng tay không được đâu, bạn nên Download Antivirus mới nhất về Scan thử nha ........... smilie smilie smilie smilie
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 21/06/2009 07:11:51 (+0700) | #9 | 184198
[Avatar]
 lacazizi
Member
[Minus]    0    [Plus]
Joined: 03/03/2009 19:58:22
Messages: 87
Offline
[Profile] [PM]
Thàng Lpk.dll,Usp10.dll bị Virus đó, tải BitDefender về xài đi.
Còn file wuauclt vẫn bình thường, ko có gì nguy hiểm cả bạn bolzano_1989 àk. :d
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 21/06/2009 14:15:08 (+0700) | #10 | 184224
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Có nhiều người quan tâm giúp đỡ mình vui lắm. Cảm ơn các anh em rất nhiều
@1 Trước tiên là bol, thread nào có liên quan đến virus bol cũng tham gia nhiệt tình hết mức. Tuy nhiên việc bỏ ra một khối lượng thời gian lớn để xử lí riêng cho 1 máy tính như vậy mình chỉ có thể thực hiện được khi cực kỳ rảnh rỗi.

@2 Máy đó có cài Kas bản quyền rồi mà bạn TIM

@3 Lúc đầu mình cũng có nhận định giống zizi nhưng khi mở máy khác lên thì thấy file wuauclt.exe có dung lượng lớn hơn và có icon lá cờ Windows nằm trên quả đất (ko phải file wuauclt1.exe đâu nhen) nên mình cũng hơi phân vân

Mình sẽ cố gắng trình bày theo trình tự: (máy tính cá nhận: tự làm được gì > nhờ phần mềm giúp) >>> (mạng LAN), các bạn (đặc biệt là bol smilie ) theo dõi và cho ý kiến giúp nhé

Hiện tại mình đã xóa được hết tất cả các file usp10.dll và lpk.dll có dung lượng 76k, ngoài ra mình còn phát hiện thêm được file thumbss.db cũng có dung lượng 76k nằm ở thư mục Windows (đúng ra fải có dung lượng 22k nằm ở %Windir%\system32).
Riêng bệnh đối với Microsoft Office 2003, thử cài lại hoặc repair đều không có hiệu quả. Mình phát hiện ra rằng chỉ cần copy file skull011.cab ở bộ cài Office 2003 vào một thư mục con của thư mục MSOCache (dạng ẩn nhưng rất dễ tìm) là ok.
Trên các máy cá nhân mình phát hiện thêm một loại virus nữa không biết có phải là một phiên bản của con này hay ko.
Mình tìm được C:\Windows\system32\ctfmon_mc.exe. Thằng này cũng sử dụng key debbuger y hệt như trên để tranh quyền thực thi khi ta chạy file ctfmon.exe và cũng có kèm các file usp10.dll, lpk.dll nhưng dung lượng chỉ là 72k.
Mình có thử qua Malwarebytes trên đĩa Hiren 9.8 phát hiện loại malware trên khá tốt, nó chỉ cho mình thêm một số key trên registry (ở Browser Object, 1 vài key trên CLSID và TypeLib). Tuy nhiên khi xóa các key đó đi làm cho tốc độ xử lí máy rất buồn cười: khởi động Win cực nhanh nhưng run các application cực rùa smilie

Trên mạng LAN, nếu có thư mục nào share all và có các file thực thi là nó đính file usp10.dll hoặc lpk.dll vào ngay lập tức. Và khí nó đã nhiễm vào máy rồi, nó cũng sẽ chọn thư mục nào có bộ cài phần mềm trên máy để đính 1 trong 2 file dll kia vào. Hiện tại mình chưa xử lí được vấn đề lây lan nếu share all, xử lí tạm thời bằng cách ko cho share all và share *.exe file. Ngoài ra, các máy có cài Kaspersky nhưng nếu sử dụng IE cũng vẫn dính.

P/S lacazizi: mình sẽ cho một máy có cài BkavPro dính em này để sếp các bạn kí quyết định yêu cầu Remote Control smilie
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 21/06/2009 18:48:46 (+0700) | #11 | 184225
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Muốn biết mấy cái file .exe đang upload lên forum có phải virus hay không, kiểm tra properties của nó + hash so với cái file tuơng ứng trên máy khác. Cách này hiệu quả để biết mình có lầm lẫn hay không. Thứ 2 dùng các trang kiểm tra, ví dụ hiện tại có các trang của norman + avira + kaspersky kiểm tra riêng lẽ từng file và đưa ra kết quả nó là cái gì chi tiết, mình không phải dân lập trình thì chơi kiểu này.
Nếu đã có những file .dll kiểu như trên mà mình chẳng biết cái gì tạo ra nó, thì mình cứ kiểm tra xem nó là của phiên bản nào đã được biết. Ví dụ đây là gampass(symantec) bị phát hiện qua 2 cái file .dll kia trong file nén, còn version mấy thì không biết. Dùng tiếp trang web quét tiếp,xem nó là version nào.
Gampass thì google tiếp, có vô số trang nói về các version và cách gở một vài phiên bản ra. Symantec để tên rất chung chung không biết con nào ra con nào và nó có nói rằng con này biết tự update chính nó từ nguồn được lập trình trước.
http://www.symantec.com/security_response/writeup.jsp?docid=2006-111201-3853-99&tabid=2
Ví dụ như trong link này nói về phiên bản đầu tiên của nó.
PS: Sài ngay chính các trang web chính hảng để kiểm tra hoặc trang web trung gian kiểm tra có phải tiện hơn không.


3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 21/06/2009 23:58:56 (+0700) | #12 | 184236
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Mình đang chọn lọc các công cụ tốt để lấy log trên nhiều môi trường ở nhiều máy, cần các bạn ủng hộ để tìm ra sự phối hợp các công cụ tốt nhất để sau này việc lấy log sẽ ngắn gọn hơn hiện tại .
Hiện nay mình có thể viết script cho một số tool để diệt malware cho 1 máy cụ thể . Nếu mang script được viết cho 1 máy cụ thể trong nhiều máy bị nhiễm cùng 1 loại malware đi dùng cho nhiều máy thì sẽ không an toàn vì mình hiện nay không reverse malware, phải dùng thêm script để check sự đồng nhất tình trạng nhiễm malware ở các máy, nhưng nói chung là vẫn thủ công để giảm rủi ro . Rút kinh nghiệm, HiTnRuN nên nói trước là đang diệt cho nhiều máy trong 1 mạng .
Nếu không thích lặn lội đến từng máy diệt tay mà chưa có AV nào diệt hiệu quả thì bạn upload mẫu cho hãng rồi ngồi chờ vậy .

HiTnRuN wrote:
Có nhiều người quan tâm giúp đỡ mình vui lắm. Cảm ơn các anh em rất nhiều
@1 Trước tiên là bol, thread nào có liên quan đến virus bol cũng tham gia nhiệt tình hết mức. Tuy nhiên việc bỏ ra một khối lượng thời gian lớn để xử lí riêng cho 1 máy tính như vậy mình chỉ có thể thực hiện được khi cực kỳ rảnh rỗi.

@2 Máy đó có cài Kas bản quyền rồi mà bạn TIM

@3 Lúc đầu mình cũng có nhận định giống zizi nhưng khi mở máy khác lên thì thấy file wuauclt.exe có dung lượng lớn hơn và có icon lá cờ Windows nằm trên quả đất (ko phải file wuauclt1.exe đâu nhen) nên mình cũng hơi phân vân

Mình sẽ cố gắng trình bày theo trình tự: (máy tính cá nhận: tự làm được gì > nhờ phần mềm giúp) >>> (mạng LAN), các bạn (đặc biệt là bol smilie ) theo dõi và cho ý kiến giúp nhé

Hiện tại mình đã xóa được hết tất cả các file usp10.dll và lpk.dll có dung lượng 76k, ngoài ra mình còn phát hiện thêm được file thumbss.db cũng có dung lượng 76k nằm ở thư mục Windows (đúng ra fải có dung lượng 22k nằm ở %Windir%\system32).
Riêng bệnh đối với Microsoft Office 2003, thử cài lại hoặc repair đều không có hiệu quả. Mình phát hiện ra rằng chỉ cần copy file skull011.cab ở bộ cài Office 2003 vào một thư mục con của thư mục MSOCache (dạng ẩn nhưng rất dễ tìm) là ok.
Trên các máy cá nhân mình phát hiện thêm một loại virus nữa không biết có phải là một phiên bản của con này hay ko.
Mình tìm được C:\Windows\system32\ctfmon_mc.exe. Thằng này cũng sử dụng key debbuger y hệt như trên để tranh quyền thực thi khi ta chạy file ctfmon.exe và cũng có kèm các file usp10.dll, lpk.dll nhưng dung lượng chỉ là 72k.
Mình có thử qua Malwarebytes trên đĩa Hiren 9.8 phát hiện loại malware trên khá tốt, nó chỉ cho mình thêm một số key trên registry (ở Browser Object, 1 vài key trên CLSID và TypeLib). Tuy nhiên khi xóa các key đó đi làm cho tốc độ xử lí máy rất buồn cười: khởi động Win cực nhanh nhưng run các application cực rùa smilie

Trên mạng LAN, nếu có thư mục nào share all và có các file thực thi là nó đính file usp10.dll hoặc lpk.dll vào ngay lập tức. Và khí nó đã nhiễm vào máy rồi, nó cũng sẽ chọn thư mục nào có bộ cài phần mềm trên máy để đính 1 trong 2 file dll kia vào. Hiện tại mình chưa xử lí được vấn đề lây lan nếu share all, xử lí tạm thời bằng cách ko cho share all và share *.exe file. Ngoài ra, các máy có cài Kaspersky nhưng nếu sử dụng IE cũng vẫn dính.

P/S lacazizi: mình sẽ cho một máy có cài BkavPro dính em này để sếp các bạn kí quyết định yêu cầu Remote Control smilie 
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 22/06/2009 10:23:45 (+0700) | #13 | 184263
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]






Xem tham khảo thông tin.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 24/06/2009 22:42:46 (+0700) | #14 | 184512
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Theo gợi ý của tmd, đã đi check theo các chỉ dẫn trên nhưng không có key tương ứng.
Kiểm tra ShellExecuteHooks không tìm thấy key trên
Các file *.sys cũng không tìm thấy theo đường dẫn trên
Bác tmd dùng tool gì mà hay vậy = filemon và regmon cộng lại. Nói nhỏ cho anh em biết dc ko? smilie
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 25/06/2009 00:30:39 (+0700) | #15 | 184527
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Chẳng sài gì, ngoài symantec client, vì nó cũng như các phần mềm khác, xóa bớt những gì được trojan thêm vào. Filemon log hay regmon log dài như vậy, muốn quan sát cũng phài ngồi đó nhìn nó search nó. Hoặc sài một cái phần mềm so sánh mà đi so sánh kiểu như examdiff,compare it,windiff,...
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Nhờ mọi người kiểm tra giùm con virus này 26/06/2009 05:28:03 (+0700) | #16 | 184658
dungcoi_vb
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]

tmd wrote:
Chẳng sài gì, ngoài symantec client, vì nó cũng như các phần mềm khác, xóa bớt những gì được trojan thêm vào. Filemon log hay regmon log dài như vậy, muốn quan sát cũng phài ngồi đó nhìn nó search nó. Hoặc sài một cái phần mềm so sánh mà đi so sánh kiểu như examdiff,compare it,windiff,... 

Thank anh. Để em Google.

Em vẫn thắc mắc tại sao anh bị về màu trắng smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|