banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Giúp diệt virus.  XML
  [Question]   Giúp diệt virus. 09/03/2010 14:59:37 (+0700) | #1 | 206499
mr.tee
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 01:18:07
Messages: 58
Offline
[Profile] [PM]
Hiện nay máy mình không rõ lý do mà thường xuyên tự mở trình duyệt IE, truy cập vào link

http ://js.k0102.com/ad.asp 

Mình bỏ cách link trên, đề phòng những bạn không có sẵn anti virus truy cập.

Sau vài hôm tìm kiếm trên google thì thấy có người cho là spyware, nên mình đã thử một chố soft anti như KAS, BIT, Avira, nhưng không có kết quả. Sáng nay mình cài lại windows, sau đó cài lại các chương trình của mình theo tiến trình bình thường, nhưng vẫn không ăn thua.
ai biết cách trị con này thì giúp mình với. Cảm ơn mọi người đã quan tâm.

Đây là kết quả Hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:00:54 AM, on 3/9/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\com\smss.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\com\lsass.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O13 - Gopher Prefix:

--
End of file - 3011 bytes
 
Après la pluie, le beau temps
[Up] [Print Copy]
  [Question]   Giúp diệt virus. 09/03/2010 16:12:57 (+0700) | #2 | 206508
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn thử dùng http://pcu.cmclab.net/download/setupCMCIS.exe xem, nhớ update đầy đủ trước khi quét.
Nếu có mẫu virus mà CMC AV chưa nhận diện thì bạn có thể phối hợp http://download.sysinternals.com/Files/Autoruns.zip, http://download.sysinternals.com/Files/ProcessExplorer.zip, http://www.filehippo.com/download_hijackthis/, nội dung các file Autorun.inf trong máy bạn và trang http://www.virustotal.com để tìm ra một số virus trong máy bạn.

Bạn nén lại hết tất cả các file mà bạn phát hiện có virus (có thể dùng trang http://www.virustotal.com để tự kiểm tra file trước) rồi vào trang sau để gửi mẫu malware (virus...) trực tiếp cho mình, đăng nhập với Username và
Password đều là malware : http://bolzano1989.x10hosting.com/Malware_Upload/ft2.php . Mẫu sẽ được gửi về cho CISLab của CMC và một số hãng khác, tôi sẽ thông báo cho bạn sau khi đã xử lí xong.

Bạn nên tự kiểm tra Rootkit ở máy bạn rồi khởi động lại máy vào Windows Recovery Console để xóa các file của Rootkit và malware ở máy bạn.

Nếu sau khi đọc và tìm hiểu theo hướng dẫn trên mà vẫn không biết làm gì nữa thì bạn hãy thực hiện theo các bước sau, nếu thuận tiện mình sẽ giúp bạn:
Gửi log Hijack Hunter:
Nếu máy bạn đã cài đặt Hijack Hunter bản cũ, bạn cần uninstall Hijack Hunter trước khi cài đặt bản mới (không cài đè).
Bạn hãy tải và cài đặt mới Hijack Hunter từ link sau:
http://downloads.novirusthanks.org/files/hijackhunter_setup.exe
Chạy Hijack Hunter rồi click nút Scan PC:




Hijack Hunter sẽ tiến hành scan ở máy bạn. Sau khi việc scan hoàn tất, sẽ có một cửa sổ mới được mở bằng notepad chứa kết quả scan (log) được mở.
Ở cửa sổ mới, click vào menu Edit, chọn "Select All", tất cả nội dung file log sẽ được chọn.
Click Edit, chọn Copy, tất cả nội dung file log sẽ được copy vào clipboard, bạn hãy gửi nội dung file log này vào topic này.

Tải file sau vào ngay nền desktop: http://www2.gmer.net/mbr/mbr.exe
Chạy mbr.exe , khi chạy xong bạn mở file MBR.log vừa được tạo ở ngay nền desktop bằng Notepad, post kết quả scan lên diễn đàn cho mình.

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All


Xong rồi thì click Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link lên diễn đàn cho mình .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Giúp diệt virus. 10/03/2010 13:49:31 (+0700) | #3 | 206569
mr.tee
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 01:18:07
Messages: 58
Offline
[Profile] [PM]
khi sử dụng GMER thì máy mình hoat động chậm hẳn, để cho GMER hoạt động thêm 1 lát thì gần treo luôn máy.
Tạm thời mình sử dụng CMC thì thấy không bị bật IE truy cập vào đường link kia nữa, nhưng thi thoảng lại thấy CMC cảnh báo về 1 file , có địa chỉ

C:\Windows\System32\com\smss.exe - Generic.Win32.SdBot!CMCRadar

Trước khi sử dụng CMC thì thi thoảng thấy windows báo file này bị not responding.

Ngoài ra còn 1 số file có tên pagefile.pif , được nhận diện là Heur.Win32.MalformedExt,nằm trong 3 ổ còn lại. Nếu vài hôm nữa tình trạng kia tiếp tục xảy ra thì mình sẽ nhờ các bạn giúp tiếp.

Après la pluie, le beau temps
[Up] [Print Copy]
  [Question]   Giúp diệt virus. 10/03/2010 15:28:14 (+0700) | #4 | 206581
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Những file mà CMCAV phát hiện ở dạng Generic là những file bạn cần upload mẫu để diệt triệt để đấy. Bạn hãy đọc kĩ lại và thực hiện theo hướng dẫn ở trên của mình.

Bạn hãy tắt System Restore và quét lại toàn máy với CMCAV 2 lần và cho biết tình hình máy bạn sau khi thực hiện xong.

Bạn nén lại hết tất cả các file mà bạn phát hiện có virus (có thể dùng trang http://www.virustotal.com để tự kiểm tra file trước) rồi vào trang sau để gửi mẫu malware (virus...) trực tiếp cho mình, đăng nhập với Username và
Password đều là malware : http://bolzano1989.x10hosting.com/Malware_Upload/ft2.php . Mẫu sẽ được gửi về cho CISLab của CMC và một số hãng khác, tôi sẽ thông báo cho bạn sau khi đã xử lí xong.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|