[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
18/02/2011 20:29:58 (+0700) | #1 | 231353 |
|
BlueBird
Member
|
0 |
|
|
Joined: 19/07/2003 04:08:08
Messages: 288
Location: Bến Thượng Hải
Offline
|
|
Chào tất cả anh chị em.
Sự thể là phòng net của thằng bạn em có vấn đề thế này:
Máy sự dụng HDH Windows XP SP3, có chương trình đóng băng. Thời gian cũng khá lâu không mở băng, dạo này tự nhiên mạng nó chậm hẳn, kiểm tra thì thấy: mới mở máy thì mạng vẫn bình thường, khoảng 5 10 hay đôi lúc 20 phút sau mạng chậm kinh khủng, kể cả LAN và net, ngía ngía thử xem cái proccess thì thấy toàn là Rundll.exe, trong thư mục C:\Windows xuất hiện 2 tập tin lạ là MKMKrnl.dll và MPKrnl.dll.
Suy nghĩ nhức đầu, bung ghost cho xong (bản ghost sử dụng đã lâu) quét virus ổ D:\ (chứa game online) làm hết máy luôn. Tưởng ngon lành, hôm sau khách lại kêu lag (mạng chậm-trễ), xem lại thì thấy.... cứ như ngày hôm qua vậy.
Ai đó có cách nào diệt con này tận gốc không, hay có tools nào dành cho mạng để phát hiện nó từ máy nào chui qua không?! Giúp em với nhá
Cho cái link down về xem thử 2 em DLL nè http://www.mediafire.com/?o6e09wjg9r897wv
Google mãi chả thấy cái nào ra cái nào cả, cũng chưa có thời gian ngồi "rình" nó nữa, chắc tối mai chạy qua đó "rình" thử xem sao.
Cám ơn các anh/chị/em trước nha. |
|
|
|
|
[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
01/03/2011 10:27:04 (+0700) | #2 | 232206 |
bellson
Member
|
0 |
|
|
Joined: 09/12/2010 12:42:55
Messages: 8
Offline
|
|
[Avatar]
BlueBird
Member
[Minus] 0 [Plus]
Joined: 19/07/2003 04:08:08
Bài gởi: 273
Đến từ: Bến Thượng Hải
Offline
[Profile] [PM]
Bạn xem thử trong C:\Windows có 2 tập tin MKMKrnl.dll và MPKrnl.dll không nha, nếu giống của mình thì mình giúp cho, còn không thì bạn đưa không đủ thông tin thì... chả ai có thể giúp cậu được cậu ơi.
Mà hình như là giống bệnh của tớ đang gặp smilie
[Up]
ủa sao mình thấy bạn có cách diệt con này rùi mà!bạn còn nói sẽ giúp mình nữa nè!tình trang máy của mình cũng y như bạn đó! |
|
|
|
|
[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
01/03/2011 10:48:46 (+0700) | #3 | 232211 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
BlueBird có thể dùng CMC Antivirus được cập nhật quét, nhớ là cập nhật antivirus ở tất cả các máy rồi đồng loạt ngắt mạng mọi máy rồi quét virus tất cả các máy.
Nếu được thì qua bên đây gửi log, mình sẽ xem chi tiết cho bạn và hướng dẫn diệt nhanh nếu có thể:
http://support.cmclab.net/vn/index.php/topic,6995.0.html |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
05/03/2011 21:55:27 (+0700) | #4 | 232481 |
btttno1
Member
|
0 |
|
|
Joined: 01/11/2009 18:26:16
Messages: 9
Offline
|
|
KAV 2010 nó cũng diệt được, |
|
|
|
|
[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
06/03/2011 07:42:49 (+0700) | #5 | 232499 |
MinhHung1122
Member
|
0 |
|
|
Joined: 03/03/2011 21:23:36
Messages: 9
Offline
|
|
post một file .exe trong ổ D:\ lên đi, có thể nó bị nhiễm virus xxx tôi không biết phải gọi là gì nhưng nó ký sinh vào file .exe(thường là vị trí endofcode) làm tăng kính thước lên và khi chạy file exe đó thì nó sẽ chạy trước sao khi lây nhiễm vào máy xong thì trả quyền điều khiển lại cho file chủ
mình đã xem 2 file .dll rồi :
MPKrnl.dll: chứa hàm KrnlMsgProc
MKMKrnl: chứa hàm KMainProc
|
|
|
|
|
[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
08/03/2011 20:00:48 (+0700) | #6 | 232649 |
|
BlueBird
Member
|
0 |
|
|
Joined: 19/07/2003 04:08:08
Messages: 288
Location: Bến Thượng Hải
Offline
|
|
@bellson: tạm thời là tớ chỉ khống chế được nó thôi, chứ chưa dứt điểm .
Code:
md %temp%\qq_update.cab\nul\
md %systemroot%\temp\qq_update.cab\nul\
bạn copy đoạn này quăng vào notepad, lưu lại với phần mở rộng là *.bat, chạy nó.... .
(chủ yếu là tạo tập tin giả trước nó thôi, coi thế mà hữu hiệu lắm đấy nhá )
@bolzano_1989: tớ sẽ theo cái đường dẫn vào cmclab.net để gửi log (trước và sau khi nó hoành hành?!).
Nếu mà cài chương trình quét virus cho từng máy thì tớ nghĩ là tớ sẽ không chọn cách đó.
Cám ơn bạn đã quan tâm, tớ sẽ gửi log sau vậy. Vì hiện tại cũng ít có thời gian rảnh, tạm thời là nó không hoành hành vớ vẩn nữa, nhưng chắc chắn là nó còn nằm ở đó.
@MinhHung1122: chính xác thì bạn muốn nói đến tập tin nào vậy, vì ổ D:\ chứa game online, nên có rất nhiều tập tin .exe, ngoài gốc D:\ thì chả có tập tin nào cả bạn ơi. . Và như tớ đã nói, chỉ cần mở máy, để yên đó không làm gì thì tự nhiên nó phát động phong trào liền à, chả cần phải chạy 1 game nào cả.
Cụ thể hơn 1 tí: máy đang bình thường tự nhiên.....
- Bỗng dưng xuất hiện tập tin qq_update.cab và wmsetup.dll trong 2 thư mục Temp của Windows và Temp trong User Documents (C:\Documents and Settings\Administrator\Local Settings\Temp).
- Rồi trong taskmanager (tớ xem bằng Proccess Explorer) xuất hiện 1 proccess iexplorer.exe (chả thấy nó mở lên, chỉ chạy ngầm).
- Thấy ku qq_update.cab chạy.... chả biết nó chạy kiểu gì .
- Liền sau đó là 1 đống tập tin với dạng ~xxxx.exe (vừa số vừa chữ) trong RECYCLER, chạy rần rần.
- Ngó trong thư mục Windows\ thì đã thấy 2 em MKMK gì gì đó đã nằm trong đó rồi, liếc qua Proccess Explorer thì RunDll32.exe chạy 1 đống luôn (.... mạng lúc đó thì khỏi nói luôn, cáp quang mà cứ như thời Dialup vậy, khiếp.
*Có cài thử Firewall của PC Tools, nhưng thấy có mỗi qq_update.cab khi chạy là đòi tạo Key trong registry thôi, còn vì sao có qq_update.cab trong 2 thư mục nói trên và thứ quỉ nào gọi nó chạy thì... chả thấy nói năng gì . |
|
|
|
|
[Question] MKMKrnl.dll và MPKrnl.dll trong C:\Windows, nhức cả đầu |
13/03/2011 22:16:07 (+0700) | #7 | 232994 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Mình gửi link sang để bà con tiện theo dõi:
http://support.cmclab.net/vn/index.php/topic,7328.0.html
Mẫu virus này có khả năng brute force để tấn công và sử dụng tài khoản Administrator các máy tính khác trong mạng LAN, đây chính là một khả năng rất lớn khiến máy tính trong mạng của tiệm net liên tục bị nhiễm virus trở lại.
Bạn cần nhanh chóng đổi password đăng nhập tài khoản Administrator và bật Windows firewall ở tất cả các máy trong tiệm net rồi sẽ diệt triệt để được virus trong mạng LAN này thôi .
Một số password mà con virus này dùng:
111
owner
test123
love
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
123456789
aaa
admin123
abc123
123123
654321
qazwsx
qwert
888888
111111
123456
12345
123
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|