xin giúp mình phân tích .log này!

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

xin giúp mình phân tích .log này!

[Question] xin giúp mình phân tích .log này!	11/02/2011 08:40:59 (+0700) \| #1 \| 230961

bellson
Member

Joined: 09/12/2010 12:42:55
Messages: 8
Offline

Giúp mình xem log này có virus nào không!hoặc các file nào nghi ngờ!cảm ơn các bạn nhiều!mod rãnh thì giúp em với ha!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:37:31 AM, on 2/11/2011
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\sfmsvc.exe
C:\WINDOWS\system32\sfmprint.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Microsoft SQL Server\100\DTS\Binn\MsDtsSrvr.exe
C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting Services\ReportServer\bin\ReportingServicesService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\wins.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\fdlauncher.exe
C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\fdhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Red Gate\SQL Prompt 4\RedGate.SQLPrompt.TrayApp.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:9090/index.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Spark] C:\Program Files\Spark\Spark.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Openfire Server.lnk = C:\Program Files\Openfire\bin\openfire.exe
O4 - Global Startup: SQL Prompt Query Analyzer Integration.lnk = C:\Program Files\Red Gate\SQL Prompt 4\RedGate.SQLPrompt.TrayApp.exe
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: http://*.datacenter
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 5349 bytes

[Question] xin giúp mình phân tích .log này!	11/02/2011 09:27:23 (+0700) \| #2 \| 230962

bellson
Member

Joined: 09/12/2010 12:42:55
Messages: 8
Offline

xem dùm mình có vius không? cảm ơn nhiếu!~

[Question] xin giúp mình phân tích .log này!	11/02/2011 15:02:19 (+0700) \| #3 \| 230981

ManhQuan9x
Member

Joined: 26/08/2007 14:43:31
Messages: 11
Offline

-Tại sao bạn không dùng chương trình quét virus mà lại mang cái log này lên hỏi mọi người được nhỉ.
-Nhìn thế kia thì mình có thể thấy là không có chương trình gì lạ cả, mà cũng có thể là tất cả các file .exe của bạn nó bị nhiễm rồi smilie

)
-Còn mấy cái svchost.exe kia kìa, trong đấy còn nhiều thứ lắm smilie

)
-Dùng một trình quét virus miễn phí chưa yên tâm, thì bạn dùng thêm mấy chương trình nữa đi như AVG, Avira, Avast ...v...v... cài ba bốn cái vào cho yên tâm smilie

[Question] xin giúp mình phân tích .log này!	11/02/2011 16:45:29 (+0700) \| #4 \| 230987

bellson
Member

Joined: 09/12/2010 12:42:55
Messages: 8
Offline

mình quét nhiều lắm rồi nhưng vẫn không thấy gì cả!mà máy thì càng ngày càng chậm không rõ nguyên nhân!nên mới đăng lên đây nhờ anh em giúp dùm!

[Question] xin giúp mình phân tích .log này!	11/02/2011 16:51:43 (+0700) \| #5 \| 230988

ManhQuan9x
Member

Joined: 26/08/2007 14:43:31
Messages: 11
Offline

-Với tình hình bạn nói thế này chắc bạn lên xem lại cách bạn dùng và cài đặt phần mềm, rồi tiếp đến là cấu hình máy bạn.
- Máy bạn lúc khởi động lên cũng phải trên 300 400mb RAM rồi ấy nhỉ
- jusched.exe <= cái này có thể tắt được ở trong CPanel hay sao ấy.

[Question] xin giúp mình phân tích .log này!	12/02/2011 21:59:52 (+0700) \| #6 \| 231022

angel-pc
Member

Joined: 01/01/2011 01:15:32
Messages: 63
Offline

máy chậm thì có nhiều nguyên nhân, đâu nhất thiết phải có virus đâu

Máy bạn là máy server đúng không. Nếu không cần thiết thì tắt bớt các dịch vụ như: DNS, iis, VNC, WINS, Print Spooler, MSSQL

tắt luôn cái thằng java update luôn(C:\Program Files\Common Files\Java\Java Update\jusched.exe) thằng này nằm trong msconfig vào uncheck là xong

tắt luôn cái thằng Java Quick Starter jqs.exe

cũng có khả năng máy bạn bị đột nhập và cài VNC(nếu nó không do bạn cài) nên khi
nó(attacker) điều khiển thì máy bạn chậm

Tiếp theo là dọn dẹp lại máy và giải phân mảnh

Nếu còn chậm nữa thì ..... smilie

Go to:

Users currently in here
1 Anonymous