banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài  XML
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 29/08/2012 14:52:11 (+0700) | #1 | 268876
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]
Xin bà con kiểm tra và trả lời giúp hiện tượng lạ sau:
Mình đang dùng Windows 7 bản ultimate
Khi kiểm tra qua TCPView thì nhận thấy Explorer.exe connect đến các địa chỉ 111.90.150.183, 124.217.231.213..

explorer.exe 1496 TCP elt0m 50221 124.217.231.213 https ESTABLISHED
explorer.exe 3776 TCP elt0m 50963 111.90.150.183 https ESTABLISHED

Nhưng khi mình check file Explorer.exe trên totalvirus thì không thấy nhiễm virus gì
Đây là file Explorer.exe mình up lên mediafire:
http://www.mediafire.com/?d8otc78hoixcohp

Mong các bạn kiểm tra giúp xem đó có phải là virus hoặc malware... gì không nhé!

Cảm ơn nhiều!

t0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 30/08/2012 00:36:14 (+0700) | #2 | 268888
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Khả năng lớn là gặp lại nhóm người biết mà không quen.
Bạn tạm thời dừng các hoạt động quét và diệt virus với các phần mềm tìm và diệt virus tự động cho đến khi mình điều tra xong nhé. Ngoài ra ở máy tính đang dùng này, bạn đừng đăng nhập các tài khoản online quan trọng.

Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/index.php?topic=7637.0

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/index.php?topic=7918.0

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/index.php?topic=7620.0
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 30/08/2012 09:17:01 (+0700) | #3 | 268897
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]
Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 


Đây là các file log bạn yêu cầu

http://www.mediafire.com/?tp437qimu3l0ghd

Qua theo dõi, mình nhận thấy file Explorer.exe có vẻ không chạy start up, mà chỉ khi mình duyệt explorer hoặc duyệt một thứ gì đó nó mới hiển thị, từ hôm qua đến nay thì chỉ thấy connect đến địa chỉ 111.90.150.183

Ip này cũng đã bị anh TQN nghi ngờ trong một topic:
/hvaonline/posts/list/1110/39641.html

Mong các bạn tiếp tục kiểm tra giúp mình nhé, xem có phải là biến thể malware mới của stl hay ko?

t0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 30/08/2012 11:30:00 (+0700) | #4 | 268901
thai.itpro
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 09:56:43
Messages: 13
Offline
[Profile] [PM]

bolzano_1989 wrote:
Khả năng lớn là gặp lại nhóm người biết mà không quen.
Bạn tạm thời dừng các hoạt động quét và diệt virus với các phần mềm tìm và diệt virus tự động cho đến khi mình điều tra xong nhé. Ngoài ra ở máy tính đang dùng này, bạn đừng đăng nhập các tài khoản online quan trọng.

Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/index.php?topic=7637.0

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/index.php?topic=7918.0

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/index.php?topic=7620.0 


Cũng mong sớm có phản hồi của bờ-rồ bên Xi em Xi
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 31/08/2012 22:11:20 (+0700) | #5 | 268933
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
elt0m làm theo yêu cầu trong tin nhắn của mình gửi bạn hôm qua nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 07/09/2012 13:14:35 (+0700) | #6 | 269134
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Chào bạn elt0m, bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé, nhiều hôm nay bận nhưng mình sẽ theo vụ này đến cùng. Bọn này ngày càng tinh vi. Từ giờ trở đi, ở chủ đề này, khi được yêu cầu scan để lấy log với các công cụ, bạn vui lòng đổi tên file .exe công cụ thành tên iExplore.exe hoặc firefox.exe trước khi chạy file với quyền administrator.

Thực hiện tắt các chương trình giả lập CD với DeFogger theo hướng dẫn sau:
http://support.cmclab.net/vn/index.php?topic=6533.0

Thực hiện scan và gửi log Rootkit Unhooker, RootRepeal, GMER cho mình theo đúng trình tự các hướng dẫn sau:
Hướng dẫn scan và gửi log Rootkit Unhooker:
http://support.cmclab.net/vn/index.php?topic=6527.0
Hướng dẫn scan và gửi log RootRepeal:
http://support.cmclab.net/vn/index.php?topic=6372.0
Hướng dẫn scan và gửi log GMER với tên file ngẫu nhiên:
http://support.cmclab.net/vn/index.php?topic=6422.msg33887#msg33887

Sau đó khởi động lại máy tính rồi scan và gửi log OTL, boot log với Process Monitor cho mình theo các hướng dẫn sau:
Hướng dẫn scan và gửi log OTL:
http://support.cmclab.net/vn/index.php?topic=6593.0
Hướng dẫn scan và gửi boot log với Process Monitor:
http://support.cmclab.net/vn/index.php?topic=7636.0
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 08/09/2012 10:12:43 (+0700) | #7 | 269182
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]
OK! bolzano_1989

Mình sẽ thực hiện các bước bạn yêu cầu, có kết quả sẽ gửi sớm

Nhưng thật lạ là từ khi mình report thông tin lên HVA và gửi mẫu cho bolzano_1989 thì tạm thời mấy hôm nay chạy TCPViewer không thấy Explorer.exe connect đến các IP đó nữa, quái quỷ thật!
Có thể máy mình đã bị remote vì thấy nó connect qua cổng 443, mà thực tế mình cũng mở cổng remote để giải quyết một số công việc.
Nhưng thôi, cứ mạo hiểm vậy, trên máy mình có nhiều dữ liệu những toàn công việc không, chẳng có gì liên quan đến tài chính, tiền nong, chính trị gì cả.... mặc dù ghost lại máy mất có 10'.

Thanks all!

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 08/09/2012 13:02:15 (+0700) | #8 | 269186
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
elt0m, 1 khả năng có thể xảy ra là nhóm người biết mà không quen thấy động nên muốn lẫn trốn đó. Những file log nên được gửi riêng cho mình thay vì gửi public vì cơ bản cũng chỉ có mình xem cho bạn, nếu có vấn đề gì đáng chú ý, mình sẽ gửi log public lên diễn đàn.

Một điều quan trọng khi thực hiện malware forensics là cần lưu ảnh đĩa của ổ đĩa hệ điều hành đang bị lây nhiễm phần mềm độc hại, việc này nên được thực hiện nếu bạn không thiếu dung lượng ổ cứng để lưu ảnh đĩa bằng các chương trình (Ghost,...), khi thực hiện việc này thì nhóm tội phạm mạng đó không thể xóa dấu vết ở máy tính của bạn đi được.

Việc restore máy ngay mà không điều tra là không nên vì sẽ làm mất dấu vết và mất đi cơ hội biết được mức độ ảnh hưởng đến dữ liệu, thông tin cá nhân của bạn trên máy tính do phần mềm độc hại gây ra.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 08:37:02 (+0700) | #9 | 269212
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cậu úp giúp tui lên mediafire các file sau:
1. c:\windows\system32\c6to4.dll
2. c:\windows\system32\ffsj\ffsjshl.dll

Hình như tui nhớ không lầm thì c6to4.dll là một file trong dây chuyền mèo què hồi năm 2010, 2011 của stl. Tôi không nhớ lắm, để tối về lục lại đống mẫu cũ.

Đúng rồi, nó: c6to4.dll đã được nêu tên ở đây: /hvaonline/posts/list/960/39641.html#247032

Cậu up lên VirusTotal xem thử bao nhiêu thằng nhận diện được, mẫu cũ hay mới.

Cậu có thể Ghost với compress high ổ C: của cậu rồi úp lên đâu đó giùm tui được không. Vì tôi biết, ngoài c6to4.dll, thì còn một loạt các mèo khác đã nằm sâu trong ngóc ngách máy cậu.
Cậu dùng ProcessExplorer của SysInternal, Process Hacker (Google) rồi save và up giùm các report.
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 13:27:30 (+0700) | #10 | 269218
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]
Hi anh TQN!
sorry bolzano_1989 vì chưa thực hiện được các yêu cầu trước đó của cậu, vì mình mới đi công tác về

File 1. c:\windows\system32\c6to4.dll em không tìm thấy nữa rồi, mặc dù check lại trong file autorunsc_result.txt em gửi cho bolzano_1989 thì có thấy nó, không biết có phải nó chạy ẩn hay không? hay là nó ra đi cùng file Explorer.exe kia rồi??????

Đây là file 2. c:\windows\system32\ffsj\ffsjshl.dll em scan trên Virustotal:

https://www.virustotal.com/file/8972bef8e20cadd3d2e4586319ab88bbd97446095203c027e1fd4c0bf0d7d015/analysis/

Đây là file report: ProcessExplorer: http://www.mediafire.com/view/?r256a2x8bpvdy9h
và cả Process Hacker nữa nhé: http://www.mediafire.com/view/?ykr00d32boa9ups

Ngoài ra em có check thằng Font Vietnam trên máy có đường dẫn là C:\Windows\unvise32.exe trên Virustotal có kết quả như sau:
https://www.virustotal.com/file/4634b6d3f4e43bf9004d883ce56b6e569b59a5656582c2629f1c9ab9a0f91db6/analysis/
(sorry vì vừa xong em lại gỡ phần mềm Font Vietnam ra khỏi máy đang nghi ngờ có malware, nhưng em dùng 1 máy khác có ghost bản tương tự để check lại)

Còn ghost ổ C:\ thì em sẽ up lên mediafire sau nhé!

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 13:44:02 (+0700) | #11 | 269219
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File này có thể có thuộc tính Hidden, cậu dùng WinRAR, 7Zip hay Total Commander để tìm.
Hoặc dùng các lệnh DOS sau:
cd \Windows\system32
attrib -r -h -s c6to4.dll
dir c6to4.dll
copy c6to4 xxx
sc stop 6to4
sc delete 6to4
del c6to4.dll /f
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 14:10:30 (+0700) | #12 | 269221
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
File này có thể có thuộc tính Hidden, cậu dùng WinRAR, 7Zip hay Total Commander để tìm.
Hoặc dùng các lệnh DOS sau:
cd \Windows\system32
attrib -r -h -s c6to4.dll
dir c6to4.dll
copy c6to4 xxx
 


anh TQN!

Chắc nó ra đi mất rồi

C:\Windows\System32>attrib -r -h -s c6to4.dll
File not found - c6to4.dll 


còn file FFSJSHL.dll đây anh: http://www.mediafire.com/?qp5hacbhmcdefvr

Lẽ ra em ngắt ổ cứng chạy System ngay khi có nghi ngờ thì tốt!

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 15:10:54 (+0700) | #13 | 269225
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Nếu trên máy các bạn có c6to4.dll, các bạn tìm giúp chúng tôi các file sau và up lên mediafire giúp:
1. X:\WINDOWS\ehome\skinbeta.wmz
2. X:\Documents and Settings\XXX\Local Settings\Application Data\Microsoft Help\MValidator.Lck
3. X:\WINDOWS\ehome\skinbeta.wmz
4. X:\Windows\system32\wbem\rdpuser.mof
5. X:\Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. X:\Documents and Settings\XXX\Application Data\Protect\History.db

Mẫu c6to4.dll này chính là mẫu trong bộ QTTask hồi xưa. 100%. Nhưng nguồn QTTask thì rõ ràng đã bị kill, không biết victim bị dính đám này từ thằng chủ chốt nào, IDM hay fake Unikey chăng ?

Then en bét rì ga !
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 16:22:35 (+0700) | #14 | 269227
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
Nếu trên máy các bạn có c6to4.dll, các bạn tìm giúp chúng tôi các file sau và up lên mediafire giúp:
1. X:\WINDOWS\ehome\skinbeta.wmz
2. X:\Documents and Settings\XXX\Local Settings\Application Data\Microsoft Help\MValidator.Lck
3. X:\WINDOWS\ehome\skinbeta.wmz
4. X:\Windows\system32\wbem\rdpuser.mof
5. X:\Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. X:\Documents and Settings\XXX\Application Data\Protect\History.db

Mẫu c6to4.dll này chính là mẫu trong bộ QTTask hồi xưa. 100%. Nhưng nguồn QTTask thì rõ ràng đã bị kill, không biết victim bị dính đám này từ thằng chủ chốt nào, IDM hay fake Unikey chăng ?

Then en bét rì ga ! 


Em dùng Win7 thấy có mỗi thằng này
4. X:\Windows\system32\wbem\rdpuser.mof

Cứ up lên anh xem thử: http://www.mediafire.com/?wr3xs7ykvorkgj2
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 17:10:33 (+0700) | #15 | 269229
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn, đúng như tui dự đoán, thằng này khác, đã thay đổi so với thằng rdpuser.mof hồi xưa trong QTTask
File QTTask hồi đó tui đã up ở đây, password: infected
http://www.mediafire.com/?259kv56xit09c6b
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 19:26:00 (+0700) | #16 | 269236
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên:
1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. XXX\Application Data\Protect\History.db
Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử !
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 09/09/2012 20:33:47 (+0700) | #17 | 269241
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên:
1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. XXX\Application Data\Protect\History.db
Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử ! 


OK! anh! Nhưng ngày mai em mới thực hiện được, đó là máy ở cơ quan làm việc!

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 07:29:37 (+0700) | #18 | 269254
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên:
1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. XXX\Application Data\Protect\History.db
Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử ! 



Hi anh TQN!
[1] đây nhé: http://www.mediafire.com/?d9edy8sh8hembmd
Nhưng em tìm bằng Evething thấy nó ở C:\ProgramData\Microsoft\Windows\Caches\cversions.2.db

Còn file [6] thì không thấy mà chỉ thấy bọn này

C:\Windows\Prefetch\AgGlFaultHistory.db
C:\Windows\Prefetch\AgGlFgAppHistory.db
C:\Windows\Prefetch\AgGlGlobalHistory.db

anh xem thử
elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 08:13:29 (+0700) | #19 | 269255
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

bolzano_1989 wrote:
Chào bạn elt0m, bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé, nhiều hôm nay bận nhưng mình sẽ theo vụ này đến cùng. Bọn này ngày càng tinh vi. Từ giờ trở đi, ở chủ đề này, khi được yêu cầu scan để lấy log với các công cụ, bạn vui lòng đổi tên file .exe công cụ thành tên iExplore.exe hoặc firefox.exe trước khi chạy file với quyền administrator.

Thực hiện tắt các chương trình giả lập CD với DeFogger theo hướng dẫn sau:
http://support.cmclab.net/vn/index.php?topic=6533.0

Thực hiện scan và gửi log Rootkit Unhooker, RootRepeal, GMER cho mình theo đúng trình tự các hướng dẫn sau:
Hướng dẫn scan và gửi log Rootkit Unhooker:
http://support.cmclab.net/vn/index.php?topic=6527.0
Hướng dẫn scan và gửi log RootRepeal:
http://support.cmclab.net/vn/index.php?topic=6372.0
Hướng dẫn scan và gửi log GMER với tên file ngẫu nhiên:
http://support.cmclab.net/vn/index.php?topic=6422.msg33887#msg33887

Sau đó khởi động lại máy tính rồi scan và gửi log OTL, boot log với Process Monitor cho mình theo các hướng dẫn sau:
Hướng dẫn scan và gửi log OTL:
http://support.cmclab.net/vn/index.php?topic=6593.0
Hướng dẫn scan và gửi boot log với Process Monitor:
http://support.cmclab.net/vn/index.php?topic=7636.0 




@ bolzano_1989

Mình gửi bạn các report bạn yêu cầu qua PM nhé
Riêng RootRepeal mình không tìm thấy bản chạy Win7, toàn báo lỗi, do vậy không thực hiện được

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 09:29:17 (+0700) | #20 | 269259
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 elt0m: Thank cậu. File đó là prefetch của Windows rồi, không phải file virus, chứng tỏ nó đã từng cversions.2.db đã từng được run trên máy cậu.
Cậu up dùng tui file MSIDC92.tmp nữa nhé, run như service, sao lại có đuôi .tmp
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 10:36:41 (+0700) | #21 | 269260
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
2 elt0m: Thank cậu. File đó là prefetch của Windows rồi, không phải file virus, chứng tỏ nó đã từng cversions.2.db đã từng được run trên máy cậu.
Cậu up dùng tui file MSIDC92.tmp nữa nhé, run như service, sao lại có đuôi .tmp 



file MSIDC92.tmp đây anh ơi!

C:\Windows\Installer\MSIDC92.tmp
http://www.mediafire.com/?e0v4peihbnn23eh

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 15:37:36 (+0700) | #22 | 269269
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 elt0m: bạn up lộn file rồi.
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 16:25:34 (+0700) | #23 | 269271
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
2 elt0m: bạn up lộn file rồi.
 


Sorry, em sửa lại rồi nhé!

http://www.mediafire.com/?e0v4peihbnn23eh

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 10/09/2012 22:26:12 (+0700) | #24 | 269281
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Tôi xem nhanh qua các log bạn elt0m thì thấy cần thu thập những file độc hại sau từ bạn elt0m hay bất cứ bạn nào có các file này trên máy tính:
C:\Windows\Installer\MSIDC92.tmp
%AppData%\HTML Help\help.dat
%Temp%\tmp2349230A98.tmp
%SystemRoot%\system32\c6to4.dll
%SystemRoot%\system32\wbem\rdpuser.mof
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\drwtsn32.exe
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.dll
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.cfg
%ProgramFiles%\Common Files\microsoft shared\Stationery\cversions.2.db
%SystemRoot%\inf\ndiscap64.inf
%SystemRoot%\CSC\Starter.xml
%AppData%\Mozilla\profile.ini
%AppData%\Microsoft\Office\OrgDB01.pip

Một số file lạ, có thể chứa mã độc hại:
C:\Windows\Twunk001.MTX
C:\Windows\Twain001.Mtx
C:\Windows\UAExcel.dll
C:\Windows\UWeb.exe
C:\Windows\UAWord.dll
C:\Windows\UAPoint.dll
C:\Windows\UCode.dll
C:\Windows\System32\unrar.dll
C:\Windows\unins000.exe
C:\Windows\unins000.dat

Các file có dạng sau cũng cần được thu thập:
Các file có phần mở rộng file là .tmp trong thư mục %Temp% (trong trường hợp ở máy bạn là: C:\Users\Administrator\AppData\Local\Temp )

Thư mục ẩn sau cũng cần được thu thập:
C:\EQTKA
[2012/04/07 23:33:51 | 000,377,269 | RHS- | C] () -- \EQTKA

Người nước ngoài cũng nhiễm virus của stl, cũng có biểu hiện như chủ topic:
http://www.hackforums.net/showthread.php?tid=2833850
Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động:
http://pastebin.com/HeJrdu7N
SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon) 


Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi.
Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi.

@elt0m: Từ giờ về sau khi được mình yêu cầu gửi log thì bạn chỉ nên gửi log cho mình và anh TQN thôi.
Từ giờ về sau, mình cũng sẽ yêu cầu gửi log chỉ cho riêng mình và anh TQN cũng như gửi hướng dẫn lấy mẫu cho riêng từng người (không gửi public ở forum nữa) khi có dấu hiệu của virus do đám stl viết.

Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751
Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 11/09/2012 07:30:44 (+0700) | #25 | 269286
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]
Mình sẽ cố gắng thu thập các file bạn yêu cầu, hoặc mình sẽ ghost toàn bộ ổ C:\ up lên mediafire

bolzano_1989 wrote:

Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi.
Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi.
 


Có lẽ vậy, lúc đầu mình chỉ nghi ngờ thôi nên đã public các thông tin đó, ngay sau đó thì process explorer.exe không thấy chạy nữa và file c6to4.dll cũng lập tức biến mất mà không tìm thấy nữa, mặc dù trong file log autorunsc có ghi nhận các file này.

Up ảnh mình chụp màn hình ngày 29/8/2012 lúc process explorer.exe vẫn đang connect tới IP 111.90.150.183




Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751
Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không? 

Mình rất ít khi dùng IE, gần như không dùng.
Còn phần mềm Trung Quốc hoặc liên quan đến Trung Quốc thì không bao giờ dùng, có một phần mềm khi đọc log thấy có vẻ Trung Quốc là UltraISO, để mình kiểm tra kỹ, nếu đúng là nguồn gốc hoặc của Trung Quốc, lập tức sẽ thay thế!

[Cập nhật file có vẻ Trung Quốc]

UltraISO
HKCR\CLSID\{AD392E40-428C-459F-961E-9B147782D099}
ISOShell
(Verified) SHENZHEN YIBO DIGITAL SYSTEMS DEVELOPMENT CO. LTD.
1.0.0.2
c:\program files\ultraiso\isoshell.dll
2b6f2c334112e238143ed509bcc5cdb2 (MD5)
871ac70dd77ca64cf55bf589423864702b60c3a4 (SHA-1)
d6635ca4c1462cacc1c345fc10a019124680980179dfc67e6e82f9ba41507d20 (SHA-256)


elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 11/09/2012 10:15:36 (+0700) | #26 | 269292
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:

Cậu có thể Ghost với compress high ổ C: của cậu rồi úp lên đâu đó giùm tui được không. Vì tôi biết, ngoài c6to4.dll, thì còn một loạt các mèo khác đã nằm sâu trong ngóc ngách máy cậu.
 


Anh TQN!

Tình hình ổ chạy System của em khi Ghost High Compress lên đến 12G smilie (chia thành 60 files mỗi file 200M)
Nếu anh có thể download em sẽ up lên mediafire.


elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 11/09/2012 10:51:37 (+0700) | #27 | 269293
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thôi khỏi đi em, anh down cũng chết. Em chỉ cần úp thêm mấy file bolzano đề nghị là được rồi.
Máy em xài AVG hay Avira phải không ? Anh đoán là mấy file đó bị AV trên máy em nhai cổ đó. Em xem lại trong history của AV thử xem !
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 11/09/2012 12:16:55 (+0700) | #28 | 269295
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

bolzano_1989 wrote:
Tôi xem nhanh qua các log bạn elt0m thì thấy cần thu thập những file độc hại sau từ bạn elt0m hay bất cứ bạn nào có các file này trên máy tính:
C:\Windows\Installer\MSIDC92.tmp
%AppData%\HTML Help\help.dat
%Temp%\tmp2349230A98.tmp
%SystemRoot%\system32\c6to4.dll
%SystemRoot%\system32\wbem\rdpuser.mof
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\drwtsn32.exe
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.dll
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.cfg
%ProgramFiles%\Common Files\microsoft shared\Stationery\cversions.2.db
%SystemRoot%\inf\ndiscap64.inf
%SystemRoot%\CSC\Starter.xml
%AppData%\Mozilla\profile.ini
%AppData%\Microsoft\Office\OrgDB01.pip

Một số file lạ, có thể chứa mã độc hại:
C:\Windows\Twunk001.MTX
C:\Windows\Twain001.Mtx
C:\Windows\UAExcel.dll
C:\Windows\UWeb.exe
C:\Windows\UAWord.dll
C:\Windows\UAPoint.dll
C:\Windows\UCode.dll
C:\Windows\System32\unrar.dll
C:\Windows\unins000.exe
C:\Windows\unins000.dat

Các file có dạng sau cũng cần được thu thập:
Các file có phần mở rộng file là .tmp trong thư mục %Temp% (trong trường hợp ở máy bạn là: C:\Users\Administrator\AppData\Local\Temp )

Thư mục ẩn sau cũng cần được thu thập:
C:\EQTKA
[2012/04/07 23:33:51 | 000,377,269 | RHS- | C] () -- \EQTKA

Người nước ngoài cũng nhiễm virus của stl, cũng có biểu hiện như chủ topic:
http://www.hackforums.net/showthread.php?tid=2833850
Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động:
http://pastebin.com/HeJrdu7N
SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon) 

 


Đã gửi vào PM cho bolzano_1989 rồi nhé!

elt0m
[Up] [Print Copy]
  [Question]   Nhờ kiểm tra giúp file Explorer.exe connect đến IP nước ngoài 13/09/2012 07:48:49 (+0700) | #29 | 269349
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
AVG, KAS và nhiều trình AV đã cập nhật đám này. Các bạn đọc topic này nên update AV database và quét lại toàn ổ đĩa cài Windows ngay.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|