English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Virus tự động đăng nhập domain nhiều lần....  XML
  [Question]   Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 00:42:30 (+0700) | #1 | 175350
huyhoang152
Member
[Minus]    0    [Plus]
Joined: 30/03/2009 12:25:44
Messages: 6
Offline
[Profile] [PM]
Chào các bro, Mình bị dính 1 con virus ma` ko biết virus j cứ đăng nhập account admin liên tục, làm cho account bị disable. Khoảng 15-30 phút là bị một lần. Bị ngay trên con DC luôn. Mình xem log thì thấy login fail IP: 127.0.0.1. Các process của server mình post cho các bro chi giúp.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:23 AM, on 3/30/2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Backup Exec\RAWS\beremote.exe
C:\WINDOWS\system32\certsrv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\Program Files\Symantec\Backup Exec\NT\dlomaintsvcu.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ibmasrex.exe
C:\WINDOWS\system32\IBMHPASV.EXE
C:\WINDOWS\system32\ibmsmbus.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wins.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Dfsr.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\oobechk.exe
C:\WINDOWS\system32\mshta.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Symantec AntiVirus\DoScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone


O23 - Service: Backup Exec Remote Agent for Windows Systems (BackupExecAgentAccelerator) - Symantec Corporation - C:\Program Files\Symantec\Backup Exec\RAWS\beremote.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Backup Exec DLO Maintenance Service (DLOMaintenanceSvc) - Symantec Corporation - C:\Program Files\Symantec\Backup Exec\NT\dlomaintsvcu.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: IBM Automatic Server Restart Executable (ibmasrex) - Unknown owner - C:\WINDOWS\system32\ibmasrex.exe
O23 - Service: IBM Active PCI Alert Service (IBMHPS) - IBM Corporation - C:\WINDOWS\system32\IBMHPASV.EXE
O23 - Service: SMBus Upgrade Service for Windows 2000 and above (ibmsmbus) - International Business Machines Corp. - C:\WINDOWS\system32\ibmsmbus.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe


best regards,
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 01:05:10 (+0700) | #2 | 175355
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
"log thì thấy login fail IP: 127.0.0.1" là log gì , của chương trình nào , bạn nói rõ hơn xem .
Trước hết bạn hãy cách li máy bạn khỏi network, chỉ để truy cập internet thôi .
Bạn gửi log trên là rất tốt rồi nhưng để hoàn chỉnh hơn ban hãy làm những việc sau :
Bạn vào trả lời những câu hỏi mình đã post trong topic này và gửi 2 log còn lại của Hijackthis lên đây :
/hvaonline/posts/list/28315.html
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 06:00:34 (+0700) | #3 | 175394
sunlight
Member
[Minus]    0    [Plus]
Joined: 13/02/2004 03:53:31
Messages: 15
Offline
[Profile] [PM]
căn cứ vào các hiện tượng trên có thế liên tưởng đến việc bạn bị nhiễm virus confliker hoặc/và các biến thể của nó
Thông tin về cách diệt bạn có thể tham khảo cách sau
bước 1: Tắt system restore
bước 2:Tải bản vá lỗi của microsoft (ms08-067)
bước 3: Download và chạy một trong số hoặc/và các công cụ sau:
http://bdtools.net/bd_rem_tool.zip
http://data2.kaspersky-lab.com:8080/special/kkiller_v3.4.1.zip
tool remove confliker của symantec (tôi không nhớ đường dẫn )
Để phòng chống hiệu quả bạn có thể tham khảo tại:
http://www.quantrimang.com.vn/kienthuc/kien-thuc-co-ban/54556_Su_dung_Group_Policy_de_tranh_ConFlicker_trong_Windows.aspx
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 12:53:05 (+0700) | #4 | 175449
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

sunlight wrote:
căn cứ vào các hiện tượng trên có thế liên tưởng đến việc bạn bị nhiễm virus confliker hoặc/và các biến thể của nó
Thông tin về cách diệt bạn có thể tham khảo cách sau
bước 1: Tắt system restore
bước 2:Tải bản vá lỗi của microsoft (ms08-067)
bước 3: Download và chạy một trong số hoặc/và các công cụ sau:
http://bdtools.net/bd_rem_tool.zip
http://data2.kaspersky-lab.com:8080/special/kkiller_v3.4.1.zip
tool remove confliker của symantec (tôi không nhớ đường dẫn )
Để phòng chống hiệu quả bạn có thể tham khảo tại:
http://www.quantrimang.com.vn/kienthuc/kien-thuc-co-ban/54556_Su_dung_Group_Policy_de_tranh_ConFlicker_trong_Windows.aspx 


Không phải cái gì cũng vớ vào conficker và các biến thể được đâu bạn , ở đây mình thấy các dấu hiệu rất lộ liễu mà mình không tin là các biến thể conficker có (những mẫu gốc đều không có rồi ) :
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone  
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 13:21:53 (+0700) | #5 | 175454
huyhoang152
Member
[Minus]    0    [Plus]
Joined: 30/03/2009 12:25:44
Messages: 6
Offline
[Profile] [PM]
Thêm 1 list process của DC bi lỗi nữa, Các bro tham khảo giúp.
///////////////////////////////////////////////////////////////////////////
StartupList report, 3/30/2009, 6:51:57 PM
StartupList version: 1.52.2
Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE
Detected: Windows 2003 SP2 (WinNT 5.02.3790)
Detected: Internet Explorer v7.00 (7.00.6000.16791)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Backup Exec\RAWS\beremote.exe
C:\WINDOWS\system32\certsrv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\Program Files\Symantec\Backup Exec\NT\dlomaintsvcu.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ibmasrex.exe
C:\WINDOWS\system32\IBMHPASV.EXE
C:\WINDOWS\system32\ibmsmbus.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wins.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Dfsr.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray = C:\PROGRA~1\SYMANT~1\VPTray.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Task Scheduler jobs:

Ad-Aware Update (Weekly).job

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

/////////////////////////////////////////////////////////////
Uninstall list.

HijackThis 2.0.2
LiveUpdate 3.1 (Symantec Corporation)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Data Access Components KB870669
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Security Update for Windows Internet Explorer 7 (KB928090)
Security Update for Windows Internet Explorer 7 (KB929969)
Security Update for Windows Internet Explorer 7 (KB931768)
Security Update for Windows Internet Explorer 7 (KB933566)
Security Update for Windows Internet Explorer 7 (KB937143)
Security Update for Windows Internet Explorer 7 (KB938127)
Security Update for Windows Internet Explorer 7 (KB939653)
Security Update for Windows Internet Explorer 7 (KB942615)
Security Update for Windows Internet Explorer 7 (KB944533)
Security Update for Windows Internet Explorer 7 (KB947864)
Security Update for Windows Internet Explorer 7 (KB950759)
Security Update for Windows Internet Explorer 7 (KB953838)
Security Update for Windows Internet Explorer 7 (KB956390)
Security Update for Windows Internet Explorer 7 (KB958215)
Security Update for Windows Internet Explorer 7 (KB960714)
Security Update for Windows Internet Explorer 7 (KB961260)
Security Update for Windows Media Player (KB911564)
Security Update for Windows Media Player 6.4 (KB925398)
Security Update for Windows Server 2003 (KB921503)
Security Update for Windows Server 2003 (KB925902)
Security Update for Windows Server 2003 (KB926122)
Security Update for Windows Server 2003 (KB929123)
Security Update for Windows Server 2003 (KB930178)
Security Update for Windows Server 2003 (KB931784)
Security Update for Windows Server 2003 (KB932168)
Security Update for Windows Server 2003 (KB933729)
Security Update for Windows Server 2003 (KB933854)
Security Update for Windows Server 2003 (KB935839)
Security Update for Windows Server 2003 (KB935840)
Security Update for Windows Server 2003 (KB935966)
Security Update for Windows Server 2003 (KB936021)
Security Update for Windows Server 2003 (KB936782)
Security Update for Windows Server 2003 (KB938464)
Security Update for Windows Server 2003 (KB941202)
Security Update for Windows Server 2003 (KB941568)
Security Update for Windows Server 2003 (KB941569)
Security Update for Windows Server 2003 (KB941644)
Security Update for Windows Server 2003 (KB941672)
Security Update for Windows Server 2003 (KB941693)
Security Update for Windows Server 2003 (KB942830)
Security Update for Windows Server 2003 (KB942831)
Security Update for Windows Server 2003 (KB943055)
Security Update for Windows Server 2003 (KB943460)
Security Update for Windows Server 2003 (KB943484)
Security Update for Windows Server 2003 (KB943485)
Security Update for Windows Server 2003 (KB944653)
Security Update for Windows Server 2003 (KB945553)
Security Update for Windows Server 2003 (KB946026)
Security Update for Windows Server 2003 (KB948590)
Security Update for Windows Server 2003 (KB948745)
Security Update for Windows Server 2003 (KB948881)
Security Update for Windows Server 2003 (KB949014)
Security Update for Windows Server 2003 (KB950760)
Security Update for Windows Server 2003 (KB950762)
Security Update for Windows Server 2003 (KB950974)
Security Update for Windows Server 2003 (KB951066)
Security Update for Windows Server 2003 (KB951698)
Security Update for Windows Server 2003 (KB951746)
Security Update for Windows Server 2003 (KB951748)
Security Update for Windows Server 2003 (KB952069)
Security Update for Windows Server 2003 (KB952954)
Security Update for Windows Server 2003 (KB953839)
Security Update for Windows Server 2003 (KB954211)
Security Update for Windows Server 2003 (KB954600)
Security Update for Windows Server 2003 (KB955069)
Security Update for Windows Server 2003 (KB956391)
Security Update for Windows Server 2003 (KB956802)
Security Update for Windows Server 2003 (KB956803)
Security Update for Windows Server 2003 (KB956841)
Security Update for Windows Server 2003 (KB957095)
Security Update for Windows Server 2003 (KB957097)
Security Update for Windows Server 2003 (KB958644)
Security Update for Windows Server 2003 (KB958687)
Security Update for Windows Server 2003 (KB958690)
Security Update for Windows Server 2003 (KB960225)
Security Update for Windows Server 2003 (KB960715)
Security Update for Windows Server 2003 (KB961063)
Security Update for Windows Server 2003 (KB961064)
Symantec AntiVirus
Symantec Backup Exec DLO Maintenance Service
Symantec Backup Exec Remote Agent for Windows Systems
Symantec Backup Exec Remote Agent for Windows Systems
Update for Windows Server 2003 (KB927891)
Update for Windows Server 2003 (KB931836)
Update for Windows Server 2003 (KB933360)
Update for Windows Server 2003 (KB936357)
Update for Windows Server 2003 (KB942763)
Update for Windows Server 2003 (KB948496)
Update for Windows Server 2003 (KB951072-v2)
Update for Windows Server 2003 (KB955839)
Update for Windows Server 2003 (KB967715)
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VNC 4.0
Windows Media Player 9 Hotfix [See KB885492 for more information]
Windows Support Tools


Và port viewer trên DC minh kem theo file sau:
http://www.mediafire.com/?lwanmzjwkzk


thanks các bro giúp đỡ.
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 13:35:40 (+0700) | #6 | 175456
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Giờ mình phải off rồi , bạn đừng manh động delete hay fix gì nhé , càng giữ được hiện trạng càng tốt . Sáng mai , mình sẽ hướng dẫn bạn cụ thể .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 13:53:38 (+0700) | #7 | 175460
huyhoang152
Member
[Minus]    0    [Plus]
Joined: 30/03/2009 12:25:44
Messages: 6
Offline
[Profile] [PM]
thanks bolzano nhiu. Mình nghĩ chắc là bi con cònlicker rổi. smilie

Nhưng con này rất nhiều biến thể. Hi vọng mọi người có thể thảo luận để diệt triệt để con này.

best regards,
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 13:55:39 (+0700) | #8 | 175461
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nhìn log đó để thấy gì vậy bà con cô bác. Đặt log theo dỏi user log on/off để biết thời điểm cái user administrator đó login. Nếu thấy có cái gì đó brute force để cho chế độ tự khóa tài khoản administrator đó xảy ra, ví dụ như trường hợp ở topic này.

THứ gì tự mò mật khẫu administrator trên DC vậy bạn ?(đối tượng khác hay thứ gì đó nằm sẳn trên máy). Nó đã lây được trên máy, thì nó có được lập trình để tự mò mật khẫu theo kiểu brute force từ bên ngoài vào hay là không ?
PS: Chắc bạn nên tìm hiểu tài liệu để hack Windows 2003 server đi bạn. Hack ở đây có nghĩa là sử dụng.
Một số hảng liệt kê có tới 2 biến thể được ghi nhận.

Không phải cái gì cũng vớ vào conficker và các biến thể được đâu bạn , ở đây mình thấy các dấu hiệu rất lộ liễu mà mình không tin là các biến thể conficker có (những mẫu gốc đều không có rồi ) :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone  


Các khuyến khích đưa ra về chính sách an ninh của trình duyệt. Tham khảo http://www.bleepingcomputer.com/tutorials/tutorial42.html#O15Diag

smilie
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 31/03/2009 22:39:22 (+0700) | #9 | 175494
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Ngoài các file chạy các services của windows server 2003, bạn nên check online các file còn lại.
Ví dụ như C:\WINDOWS\System32\dns.exe
PS:Vì không biết cái server sài cho mục đích gì , cho nên những gì bạn thấy trên log, bạn nên tự check online, xem lại group policy của windows server,... Còn nếu không phải do bạn thiết lập hệ thống, bà con chịu thua.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 02/04/2009 08:10:58 (+0700) | #10 | 175771
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Hello, mấy hôm nay mình rất bận nên giờ mới tiếp tục được .
Bạn nén,upload và đưa link giùm mình 2 file sau :
C:\WINDOWS\system32\wins.exe
C:\Windows\System32\DNS.exe
Triệu chứng của máy bạn đã rõ ràng rồi , đây không phải là conficker mà là 1 backdoor có chức năng worm exploit password .
PS: Cần chỉnh lại là 1 worm có chức năng backdoor và exploit password thì ổn hơn .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 02/04/2009 10:03:43 (+0700) | #11 | 175784
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

bolzano_1989 wrote:
Hello, mấy hôm nay mình rất bận nên giờ mới tiếp tục được .
Bạn nén,upload và đưa link giùm mình 2 file sau :
C:\WINDOWS\system32\wins.exe
C:\Windows\System32\DNS.exe
Triệu chứng của máy bạn đã rõ ràng rồi , đây không phải là conficker mà là 1 backdoor có chức năng worm exploit password .
 

Cơ sở nào để kết luận là "có chức năng WORM EXPLOIT PASSWRD" thế đồng chí. Cơ sở nào để nói "là một backdoor". Đừng phán thiếu căn cứ làm chủ topic hoang mang chứ.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 02/04/2009 10:22:02 (+0700) | #12 | 175786
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

tmd wrote:

bolzano_1989 wrote:
Hello, mấy hôm nay mình rất bận nên giờ mới tiếp tục được .
Bạn nén,upload và đưa link giùm mình 2 file sau :
C:\WINDOWS\system32\wins.exe
C:\Windows\System32\DNS.exe
Triệu chứng của máy bạn đã rõ ràng rồi , đây không phải là conficker mà là 1 backdoor có chức năng worm exploit password .
 

Cơ sở nào để kết luận là "có chức năng WORM EXPLOIT PASSWRD" thế đồng chí. Cơ sở nào để nói "là một backdoor". Đừng phán thiếu căn cứ làm chủ topic hoang mang chứ.
 

Bồ giỏi search lắm mà, tự tìm đi , nguồn là CA .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 02/04/2009 10:28:18 (+0700) | #13 | 175787
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Bố bolzano_1989 quả là chuyên gia phán bừa. Bái phục.
PS: học khoa học phải nói tới cơ sở kiến thức để phục vụ lời phán chứ, cứ khơi khơi phán bừa bãi hoài, đâu có được.
Chủ topic nên cung cấp thông tin nhiều hơn, ngoài những cái thông tin log hijackthis này.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 11/04/2009 06:27:42 (+0700) | #14 | 176604
huyhoang152
Member
[Minus]    0    [Plus]
Joined: 30/03/2009 12:25:44
Messages: 6
Offline
[Profile] [PM]
Mình có dùng các tools conficker của microsoft, bitdefender, kaspersky, fsecure mà chẳng phát hiện em conficker nào hết. Nhưng trên các máy client có triệu chứng giống DC thì phát hiện được... có cách nào giúp mình phân tích được sự hoạt động của nó không? Chương trình nào có thể nhận biết các dấu hiệu của virus vậy các bro. Hôm h mình cũng tìm tòi mọi cách như trên các diễn đàn mà hẻm có được... Thiệt là nguy hiểm quá đi... smilie

Best regards,
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 11/04/2009 06:55:19 (+0700) | #15 | 176609
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

huyhoang152 wrote:
Mình có dùng các tools conficker của microsoft, bitdefender, kaspersky, fsecure mà chẳng phát hiện em conficker nào hết. Nhưng trên các máy client có triệu chứng giống DC thì phát hiện được... có cách nào giúp mình phân tích được sự hoạt động của nó không? Chương trình nào có thể nhận biết các dấu hiệu của virus vậy các bro. Hôm h mình cũng tìm tòi mọi cách như trên các diễn đàn mà hẻm có được... Thiệt là nguy hiểm quá đi... smilie

Best regards,  

Trong post trước mình đã nói rồi mà :
Bạn nén,upload và đưa link giùm mình 2 file sau :
C:\WINDOWS\system32\wins.exe
C:\Windows\System32\DNS.exe
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 13/04/2009 01:48:46 (+0700) | #16 | 176869
huyhoang152
Member
[Minus]    0    [Plus]
Joined: 30/03/2009 12:25:44
Messages: 6
Offline
[Profile] [PM]
Minh up 2 file dns.exe và wins.exe cho các bạn phân tích. Mà phân tích 2 file này như thế nào vậy bạn, và dùng chương trình j phân tích vậy bạn có thể hướng dẫn chi tiết được hok? smilie

http://www.mediafire.com/?yijnndng2gm

best regards,
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 13/04/2009 03:52:45 (+0700) | #17 | 176889
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn chạy lại Hijackthis, click chọn những mục sau và chọn fix checked :
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
Restart máy, bạn tiếp tục post lên đây kết quả/tình trạng máy bạn thế nào.
Máy bạn ở trong mạng LAN và bạn bị "đăng nhập account admin liên tục, làm cho account bị disable" , vậy thì bạn cần xác định các máy bị lây nhiễm đang kết nối với máy bạn , đặc biệt là bị nhiễm conficker , diệt triệt để malware ở các máy đó thì máy bạn sẽ ổn .

PS: Mình thấy bạn thiếu tích cực trong việc tham gia topic ,bẵng đi 1 thời gian nhiều tình tiết mình đã quên thì bạn lại quay lại . Nếu muốn chi tiết hơn thì bạn post đầy đủ thông báo của máy về account bị disable lên đây .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virus tự động đăng nhập domain nhiều lần.... 13/04/2009 04:15:26 (+0700) | #18 | 176895
huyhoang152
Member
[Minus]    0    [Plus]
Joined: 30/03/2009 12:25:44
Messages: 6
Offline
[Profile] [PM]
Mình có fixcheck các thông tin như bạn nói rồi. Cái này lả của chương trình backup. Hôm h mình thầy tình hình không ổn. Các máy client minh đã diệt hết. Chỉ còn trên DC. Mình mới Build lại DC mới. Chỉ kịp copy 2 file như bạn nói thôi. Sory b0lzano nha. Công việc nhiều nên ko update thường xuyên cho anh,em được. Thông tin về DC mình chỉ có vậy thôi. Mình có copy lại thêm các file explorer.exe.

up lên cho bạn xem.

http://www.mediafire.com/?nciurtdtrmd

best regards,
[Up] [Print Copy]
  [Question]   Virus tự động đăng nhập domain nhiều lần.... 14/08/2014 15:54:04 (+0700) | #19 | 281300
thuan123456789
Member
[Minus]    0    [Plus]
Joined: 19/06/2009 10:34:41
Messages: 4
Offline
[Profile] [PM]
Em cũng bị như chủ topic kìa
Mà còn ko hiểu tại sao,Firefox của em nó lại hiện ra 1 tài khoản Gmail đăng nhập vào máy em.
Em xoá cả cookie đi rồi mà nó vẫn hiện.Click vào gmail thì nó lại hiện đăng nhập
http://www.uphinhnhanh.com/view-20Capture.png
Lúc đầu em cũng dùng Av Trend,sau đó em gỡ ra và cài avira lên.Nó túm cổ ngay cái DWRCS.EXE của phần mềm Dameware.
Các Icon của office thì mất hết.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|