Khả năng lớn là gặp lại nhóm người biết mà không quen. Bạn tạm thời dừng các hoạt động quét và diệt virus với các phần mềm tìm và diệt virus tự động cho đến khi mình điều tra xong nhé. Ngoài ra ở máy tính đang dùng này, bạn đừng đăng nhập các tài khoản online quan trọng. Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/index.php?topic=7637.0 Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/index.php?topic=7918.0 Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/index.php?topic=7620.0 

File này có thể có thuộc tính Hidden, cậu dùng WinRAR, 7Zip hay Total Commander để tìm. Hoặc dùng các lệnh DOS sau: cd \Windows\system32 attrib -r -h -s c6to4.dll dir c6to4.dll copy c6to4 xxx  

C:\Windows\System32>attrib -r -h -s c6to4.dll File not found - c6to4.dll 

Nếu trên máy các bạn có c6to4.dll, các bạn tìm giúp chúng tôi các file sau và up lên mediafire giúp: 1. X:\WINDOWS\ehome\skinbeta.wmz 2. X:\Documents and Settings\XXX\Local Settings\Application Data\Microsoft Help\MValidator.Lck 3. X:\WINDOWS\ehome\skinbeta.wmz 4. X:\Windows\system32\wbem\rdpuser.mof 5. X:\Program Files\Common Files\microsoft shared\Stationery\cversions.2.db 6. X:\Documents and Settings\XXX\Application Data\Protect\History.db Mẫu c6to4.dll này chính là mẫu trong bộ QTTask hồi xưa. 100%. Nhưng nguồn QTTask thì rõ ràng đã bị kill, không biết victim bị dính đám này từ thằng chủ chốt nào, IDM hay fake Unikey chăng ? Then en bét rì ga ! 

Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên: 1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db 6. XXX\Application Data\Protect\History.db Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử ! 

Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên: 1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db 6. XXX\Application Data\Protect\History.db Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử ! 

Chào bạn elt0m, bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé, nhiều hôm nay bận nhưng mình sẽ theo vụ này đến cùng. Bọn này ngày càng tinh vi. Từ giờ trở đi, ở chủ đề này, khi được yêu cầu scan để lấy log với các công cụ, bạn vui lòng đổi tên file .exe công cụ thành tên iExplore.exe hoặc firefox.exe trước khi chạy file với quyền administrator. Thực hiện tắt các chương trình giả lập CD với DeFogger theo hướng dẫn sau: http://support.cmclab.net/vn/index.php?topic=6533.0 Thực hiện scan và gửi log Rootkit Unhooker, RootRepeal, GMER cho mình theo đúng trình tự các hướng dẫn sau: Hướng dẫn scan và gửi log Rootkit Unhooker: http://support.cmclab.net/vn/index.php?topic=6527.0 Hướng dẫn scan và gửi log RootRepeal: http://support.cmclab.net/vn/index.php?topic=6372.0 Hướng dẫn scan và gửi log GMER với tên file ngẫu nhiên: http://support.cmclab.net/vn/index.php?topic=6422.msg33887#msg33887 Sau đó khởi động lại máy tính rồi scan và gửi log OTL, boot log với Process Monitor cho mình theo các hướng dẫn sau: Hướng dẫn scan và gửi log OTL: http://support.cmclab.net/vn/index.php?topic=6593.0 Hướng dẫn scan và gửi boot log với Process Monitor: http://support.cmclab.net/vn/index.php?topic=7636.0 

2 elt0m: Thank cậu. File đó là prefetch của Windows rồi, không phải file virus, chứng tỏ nó đã từng cversions.2.db đã từng được run trên máy cậu. Cậu up dùng tui file MSIDC92.tmp nữa nhé, run như service, sao lại có đuôi .tmp 

2 elt0m: bạn up lộn file rồi.  

SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon) 

Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi. Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi.  

Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751 Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không? 

Cậu có thể Ghost với compress high ổ C: của cậu rồi úp lên đâu đó giùm tui được không. Vì tôi biết, ngoài c6to4.dll, thì còn một loạt các mèo khác đã nằm sâu trong ngóc ngách máy cậu.  

Tôi xem nhanh qua các log bạn elt0m thì thấy cần thu thập những file độc hại sau từ bạn elt0m hay bất cứ bạn nào có các file này trên máy tính: C:\Windows\Installer\MSIDC92.tmp %AppData%\HTML Help\help.dat %Temp%\tmp2349230A98.tmp %SystemRoot%\system32\c6to4.dll %SystemRoot%\system32\wbem\rdpuser.mof %UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\drwtsn32.exe %UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.dll %UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.cfg %ProgramFiles%\Common Files\microsoft shared\Stationery\cversions.2.db %SystemRoot%\inf\ndiscap64.inf %SystemRoot%\CSC\Starter.xml %AppData%\Mozilla\profile.ini %AppData%\Microsoft\Office\OrgDB01.pip Một số file lạ, có thể chứa mã độc hại: C:\Windows\Twunk001.MTX C:\Windows\Twain001.Mtx C:\Windows\UAExcel.dll C:\Windows\UWeb.exe C:\Windows\UAWord.dll C:\Windows\UAPoint.dll C:\Windows\UCode.dll C:\Windows\System32\unrar.dll C:\Windows\unins000.exe C:\Windows\unins000.dat Các file có dạng sau cũng cần được thu thập: Các file có phần mở rộng file là .tmp trong thư mục %Temp% (trong trường hợp ở máy bạn là: C:\Users\Administrator\AppData\Local\Temp ) Thư mục ẩn sau cũng cần được thu thập: C:\EQTKA [2012/04/07 23:33:51 | 000,377,269 | RHS- | C] () -- \EQTKA Người nước ngoài cũng nhiễm virus của stl, cũng có biểu hiện như chủ topic: http://www.hackforums.net/showthread.php?tid=2833850 Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động: http://pastebin.com/HeJrdu7N

SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon)