update lên sp3 dính virut???

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

update lên sp3 dính virut???

[Question] update lên sp3 dính virut???	08/05/2008 11:23:43 (+0700) \| #1 \| 129588

760412
Member

Joined: 07/10/2007 11:29:59
Messages: 93
Location: Ruộng lúa !
Offline

tình hình là hum nay vào vnmedia có thấy nói sp3 đã được share cho mọi người
cũng tò mò cài thử xem sao smilie

nhưng cài song thì nó ra cái này

Logfile of HijackThis v1.99.1
Scan saved at 9:20:43 CH, on 07/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\system.exe
C:\WINDOWS\userinit.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Vietkey2000\VKNT.EXE
C:\Documents and Settings\Ru4XjnK\My Documents\Downloads\Compressed\hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

và khi tìm trên google.com tôi có thấy nhiều site trong đó có cả hva nói chú userinit.exe là virut mà tôi chỉ tháy noá hiện lên sau khi update lên bản sp3???
vậy đây có phải là virut hay ko? hay chỉ là 1file hệ thống của sp3???
kính mong các pro đưa ra hướng giải quyết !!!

[Question] Re: update lên sp3 dính virut???	08/05/2008 11:39:57 (+0700) \| #2 \| 129591

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

C:\WINDOWS\system32\system.exe
C:\WINDOWS\userinit.exe

Download từ microsoft an toàn hơn, hoặc đã dính từ trước khi cài sp3, hoặc sau khi sp3 vào mới dính từ nguồn khác. Nên upload lên virustotal.com để coi nó là cái gì.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Re: update lên sp3 dính virut???	08/05/2008 11:42:31 (+0700) \| #3 \| 129592

tieuvuong_net
Member

Joined: 10/04/2004 19:48:33
Messages: 105
Location: The Dark
Offline

Chắc chắn là nhiễm virus rồi, bạn tham khảo kỹ theo TOPIC dưới đây (cẩn thận không lại không diệt được virus mà lại hỏng cả hệ điều hành)
Mà đưa cái link bạn tải từ VNMEDIA xem để mọi người còn đề phòng (mà biết đâu máy tính bạn nhiễm con virus này từ trước cũng nên) smilie

/hvaonline/posts/list/19597.html

[Question] Re: update lên sp3 dính virut???	08/05/2008 12:45:16 (+0700) \| #4 \| 129604

760412
Member

Joined: 07/10/2007 11:29:59
Messages: 93
Location: Ruộng lúa !
Offline

http://vnmedia.vn/newsdetail.asp?NewsId=128999&CatId=35

down từ microsoft đàng hoàng mà
đảm bảo là có sau khi update sp3. Vì tui cũng thường xuyên kiểm tra processes mà. Tôi tự hỏi là thử xem sau khi lên sp3 nó có gì khác ko? nên mới bật cái processes lên kiểm tra thì thấy như thế. Buồn quá
đây là chú virustotal.com nó báo về file userinit.exe

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Dldr.VB.AXY.23
Authentium - - -
Avast - - Win32:Rootkit-gen
AVG - - Generic10.MKU
BitDefender - - Trojan.Downloader.VB.AXY
CAT-QuickHeal - - Win32.Backdoor.Rbot.gen02
ClamAV - - -
DrWeb - - Trojan.KeyLogger.2131
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Worm.Win32.AutoRun.dlw
FileAdvisor - - -
Fortinet - - -
Ikarus - - Trojan.Win32.Crypt.D
Kaspersky - - Worm.Win32.AutoRun.dlw
McAfee - - W32/Autorun.worm.bm
Microsoft - - -
NOD32v2 - - probably a variant of Win32/Genetik
Norman - - W32/DLoader.GSBD
Panda - - Generic Malware
Prevx1 - - Worm
Rising - - -
Sophos - - Mal/Generic-A
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - Worm.Win32.AutoRun.dlw
VirusBuster - - -
Webwasher-Gateway - - Trojan.Dldr.VB.AXY.23

đây là file system.exe

Antivirus Version Last Update Result
AhnLab-V3 2008.5.3.0 2008.05.07 -
AntiVir 7.8.0.11 2008.05.07 TR/Dldr.VB.AXY.23
Authentium 4.93.8 2008.05.07 -
Avast 4.8.1169.0 2008.05.07 Win32:Rootkit-gen
AVG 7.5.0.516 2008.05.07 Generic10.MKU
BitDefender 7.2 2008.05.07 Trojan.Downloader.VB.AXY
CAT-QuickHeal 9.50 2008.05.07 Win32.Backdoor.Rbot.gen02
ClamAV 0.92.1 2008.05.07 Worm.Autorun-811
DrWeb 4.44.0.09170 2008.05.07 Trojan.KeyLogger.2131
eSafe 7.0.15.0 2008.05.07 Suspicious File
eTrust-Vet 31.4.5766 2008.05.07 -
Ewido 4.0 2008.05.07 -
F-Prot 4.4.2.54 2008.05.06 -
F-Secure 6.70.13260.0 2008.05.07 Worm.Win32.AutoRun.dlw
Fortinet 3.14.0.0 2008.05.07 W32/Generic.A!worm
Ikarus T3.1.1.26.0 2008.05.07 Trojan.Win32.Crypt.D
Kaspersky 7.0.0.125 2008.05.07 Worm.Win32.AutoRun.dlw
McAfee 5289 2008.05.06 W32/Autorun.worm.bm
Microsoft 1.3408 2008.05.07 -
NOD32v2 3083 2008.05.07 probably a variant of Win32/Genetik
Norman 5.80.02 2008.05.07 W32/DLoader.GSBD
Panda 9.0.0.4 2008.05.06 Generic Malware
Prevx1 V2 2008.05.07 Worm
Rising 20.43.12.00 2008.05.07 -
Sophos 4.29.0 2008.05.07 Mal/Generic-A
Sunbelt 3.0.1097.0 2008.05.07 -
Symantec 10 2008.05.07 -
TheHacker 6.2.92.302 2008.05.07 -
VBA32 3.12.6.5 2008.05.07 Worm.Win32.AutoRun.dlw
VirusBuster 4.3.26:9 2008.05.07 -
Webwasher-Gateway 6.6.2 2008.05.07 Trojan.Dldr.VB.AXY.23

nhà có cài avirar mà nó quét chẳng thấy giì?
đọc cai link kia hoa hết cả mắt smilie

[Question] Re: update lên sp3 dính virut???	08/05/2008 13:02:45 (+0700) \| #5 \| 129606

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Cắm USB tùm lum, sài autorun không rõ nguồn gốc, bấm link tùm lum,,v.v . Microsoft cũng sài keylogger như 2 file đó, tui dính chắc được một tháng nay rồi . Mà không chỉ mỗi mình tui dính, khoản vài ngàn người dính chứ không ít đâu bạn.

Bạn xem thử ngày tháng tạo của 2 file đó có trùng với thời điểm bạn chạy service pack (bản download ) không, hoặc có gì thay đổi về ngày giờ. Và nếu như service pack dỏm thiệt, bạn search file userinit.exe trong system32, xem còn hay không, còn thì upload kiểm tra tiếp. Search system.exe trong registry, search windows\userinit.exe trong windows.

Go to:

Users currently in here
1 Anonymous