banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Giúp em trị con virus này với  XML
  [Question]   Giúp em trị con virus này với 27/07/2009 23:53:08 (+0700) | #1 | 187746
diehard1412
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 01:40:12
Messages: 33
Offline
[Profile] [PM]
Cách đây vài ngày em cài lại máy thì khi kết nối vào mạng là bị dính virus. Em cũng đã kiểm tra trong ổ dữ liệu kĩ ko thấy phát hiện con nào hết ( dùng KIS quét và cả Spyware Doctor ).
Em đã format và cài lại nhìu lần nhưng vần bị. Đặc biệt nhất là các máy còn lại khi em cài lại cũng đều bị dính.

Sau đó em dùng lệnh "netstat -ano" thì phát hiện có rất nhiều địa chỉ kết nối tới. Sau đây là kết quả lệnh "netstat"

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 listENING 1112
TCP 0.0.0.0:445 0.0.0.0:0 listENING 4
TCP 0.0.0.0:3128 0.0.0.0:0 listENING 3572
TCP 0.0.0.0:5550 0.0.0.0:0 listENING 3572
TCP 127.0.0.1:1045 0.0.0.0:0 listENING 1324
TCP 192.168.1.40:139 0.0.0.0:0 listENING 4
TCP 192.168.1.40:1083 218.93.205.24:65520 ESTABLISHED 824
TCP 192.168.1.40:1089 212.117.177.212:4831 ESTABLISHED 3312
TCP 192.168.1.40:1090 66.197.252.149:3954 ESTABLISHED 2936
TCP 192.168.1.40:1093 208.115.112.138:3954 ESTABLISHED 3332
TCP 192.168.1.40:1419 66.254.159.200:25 ESTABLISHED 432
TCP 192.168.1.40:1442 72.167.218.85:25 ESTABLISHED 432
TCP 192.168.1.40:1483 151.203.208.117:25 ESTABLISHED 432
TCP 192.168.1.40:1546 64.18.101.227:25 ESTABLISHED 432
TCP 192.168.1.40:2974 64.191.223.42:25 ESTABLISHED 432
TCP 192.168.1.40:2981 209.191.88.247:25 ESTABLISHED 432
TCP 192.168.1.40:3102 91.207.4.58:80 CLOSE_WAIT 432
TCP 192.168.1.40:3118 207.96.218.250:25 CLOSE_WAIT 432
TCP 192.168.1.40:3142 69.20.116.115:25 ESTABLISHED 432
TCP 192.168.1.40:3171 82.197.131.52:25 ESTABLISHED 432
TCP 192.168.1.40:3182 76.96.26.14:25 CLOSE_WAIT 432
TCP 192.168.1.40:3183 128.242.120.13:25 ESTABLISHED 432
TCP 192.168.1.40:3205 221.137.197.113:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3354 219.65.92.14:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3357 85.13.131.134:25 ESTABLISHED 432
TCP 192.168.1.40:3358 123.22.33.12:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3397 195.53.213.13:25 ESTABLISHED 432
TCP 192.168.1.40:3404 119.109.91.37:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3407 189.78.13.97:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3409 60.165.38.172:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3413 221.202.179.105:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3414 112.200.190.120:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3487 129.179.7.132:25 ESTABLISHED 3312
TCP 192.168.1.40:3592 212.80.0.128:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:3610 117.66.69.2:3128 FIN_WAIT_1 3572
TCP 192.168.1.40:4082 89.188.136.2:25 ESTABLISHED 2936
TCP 192.168.1.40:4084 209.41.166.4:25 ESTABLISHED 2936
TCP 192.168.1.40:4106 210.188.205.196:25 ESTABLISHED 2936
TCP 192.168.1.40:4108 72.14.221.27:25 ESTABLISHED 2936
TCP 192.168.1.40:4109 202.218.212.33:25 ESTABLISHED 2936
TCP 192.168.1.40:4110 209.85.135.27:25 ESTABLISHED 2936
TCP 192.168.1.40:4112 70.84.243.130:25 ESTABLISHED 2936
TCP 192.168.1.40:4113 216.255.235.238:25 ESTABLISHED 2936
TCP 192.168.1.40:4122 62.1.213.66:25 ESTABLISHED 2936
TCP 192.168.1.40:4123 209.85.147.27:25 ESTABLISHED 2936
TCP 192.168.1.40:4130 194.177.98.235:25 ESTABLISHED 2936
TCP 192.168.1.40:4131 66.209.54.22:25 ESTABLISHED 2936
TCP 192.168.1.40:4132 87.118.90.12:25 ESTABLISHED 2936
TCP 192.168.1.40:4133 74.8.140.250:25 ESTABLISHED 2936
TCP 192.168.1.40:4134 69.89.31.132:25 ESTABLISHED 2936
TCP 192.168.1.40:4135 65.99.201.27:25 ESTABLISHED 2936
TCP 192.168.1.40:4137 213.4.149.253:25 ESTABLISHED 2936
TCP 192.168.1.40:4143 94.23.59.34:25 ESTABLISHED 2936
TCP 192.168.1.40:4145 89.97.170.237:25 ESTABLISHED 2936
TCP 192.168.1.40:4147 202.181.105.142:25 ESTABLISHED 2936
TCP 192.168.1.40:4152 195.2.128.138:25 ESTABLISHED 2936
TCP 192.168.1.40:4156 85.214.67.97:25 ESTABLISHED 2936
TCP 192.168.1.40:4157 74.220.202.34:25 ESTABLISHED 2936
TCP 192.168.1.40:4158 64.233.189.99:80 ESTABLISHED 6908
TCP 192.168.1.40:4175 89.104.216.11:25 ESTABLISHED 2936
TCP 192.168.1.40:4177 84.20.14.7:25 ESTABLISHED 2936
TCP 192.168.1.40:4178 209.181.247.105:25 ESTABLISHED 2936
TCP 192.168.1.40:4179 216.55.101.176:25 ESTABLISHED 2936
TCP 192.168.1.40:4180 80.255.114.133:25 ESTABLISHED 2936
TCP 192.168.1.40:4181 213.186.35.50:25 ESTABLISHED 2936
TCP 192.168.1.40:4182 194.54.88.39:25 ESTABLISHED 2936
TCP 192.168.1.40:4183 62.1.213.162:25 ESTABLISHED 2936
TCP 192.168.1.40:4184 91.121.18.112:25 ESTABLISHED 2936
TCP 192.168.1.40:4185 72.3.172.209:25 ESTABLISHED 2936
TCP 192.168.1.40:4186 207.58.137.81:25 ESTABLISHED 2936
TCP 192.168.1.40:4187 79.4.146.34:25 ESTABLISHED 2936
TCP 192.168.1.40:4188 69.73.157.18:25 ESTABLISHED 2936
TCP 192.168.1.40:4189 195.4.92.9:25 ESTABLISHED 2936
TCP 192.168.1.40:4190 72.32.33.76:25 ESTABLISHED 2936
TCP 192.168.1.40:4191 195.110.124.132:25 ESTABLISHED 2936
TCP 192.168.1.40:4192 89.104.216.11:25 ESTABLISHED 2936
TCP 192.168.1.40:4193 217.16.101.209:25 ESTABLISHED 3312
TCP 192.168.1.40:4194 81.169.145.99:25 ESTABLISHED 3312
TCP 192.168.1.40:4195 81.169.145.99:25 ESTABLISHED 3312
TCP 192.168.1.40:4196 64.202.166.11:25 ESTABLISHED 3312
TCP 192.168.1.40:4197 64.202.166.11:25 ESTABLISHED 3312
TCP 192.168.1.40:4198 66.46.182.201:25 ESTABLISHED 3312
TCP 192.168.1.40:4199 64.18.6.11:25 ESTABLISHED 3312
TCP 192.168.1.40:4200 64.18.6.10:25 ESTABLISHED 3312
TCP 192.168.1.40:4201 64.18.6.10:25 ESTABLISHED 3312
TCP 192.168.1.40:4202 61.101.110.133:25 ESTABLISHED 3312
TCP 192.168.1.40:4203 221.186.251.82:25 ESTABLISHED 3312
TCP 192.168.1.40:4206 192.206.89.19:25 ESTABLISHED 3312
TCP 192.168.1.40:4207 80.69.208.145:25 ESTABLISHED 3312
TCP 192.168.1.40:4213 88.42.168.232:25 ESTABLISHED 2936
TCP 192.168.1.40:4215 195.190.166.39:25 ESTABLISHED 2936
TCP 192.168.1.40:4217 217.7.143.10:25 ESTABLISHED 2936
TCP 192.168.1.40:4222 65.39.221.55:25 ESTABLISHED 2936
TCP 192.168.1.40:4223 85.197.79.95:25 ESTABLISHED 3312
TCP 192.168.1.40:4225 85.197.79.95:25 ESTABLISHED 3312
TCP 192.168.1.40:4227 60.32.201.99:25 ESTABLISHED 2936
TCP 192.168.1.40:4237 217.160.7.136:25 ESTABLISHED 2936
TCP 192.168.1.40:4239 209.59.173.201:25 ESTABLISHED 2936
TCP 192.168.1.40:4240 204.202.3.107:25 ESTABLISHED 2936
TCP 192.168.1.40:4241 72.14.203.101:80 ESTABLISHED 6908
TCP 192.168.1.40:4242 209.85.210.1:25 ESTABLISHED 2936
TCP 192.168.1.40:4244 213.186.192.162:25 ESTABLISHED 2936
TCP 192.168.1.40:4251 209.85.135.27:25 ESTABLISHED 3312
TCP 192.168.1.40:4252 209.85.147.27:25 ESTABLISHED 3312
TCP 192.168.1.40:4256 82.144.20.204:25 TIME_WAIT 0
TCP 192.168.1.40:4261 74.87.142.162:25 ESTABLISHED 432
TCP 192.168.1.40:4262 151.11.91.235:25 ESTABLISHED 432
TCP 192.168.1.40:4263 70.42.30.11:25 ESTABLISHED 2936
TCP 192.168.1.40:4276 66.90.251.77:25 ESTABLISHED 432
TCP 192.168.1.40:4284 83.231.216.179:25 ESTABLISHED 3312
TCP 192.168.1.40:4285 12.107.134.196:25 ESTABLISHED 3312
TCP 192.168.1.40:4286 204.99.194.75:25 ESTABLISHED 3312
TCP 192.168.1.40:4287 204.99.194.75:25 ESTABLISHED 3312
TCP 192.168.1.40:4288 152.53.13.71:25 ESTABLISHED 3312
TCP 192.168.1.40:4289 209.181.247.105:25 ESTABLISHED 3312
TCP 192.168.1.40:4290 152.53.13.71:25 ESTABLISHED 3312
TCP 192.168.1.40:4291 209.181.247.105:25 ESTABLISHED 3312
TCP 192.168.1.40:4292 194.107.60.71:25 ESTABLISHED 3312
TCP 192.168.1.40:4293 207.135.120.100:25 ESTABLISHED 3312
TCP 192.168.1.40:4294 194.107.60.71:25 ESTABLISHED 3312
TCP 192.168.1.40:4295 12.192.9.72:25 ESTABLISHED 3312
TCP 192.168.1.40:4296 216.32.180.22:25 ESTABLISHED 3312
TCP 192.168.1.40:4297 12.192.9.72:25 ESTABLISHED 3312
TCP 192.168.1.40:4298 212.40.2.32:25 ESTABLISHED 3312
TCP 192.168.1.40:4299 91.198.174.5:25 ESTABLISHED 3312
TCP 192.168.1.40:4300 91.198.174.5:25 ESTABLISHED 3312
TCP 192.168.1.40:4301 72.32.252.73:25 ESTABLISHED 3312
TCP 192.168.1.40:4302 204.255.212.244:25 ESTABLISHED 3312
TCP 192.168.1.40:4303 204.255.212.244:25 ESTABLISHED 3312
TCP 192.168.1.40:4304 66.196.82.7:25 ESTABLISHED 3312
TCP 192.168.1.40:4306 66.196.82.7:25 ESTABLISHED 3312
TCP 192.168.1.40:4307 64.147.104.200:25 ESTABLISHED 3312
TCP 192.168.1.40:4308 64.147.104.200:25 ESTABLISHED 3312
TCP 192.168.1.40:4309 72.32.252.73:25 ESTABLISHED 3312
TCP 192.168.1.40:4310 213.8.161.228:25 ESTABLISHED 3312
TCP 192.168.1.40:4312 65.55.37.72:25 ESTABLISHED 3312
TCP 192.168.1.40:4313 65.55.37.72:25 ESTABLISHED 3312
TCP 192.168.1.40:4314 213.8.161.228:25 ESTABLISHED 3312
TCP 192.168.1.40:4315 209.85.147.27:25 ESTABLISHED 3312
TCP 192.168.1.40:4316 209.85.135.27:25 ESTABLISHED 3312
TCP 192.168.1.40:4317 217.16.101.209:25 ESTABLISHED 3312
TCP 192.168.1.40:4318 212.40.2.32:25 ESTABLISHED 3312
TCP 192.168.1.40:4322 208.100.54.72:25 ESTABLISHED 2936
TCP 192.168.1.40:4323 202.218.79.92:25 ESTABLISHED 2936
TCP 192.168.1.40:4324 209.85.210.1:25 ESTABLISHED 2936
TCP 192.168.1.40:4326 67.225.166.81:25 ESTABLISHED 2936
TCP 192.168.1.40:4327 88.191.253.31:25 ESTABLISHED 2936
TCP 192.168.1.40:4328 85.10.196.107:25 ESTABLISHED 2936
TCP 192.168.1.40:4329 213.186.35.50:25 ESTABLISHED 2936
TCP 192.168.1.40:4330 216.97.226.220:25 ESTABLISHED 2936
TCP 192.168.1.40:4331 62.101.91.21:25 ESTABLISHED 2936
TCP 192.168.1.40:4332 202.122.193.41:25 ESTABLISHED 3312
TCP 192.168.1.40:4333 213.171.216.1:25 ESTABLISHED 3312
TCP 192.168.1.40:4334 194.192.15.184:25 ESTABLISHED 3312
TCP 192.168.1.40:4335 217.35.94.97:25 ESTABLISHED 3312
TCP 192.168.1.40:4336 210.150.250.131:25 ESTABLISHED 3312
TCP 192.168.1.40:4337 58.93.255.223:25 ESTABLISHED 3312
TCP 192.168.1.40:4338 58.93.255.223:25 ESTABLISHED 3312
TCP 192.168.1.40:4339 157.248.9.3:25 ESTABLISHED 3312
TCP 192.168.1.40:4340 207.211.91.254:25 ESTABLISHED 3312
TCP 192.168.1.40:4342 67.228.158.171:25 ESTABLISHED 3312
TCP 192.168.1.40:4344 68.142.178.8:25 ESTABLISHED 3312
TCP 192.168.1.40:4347 72.32.252.6:25 ESTABLISHED 3312
TCP 192.168.1.40:4350 209.85.222.31:25 ESTABLISHED 432
TCP 192.168.1.40:4358 219.109.143.45:25 ESTABLISHED 3312
TCP 192.168.1.40:4360 217.146.188.189:25 ESTABLISHED 432
TCP 192.168.1.40:4363 213.75.3.134:25 ESTABLISHED 2936
TCP 192.168.1.40:4374 69.156.240.34:25 ESTABLISHED 3312
TCP 192.168.1.40:4375 80.23.243.38:25 ESTABLISHED 2936
TCP 192.168.1.40:4393 217.72.102.116:25 ESTABLISHED 2936
TCP 192.168.1.40:4394 208.113.200.11:25 ESTABLISHED 2936
TCP 192.168.1.40:4395 160.92.120.62:25 ESTABLISHED 2936
TCP 192.168.1.40:4398 86.54.162.5:25 ESTABLISHED 3312
TCP 192.168.1.40:4400 216.95.209.125:25 ESTABLISHED 2936
TCP 192.168.1.40:4406 70.247.187.225:25 ESTABLISHED 3312
TCP 192.168.1.40:4407 70.247.187.225:25 ESTABLISHED 3312
TCP 192.168.1.40:4418 213.33.87.13:25 ESTABLISHED 2936
TCP 192.168.1.40:4421 62.149.128.72:25 ESTABLISHED 2936
TCP 192.168.1.40:4429 66.192.195.202:25 ESTABLISHED 2936
TCP 192.168.1.40:4430 212.67.202.83:25 ESTABLISHED 3312
TCP 192.168.1.40:4431 88.225.223.70:25 SYN_SENT 2936
TCP 192.168.1.40:4432 62.149.128.72:25 SYN_SENT 2936
TCP 192.168.1.40:4433 213.33.87.13:25 SYN_SENT 2936
TCP 192.168.1.40:4438 70.84.137.66:25 SYN_SENT 2936
TCP 192.168.1.40:4445 80.255.240.67:25 SYN_SENT 2936
TCP 192.168.1.40:4447 83.170.81.160:25 SYN_SENT 2936
TCP 192.168.1.40:4448 85.235.130.10:25 SYN_SENT 2936
TCP 192.168.1.40:4449 213.143.7.33:25 SYN_SENT 2936
TCP 192.168.1.40:4450 62.193.228.126:25 SYN_SENT 2936
TCP 192.168.1.40:4451 112.78.114.50:25 SYN_SENT 2936
TCP 192.168.1.40:4452 217.220.130.198:25 SYN_SENT 2936
TCP 192.168.1.40:4453 85.235.130.10:25 SYN_SENT 2936
TCP 192.168.1.40:4454 74.84.74.145:25 SYN_SENT 2936
TCP 192.168.1.40:4455 83.170.81.160:25 SYN_SENT 2936
TCP 192.168.1.40:4456 69.89.21.65:25 SYN_SENT 2936
TCP 192.168.1.40:4457 98.129.9.56:25 SYN_SENT 2936
TCP 192.168.1.40:4458 209.217.41.5:25 ESTABLISHED 2936
TCP 192.168.1.40:4459 194.187.186.150:25 ESTABLISHED 2936
TCP 192.168.1.40:4460 195.128.234.20:25 SYN_SENT 2936
TCP 192.168.1.40:4461 213.191.73.2:25 SYN_SENT 2936
TCP 192.168.1.40:4462 66.39.2.12:25 SYN_SENT 2936
TCP 192.168.1.40:4463 66.196.126.37:25 SYN_SENT 2936
TCP 192.168.1.40:4464 66.71.190.66:25 SYN_SENT 2936
TCP 192.168.1.40:4465 194.242.61.84:25 SYN_SENT 2936
TCP 192.168.1.40:4466 194.242.61.19:25 SYN_SENT 2936
TCP 192.168.1.40:4467 194.7.147.69:25 SYN_SENT 2936
TCP 192.168.1.40:4468 66.71.191.66:25 SYN_SENT 2936
TCP 192.168.1.40:4469 67.215.246.162:5663 SYN_SENT 3028
TCP 192.168.1.40:4470 85.18.117.100:25 SYN_SENT 2936
TCP 192.168.1.40:4471 93.93.112.23:25 SYN_SENT 2936
TCP 192.168.1.40:4472 194.183.88.252:25 SYN_SENT 2936
TCP 192.168.1.40:4473 209.85.199.27:25 SYN_SENT 3312
TCP 192.168.1.40:4474 217.110.193.66:25 SYN_SENT 2936
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 884
UDP 0.0.0.0:1029 *:* 1524
UDP 0.0.0.0:1082 *:* 1268
UDP 0.0.0.0:1091 *:* 3312
UDP 0.0.0.0:1092 *:* 2936
UDP 0.0.0.0:1094 *:* 3332
UDP 0.0.0.0:1154 *:* 2432
UDP 0.0.0.0:1752 *:* 1268
UDP 0.0.0.0:2818 *:* 1268
UDP 0.0.0.0:2819 *:* 1268
UDP 0.0.0.0:2820 *:* 1268
UDP 0.0.0.0:4500 *:* 884
UDP 0.0.0.0:4762 *:* 1268
UDP 0.0.0.0:4780 *:* 1268
UDP 0.0.0.0:4814 *:* 1268
UDP 127.0.0.1:123 *:* 1156
UDP 127.0.0.1:1085 *:* 2068
UDP 127.0.0.1:1178 *:* 2316
UDP 127.0.0.1:1900 *:* 1552
UDP 127.0.0.1:3033 *:* 6908
UDP 192.168.1.40:123 *:* 1156
UDP 192.168.1.40:137 *:* 4
UDP 192.168.1.40:138 *:* 4
UDP 192.168.1.40:1900 *:* 1552 


Và em cũng dùng hijackthis thì kết quả như sau

Logfile of HijackThis v1.99.1
Scan saved at 10:29:14 AM, on 7/27/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\system32\servises.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\WINDOWS\system32\servises.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\B.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\TEMP\1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
F:\du_lieu\soft\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetdownloadmanager.com/welcome.html
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [14645] C:\WINDOWS\system32\B.tmp.exe
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe 


Nhờ các anh giúp đỡ em với smilie

[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 27/07/2009 23:58:15 (+0700) | #2 | 187747
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Mình cần thêm 1 số thông tin về malware nếu có trong máy bạn , bạn có thể tham khảo topic sau :
/hvaonline/posts/list/30225.html

Nếu muốn bạn có thể thực hiện thực hiện những bước sau , mình sẽ hướng dẫn tiếp cho bạn khi thực hiện xong các bước này, có gì khó khăn cứ nói nhé :
Dọn dẹp :
Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .

Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .

Bắt đầu lấy log :
Bạn hãy thực hiện đúng theo thứ tự và chuẩn xác các bước sau,nếu gặp lỗi hay trở ngại gì thì thông báo ngay :
Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chọn Settings, chỉnh Settings về Maximum => OK => create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .

Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Khi chạy nếu được yêu cầu,cài đặt hay hỏi gì, bạn cứ Yes, OK, continue ... Chạy xong (finish),bạn upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .

Mở trình duyệt web với link sau : http://www.suspectfile.com/systemscan/
Đợi khoảng 20 giây, trình duyệt sẽ tự động tải về 1 chương trình ( nếu trình duyệt không tải thì bạn tắt chế độ chống popup sẽ tải được ) .
Tải file về vào nền desktop và chạy file này ( systemscan ) , click "scan now" .
Chờ khi scan xong, upload và đưa link file *report.zip vừa được tạo ra cho mình .


Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Chạy ở chế độ mặc định, cứ continue, yes, OK ...
Nén,upload và đưa link 2 file sau : info.txt , log.txt

Vào link sau, tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All


Xong rồi thì click Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .

Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn tất cả các ổ đĩa trong máy bạn, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .

Nếu thích bạn có thể lấy thêm log sau để tăng độ an toàn :
///////////////////////
Tải : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop . Chạy RootRepeal.exe , click tab Files, click Scan , chọn tiếp tất cả các ổ trong máy => OK .
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này cho mình .

///////////////////////

Bạn lấy log khoảng 20 phút là xong, trong việc đọc log của bạn tui phải kiểm tra vất vả hơn nhiều, vì thế bạn hãy thực hiện đúng thứ tự và chuẩn xác nhé .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 01:12:56 (+0700) | #3 | 187760
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Máy của bạn có cài Acrobat reader hay Acrobat Professional không, bạn format sạch các ổ cứng hoặc format sạch phân vùng cài HDH + xóa sạch các file thực thi không nằm trong nén trước khi cài lại windows mới hoặc sài mcafee hoặc fprot trong LHT có update hoặc symantec có update để quét ngoài DOS.
Trên máy bạn có thứ vô hiệu hóa trình diệt.Thứ đó hiện rõ ràng trên cái log Hijackthis mà bạn post vào đây. Nó cũng chẳng phải mã độc cao siêu gì hết.
Ví dụ như mấy cái này, ở một cái máy bình thường không nhiểm mã độc nào thường không có 3 cái dòng này.
O4 - HKLM\..\Run: [14645] C:\WINDOWS\system32\B.tmp.exe
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe  

C:\WINDOWS\TEMP\1.EXE  


Bạn thử chạy hijackthis ở một máy cài phần mềm ứng dụng giống bạn và tin rằng chưa dính mã độc sẽ thấy.
Bạn có thể thử update windows, update trình diệt, hoặc netstast như bạn đang làm để thấy ví dụ.
Hình như bạn không theo dỏi thông tin trên diễn đàn và thông tin trên internet về các trang web kiểu như virustotal.com.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 01:29:21 (+0700) | #4 | 187763
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Có mã độc cao siêu gì không thì tôi chưa kết luận ngay được, nhưng tôi tin là ở máy của diehard1412 bị nhiễm 1 số malware không tầm thường , nếu diehard1412 thực hiện những thao tác nào theo những gợi ý của tmd, bạn hãy ghi rõ đã thực hiện cụ thể những thao tác nào 1 cách chi tiết. Bộ log mà tôi yêu cầu luôn cần phải là bộ log phản ánh tình trạng gần đây nhất của máy bạn, vì vậy hãy lấy bộ log này sau khi thực hiện 1 số động tác nào bạn muốn thực hiện trước.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 03:22:59 (+0700) | #5 | 187774
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

bolzano_1989 wrote:
Có mã độc cao siêu gì không thì tôi chưa kết luận ngay được, nhưng tôi tin là ở máy của diehard1412 bị nhiễm 1 số malware không tầm thường , nếu diehard1412 thực hiện những thao tác nào theo những gợi ý của tmd, bạn hãy ghi rõ đã thực hiện cụ thể những thao tác nào 1 cách chi tiết. Bộ log mà tôi yêu cầu luôn cần phải là bộ log phản ánh tình trạng gần đây nhất của máy bạn, vì vậy hãy lấy bộ log này sau khi thực hiện 1 số động tác nào bạn muốn thực hiện trước. 

Trường hợp cụ thể ở đây là dính một loại PE virus nào đó mà trình diệt nào đã diệt được, thì có cần phải mất tới 20 phút để 'lấy log" không bạn. Tui thì không có dại để ngồi trên máy mình tới 20 phút để xem PE virus lây đầy trên windows.

Hai chục phút đê lấy log nhằm diệt một loại mã độc nào đó hết sức tầm thường thì quá phí phạm , mà dùng chừng đó log để tìm vết một loại như "rootkit" thì lại chẳng nhằm nhò gì. Hoặc tìm vết một loại PE virus thì chúng ta nên bó tay sau 20 phút. Thôi thì chúng ta cứ tùy cơ mà ứng biến.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 03:39:32 (+0700) | #6 | 187775
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Mình cũng đã dính em này. Dùng Bkav lần nào restart máy cũng báo diệt hơn 1000 file, theo thông báo thấy hỏng rất nhiều file exe. Mình cố tình không cài lại máy, diệt một số file mầm và chỉnh sửa trong regedit, cài KAS và update thành công tuy nhiên lỗi vẫn còn vô số, vào Win được 10' máy báo màn hình xanh.

Lòng vòng tí nhưng ý mình muốn nói rằng tất cả các file cài đặt dạng *.exe của bạn đều bị nhiễm virus cả nên nếu bạn cài lại Win mà vẫn sử dụng bộ cài đã được copy đi copy lại để cài driver hoặc các software khác thì đó chính là nguồn virus.
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 04:10:07 (+0700) | #7 | 187778
[Avatar]
haley
Member

[Minus]    0    [Plus]
Joined: 03/02/2009 17:20:16
Messages: 58
Offline
[Profile] [PM]
tmp nói đúng dấy . mấy *.exe đó chắc chán là virus đó. tốt nhất là bạn nên kiếm vài AV để scan pc la hay nhất.
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 04:19:44 (+0700) | #8 | 187779
[Avatar]
haley
Member

[Minus]    0    [Plus]
Joined: 03/02/2009 17:20:16
Messages: 58
Offline
[Profile] [PM]
Lòng vòng tí nhưng ý mình muốn nói rằng tất cả các file cài đặt dạng *.exe của bạn đều bị nhiễm virus cả nên nếu bạn cài lại Win mà vẫn sử dụng bộ cài đã được copy đi copy lại để cài driver hoặc các software khác thì đó chính là nguồn virus

kái này thì ko hẳn! vì khi kài lại win ban chỉ format ổ C:\ thui. nên các ổ còn lại vẫn có víu trên đó và lại lây>> cài win típ thì lại lây típ. trừ pác nào format hết tất cả các ổ>> thế này có mà điên! nhỉsmilie

Cách đây vài ngày em cài lại máy thì khi kết nối vào mạng là bị dính virus. Em cũng đã kiểm tra trong ổ dữ liệu kĩ ko thấy phát hiện con nào hết ( dùng KIS quét và cả Spyware Doctor
bạn có thể dùng thêm các AV khác như KAV,BitDefence, northon và ...... nhìu kái khác nữa
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 07:17:31 (+0700) | #9 | 187789
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
@haley: thì rõ là như vậy. Ý mình (và ý bạn giống nhau) là các file cài driver và các phần mềm trên các ổ khác cũng đã bị nhiễm virus, cài Win xong chớ động vào.

Tớ dính con này xử lí như sau: ghost lại, ko chạm vào các ổ không phải ổ chứa HĐH, cài Kas từ đĩa CD, update xong bấm Scan My Computer (thấy hiện lên chữ PE to đùng smilie ). Rồi sau đó muốn làm gì tùy thích.

Format hết các ổ có gì là ghê gớm, copy toàn bộ data sang một ổ cứng khác (ổ vật lí chứ không phải ổ logic nhé). Cài lại trên ổ trắng bóc càng sướng tay, quét virus xong rồi copy lại data cũ. Cũng có vài trường hợp dữ liệu không khôi phục được hoặc ổ cứng bị format nhưng không phải với em víu này.
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 28/07/2009 12:38:53 (+0700) | #10 | 187818
[Avatar]
tuan1912ha
Member

[Minus]    0    [Plus]
Joined: 24/10/2007 21:31:40
Messages: 55
Location: Nhà em
Offline
[Profile] [PM] [Yahoo!]
Ừm, máy của em cũng dính con này. Đúng như bác tmd nói, máy dính mấy cái file .exe như trên, đã dùng thử đủ mọi tool Anti nhưng mà vẫn ko diệt tận gốc đc. Chỉ khắc phục đc tạm thời theo cách sau: Cài lại win, sau đó cài thêm Vnsecurity2008 vô, nó sẽ hỏi xem có 1 vài tiến trình muốn đi ra ngoài internet. Những cái nào mà có dạng 1.exe, reader_s.exe, servises.exe, *.tmp.exe thì ngăn lại không cho nó ra, mấy cái tiến trình này thường chạy thông qua port 3128, 80. Hix, máy em bị dính con này ác quá, nó down trojan về liên tục làm nghẽn cả băng thông, dung lượng thì tăng vọt. smilie(
[Up] [Print Copy]
  [Question]   Giúp em trị con virus này với 29/07/2009 14:50:33 (+0700) | #11 | 187962
diehard1412
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 01:40:12
Messages: 33
Offline
[Profile] [PM]
Cảm ơn các bác đã nhiệt tình giúp đỡ em smilie. Hiện nay em đã diệt được con đó rùi.
Nhân tiện đây em sẽ hướng dẫn những ai chưa trị được nó. smilie

1. Cài lại HDH. Khi đăng nhập vô các bác dừng truy xuất vào các ổ C.D.E....dưới mọi hình thức nào và tuyệt đối đừng gắn USB vào

2. Tải KIS về + update rùi quét toàn bộ máy. Nếu quét ra mà các bạn thấy file bị nhiễm loại "W32.Virut.Ce" thì chính là nó và các bạn để ý kĩ thì sẽ thấy nó lây lan toàn bộ vào các file có đuôi là ".exe" (khi diệt xong có khả năng 1 số chương trình cài đặt của bạn lưu trong ổ D.E.... sẽ ko còn sử dụng được nữa) và 1 điều đặt biệt nữa là kiểm tra hết các USB của các bạn vì chỉ cần 1 chương trình nào đó (*.exe) của bạn bị nhiễm trong USB thì lần sau bạn gắn vào cũng sẽ bị nhiễm.

Cái này mình đọc được bên forum của kaspersky và làm theo thử. Kết quả là rất ok nhưng khổ 1 nỗi 1 số chương trình yêu vấu của mình bị hư hết ko xài được smilie . Chúc các bạn thành công
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|