banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Chek hijackthis hộ mình với  XML
  [Question]   Chek hijackthis hộ mình với 17/06/2009 03:18:08 (+0700) | #1 | 183720
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Mọi người ơi xem hộ mình cái..mấy hôm nay máy cứ bị restart hoài, taskmanager thì bị vô hiệu hóa..k biết là vì sao nữa. smilie smilie smilie


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:11:07 PM, on 6/16/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Documents and Settings\thu thuy\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\thu thuy\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\thu thuy\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\thu thuy\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\VinaGame\Zing Chat 2\Bin\ZingChat2.exe
C:\Program Files\Lingoes\Translator2\Lingoes.exe
C:\Program Files\Task Killer\TaskKiller.exe
D:\OFFICE_VIETKEY\UniKey 4.0.8 Final\UniKey.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Documents and Settings\thu thuy\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\thu thuy\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - urlSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=Userinit.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\nutafun4.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{52585FBA-1021-421A-964A-B19DEFDA4378}: NameServer = 203.113.131.1
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

--
End of file - 3759 bytes
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 17/06/2009 07:58:56 (+0700) | #2 | 183742
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Máy bạn có (cần) dùng Netware không ?
Export các khóa sau :
Vào regedit của máy tìm đến :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
=> Tìm khóa sau : {CE7C3CF0-4B15-11D1-ABED-709549C10000}
Tương tự tìm đến :
HKEY_CLASSES_ROOT\CLSID\
=> Tìm khóa sau : {CE7C3CF0-4B15-11D1-ABED-709549C10000}
Bạn click chọn từng khóa trên, chuột phải , export khóa đó thành 1 file .reg . Upload và đưa link lên đây .
Gần đây bạn đã xử lí những gì ở máy bạn rồi, nêu đầy đủ ra để dễ theo dõi, máy bạn bị nhiễm malware bao lâu rồi, lúc bị nhiễm máy bạn đã có sẵn AV nào chưa,quét được kết quả thế nào ?

Hijackthis đã ko được update,phát triển tiếp khá lâu sau khi Trend Micro mua lại HJT , nhiều malware đã qua mặt dễ dàng HJT .
Bạn trả lời những điều trên xong, tôi sẽ yêu cầu thêm 1 số log để nắm rõ hơn tình hình máy bạn .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 18/06/2009 01:03:00 (+0700) | #3 | 183801
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Bạn download cái này. http://khaiabc.no-ip.biz:7000/Quick%20(Remove%20Malware)%20(Fix)%20(Get%20Info).rar hoặc http://www.box.net/shared/zm98y3dr0f
Giải nén, chạy file Quick ..

Sau đó chọn Scan

Đợi nó chạy xong, bạn chọn Mini HijackTHis



Rồi gửi log lên đây.


IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 18/06/2009 20:39:53 (+0700) | #4 | 183897
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
a kamikazeq hướng dẫn lại đi
e quét virus bằng eset+bkav mà k có j cả.các soft spyware+malware cũng có xài rùi nhưng k có tác dụng..
{CE7C3CF0-4B15-11D1-ABED-709549C10000}=>không có khóa này trong regedit a bolzano_1989 ạ..
Mạng ở nhà đang lởm, e sẽ up export của khóa lên sau..
Mà máy e rốt cuộc là dính chưởng con j vậy???
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 18/06/2009 21:21:33 (+0700) | #5 | 183900
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Hướng dẫn gì vậy bạn ?
Thì download cái đó về, giải nén, chạy cái file tên Quick Remove.
Chọn Scan ... chờ ... chọn Mini HijackThis ... chờ ... rồi gửi thông tin lên đây.

Sẵn bạn đọc tin nhắn ở diễn đàn dùm mình nha.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 19/06/2009 00:02:21 (+0700) | #6 | 183917
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

themtien111 wrote:
a kamikazeq hướng dẫn lại đi
e quét virus bằng eset+bkav mà k có j cả.các soft spyware+malware cũng có xài rùi nhưng k có tác dụng..
{CE7C3CF0-4B15-11D1-ABED-709549C10000}=>không có khóa này trong regedit a bolzano_1989 ạ..
Mạng ở nhà đang lởm, e sẽ up export của khóa lên sau..
Mà máy e rốt cuộc là dính chưởng con j vậy??? 


Trong HJT log có nó nên key {CE7C3CF0-4B15-11D1-ABED-709549C10000} phải tồn tại .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 22/06/2009 22:42:27 (+0700) | #7 | 184285
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
log key {CE7C3CF0-4B15-11D1-ABED-709549C10000} cho a bolzano nè..ở trong HKEY_CLASSES_ROOT\CLSID\ thực sự là k có key đó thật
http://www.mediafire.com/?jmkzmoyqmtn

Đây là log quick remove của a kamikazeq nè:
http://www.mediafire.com/?gyhimhryzji

Mấy a giúp e nhá. Bây giờ nhà mới có mạng, thông cảm vì sự chậm trễ này nhá
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 22/06/2009 22:57:23 (+0700) | #8 | 184287
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Thực ra việc tìm và export key rất đơn giản, bạn chỉ việc vào Reg editor, search tìm tất cả key liên quan tới : CE7C3CF0-4B15-11D1-ABED-709549C10000 . Thấy key thì chuột phải => export key.
(nhấn F3 để tiếp tục search ) .

Mà những thao tác này có lẽ nhiều bạn không quen nên mình dùng công cụ hỗ trợ vậy.
Bạn hãy thực hiện đúng theo thứ tự và chuẩn xác các bước sau,nếu gặp lỗi hay trở ngại gì thì thông báo ngay :

Bạn vào Windows Explorer, gõ vào thanh địa chỉ : %USERPROFILE% => enter rồi dùng 7-zip hoặc Winrar nén tất cả đối tượng trong folder này lại với tên userprofilebackup.zip hoặc userprofilebackup.rar với password là backup

Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .

Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .

Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chạy và create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .

Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Tiếp tục với AVZ, click menu File => chọn System Analysis => chỉnh "list of processes + DLLs without repeating" thành "list of DLLs for each process", chỉnh "Only active services and drivers" thành "All services and drivers" , click chọn "Add System Analysis log to ZIP" => click Start , chọn nơi save log , chạy xong thì upload file avz_sysinfo.zip và đưa link cho mình .

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Run Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .

Tải : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop . Chạy RootRepeal.exe , click tab Files, click Scan , chọn tiếp tất cả các ổ trong máy => OK .
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này cho mình .

Tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt

Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Chạy ở chế độ mặc định, cứ continue, yes, OK ...
Nén,upload và đưa link 2 file sau : info.txt , log.txt



Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Chạy xong , upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .

Bạn lấy log khoảng 20 phút là xong, trong việc đọc log của bạn tui phải kiểm tra vất vả hơn nhiều, vì thế bạn hãy thực hiện đúng thứ tự và chuẩn xác nhé .
Bước này thực hiện xong, những thao tác còn lại sẽ rất đơn giản trong đa số trường hợp (không có rootkit,driver đặc biệt..) vì mình sẽ viết script làm thay bạn nhiều thao tác diệt malware .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 24/06/2009 20:34:59 (+0700) | #9 | 184485
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
File log GetsystemInfo ne a:
http://www.mediafire.com/?nmemzz3tkej

File log của AVZ:
http://www.mediafire.com/?dhy2iit0xyr
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 24/06/2009 21:55:02 (+0700) | #10 | 184500
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Thật lạ là file sau kích thước chỉ 688 bytes : C:\WINDOWS\system32\userinit.exe .
Bạn upload và đưa link file này giùm mình .
Bạn còn thiếu khá nhiều log mà mình yêu cầu .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 27/06/2009 10:26:42 (+0700) | #11 | 184758
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
File userinit ne bolzano, thông cảm cho mình vì không có thời gian để thực hiện được hết các yêu cầu của c
http://www.mediafire.com/?qzqjqmlmi4q
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 27/06/2009 12:21:01 (+0700) | #12 | 184765
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Ca malware của bạn khá đặc biệt so với nhiều ca khác .
Nếu lấy log HJT là đã bị qua mặt rồi , bạn thấy chứ smilie .
Mới chỉ 2 log mà đã lòi ra em : C:\WINDOWS\system32\userinit.exe (userinit.exe thật đã bị move đi đấu đó rồi. )
Mình rất tiếc nếu bạn không tiếp tục được , ca này khá thú vị, vừa là backdoor, vừa là trojan dropper .
Những ca như bạn càng cần lấy đầy đủ các log mà mình yêu cầu vì sai sót nếu có sẽ khá nguy hiểm .
Đừng chờ ai đó vào phán dùng AV nào là giải quyết xong ca này !
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 28/06/2009 00:51:28 (+0700) | #13 | 184786
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Uhm. Vậy thì m sẽ cố gắng làm theo cách của c. Nhưng link của RootRepeal,DDS, RSIT, MGTools đều k xài được c ạ.
Mà con userinit.exe bjo xử lý thế nào vậy c?
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 28/06/2009 00:54:25 (+0700) | #14 | 184787
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Mình vừa vào chế độ savemode để quét bằng AVZ4. phát hiện 7 con virut, có cả backdoor rùi telnet client j nữa, mình đã delete cả thư mục đó đi rùi. Liệu có ok k hả bolzano?
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 28/06/2009 01:56:35 (+0700) | #15 | 184788
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

themtien111 wrote:
Uhm. Vậy thì m sẽ cố gắng làm theo cách của c. Nhưng link của RootRepeal,DDS, RSIT, MGTools đều k xài được c ạ.
Mà con userinit.exe bjo xử lý thế nào vậy c?
 


Bạn chú ý dùng tiếng Việt chuẩn trong forum .
Những link tải các chương trình trên mình đều dùng được, bạn có thể mở new tab với address là các link đó là trình duyệt sẽ tự tải về .
OK hay không thì mình không rõ, vì không biết bạn delete những gì rồi, bạn delete bằng tay hay AVZ tự delete giùm bạn ? Trước khi delete bạn nên nén những file bị nhiễm malware lại với password là malware hoặc infected , đôi lúc không có mẫu sẽ khó mà diệt triệt để được .

Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 29/06/2009 09:24:47 (+0700) | #16 | 184893
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Uhm. Cho mình xin lỗi. Quen kiểu chat rùi. Hi..
Mình đã làm rùi nhưng không thể down được mấy cái app mà cậu cho..
Mình view log trong AVZ rùi chọn delete nó đi, mình thấy toàn là file exe trong máy bị nhiễm như unikey...
Đây là quarantine và infected nè. Xong vụ này mong cậu chỉ cho mình cách chek log. ok?
http://www.mediafire.com/?emtokzidjtw
Cảm ơn nhiều./.
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 29/06/2009 09:46:57 (+0700) | #17 | 184894
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Đã cho vô đây hết rồi, đừng nói là không tải đc nha :
http://www.mediafire.com/?n2gyjmqylyy
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 30/06/2009 12:09:07 (+0700) | #18 | 185035
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Được rùi..Thanks cậu!
Đây là toàn bộ file log của các bước mình thực hiện theo hướng dẫn ở trên:
http://www.mediafire.com/?tagnmmkumye
Mà máy mình hiện tại còn có triệu chứng là BKAV báo có virut, đã diệt..Nhưng mỗi khi vào các ổ trong máy thì vẫn còn báo có virut, thật là phiền toái.
Mong cậu giúp đỡ..
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 30/06/2009 12:38:22 (+0700) | #19 | 185038
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn chưa chạy thành công MGtools, nên số log lấy được của MGtools rất ít, bạn có thể tải về và xem thử số log tương đối đủ của MGtools (giải nén file MGlogs.zip ) trong link này ở cùng forum : http://www.box.net/shared/3nzlak7f13
Khi chạy MGtools bạn chịu khó chờ, dù màn hình có đứng yên, tối thui, nếu nó đòi install/cài thứ gì , bạn cứ OK/yes/continue.. phải chờ cho đến khi nó chạy xong , enter là nó tự exit . Nếu nó có thông báo lỗi gì, bạn ghi lại dòng thông báo hoặc chụp lại hình để tui xem cũng được .

Hic, không ngờ những ca cung cấp đủ "super full log" đầu tiên ở HVA toàn là ca khó và nguy hiểm không trời smilie , tui đang và sẽ cố hết mình nhưng nếu không may có sai sót gì thì rất tiếc (bạn tự backup lại dữ liệu ở ổ cài hệ điều hành trước ) .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 01/07/2009 09:19:58 (+0700) | #20 | 185092
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Sau khi lấy log MGtools, đề nghị bạn thực hiện những thao tác sau:

Bạn vừa install Kaspersky, 1 máy không nên có 2 antivirus cùng lúc, bạn hãy uninstall 1 trong 2 AV Kaspersky , Eset khỏi máy .

Thực hiện đúng thứ tự và chuẩn xác :
Kiểm tra 2 folder sau trong máy có chưa, nếu chưa có folder nào thì tạo folder đó : c:\i386\ và C:\WINDOWS\system32\dllcache\ .
Tiếp tục với Combofix :
Trước khi chạy Combofix, bạn hãy thực hiện những bước sau :
_ Tắt hẳn tất cả các cửa sổ (thư mục,ứng dụng..) trên máy bạn và những chương trình liên quan đến security trong máy như Antivirus, Firewall, Antispyware... kể cả trên thanh System tray. Hướng dẫn tắt 1 số security software nếu bạn chưa rõ ở http://www.bleepingcomputer.com/forums/topic114351.html => đề nghị bạn xem kĩ hướng dẫn ở link này .
_ Tải http://www.forospyware.com/sUBs/ComboFix.exe và để ở nền desktop, đổi tên file thành CBFix.exe .
Tải file sau userinit.exe : http://www.box.net/shared/5z15e30tbq và save vào cả hai thư mục c:\i386\ và C:\WINDOWS\system32\dllcache\ , nếu có thông báo hỏi có overwrite (chép đè) hay không thì bạn chon Yes, rồi tắt trình duyệt và trình download đi .
Click chạy CBFix.exe . Combofix yêu cầu hay hỏi gì, bạn cứ chọn Yes hay OK .
Khi thực hiện xong màn hình sẽ hiện ra 1 file log mở bằng notepad , bạn post nội dung file log/upload và post link file log lên diễn đàn cho mình (đó cũng chính là nội dung của file C:\ComboFix.txt ) . Bạn nén và upload thư mục sau cho mình : C:\Qoobox\Quarantine\ . Nếu combofix yêu cầu restart hay tự động restart, bạn hãy để thực hiện theo yêu cầu .
Chú ý: Khi combofix chạy xong, màn hình sẽ tự động hiện ra 1 file log mở bằng notepad . Khi chưa chạy xong, dù màn hình có vẻ bất động, bạn tuyệt đối không dừng,tắt combofix đi , click chuột lung tung trên máy hay tắt/khởi động lại máy.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 06/07/2009 22:13:57 (+0700) | #21 | 185568
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Đối với MGTools, số log thu được vẫn chỉ có thế thôi bolzano ạ, mặc dù mình đã chờ 30 phút
Hiện tại máy mình đã không thể kết nối mạng, không mở được cả network connection luôn
Đang chạy ComboFix thì máy bị restart, và không vào được win nữa, vào lại out ra luôn.
Hiện tại thì máy đơ luôn rùi, không làm được j nữa, mình cài lại win cũng không được, nó thông báo không copy được file p3.sys, nhấn esc bỏ qua thì cũng không copy được các file sau nó như modem.sys, parport.sys...
Bây giờ mình phải làm thế nào vậy vậu???Hix..Lần đầu tiên gặp con virut đau đầu thế này
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 07/07/2009 01:03:55 (+0700) | #22 | 185590
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Về MGTools chạy thất bại, hoặc bản Win của bạn có vấn đề (1 bản Win Unattended chẳng hạn) hoặc bạn không thực hiện chính xác theo những chỉ dẫn chi tiết của tôi . Như tôi đã nhắn với bạn ở 1 post khá lâu rồi "bạn tự backup lại dữ liệu ở ổ cài hệ điều hành trước" , đó là vì tình huống của bạn, nhiều file của hđh đã bị thay bởi file giả của malware, dù scan bằng AV hay không vẫn cần backup lại dữ liệu trước khi tiến hành quét .
Việc thứ hai cần khẳng định là tôi rất ngại hướng dẫn cho những bạn thích táy máy ở máy họ, không xem kĩ hướng dẫn của tôi, topic bị bỏ dở lâu ngày, họ tự xử lí với một số chương trình mà họ thu nhặt được đâu đó và cuối cùng là vô báo cáo hậu quả .

Nếu bạn đã làm đúng những gì tui hướng dẫn rồi, bạn có thể format lại toàn bộ ổ đĩa đó và cài đặt Windows lại từ đầu ,mọi chuyện sẽ trơn tru .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 07/07/2009 02:19:06 (+0700) | #23 | 185593
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Mình làm đúng hướng dẫn của cậu rùi đó, nhưng mà không hiểu sao không vào được win nữa..Hiện tại việc cài win cũng không thể nữa..Không biết làm sao..
Cậu có thể hướng dẫn cho mình được không, mà máy mình nhiễm con malware j mà nguy hiểm vây? Phương thức nhiễm là sao?
Cảm ơn cậu đã hướng dẫn..Hix..
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 07/07/2009 03:18:25 (+0700) | #24 | 185598
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn format lại ổ cài Win rồi cài Win vào, bạn không format ngoài Dos được à ?
Giải pháp mình hướng dẫn chỉ dùng tốt khi máy bạn chưa có thay đổi quan trọng nào do bạn thực hiện hoặc do chính từ virus, tốt nhất là thực hiện ngay sau khi tôi hướng dẫn . Nếu thời gian quá lâu, bạn phải lấy lại đủ các log từ đầu để tránh rủi ro . Lưu ý là bản thân virus sau vài ngày có thể thay đổi cách ẩn náu hay hoạt động trong máy bạn .
Đó là 1 trong những lí do tôi không muốn tiếp tục làm việc với những bạn không thực hiện theo hướng dẫn của tôi sau quá 3 ngày mà còn thích tự cài đặt lung tung .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 07/07/2009 03:26:52 (+0700) | #25 | 185600
[Avatar]
themtien111
Member

[Minus]    0    [Plus]
Joined: 21/02/2009 13:40:41
Messages: 17
Offline
[Profile] [PM]
Minh format rui nhung van khong cai duoc win nua..Hien tai ca 2 may trong phong minh deu bi virut, khong xai unikey duoc, cau thong cam..Trieu chung trong khi cai win minh post o ben chuyen muc thao luan ve window rui
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 07/07/2009 04:23:12 (+0700) | #26 | 185608
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Đĩa Win có lỗi rồi .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Chek hijackthis hộ mình với 16/07/2009 11:07:46 (+0700) | #27 | 186440
[Avatar]
xichjum
Member

[Minus]    0    [Plus]
Joined: 14/07/2009 11:02:58
Messages: 9
Offline
[Profile] [PM] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|