<![CDATA[Latest posts for the topic "Virus làm chậm MS Office"]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66950 /hvaonline/posts/list/11588.html#66950 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66953 /hvaonline/posts/list/11588.html#66953 GMT Re: Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66955 /hvaonline/posts/list/11588.html#66955 GMT Re: Virus làm chậm MS Office

tmd wrote:
Có, các loại macro lây vào .xls của excel. Hiện tại vẫn còn một loại XF.SIC lây vào .xls của excel. Hơi phiền phức chứ không làm chậm hẳn.  
Phiền phức cụ thể là gì lão? Có hiện tượng gì xảy ra khi bị nhiễm xf.sic ? Tool gì để fix nào hiểu quả nhất?]]>
/hvaonline/posts/list/11588.html#66958 /hvaonline/posts/list/11588.html#66958 GMT
Re: Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66961 /hvaonline/posts/list/11588.html#66961 GMT Re: Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66962 /hvaonline/posts/list/11588.html#66962 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66987 /hvaonline/posts/list/11588.html#66987 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66993 /hvaonline/posts/list/11588.html#66993 GMT Re: Virus làm chậm MS Office /hvaonline/posts/list/11588.html#66995 /hvaonline/posts/list/11588.html#66995 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#67003 /hvaonline/posts/list/11588.html#67003 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#67010 /hvaonline/posts/list/11588.html#67010 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#67011 /hvaonline/posts/list/11588.html#67011 GMT Virus làm chậm MS Office

gsmth wrote:
@thangdiablo: có thể do bad disk; thangdiablo thử chạy chkdsk cho disk đó xem sao. 
Tớ không nghĩ do bad disk vì khi tớ thử tạo 1 profile mới ( account mới ) thì dùng excel, word tốc độ save as lại bình thường.

oámabinladen wrote:
không biết con sohand ji`ji` đó có đáp ứng đc nhu cầu lầm chậm office của cá bác không em thì đã từng pó hand với nó rồi  
Tớ không có nhu cầu làm chậm office mà tớ muốn khắc phục tình trạng này.]]>
/hvaonline/posts/list/11588.html#67038 /hvaonline/posts/list/11588.html#67038 GMT
Virus làm chậm MS Office /hvaonline/posts/list/11588.html#67041 /hvaonline/posts/list/11588.html#67041 GMT Virus làm chậm MS Office

LeVuHoang wrote:
Lão Thắng thử disable Macro xem ? 
User bên tôi nó dùng Office 2003. Chỉ có option chọn macro là Low thôi lão. Chứ không có disable. Để tôi test thử xem sao.]]>
/hvaonline/posts/list/11588.html#67043 /hvaonline/posts/list/11588.html#67043 GMT
Re: Virus làm chậm MS Office /hvaonline/posts/list/11588.html#67046 /hvaonline/posts/list/11588.html#67046 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#67118 /hvaonline/posts/list/11588.html#67118 GMT Virus làm chậm MS Office

thangdiablo wrote:
To : Levuhoang Tôi đã chọn macro là low rồi nhưng tình trạng vẫn bị. Nghĩa là nó chỉ bị 1 tình trạng duy nhất là save as và open foder rất chậm. To tmd : Hiện tại tình trạng này đang xảy ra trên 2 máy của kế toán. Để tớ thử kiềm tra lại xem. Thank 
Cơ quan mình một vài máy cũng bị thế sau một thời gian sử dụng cũng chưa tìm được nguyên nhân. :(( Mình nghĩ chắc do vấn đề về license thì phải :mrgreen: .]]>
/hvaonline/posts/list/11588.html#67174 /hvaonline/posts/list/11588.html#67174 GMT
Virus làm chậm MS Office

thangdiablo wrote:
Nghĩa là nó chỉ bị 1 tình trạng duy nhất là save as và open foder rất chậm. 
Không chỉ có thế đâu vào bất kỳ ứng dụng nào của word và excel đều bị not responding. Máy một người trong cơ quan mình bị rồi. Vào view printer cũng bị not responding, save as,.. cũng vậy. Mình xem process mà không thấy gì lạ. Xem luôn start up trong msconfig vẫn bình thường. Máy có cài KIS không biết có phải tại nó không:(. Bóc office cài lại vẫn không có kết quả, máy vẫn ở tình trạng cũ. KIS phát hiện ra con net- worm.win32.kido.ih, win32.virut.ce (KIS cảnh báo máy tính đang bị đe dọa màu đỏ). Hix mọi người có cần mình lấy file log máy đó không? Mọi người cho mình biết thêm là mình phải kiểm tra những gì trong máy đó:Có cần kiểm tra registry không? (Mình đã kiểm tra Run không thấy tiến trình nào nghi ngờ chạy cùng Windows), Các file ẩn vẫn được hiển thị (Có thêm cái thư mục RECYCLE (Mấy cái USB cắm vào kiểu gì cũng dính; Avira báo là worm.kido.ih.40 nhưng không diệt được thì phải) chứa cái file ảnh tên tùm lum nản quá trời). Mọi người cho biết ý kiến thêm nhé:(. Máy nhiễm nhiều loại virus biết diệt thế nào hix. Ps: Hôm trước có máy dính con system.exe và usuerinit.exe (hình như là sohand gì đó) tạo một loạt file .tmp 1-..n khóa log file,.. tắt startup ko được. Tìm khắp google tìm cách giải quyết thử hết mà vô vọng. Cài sửa Win rồi tiếp tục diệt nhưng vẫn bị khóa logfile. Hix nản cài lại Win. Hix hình như giờ virus không còn tấn công taskmgr, registry,.. như xưa nữa. Pó tay:(]]>
/hvaonline/posts/list/11588.html#198138 /hvaonline/posts/list/11588.html#198138 GMT
Virus làm chậm MS Office /hvaonline/posts/list/11588.html#198164 /hvaonline/posts/list/11588.html#198164 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#198185 /hvaonline/posts/list/11588.html#198185 GMT Virus làm chậm MS Office

myquartz wrote:
Có khả năng không phải dính virus gì, mà là máy map 1 ổ đĩa tới 1 máy tính chết ngỏm lâu rồi mà vẫn chưa xoá cái link đó, hoặc có khả năng ổ đĩa mềm cũ có vấn đề trục trặc. Hoặc có thể dùng các tiện ích như là Web Folder (save file vào 1 web server), hay là dùng kết nối share point mà share đó ngỏm rồi. Thằng Office nó rất ngu, mỗi khi save as hay open 1 file, nó đi scan thư mục gốc và 1 số thông số gì đó (ví dụ: dung lượng đĩa trống) tất cả các ổ đĩa, các folder mà hệ thống có định nghĩa. Scan phải cái chết rồi nên time-out lâu lắm. Ai dùng đĩa mềm sẽ thấy, mỗi khi save as/open, sẽ thấy đĩa mềm đọc cạch cạch 1 tí. Có lẽ chính vì thế tạo account mới thì nhanh vì account này sạch sẽ, không có kết nối đi đâu nên không bị sao. 
Đâu chỉ riêng save as mình thử view print, print,.. đều not responding. Có lẽ dính virus rồi: KIS phát hiện nó là virus Virus.Win32.Virut.ce và net-worm.win32.kido.ih]]>
/hvaonline/posts/list/11588.html#198198 /hvaonline/posts/list/11588.html#198198 GMT
Virus làm chậm MS Office

kamikazeq wrote:
Cho cái Log Hijack lên đi rồi tính tiếp. Hiện tại là chắc chắn còn 2 thằng trùm trong máy đấy (Kido, Virut.ce) Cái con system.exe và userinit.exe, dù cho đến thời điểm này đã xuất hiện vài biến thể lạ lùng nhưng không tới nỗi phải bó tay. Vấn đề Office vẫn còn là ẩn số ... 
Đây là log hijack: MÁY 1: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 3:13:09 PM, on 11/12/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\UniKey\UniKeyNT.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe D:\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181 O17 - HKLM\System\CS1\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181 O17 - HKLM\System\CS2\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe -- End of file - 3744 bytes Ps: Mình cập nhật KIS và quét lại hôm qua. Hôm nay đã vào bình thường không còn bị not responding (Hix hôm nay mới lấy log không biết còn dấu vết gì không). Mọi người phân tích log và cho mình hỏi mấy cái dạng thế này: {e2e2dd38-d088-4134-82b7-f2ba38496583} là chữ kiểu Hex phải không? Mình tắt ctfmon.exe (vào start\setting\control panel chọn regional and language chọn thẻ language\detail chọn advance click vào turn off advance text services) rồi mà sao nó vẫn chạy, có phải vì cái này không "O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe" nhưng hôm qua mình vào Run không thấy nó:((Có lẽ mình chỉ kiểm tra bên nhánh HKLM hix). Còn đoạn này có nghĩa là gi: O17 - HKLM\System\CCS\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181 O17 - HKLM\System\CS1\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181 O17 - HKLM\System\CS2\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181. Trong cơ quan còn một máy nữa bị như vậy. Mình sẽ post log sau]]>
/hvaonline/posts/list/11588.html#198199 /hvaonline/posts/list/11588.html#198199 GMT
Virus làm chậm MS Office MÁY 2: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 8:21:54 AM, on 11/13/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\sttray.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\WINDOWS\system32\CAP3RSK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\UniKey\UniKey.exe D:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vn.rd.yahoo.com/customize/ycomp/defaults/sp/*http://vn.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://vn.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Searchurl,(Default) = http://vn.rd.yahoo.com/customize/ycomp/defaults/su/*http://vn.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dantri.com.vn/ R3 - urlSearchHook: Yahoo! Thanh công cu? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll O3 - Toolbar: Yahoo! Thanh công cu? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CF0CB5EE-CF97-4C79-A239-959616CE04CB}: NameServer = 203.162.0.11,203.162.0.181 O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe -- End of file - 4797 bytes Ps: Để dễ dàng phân tích mình xin chọn thứ tự 1 2 cho 2 máy. Máy sau sẽ là máy 2. Tiện đây cho mình hỏi thêm có chương trình nào chạy mà giấu được cả hijack ko?:( ]]> /hvaonline/posts/list/11588.html#198200 /hvaonline/posts/list/11588.html#198200 GMT Virus làm chậm MS Office O17... , bác truy regedit theo đến tận cùng cái đường dẫn đó đi. Cái CCS em đoán là CurrentControlSet. 203.162.0.11 và 203.162.0.181 viết tắt là DNS còn đầy đủ ra là Domain Name Server hay Domain Name Service em không nhớ, chỉ biết nó có nhiệm vụ đổi từ tên miền ra địa chỉ IP. Chắc công ty bác đang dùng thuê bao dịch vụ Internet của VDC phải không? 4. Còn vụ Office 2k3, em gặp 2 trường hợp rồi. Bác tham khảo nhé. + Có một loại virus tự động copy file lpk.dll hoặc usp10.dll vào các thư mục chứa các ứng dụng hiện hành hoặc vào các file nén dạng *.rar chứa bộ cài hoặc các thư mực chứa file setup.exe để cài các ứng dụng. Khi bác run hoặc cài đặt application tương đồng với việc bác cho con virus đó chạy cùng. Con này tự tìm cả các thư mục được Share all trên mạng LAN có chứa file *.exe, nó cũng lại copy file lpk.dll hoặc usp10.dll vào đó. User run cái file *.exe trên máy mình thế là lại dính theo. + Loại tiếp liên quan đến MSOCache. Theo cách MS đặt tên thư mục này là vùng đệm của các ứng dụng của bộ Office. Một lần em dính con virus nó xóa mất 2 file PRO11.MSI và SKU011.CAB trong thư mục MSOCache khiến Word không thể run được, nó đòi lấy 2 file đó từ bộ cài Office mới có thể tiếp tục dùng Word. Em (lại) đoán virus này nó lợi dụng Word mỗi lần run là mỗi lần mở các file trên nên nó sửa file gốc và chèn vào đó thêm những gì nó muốn. Con virus em gặp chắc là chưa hoàn thiện hoặc bị Kas 6 Workstation ở máy đó chặn nên gây ra lỗi trên.]]> /hvaonline/posts/list/11588.html#198202 /hvaonline/posts/list/11588.html#198202 GMT Virus làm chậm MS Office

HiTnRuN wrote:
Bác kekhocdoi này. 1. Bác hỏi phải kiểu Hex không? Em không rõ lắm, bác nghe lời bác quanta search goolge "CLSID" đi. Nếu tìm được tài liệu hay, share cho em cái link đọc cùng. 2. Ctfmon em cũng không biết nốt. Công ty bác có dùng tiếng Hàn tiếng Nhật hay tiếng Trung không, em đoán mò là nó liên quan đến cái đó. 3. Cái O17... , bác truy regedit theo đến tận cùng cái đường dẫn đó đi. Cái CCS em đoán là CurrentControlSet. 203.162.0.11 và 203.162.0.181 viết tắt là DNS còn đầy đủ ra là Domain Name Server hay Domain Name Service em không nhớ, chỉ biết nó có nhiệm vụ đổi từ tên miền ra địa chỉ IP. Chắc công ty bác đang dùng thuê bao dịch vụ Internet của VDC phải không? 4. Còn vụ Office 2k3, em gặp 2 trường hợp rồi. Bác tham khảo nhé. + Có một loại virus tự động copy file lpk.dll hoặc usp10.dll vào các thư mục chứa các ứng dụng hiện hành hoặc vào các file nén dạng *.rar chứa bộ cài hoặc các thư mực chứa file setup.exe để cài các ứng dụng. Khi bác run hoặc cài đặt application tương đồng với việc bác cho con virus đó chạy cùng. Con này tự tìm cả các thư mục được Share all trên mạng LAN có chứa file *.exe, nó cũng lại copy file lpk.dll hoặc usp10.dll vào đó. User run cái file *.exe trên máy mình thế là lại dính theo. + Loại tiếp liên quan đến MSOCache. Theo cách MS đặt tên thư mục này là vùng đệm của các ứng dụng của bộ Office. Một lần em dính con virus nó xóa mất 2 file PRO11.MSI và SKU011.CAB trong thư mục MSOCache khiến Word không thể run được, nó đòi lấy 2 file đó từ bộ cài Office mới có thể tiếp tục dùng Word. Em (lại) đoán virus này nó lợi dụng Word mỗi lần run là mỗi lần mở các file trên nên nó sửa file gốc và chèn vào đó thêm những gì nó muốn. Con virus em gặp chắc là chưa hoàn thiện hoặc bị Kas 6 Workstation ở máy đó chặn nên gây ra lỗi trên. 
1. Mình nhớ hình như đọc ở đâu đó cái dãy địa chỉ viết theo kiểu hex (thập lục phân). Mình sẽ search CLSID. wikipedia cũng có http://en.wikipedia.org/wiki/Globally_Unique_Identifier không biết bác đã đọc chưa (đoán là rồi :D ). Tui vừa mới search 2. Ctfmon.exe mình nghe nói là file lưu lại clipboard gì đó quên rồi (Của MS office thì phải). 3. Công ty mình dùng thuê bao dịch vụ VDC đúng rồi. Mình đã truy tận cùng Registry đó và thấy dhcp, default gate way,..vv nhưng ý mình muốn hỏi làm sao biết được các chữ số đó chứa cái gì (đặt tên thì cũng phải có liên hệ không thì ai hiểu mà tìm được). CCS: đúng như Bác nói, CS1, CS2 hình như là CurrentControlset1 ,2. Mình nghĩ dãy số kia phải có ý nghĩa nào đó để mình biết nó liên quan đến DNS. Nếu không cho dù ai giỏi nhớ mấy cũng..:( 4. Mình sẽ nghiên cứu thêm (Hơi khó hiểu:(). Bác giải quyết thế nào? (Chia sẻ kinh nghiệm đi :) ) a. 2 file kia bác làm sao biết. Có chương trình ứng dụng nào có nó không? Nếu có virus sẽ copy đè lên ah. Tác dụng của nó chắc phải google hix. b. Cũng gặp một lần nhưng không hiểu lắm:(. PS: Logfile còn dấu vết bị gì không. Mọi người làm ơn chỉ rõ từng máy để mình tham khảo với ]]>
/hvaonline/posts/list/11588.html#198204 /hvaonline/posts/list/11588.html#198204 GMT
Virus làm chậm MS Office /hvaonline/posts/list/11588.html#198207 /hvaonline/posts/list/11588.html#198207 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#198381 /hvaonline/posts/list/11588.html#198381 GMT Virus làm chậm MS Office http://kaspersky.nts.com.vn/tin-tuc/bai-viet-ho-tro-ky-thuat/222-cach-diet-virus-net-wormwin32kido và http://forum.kaspersky.vn/showthread.php?t=4495. + Thêm một chi tiết nhỏ. Vào Windows Firewall sẽ thấy một key rất lạ. Đây là cách em thường dùng để nhận biết loại Worm này. Nên Delete nó ngay
+ Vào Safe Mode. Lỡ máy còn tàn dư (như trường hợp trên là bác dính 2 loại virus) không vào đc Safe Mode, bác sang 1 máy khác có thể vào safe mode được, Export Key SafeBoot theo đường dẫn HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot ra một file reg, copy qua và run trên máy cần xử lí. Hoặc download ở http://www.mediafire.com/?zmmmnmb0lrf pass: kido + Chạy file KK_v3.4.7.exe. Hehe, kk = kệ kệ nó xử thằng kido worm. Xong bác chạy 3 bản vá kia. Lưu ý download đúng bản vá cho Windows XP SP1 hoặc SP2. Các bản vá này nếu có hiệu lực sẽ hiện lên thông báo yêu cầu Restart máy.]]>
/hvaonline/posts/list/11588.html#198385 /hvaonline/posts/list/11588.html#198385 GMT
Virus làm chậm MS Office /hvaonline/posts/list/11588.html#198386 /hvaonline/posts/list/11588.html#198386 GMT Virus làm chậm MS Office /hvaonline/posts/list/11588.html#198594 /hvaonline/posts/list/11588.html#198594 GMT