Messages posted by: kamikazeq

Log HijackThis có từ đầu bài kìa bạn.

Mình nghĩ đây có thể chỉ là tàn dư của Malware phá, hoặc do ai đó quạy nên mới ra thế.

PS: mình vẫn đang tìm hiểu.

Ở đây có 2 lỗi:

1) Lỗi tạo shortcut khi double click vào biểu tượng IE. Không rõ lý do gì mà bạn bị sai hoặc xóa một số Reg key ấy. Bạn down http://www.mediafire.com/?ijdmjhymdtl để Fix nha.

2) Lỗi này nghe lạ hoắc trời. Đã vào IE rồi, gõ trong ấy mà nhảy qua FF thì đúng là bó tay thiệt. Mình không nghĩ là do Default Browser. Dù gì thì cocondihoc cũng thử theo cách bạn minhkan chỉ xem.

Bạn gửi cái Log HijackThis lên đây luôn.

Nhân tiện chạy http://www.box.net/shared/zm98y3dr0f xem có báo autorun gì không he.

Gặp mấy con khủng quá như thế, trước tiên cứ cài thử BKAV (vì thằng này ít bị Malware đại gia để ý).
Cho nó quét coi lòi ra con nào không. (tình trạng bạn kể nghe sao giống dính tụi lây file). Từ những log của BKAV sẽ ít nhiều biết được dính con loại gì.

Nhỡ đâu đó không phải là lây file thì còn hi vọng nhiều hơn smilie

Mình xin khẳng định là con Malware bạn đã đang dính không có gây ra hiện tượng đó.
Có thể vì lý do nào khác thôi.

Bạn nói là mở thư mục hay ổ đĩa hay bất kì gì đều bị mở thêm ra MyComputer? Bạn thử Right Click lên thư mục hoặc ổ đĩa , sau đó chụp hình cái Menu đó lên đây xem.

Sau khi xóa xóa hết như bạn nêu, bạn double click vào thư mục hay ổ đĩa, nó mở ra My Comp...

Bạn có chắc là nmdfgds?.dll được xóa hết không? (cái dấu ? đó ý nói là có thể có nmdfgds0.dll nmdfgds1.dll nmdfgds2.dll )

Rồi bạn có kiểm tra xem cái con olhrwef.exe và nmdfgds0.dll lại được sinh ra không?

Để chắc chắn hơn trong việc xóa nó lẫn động tác mở ổ đĩa, bạn chạy http://www.box.net/shared/zm98y3dr0f nha.

KeyTweak: chỉ được 1 đổi 1

KeyStroke Converter: Có nhiều kiểu trong soft này.
Một chức năng là: có thể gán cho 1 phím thành 1 chuỗi phím.
Ví dụ: nhấn phím Up Arrow thì nó sẽ thực hiện lần lượt nhấn phím E và P.
Nhưng thực sự thì nó theo phương thức :
E (đè) -> E (thả) -> P (đè) -> P (thả)
hoặc E (đè) -> P (đè) -> E (thả) -> P (thả)

Nó sẽ thực hiện chỉ một lần nhấn E và P.
Ở phần đó mình có thể Edit nó thành E (đè) -> P (đè) khi nhấn (đè và thả) phím Up Arrow.
Với edit trên, khi nhấn (đè và thả) Up Arrow, nó sẽ (đè) cả E và P hoài luôn.

Khả năng của soft mà mình cần là:
Khi nhấn Up Arrow (đè trong 5 giây) thì cả E và P cũng sẽ (đè trong 5 giây), và đương nhiên khi (thả) thì tất cả cùng (thả).

@AH:

được dịp thì cho nó vô luôn chứ. Có điều là phải có mầm chồi gì của nó mới tái tạo lại hiện trường, từ đó mới có khả năng fix được tốt hơn. Chứ mình theo topic này hoài mà có nắm được gì ráo đâu :">

http://www.mediafire.com/?5fn5cymdki2
Tính tải về vọc thử. Ai ngờ nó nặng kinh 80MB smilie

Ủa, vậy hóa ra chủ đề đó thuộc box kín hả anh conmale ?

maithangbs wrote:

BKAV clear ngay cái đoạn code để jump đến đoạn mã virus rồi thì làm sao mà "con" virus đó thực thi được (mặc dù vẫn còn đoạn mã virus đó trong file). Thế nên khi BKAV clear virus rồi mà vẫn còn antivirus phát hiện ra mẫu virus trong file (của bạn kamikazeq).

Đúng là còn sót lại lè tè vài anh Anti phát hiện.
Vậy một vài Anti đó quá cẩn thận hay tại cái đám Anti nổi tiếng kia không thèm ngó ngàng (khi mã Virus không được gọi tới trong cấu trúc file exe đó) !?

À, cái tool ấy chỉ xóa vài con nhất định mà thôi. Và chắc chắn rằng không xóa bừa smilie

.
Lây file thì không có chơi.
Còn chuyện con nào đó ghi đè vào một vài File nào đó thì phải khắc phục bằng tay thôi (tìm File sạch mà đắp vào).

Bạn xem thêm /hvaonline/posts/list/27338.html

@bolzano_1989:
Một ví dụ là: có 1 File sạch hoàn toàn nặng 80 KB, dính vào nặng khoảng 130-150 KB. Sau khi sửa xong thì nó cũng còn nặng ì 130-150 KB vì chỉ là sửa thôi chứ đâu có clear smilie

. Nếu đủ trình thì clear đẹp hơn.

---
Mình vẫn thường nghe một số lượng đông đảo người dùng chê BKAV dở này nọ (ừ thì nó cũng dở thiệt ở nhiều khía cạnh nào đó). Thế nhưng ở điểm trong topic này, bác nào có thể phân tích "sự tình" ra sao không? Phải chăng ít ra thì BKAV cũng "pro" được một ít đấy chứ không hẳn là "cùi" toàn phần smilie

!?

Một người ở VVN wrote:

Con Polip này sử dụng kỹ thuật Entry-Point Obscuring tức là sẽ patch vào một lời gọi API để chuyển đến thực thi mã virus. Như bạn thấy ở trên thì ban đầu file bị nhiễm là một lệnh gọi đến code virus (E8 18 09 02 00) sau khi quét xong thì BKAV khôi phục lại lện gọi dến API ban đầu (FF 15 cc 22 41 00). Còn đoạn trên thì là sửa lại tên của section chứa virus thôi. Điều khó là làm sao BKAV phát hiện và biết Polip sửa lệnh call đến API nào để khôi phục lại cơ.

Đây là con kavo biến thể cũng hơi mới mới.

Cái log HijackThis kia không thấy khóa đăng kí của nó, có lẽ do bạn Fix mất tiêu.

Con này nó gồm những file sau đây, bạn có thể tự tìm xóa bằng nhiều cách.

%windir%\system32\nmdfgds?.dll
%windir%\system32\olhrwef.exe
------
Hoặc chạy http://www.box.net/shared/zm98y3dr0f để diệt nó.

Thì cũng ráng google từ khóa mẫu Malware Virus chắc cũng được một mớ.

@lovehack:
Bạn vui lòng ngó lên phần Tin nhắn riêng được không?

Bạn down http://www.box.net/shared/xuaob0gfyk. Right click lên nó, chọn Install. Sau đó thử chạy một chương trình exe nào đó mà trước đó bị khóa xem sao.

Bạn down lại http://www.box.net/shared/f64shj3or7 rồi chạy , và lại kiểm tra thư mục MauVirus ở ngoài Desktop lần nữa xem có gì ở trỏng không. Nếu có thì tiến hành gửi lên đây nha.

http://www.mediafire.com/?ju9dyihcdgy file đang bị nhiễm POLIP | http://www.mediafire.com/?x1km3myg2kn file sau khi BKAV chữa lành.
[COLOR="Red"]
[SIZE="3"]Quét Online file đang nhiễm Polip[/SIZE][/COLOR]

[COLOR="Lime"][SIZE="3"]Quét Online file sau khi BKAV chữa[/SIZE][/COLOR]

-----
Đây là hình ảnh so sánh dưới dạng Byte

Tổng cộng BKAV sửa 13 Bytes.

Sau khi BKAV chữa thì file đó Run lại được ngon lành và không bị lây nhiễm từ file đó.

OK
Tiếp tục chạy http://www.box.net/shared/v2dsl1pzl1. Sau khi chạy, sẽ xuất hiện thư mục MauVirus ở ngoài Desktop. Trong thư mục ấy đã có mầm virus.
Bạn chỉ việc nén thư mục đó lại và Upload lên host (mediafire.com chẳng hạn) rồi gửi link nó lên đây.

------
Bạn post log HijackThis lên đây luôn cái.

Hướng dẫn gửi log HijackThis
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe --> Chạy nó.

Rồi

Post cái log HijackThis lên đây xem.
Chạy thêm http://www.box.net/shared/zm98y3dr0f xem có báo autorun gì gì không?

[AutoRun]
;ythOum xuNxeh jmdPk
;AYwGOv QMuy
Shell\expLorE\ComMAnd=nmdu.exe [1]
;anyAnoxHvx kpuIuaeYg
opEn= nmdu.exe [2]
sheLl\open\DeFault=1 [3]
;
sheLL\oPEn\cOmmaNd =nmdu.exe [4]

;
ShelL\AUtOPLay\CoMmanD= nmdu.exe [5]

[1] Tạo tùy chọn expLorE (dẫn tới Malware) khi RightClick vào ổ
[2] Cắm ổ USB vào là chạy Malware liền
[3] Mặc định (In đậm) tùy chọn opEn (dẫn tới Malware) khi DoubleClick vào ổ
[4] Tạo tùy chọn oPEn (dẫn tới Malware) khi RightClick vào ổ
[5] Tạo tùy chọn AUtOPLay (dẫn tới Malware) khi RightClick vào ổ

Còn vụ file kia là exe hay bat thì từ từ bạn sẽ hiểu.

Thử:
Right Click vào Desktop -> Properties -> Appearance
Ở phần Windows and buttons: , chọn Windows Classic style -> Apply. Sau đó chọn trở lại Windows XP style -> Apply.

notbad wrote:

Mình post lên đây một số máy như bạn nói nhé (hơi nhiều chút)

MÁY 1
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Documents and Settings\user\Desktop\Lichvansu20.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\UniKey\UniKey.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
Z:\Parent.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\system32\WISPTIS.EXE
Z:\OM\4011000.EXE
\192.168.82.149\d$\Share\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://vn.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://au.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://au.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.138.108.229:50050
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe
O4 - HKLM\..\Run: [Lichvansu20.exe] C:\Documents and Settings\user\Desktop\Lichvansu20.exe
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtdEVA 2002\DATA\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKey.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_0 -reboot 1
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt407YYVN
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.hyosung.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F336C75-1453-4F45-A0A5-CE122EE6C4A9}: NameServer = 203.162.4.190,210.245.24.20
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe

MÁY 2

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bkav2006\Bkav2006.exe
C:\Program Files\UniKey\UniKey.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\DOCUME~1\KIMTUY~1\LOCALS~1\Temp\287.exe
C:\DOCUME~1\KIMTUY~1\LOCALS~1\Temp\140.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
\192.168.82.149\d$\Share\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dir.diemgame.net
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BkavFw] C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKey.exe
O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-2322809350-0212456492-246062311-2783\winservices.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.hyosung.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8569D715-FF88-44BA-8D1D-AD3E59543DDE} (ActiveReports Viewer2) - http://www.covcci.com.vn/Controls/arview2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6E7A0FD-1B82-4331-9838-A5D718B97346}: NameServer = 150.15.101.1,210.245.24.20
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

Nhìn log 2 máy đúng là con đó rồi.

Bạn đã thử chạy http://www.box.net/shared/zm98y3dr0f chưa ?

Có khi nào con của bạn giống bên này không nhỉ !? /hvaonline/posts/list/27642.html
Bạn thử qua làm theo hướng dẫn của mình xem.
Bên đó có chỉ cách làm bằng tay hoặc dùng tool chạy.

---------
Nếu làm xong cả 2 cách mà không giải quyết được. Bạn Post HijackThis log lên đây nhé.
Hướng dẫn gửi log HijackThis
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe --> Chạy nó.

Rồi

_ Giải nén con Forever ra , đã bị Anti bắt rồi mà còn dính vào máy à !? (có 2 điểm cần xét đây)

_ Giải nén xong, Forever bị bắt xong, là bị RE máy hả bạn ? (có dấu hiệu gì không ?)

_ Bạn gửi mình nguyên cái file nén con Forever lên đây nhé.

PS: con này cũ rồi, nếu ai đem về nghịch mà lỡ dính thì chạy tool dưới nha.

@nobita2012:
Chưa mở được USB là tại con Virus chứ gì nữa. Không giải quyết nó thì phải mở bằng nhiều kiểu khác thôi.

@chủ topic:
Vấn đề này bàn nhiều rồi. Sao chủ topic không tìm hiểu nhỉ.
Muốn mở USB được bằng Double Click thì chạy cái này http://www.box.net/shared/zm98y3dr0f
Còn con virus trong máy và USB thì bạn tìm cách giải quyết hoặc post lên đây nhé smilie

_ Không có hại gì cả nếu không có Link kèm và không click.

Uầy sao bạn không gửi thông điệp có kèm link Virus ấy lên đây nhỉ. (đừng gửi Spam không có link nha smilie

)

Theo lời bạn kể thì:

1) Máy bạn chắc chắn đang dính 1 con Malware Yahoo. Bạn có thể gửi cái Link mà nó SPAM lên đây không ?

2) Mấy câu Spam mà không có Link kèm theo thì 99% không là Virus. Nó là do mấy người nhát - rảnh - thiếu kiến thức SPAM mà thôi.

Bạn dựa vào đâu mà chắc rằng máy bạn không dính Malware nè ? (đừng nói là đang xài 2 cái Anti trở lên nha)

Ý, khoan

. Mình nghe chưa kịp.

@jforum3000:
Bạn nói lại tuần tự xem nào. Có phải là:

1. Đem file rar vào thư mục gốc (ổ C: chẳng hạn).
2. Bung nén ngay tại đó.
3. Restart tiến trình explorer.exe.
4. ...... (làm gì nữa vậy bạn).

Các bước của bạn là sao vậy?