Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE

[Question] Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE	13/11/2008 05:56:25 (+0700) \| #1 \| 158652

Carder
Member

Joined: 05/11/2008 21:09:20
Messages: 4
Offline

Máy tính của mình bị nhiễm 1 loại virus rất giống virus trong topic này,mình đã tìm nhiều cách để diệt nhưng ko được,xài fire-lion thì chỉ disinfect đc mấy file autorun,còn mấy file bị hide ko phát hiện đc.
Sau đây là 1 số điều mình biết về con này :
1/ Nó xóa 2 key trong registry để ngăn mình vào safe mode,tuy nhiên khi vào add lại thì lại vào đc
2/Ko cho autoupdate các trình antivirus
3/Change dns của máy thành 85.25.xxx.xxx , ko chỉnh đc
4/Tự động load 1 file kdzbo.exe khi khởi động win,đây là dòng log của file này trong log hijak:
HKLM\..\Run: [C:\WINDOWS\system32\kdzbo.exe] C:\WINDOWS\system32\kdzbo.exe
5/Bỏ chế độ show file hidden , các file bị infect hầu hết đều bị hidden nên ko xóa đc
6/Ko mở đc disk defragment và gpedit.msc
7/Tự động thêm màu nền cho các icon trên desktop
8/Khi khởi động win ko chạy các trình antivirus( em cài norton trước khi dính con này thì khi khởi động norton ko khởi động theo,nhưng log off thì lại đc,còn các trình antivirus như bkav cài sau thì ko sao)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:32:23, on 12/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\Program Files\FireLion Softwares\FastHelper\ResidentShield.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\locator.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\Program Files\FireLion Softwares\FastHelper\FastHelper.exe
C:\Program Files\UniKey\UniKey.exe
D:\internetdownloadmanager\IDMan.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.netzero.net/s/search?r=minisearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.netzero.net/s/search?r=minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://my.netzero.net/s/search?r=minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: URLSearchHook Class - {37D2CDBF-2AF4-44AA-8113-BD0D2DA3C2B8} - (no file)
O1 - Hosts: 74.50.10.179 e-gold.com
O1 - Hosts: 74.50.10.179 www.e-gold.com
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\internetdownloadmanager\IDMIECC.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)
O2 - BHO: Pop-up Blocker - {52706EF7-D7A2-49AD-A615-E903858CF284} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ZeroBar - {F0F8ECBE-D460-4B34-B007-56A92E8F84A7} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDrives\vsdrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdzbo.exe] C:\WINDOWS\system32\kdzbo.exe
O4 - HKLM\..\Run: [FastHelper] "C:\Program Files\FireLion Softwares\FastHelper\FastHelper.exe" /startup
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKey.exe
O4 - HKCU\..\Run: [IDMan] D:\internetdownloadmanager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O8 - Extra context menu item: Display All Images with Full Quality - res://C:\Program Files\NetZero\qsacc\appres.dll/228
O8 - Extra context menu item: Display Image with Full Quality - res://C:\Program Files\NetZero\qsacc\appres.dll/227
O8 - Extra context menu item: Download all links with IDM - D:\internetdownloadmanager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - D:\internetdownloadmanager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - D:\internetdownloadmanager\IEExt.htm
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D9C667-6BF9-4C68-BDE2-415DB8C8CB20}: NameServer = 85.255.112.135;85.255.112.96
O23 - Service: Symantec Eraser Service (EraserSvc10823) - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: [FireLion] FastHelper Resident Shield (FastHelper) - FireLion Co., Ltd - C:\Program Files\FireLion Softwares\FastHelper\ResidentShield.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7290 bytes

Đây là log hijack của em,mặc dù đã biết đến thế này nhưng do trình gà nên em ko biết cách diệt nó,em mới chỉ kill đc cái autorun của nó nhờ FastHelper,mong các cao thủ chỉ em vài chiêu để kill nó,thanks rất nhiều smilie

P/s: search từ khóa kdzbo.exe thì chỉ thấy mỗi 1 trang của hàn,dùng google dịch ra site này,tuy nhiên đọc ko hiểu lắm,nó nói dùng hijackthis để fix,sau đó thay đổi cái gì đó ở tcp/ip,em paste ra đây cho bro nào cần biết thêm
Code:

http://translate.google.com/translate?u=http%3A%2F%2Fcomsecu.tistory.com%2Fentry%2F%25EC%25A3%25BC%25EC%2586%258C-%25EC%259E%2598%25EB%25AA%25BB-%25EC%259E%2585%25EB%25A0%25A5%25EC%258B%259C-%25EC%259D%25B4%25EC%2583%2581%25ED%2595%259C-%25EC%2582%25AC%25EC%259D%25B4%25ED%258A%25B8-%25EC%2597%25B0%25EA%25B2%25B0%25EB%2590%259C%25EB%258B%25A4-%25ED%2595%25B4%25EA%25B2%25B0%25EB%25B0%25A9%25EB%25B2%2595&hl=en&ie=UTF-8&sl=ko&tl=vi

Lần sau nhớ đưa dòng code dài vào trong [ code ] tag. Nếu không tôi dời bài vào thùng rác - conmale.

[Question] Re: Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE	13/11/2008 08:42:45 (+0700) \| #2 \| 158674

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

Bạn cứ fix đi đã. Coi nó phản ứng sao.

Dùng thử luôn cái này http://majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html (Down - cài - Update - Full Scan). (nếu may mắn thì nó tha cho thằng này smilie

, và bạn ung dung quét).

Tiếp tục post tình trạng lên hen.

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] Re: Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE	14/11/2008 02:09:05 (+0700) \| #3 \| 158767

Carder
Member

Joined: 05/11/2008 21:09:20
Messages: 4
Offline

Ko hiểu sao ở nhà hôm nay thằng anh táy máy sao mà giờ show hidden file đc rồi,nhưng ko tìm thấy file kdzbo.exe ở đâu cả,mặc dù nó ghi rõ ràng là folder system32,máy giờ thấy đỡ chậm hơn nhưng vẫn chưa khắc phục đc cái dns

[Question] Re: Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE	14/11/2008 11:24:59 (+0700) \| #4 \| 158830

congminh923
Member

Joined: 26/02/2008 22:35:52
Messages: 278
Location:
Offline

Bạn thử dùng RatRescueCenter (RRC) thử xem. Nó cũng có nhiều chức năng khôi phục máy sau khi bị dính virus. smilie

[Question] Re: Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE	14/11/2008 23:29:18 (+0700) \| #5 \| 158868

Carder
Member

Joined: 05/11/2008 21:09:20
Messages: 4
Offline

con virus này nó con ko cho mở 1 số chương trình trên máy như norton và youruninstaller,mới gỡ norton cài kis thì kis đóng mở bt

[Question] Re: Nhờ mọi người giúp đỡ,bị 1 virus rất giống virus LSASS.EXE VÀ SMSS.EXE	04/12/2008 11:33:24 (+0700) \| #6 \| 161244

sunlight
Member

Joined: 13/02/2004 03:53:31
Messages: 15
Offline

Theo như cách của mình thì làm như sau và đã thành công:
Bước 1: Dùng Tiện ích KillBox có trong các đĩa Hirenboot;
Tại dòng: Full path of file to delete các bạn gõ chính xác đường dẫn là: C:\Windows\System32\kdzbo.exe ( một số biến thể là kdpwd.exe)
Chọn mục delete on reboot sau đó nhấn biểu tượng delete khi đó máy sẽ khởi động lại và ta có thể vào được Regedit và Msconfig. Lúc này ta có thể chỉnh sửa registry cho đúng. Cập nhật AV và diệt để xóa các file do virus sản sinh ra
Chúc thành công

Go to:

Users currently in here
1 Anonymous