banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành Windows Tìm file khởi động cùng windows  XML
  [Question]   Tìm file khởi động cùng windows 08/01/2011 21:00:44 (+0700) | #1 | 229027
CuteFTP
Member

[Minus]    0    [Plus]
Joined: 25/05/2009 02:07:45
Messages: 60
Offline
[Profile] [PM]
Em có quản trị 1 con 2k3 server. Khi remote desktop vào thì khi nào cũng nhảy lên bảng Command Line này.
Em tìm toàn máy không thấy có file 2.exe đâu cả.

Nó nhảy lên nhanh lắm. Em quay video rồi xem lại chụp vài hình. Bình thường nó mà nhảy lên thì bấm phím ko kịp smilie
Mọi người cho ý kiến và cách khắc phục nhé. Em cảm ơn.




[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 09/01/2011 20:23:59 (+0700) | #2 | 229072
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bạn kiểm tra trong Registry chưa? Ở mấy cái Run, RunOnce ấy.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 10/01/2011 19:55:08 (+0700) | #3 | 229154
CuteFTP
Member

[Minus]    0    [Plus]
Joined: 25/05/2009 02:07:45
Messages: 60
Offline
[Profile] [PM]
Không có gì trong đó anh à. Chỉ 1 dòng defaul value notset thôi.

Có cách nào kiểm tra nữa ko nhỉ smilie(
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 10/01/2011 19:59:35 (+0700) | #4 | 229155
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Ở cả 2 nhánh HKLM, HKCU?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 10/01/2011 20:48:34 (+0700) | #5 | 229162
CuteFTP
Member

[Minus]    0    [Plus]
Joined: 25/05/2009 02:07:45
Messages: 60
Offline
[Profile] [PM]
Vâng, cả 2 nhánh anh à. Nhánh kia chỉ có cái IDM đc /onboot thôi. Ko hiểu nó ở đâu chui ra nữa smilie(.
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 11/01/2011 08:34:54 (+0700) | #6 | 229177
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
À mà tiêu đề thì bạn nói là tìm file khởi động cùng Windows nhưng nội dung bạn lại nói là cứ khi remote desktop vào là gặp, tóm lại là cái nào vậy?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 11/01/2011 09:54:16 (+0700) | #7 | 229192
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]
Down cái này về chạy thử, rồi post cái log lên đây xem
http://free.antivirus.com/hijackthis/
-- w~ --
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 11/01/2011 17:06:42 (+0700) | #8 | 229228
alex96
Member

[Minus]    0    [Plus]
Joined: 14/10/2009 21:42:15
Messages: 18
Offline
[Profile] [PM]
Mình rất nghi ngờ việc file 2.exe là 1 con virus.

Thông thường 1 tiến trình chính gốc của Windows sẽ không làm điều "mờ ám" này.

Bạn kiểm tra trong các khoá khởi động cùng Windows của Registry xem có file nào lạ không ? Kiểu gõ thông số trong CMD rất giống kiểu truyền tham số, dùng User Control trong AutoIT. smilie.

Ở kia chỉ thấy có lệnh "get 2.exe" tức là mình thấy nó sẽ tải file 2.exe về thư mục mặc định của lệnh FTP. Sau khi tải file có thể bị ẩn.

smilie
[Up] [Print Copy]
  [Question]   Tìm file khởi động cùng windows 11/01/2011 22:36:33 (+0700) | #9 | 229257
CuteFTP
Member

[Minus]    0    [Plus]
Joined: 25/05/2009 02:07:45
Messages: 60
Offline
[Profile] [PM]

quanta wrote:
À mà tiêu đề thì bạn nói là tìm file khởi động cùng Windows nhưng nội dung bạn lại nói là cứ khi remote desktop vào là gặp, tóm lại là cái nào vậy? 


Vâng thì khi em RDP vào Server thì nó chạy file đó. (chạy giống kiểu file .bat). Vấn đề em đặt tiêu đề là tìm cho đc file đó smilie. Vì khi login vào sv thì nó tự động chạy file đó.

@ Anh alex96: EM cũng nghĩ thế, vì thế em chưa scan virus nó mà để tìm file kia và ... mổ xẻ nó ra đã smilie.
@ Anh WinDak: Em muốn tìm hiểu xem làm sao cái file đó "nhảy" ra từ đâu đã smilie

Mong moị người cho ý kiến.

[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|