"TCP from 123.0.209.32 to local port 135" thông báo từ KAV

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

"TCP from 123.0.209.32 to local port 135" thông báo từ KAV

[Question] "TCP from 123.0.209.32 to local port 135" thông báo từ KAV	29/11/2008 04:05:01 (+0700) \| #1 \| 160620

nokia6610dn
Member

Joined: 11/07/2005 01:01:18
Messages: 34
Offline

hiện nay máy mình bị nhiễm virus gì có ai biết chỉ giúp.
Hiện tượng:
- Cứ vài phút KAV lên một cái thông báo đại loại là bị tấn công từ 1 IP nào đó vào ở cổng 135, 445,1088....
- Máy khởi động lên dùng net bình thường, nhưng khoảng 1 hay 2 tiếng là không dùng được nữa, trước đó 5 phút dùng net bình thuơng, trong 5 phút đó thì không làm gì cả. Nếu khởi đọng lại máy thì vào nét bình thuơgn
- Hiện nay các máy trong mạng Lan của mình bị gì không rõ, nhưng có lúc in qua mạng được có lúc in không được do không kết nối dc máy in.
- Dịch vụ server trong máy tự động dừng, phải vào service khởi động lại bằng tay.

ai biết chỉ dùm

Lỗi :
11/28/2008 1:56:43 PM TCP from 192.168.1.148 to local port 445 Absent Detected: Intrusion.Win.NETAPI.buffer-overflow.exploit

[Question] Re: "TCP from 123.0.209.32 to local port 135" thông báo từ KAV	29/11/2008 09:00:07 (+0700) \| #2 \| 160644

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

Bạn làm theo bên dưới nhé.
---------

Hướng dẫn gửi log HijackThis
Download cái này về http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Chạy nó.

Rồi

-------------
Hướng dẫn quét bằng MalwareByte' Anti-Malware
http://www.fileden.com/files/2008/11/23/2198286/SOFT/MalwareByteAntiMalware.rar --> Giải nén --> Chạy để cài đặt --> Update --> quét Full Scan.

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] Re: "TCP from 123.0.209.32 to local port 135" thông báo từ KAV	01/12/2008 23:31:05 (+0700) \| #3 \| 160878

nokia6610dn
Member

Joined: 11/07/2005 01:01:18
Messages: 34
Offline

Hiện nay mình cài rất nhiều trình lọc, quét và nhiều lắm rồi, mình send qua đây cái report của Hijack nhé

Logfile of HijackThis v1.99.1
Scan saved at 8:57:10 AM, on 12/1/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SoftPerfect Network Search Engine\searchengine.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\UniKey\UniKey.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Chuyen du lieu\ins all\Hijack This\HijackThis.exe

F2 - REG:system.ini: UserInit=Userinit.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [IDMan] c:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKey.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RegMech.exe /H
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECD592A8-DE90-4BA6-8668-A4DFF35B0FF8}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AST Service (astcc) - Unknown owner - C:\WINDOWS\SYSTEM32\astsrv.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Network Search Engine (SPNetSearchEngine) - Unknown owner - C:\Program Files\SoftPerfect Network Search Engine\searchengine.exe
O23 - Service: Network Search Engine Web-server (SPNetSearchEngineWebServer) - Unknown owner - C:\Program Files\SoftPerfect Network Search Engine\webserver.exe
O23 - Service: uvnc_service - Unknown owner - C:\Program Files\UltraVNC\winvnc.exe" -service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Cái mailware sẽ gởi thêm sau khi quét xong.

[Question] Re: "TCP from 123.0.209.32 to local port 135" thông báo từ KAV	01/12/2008 23:41:47 (+0700) \| #4 \| 160881

nokia6610dn
Member

Joined: 11/07/2005 01:01:18
Messages: 34
Offline

các phần mêm mình ài lên đều được theo dõi thường xuyên băng Hijack, máy mình cài nhiều soft nên đọc cái hijack.log cũng hơi nhức đầu.
một số phần mềm mình đang chạy để bạn tiện đọc cái hijack.
IDM, ORBIT: để download
Zonealarm, KAV2009
pcSuite nokia
Ultravnc
Winpcap, và thêm 1 hay 2 cái tool để quét các áy trong mạng để quản lý.

À, tiện đây, từ khi bị cái thông báo trên, mình vào router rất khó khăn, và 2 tuần vừa rồi là hoàn toàn không vào được router nữa, kô hiểu nổi cái mạng ra làm sao nữa, giờ mà cài lại toàn bộ đơn vị thì chết mất.

Có ai biết cách đồng bộ lại tất cả các máy bằng cách nào không, chỉ cần thồng nhất vài thông số cơ bản: mạng, chia sẻ files, thư mục, máy in, vào nét.
chứ giờ mà đi ngồi từng máy cài win hay setup lại các thông số mạng thì chuối lắm.
trước đây nhớ là win có cái thằng nào nó cho hép tạo ra file setup mạng tự động, có các thông số chia sẻ files, máy in.... chỉ việc đem cái thằng setup vừa tạo đi các máy khác chạy là nó vào setup đúng 1 chuẩn luôn mà ko nhớ chỗ nào.

[Question] Re: "TCP from 123.0.209.32 to local port 135" thông báo từ KAV	16/02/2009 12:01:55 (+0700) \| #5 \| 169607

Aqrius
Member

Joined: 07/12/2008 19:27:11
Messages: 14
Offline

Bác disable NetBios over Tcp/IP đi

[Question] Re: "TCP from 123.0.209.32 to local port 135" thông báo từ KAV	16/02/2009 14:13:06 (+0700) \| #6 \| 169618

boconganh
Member

Joined: 24/07/2005 09:03:17
Messages: 12
Offline

Khả năng đây là con kido,nó lây vào 1 máy trong mạng và sẽ attack đến các máy khác dựa vào bug exploit ms08-067 thông qua cổng 445 .nếu KIS báo như vậy là nó thông báo nó phát hiện attack và đã vô hiệu hóa attack đó.
Nếu máy dính con này thì down cái Killkido về chạy.
http://support.kaspersky.com/viruses/solutions?page=1&qid=208279973

Go to:

Users currently in here
1 Anonymous