| [Question] Xin giúp mình cách diệt Rootkit.Win32.Pakes.zo |
16/12/2009 16:19:11 (+0700) | #1 | 200933 |
the_mistake
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 21/09/2008 12:33:09
Messages: 31
Offline
|
|
Mình lỡ dại click vào link do một bạn gái gửi và ôm hận, KIS 10 ko diệt được, mình e ngại nó sẽ xóa file hệ thống trong System32 của mình.
OS: Window7
Antivirus Soft: KIS 2010
Đây là log Hijackthis!
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:08:49 PM, on 12/16/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
E:\Windows\system32\taskhost.exe
E:\Windows\system32\Dwm.exe
E:\Windows\Explorer.EXE
E:\Program Files\FarStone\VirtualDrive\vdtask.exe
E:\Program Files\FarStone\VirtualDrive\VHD\RDTask.exe
E:\Program Files\VMware\VMware Workstation\vmware-tray.exe
E:\Program Files\Internet Download Manager\IDMan.exe
E:\Program Files\Internet Download Manager\IEMonitor.exe
E:\Windows\system32\rstrui.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
E:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
H:\PhanMem\DESKTOP_ENHANCEMENT\UniKey 3.6\UniKey.exe
E:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 60.190.218.24 www.kavkiskey.com
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - E:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VirtualDrive] "E:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKLM\..\Run: [RAMDrive] "E:\Program Files\FarStone\VirtualDrive\VHD\RDTask.exe"
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [vmware-tray] "E:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKCU\..\Run: [IDMan] E:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "E:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: Add to Anti-Banner - E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Download all links with IDM - E:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - E:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - E:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://E:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
O9 - Extra button: Send to Mindjet MindManager - {2F72393D-2472-4F82-B600-ED77F354B7FF} - E:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: urls c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O10 - Unknown file in Winsock LSP: e:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: e:\program files\vmware\vmware workstation\vsocklib.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,E:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - E:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - E:\Windows\system32\vmnat.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - E:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
--
End of file - 6409 bytes
Cám ơn vì đã chú ý giúp đỡ!
|
|
|
 |
|
| [Question] Xin giúp mình cách diệt Rootkit.Win32.Pakes.zo |
16/12/2009 18:09:24 (+0700) | #2 | 200939 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Mình cần thêm 1 số thông tin về malware nếu có trong máy bạn , bạn có thể tham khảo topic sau :
/hvaonline/posts/list/30225.html
Nếu muốn bạn có thể thực hiện thực hiện những bước sau , mình sẽ hướng dẫn tiếp cho bạn khi thực hiện xong các bước này, có gì khó khăn cứ nói nhé :
Lưu ý: Nếu bạn đang dùng Windows Vista/Windows 7, với mọi thao tác chạy các chương trình sau, bạn hãy chạy bằng cách click chuột phải vào icon của chương trình và chọn "Run as administrator".
Dọn dẹp :
Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .
Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .
Bắt đầu lấy log :
Bạn hãy thực hiện đúng theo thứ tự và chuẩn xác các bước sau,nếu gặp lỗi hay trở ngại gì thì thông báo ngay :
Tải vào ngay desktop và chạy Win32kDiag : http://rootrepeal.psikotick.com/Win32kDiag.exe
1 cửa sổ command prompt sẽ xuất hiện và Win32kDiag sẽ bắt đầu scan.
Khi việc scan hoàn tất sẽ xuất hiện thông báo "Finished! Press any key to exit....", 1 file Win32KDiag.txt sẽ được tạo mới ở ngay nền desktop của bạn, bạn gửi nội dung file Win32KDiag.txt lên diễn đàn cho mình .
Chú ý: Nếu Win32kDiag không chạy được, bạn hãy đổi tên file Win32kDiag.exe thành winlogon.exe và thực hiện các bước như trên.
Tải RootRepeal : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop.
Tắt tất cả chương trình đang chạy trên máy kể cả ở thanh System tray (khay hệ thống) bao gồm cả Firewall, Antivirus và các chương trình liên quan security khác.Hướng dẫn tắt 1 số security software nếu bạn chưa rõ ở http://www.bleepingcomputer.com/forums/topic114351.html , mình đề nghị bạn xem kĩ. Chạy RootRepeal.exe, click tab Report, click Scan, chọn tất cả các ô lựa chọn RootRepeal cho phép:
=> OK => chọn tiếp tất cả các ổ trong máy => OK.
Chạy xong,click Save report, save với tên RootRepeal.txt, upload và đưa link file này cho mình.
Chú ý: Nếu RootRepeal bị crash, restart và thực hiện những bước trên ở chế độ Safe Mode.
Tắt tất cả chương trình đang chạy trên máy kể cả ở thanh System tray (khay hệ thống) bao gồm cả Firewall, Antivirus và các chương trình liên quan security khác.Hướng dẫn tắt 1 số security software nếu bạn chưa rõ ở http://www.bleepingcomputer.com/forums/topic114351.html , mình đề nghị bạn xem kĩ.
Tải, giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .
Chú ý: Nếu GMER bị crash, restart và thực hiện những bước trên ở chế độ Safe Mode.
Bật trở lại Firewall, Antivirus và các chương trình liên quan security khác mà bạn đã tạm thời tắt.
Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chọn Settings, chỉnh Settings về Maximum => OK => create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .
Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Khi chạy nếu được yêu cầu,cài đặt hay hỏi gì, bạn cứ Yes, OK, continue ... Chạy xong (finish),bạn upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .
Mở trình duyệt web với link sau : http://www.suspectfile.com/systemscan/
Đợi khoảng 20 giây, trình duyệt sẽ tự động tải về 1 chương trình ( nếu trình duyệt không tải thì bạn tắt chế độ chống popup sẽ tải được ) .
Tải file về vào nền desktop và chạy file này ( systemscan ) , click "scan now" .
Chờ khi scan xong, upload và đưa link file *report.zip vừa được tạo ra cho mình .
Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Chạy ở chế độ mặc định, cứ continue, yes, OK ...
Nén,upload và đưa link 2 file sau : info.txt , log.txt
Vào link sau, tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt
Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn tất cả các ổ đĩa trong máy bạn, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Vào link sau, tải vào ngay desktop ESET SysInspector tương ứng với Processor Architecture (32-bit hay 64-bit) của máy bạn và chạy ESET SysInspector : http://www.eset.com/download/sysinspector.php
Click tab File (ở góc trên bên phải), chọn 'Save Log' => Save => Upload file này và đưa link cho mình .
Bạn lấy log khoảng 20 phút là xong, trong việc đọc log của bạn tui phải kiểm tra vất vả hơn nhiều, vì thế bạn hãy thực hiện đúng thứ tự và chuẩn xác nhé . |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Xin giúp mình cách diệt Rootkit.Win32.Pakes.zo |
16/12/2009 18:48:59 (+0700) | #3 | 200941 |
the_mistake
Member
|
|
0 |
|
|
Joined: 21/09/2008 12:33:09
Messages: 31
Offline
|
|
@bolzano1989: Cảm ơn bạn vì đã tận tình giúp đỡ, đang trong đợt thi cử vất vả nên chưa thực hiện các bước này ngay được, phải đợi 2-3 ngày hoặc 1 tuần nữa mình sẽ gửi lên file kết quả.
Sẵn tiện bạn giới thiệu cho mình 1 số tài liệu hoặc website uy tín về việc phân tích log, hoặc cách đánh giá tình hình, tìm giải pháp diệt virus nhé, có vẻ bạn rất rành mấy vụ này.
Thanks again, and a lot!^_^ |
|
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")