Follow us on...
Follow us on Twitter Follow us on Facebook Watch us on YouTube

Giúp các bé đáng thương ấy với

Gameshow “Ai Là Triệu Phú” trên VTV đang chờ đón bạn – Tải ngay!

Bán đấu giá ủng hộ từ thiện

Sự kiện công nghệ lớn nhất trong năm của Sony sắp đổ bộ Hà Nội

Chiêm ngưỡng BaoMoi đẹp "tuyệt diệu" trên Windows Phone

Tin tức công nghệ mới
kết quả từ 1 tới 11 trên 11
  1. #1
    1234567890a's Avatar
    1234567890a vẫn chưa có mặt trong diễn đàn Gà Con
    Tham gia
    Jun 2008
    Bài
    5
    Cảm ơn
    0
    Điểm
    0/0 bài viết

    Default Xin hướng dẫn loại bỏ virus này

    Hiện mình có 3 máy đang bị virus , gặp một số tình trạng sau :
    +) Khoá regedit,task manager.
    +) Anti virus là KIS 2010 bị vô hiệu hoá không chạy được ( Do mình chơi game tắt KIS,giờ bị nhiễm mở lên lại thì không được ) . Chạy file setup Avira cũng không được.
    +) Tạo rất nhiều shortcut 1KB ở các ổ với nội dung xxx
    +) Tạo một số file tên random có dạng exe ở các ổ
    +) File autorun.inf ở các ổ có nội dung sau:
    [AutoRun]
    ;aHtf

    ;WlGt
    ShEll\oPen\commANd= jjxdd.pif
    oPEn =jjxdd.pif

    ;
    shEll\opeN\DEfault=1
    ;aQwvbeedncaRFvLpc mvksgv
    SHelL\exPloRe\COmmAnd = jjxdd.pif
    ;qcpXQX
    SheLl\AutoPLAy\coMMaND=jjxdd.pif
    ;bGynFueRYXljNnSDBasjsambh
    +) Không vào safe mode được

    Một trong 3 máy mình đã ghost lại và sử dụng Kis quét thì nó báo nhiễm file virus ở các tập tin .exe virus dạng Heur.Win32.Generic .Dùng Avira thì báo là virus W32.Sality.

    Còn đây là file log hjjckthis

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 4:09:42 PM, on 8/2/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Installer\MSIA4.tmp
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\winepwux.exe
    C:\WINDOWS\system32\cmd.exe
    H:\HijackThis.exe
    
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [VDrive] C:\WINDOWS\VistaDriveIcon\VistaDrv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [UniKey] D:\SOFT\UniKey 4.0.8\UniKey.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CMC Internet Security] "C:\Program Files\CMC\Antivirus\CMCTrayIcon.exe"
    O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International
    O13 - Gopher Prefix:
    O16 - DPF: {7FB87A62-C850-4FA8-A82F-A12468FEBC1F} (OnGameDownloader Control) - http://ongame.com.vn/activeX/OnGameDownLoader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O17 - HKLM\System\CS1\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Harmony License Server (HLS) - Unknown owner - C:\WINDOWS\system32\hlsserver.exe
    O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIA4.tmp
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    Xin mọi người hướng dẫn cách diệt mà không phải ghost hay cài mới lại Win

  2. #2
    hovahu's Avatar
    hovahu vẫn chưa có mặt trong diễn đàn Rìu Bạc
    Tham gia
    Oct 2010
    Bài
    334
    Cảm ơn
    59
    Điểm
    175/84 bài viết

    Default

    Trích 1234567890a View Post
    Hiện mình có 3 máy đang bị virus , gặp một số tình trạng sau :
    +) Khoá regedit,task manager.
    +) Anti virus là KIS 2010 bị vô hiệu hoá không chạy được ( Do mình chơi game tắt KIS,giờ bị nhiễm mở lên lại thì không được ) . Chạy file setup Avira cũng không được.
    +) Tạo rất nhiều shortcut 1KB ở các ổ với nội dung xxx
    +) Tạo một số file tên random có dạng exe ở các ổ
    +) File autorun.inf ở các ổ có nội dung sau:

    +) Không vào safe mode được

    Một trong 3 máy mình đã ghost lại và sử dụng Kis quét thì nó báo nhiễm file virus ở các tập tin .exe virus dạng Heur.Win32.Generic .Dùng Avira thì báo là virus W32.Sality.

    Còn đây là file log hjjckthis

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 4:09:42 PM, on 8/2/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Installer\MSIA4.tmp
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\winepwux.exe
    C:\WINDOWS\system32\cmd.exe
    H:\HijackThis.exe
    
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [VDrive] C:\WINDOWS\VistaDriveIcon\VistaDrv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [UniKey] D:\SOFT\UniKey 4.0.8\UniKey.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CMC Internet Security] "C:\Program Files\CMC\Antivirus\CMCTrayIcon.exe"
    O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International
    O13 - Gopher Prefix:
    O16 - DPF: {7FB87A62-C850-4FA8-A82F-A12468FEBC1F} (OnGameDownloader Control) - http://ongame.com.vn/activeX/OnGameDownLoader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O17 - HKLM\System\CS1\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Harmony License Server (HLS) - Unknown owner - C:\WINDOWS\system32\hlsserver.exe
    O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIA4.tmp
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    Xin mọi người hướng dẫn cách diệt mà không phải ghost hay cài mới lại Win
    Cái này giờ cài lại Win là nhanh và ổn nhất chứ bây giờ có dùng AVira hay Kis hay cả BitDefender 2011 quét sạch sẻ virut đi nữa thì cung không sủa đuọc lỗi các phần mềm rồi lỗi Win do virut gây ra,,,nói chung là khắc phuc không bao giờ triệt để đươc,,

  3. #3
    ReamsX's Avatar
    ReamsX vẫn chưa có mặt trong diễn đàn Thành viên đang bị kỷ luật
    Tham gia
    Sep 2010
    Đến từ
    Vn-Zoom
    Bài
    3.598
    Cảm ơn
    2.868
    Điểm
    2.979/1.342 bài viết

    Default

    bạn thử dùng hitman pro xem, lên google down bản dùng thử về quét, sau đó khởi động lại và dùng Advanced systemCare (google sớt nha) fix lỗi xong lại restart xem. Sau đó cài lại KIS 10 hoặc KIS 11 xem. Lưu ý bạn là KIS có chế độ hồ sơ trò chơi, bạn hãy tích vào chế độ đó KIS sẽ không làm phiền bạn và bạn yên tâm chơi mà không bị giật chứ đừng có dại tắt AV đi, rất nguy hiểm đó bạn. Thân

  4. #4
    hieu43126e's Avatar
    hieu43126e vẫn chưa có mặt trong diễn đàn Búa Gỗ Đôi
    Tham gia
    Jan 2010
    Bài
    39
    Cảm ơn
    61
    Điểm
    105/11 bài viết

    Default

    DÙNG ĐÓNG BĂNG CHO AN TOÀN

  5. #5
    canhhoanhobe's Avatar
    canhhoanhobe vẫn chưa có mặt trong diễn đàn Búa Đá
    Tham gia
    Sep 2009
    Bài
    59
    Cảm ơn
    116
    Điểm
    12/12 bài viết

    Default

    - Biện pháp tốt nhất là cài lại Win hoặc Ghost và cài ngay phần mềm diệt virus ngay từ đầu. Nếu tắt KIS để chơi game thì phải mở ngay sau khi thoát game. Mình cũng từng tắt KIS vì máy chạy chậm quá ( cấu hình thấp), sau đó mở lại thỉnh thoảng KIS báo có virus và chạy quét, phục hồi hệ thống lại bình thường.


    Xin mãi là canhhoanhobe hiến dâng cho đời!
    http://hvtechco.com YAMADA - AIRMAN - TOYOOKY

    canhhoanhobe@gmail.com

  6. #6
    hoangdat30's Avatar
    hoangdat30 vẫn chưa có mặt trong diễn đàn Thành viên đang bị kỷ luật
    Tham gia
    Dec 2010
    Bài
    76
    Cảm ơn
    68
    Điểm
    65/19 bài viết

    Default

    Mình bị con này rồi. Bạn tham khảo ở đây nhé : hoặc dùng tool này :
    * Mình ít khi có thời gian vào diễn đàn, những bài viết của mình đều muốn giúp dc phần nào cho các bạn. Chứ không phải spam gì đâu nhé.

  7. #7
    huyhoczero's Avatar
    huyhoczero vẫn chưa có mặt trong diễn đàn Rìu Chiến
    Tham gia
    Jun 2010
    Đến từ
    Andromeda Galaxy
    Bài
    2.050
    Cảm ơn
    271
    Điểm
    1.351/534 bài viết

    Default

    dùng cd rescure của mấy cái hãng kaspersky hay bit mà diệt nó đi



    ...Ta ngồi nơi đây, nhìn hoa rơi mà cõi lòng tan nát. Sống có gì vui, chết cũng không thanh thản...


  8. #8
    daipr0|VNZ™'s Avatar
    daipr0|VNZ™ vẫn chưa có mặt trong diễn đàn ۩۩► Đẳng Cấp Là Mãi Mãi ◄۩۩
    Tham gia
    Jan 2012
    Đến từ
    •11A7 Trần Quang Diệu V.I.P •
    Bài
    1.290
    Cảm ơn
    1.545
    Điểm
    629/367 bài viết

    Default

    Trích ReamsX View Post
    bạn thử dùng hitman pro xem, lên google down bản dùng thử về quét, sau đó khởi động lại và dùng Advanced systemCare (google sớt nha) fix lỗi xong lại restart xem. Sau đó cài lại KIS 10 hoặc KIS 11 xem. Lưu ý bạn là KIS có chế độ hồ sơ trò chơi, bạn hãy tích vào chế độ đó KIS sẽ không làm phiền bạn và bạn yên tâm chơi mà không bị giật chứ đừng có dại tắt AV đi, rất nguy hiểm đó bạn. Thân
    tới KIS mà nó còn khóa được không khởi động lên được thì dùng cái hít men gì đó của bạn thì cạp đất mà ăn à ? , theo mình nghĩ bạn có thể dùng MS-DOS để del file bạn cho là nhiễm vi rus, cách làm như sau ( mình st trên mạng )
    đầu tiên vào : Start > Run > đánh lệnh: cmd> enter
    diệt trên ổ nào thì chạy ổ đó, giả sử ổ d bằng lệnh d: enter
    1, lệnh làm hiện thuộc tính files: attrib -h -s -r -a *.exe (exe có thể là: inf,com,bat,cmd)
    2,diệt virus: del *.exe /s/f/p
    * là tên file
    hiện lên dòng thông báo, con nào nghi ngờ virus bấm Y(yes)để xóa...
    hoặc muốn xóa không cần hỏi bằng lệnh; del *.exe /s/f
    MY PLAYLIST

    Bạn cần download chương trình Flash Player mới có thể xem được file flash này.

  9. #9
    zero002's Avatar
    zero002 vẫn chưa có mặt trong diễn đàn Rìu Sắt Đôi
    Tham gia
    Nov 2009
    Bài
    254
    Cảm ơn
    271
    Điểm
    60/48 bài viết

    Default

    Trích 1234567890a View Post
    Hiện mình có 3 máy đang bị virus , gặp một số tình trạng sau :
    +) Khoá regedit,task manager.
    +) Anti virus là KIS 2010 bị vô hiệu hoá không chạy được ( Do mình chơi game tắt KIS,giờ bị nhiễm mở lên lại thì không được ) . Chạy file setup Avira cũng không được.
    +) Tạo rất nhiều shortcut 1KB ở các ổ với nội dung xxx
    +) Tạo một số file tên random có dạng exe ở các ổ
    +) File autorun.inf ở các ổ có nội dung sau:

    +) Không vào safe mode được

    Một trong 3 máy mình đã ghost lại và sử dụng Kis quét thì nó báo nhiễm file virus ở các tập tin .exe virus dạng Heur.Win32.Generic .Dùng Avira thì báo là virus W32.Sality.

    Còn đây là file log hjjckthis

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 4:09:42 PM, on 8/2/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Installer\MSIA4.tmp
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\winepwux.exe
    C:\WINDOWS\system32\cmd.exe
    H:\HijackThis.exe
    
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssis***t =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [VDrive] C:\WINDOWS\VistaDriveIcon\VistaDrv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [UniKey] D:\SOFT\UniKey 4.0.8\UniKey.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CMC Internet Security] "C:\Program Files\CMC\Antivirus\CMCTrayIcon.exe"
    O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International
    O13 - Gopher Prefix:
    O16 - DPF: {7FB87A62-C850-4FA8-A82F-A12468FEBC1F} (OnGameDownloader Control) - http://ongame.com.vn/activeX/OnGameDownLoader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O17 - HKLM\System\CS1\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Harmony License Server (HLS) - Unknown owner - C:\WINDOWS\system32\hlsserver.exe
    O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIA4.tmp
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    Xin mọi người hướng dẫn cách diệt mà không phải ghost hay cài mới lại Win
    bài này lâu quá rồi nhỉ, mình có 1 cách để chạy file avira của bạn, hãy sang 1 máy tính sạch (no virus, đặc biệt là sality) down về và nén lại dưới dạng .ZIP khi về bạn để nguyên zip và nhấn chạy trực tiếp sẽ cài được, còn nếu bạn để cái file exe ra ngoài sality sẽ tự lây nhiễm, avira khi chạy sẽ tự kiểm tra lại tính nguyên vẹn của file setup, nếu đã bị nhiễm, nó sẽ không chạy.
    have fun

  10. #10
    nanqua's Avatar
    nanqua vẫn chưa có mặt trong diễn đàn Búa Đá Đôi
    Tham gia
    Feb 2008
    Đến từ
    Mỹ Đình
    Bài
    77
    Cảm ơn
    1
    Điểm
    26/15 bài viết

    Default

    Trích 1234567890a View Post
    Hiện mình có 3 máy đang bị virus , gặp một số tình trạng sau :
    +) Khoá regedit,task manager.
    +) Anti virus là KIS 2010 bị vô hiệu hoá không chạy được ( Do mình chơi game tắt KIS,giờ bị nhiễm mở lên lại thì không được ) . Chạy file setup Avira cũng không được.
    +) Tạo rất nhiều shortcut 1KB ở các ổ với nội dung xxx
    +) Tạo một số file tên random có dạng exe ở các ổ
    +) File autorun.inf ở các ổ có nội dung sau:

    +) Không vào safe mode được

    Một trong 3 máy mình đã ghost lại và sử dụng Kis quét thì nó báo nhiễm file virus ở các tập tin .exe virus dạng Heur.Win32.Generic .Dùng Avira thì báo là virus W32.Sality.

    Còn đây là file log hjjckthis

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 4:09:42 PM, on 8/2/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Installer\MSIA4.tmp
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\DOCUME~1\Admin\LOCALS~1\Temp\winepwux.exe
    C:\WINDOWS\system32\cmd.exe
    H:\HijackThis.exe
    
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [VDrive] C:\WINDOWS\VistaDriveIcon\VistaDrv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [UniKey] D:\SOFT\UniKey 4.0.8\UniKey.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [CMC Internet Security] "C:\Program Files\CMC\Antivirus\CMCTrayIcon.exe"
    O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International
    O13 - Gopher Prefix:
    O16 - DPF: {7FB87A62-C850-4FA8-A82F-A12468FEBC1F} (OnGameDownloader Control) - http://ongame.com.vn/activeX/OnGameDownLoader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O17 - HKLM\System\CS1\Services\Tcpip\..\{FF17D49C-F1B4-4AC4-B019-BC800FE264DB}: NameServer = 8.8.8.8,8.8.4.4
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Harmony License Server (HLS) - Unknown owner - C:\WINDOWS\system32\hlsserver.exe
    O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIA4.tmp
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    Xin mọi người hướng dẫn cách diệt mà không phải ghost hay cài mới lại Win
    Hiện trên mạng có người hướng dẫn và file fix safe mode bạn down về và vào safe mode bình thường sau đó diệt virus
    Mình đã từng bị và dùng thấy rất OK, Vì lâu quá rồi nên không nhớ link, bạn tự tìm nhé

  11. #11
    hackerkinhcanlha's Avatar
    hackerkinhcanlha vẫn chưa có mặt trong diễn đàn Rìu Vàng Đôi
    Tham gia
    Mar 2008
    Đến từ
    Guantanamo
    Bài
    1.347
    Cảm ơn
    163
    Điểm
    1.302/665 bài viết

    Default

    Bài chủ top gửi khá lâu rồi
    Tuy nhiên nếu rơi vào trường hợp này các bạn có thể sử dụng

    Rồi vào Safe Mode và tiến hành Scan !
    Hiệp Sĩ Áo Đen BKAV Forum - ctvyeuhatinh01

  12. Có 1 thành viên cảm ơn hackerkinhcanlha cho bài viết này:
    htloveorg (13-07-2012)

 

 

Quyền sử dụng

  • Bạn không thể gửi chủ đề mới
  • Bạn không thể gửi trả lời
  • Bạn không thể gửi file đính kèm
  • Bạn không thể tự sửa bài viết của mình
  •