[Question] virus gì đây?? |
12/05/2008 21:29:36 (+0700) | #1 | 130155 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
Máy em bị con virus, triệu trứng thế này, các bác kiểm duyệt hộ em.
Bình thường, khi bật máy (win xp) thì có cho chọn cổng vào(nháy chuột trái vào tên truy cập và điền password)
Nhưng hiện nay, nó ra một bảng để điền cổng vào(một kiểu khác của windown xp-gõ tên cổng vào và password như kiểu đăng nhập web đó) nhưng mà em ko chỉnh gì để nó hiện như thế và cũng không biết chỉnh. Nhưng đó ko phải vấn đề. Vấn đề là sau khi:
loading your pesonal setting
rồi thì nó tắt cái bảng đấy như bình thường, cũng nhìn thấy cái background picture rồi, nhưng ko có taskbar và icon . Nhưng một lúc sau cái bảng đấy hiện ra và ghi:
[b]logging off[/b]
Sau đó nó lại đòi cổng vào và password.
Vậy đó là virus gì?? Các bro chỉ bảo |
|
|
|
|
[Question] Re: virus gì đây?? |
12/05/2008 21:41:31 (+0700) | #2 | 130158 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
Ngoài ra còn một số triệu trứng khác thể hiện máy nhiễm virus , đó là:
-Trước giờ em vẫn cho hiện các file ẩn và đuôi của file, nhưng bây giờ thì không hiện nữa.
-Trong một folder, khi nháy menu tool thì không thấy dòng folder options nữa.
-Các process lạ khi khởi động:
+flashy boot(hình dạng 1 folder, máy tính ko thể nhận dạng được đây là dạng process gì, không rõ nguồn)
+reminder32.exe [hình 1 ngón tay chỉ lên trên và bị buộc dây, nguồn(chắc là thế:manufacturer) là :hewlett-packard]
+Còn cái "CTF loader" chắc không phải, nhưng em ít khi thấy nó lắm. |
|
|
|
|
[Question] Re: virus gì đây?? |
12/05/2008 22:58:51 (+0700) | #3 | 130166 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
hic, con này có khó quá không mà sao mãi chưa thấy bro nào giúp em thế? Hay con này ko đang để các bro ra tay nhỉ?( |
|
|
|
|
[Question] virus gì đây?? |
12/05/2008 23:17:41 (+0700) | #4 | 130171 |
|
vumanhkientb
Member
|
0 |
|
|
Joined: 02/12/2006 10:18:11
Messages: 464
Location: đâu kệ tôi.
Offline
|
|
akirasan wrote:
Máy em bị con virus, triệu trứng thế này, các bác kiểm duyệt hộ em.
Bình thường, khi bật máy (win xp) thì có cho chọn cổng vào(nháy chuột trái vào tên truy cập và điền password)
Nhưng hiện nay, nó ra một bảng để điền cổng vào(một kiểu khác của windown xp-gõ tên cổng vào và password như kiểu đăng nhập web đó) nhưng mà em ko chỉnh gì để nó hiện như thế và cũng không biết chỉnh. Nhưng đó ko phải vấn đề. Vấn đề là sau khi:
loading your pesonal setting
rồi thì nó tắt cái bảng đấy như bình thường, cũng nhìn thấy cái background picture rồi, nhưng ko có taskbar và icon . Nhưng một lúc sau cái bảng đấy hiện ra và ghi:
[b]logging off[/b]
Sau đó nó lại đòi cổng vào và password.
Vậy đó là virus gì?? Các bro chỉ bảo
- Về cái giao diện của tên truy cập thì chưa chắc đã là do Virus gây ra. Bạn có thể vào Control Panel\ User Acount và sau đó Click chọn Change the way user logon or logoff và đánh dấu vào ô User the Wellcom screen và click Apply là nó lại trở lại tình trạng ban đầu cho bạn.
akirasan wrote:
Nhưng đó ko phải vấn đề. Vấn đề là sau khi:
loading your pesonal setting
rồi thì nó tắt cái bảng đấy như bình thường, cũng nhìn thấy cái background picture rồi, nhưng ko có taskbar và icon . Nhưng một lúc sau cái bảng đấy hiện ra và ghi:
[b]logging off[/b]
Sau đó nó lại đòi cổng vào và password.
Về vấn đề này thì có lẽ là máy bạn bị nhiễm con Virus chỉnh sửa Registry rồi. Bạn có thể tham khảo cách xử lý vụ này tại đây. --> /hvaonline/posts/list/9194.html
Chúc may mắn./. |
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 01:46:09 (+0700) | #5 | 130199 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
@akirasan: Chào bạn!
Trường hợp của bạn được lý giải như sau:
Do file userinit không được nạp lúc khởi động nên nó chỉ hiện ra 1 cái màn hình trắng như vậy.
Lúc đó bạn có thể ấn: CTRL+ALT+DEL để hiện taskmanager, sau đó vào File -> New task gõ: explorer.exe thì sẽ sử dụng được bình thường.
Về cách sửa thì bạn có thể lựa chọn các cách sau:
1. Update ctrinh diệt virus để diệt + cài repair Windows.
2. Diệt tay:
B1: xác định nguyên nhân file userinit.exe không được nạp, có thể có 2 nguyên nhân:
- Key nạp userinit bị sai: Giải quyết như rất nhiều bài hướng dẫn đã nêu trong HVA và trên mạng. Diệt tay với các virus trong may.
- File userinit bị virus lây vào => hỏng không chạy được nữa (khi chạy sẽ có thông báo lỗi): Khắc phục tạm thời: copy file userinit từ máy khác sang. Chú ý trong trường hợp này bắt buộc phải update ctrinfh AV vì 99% là bị nhiễm virus lây file rồi.
buồn ngủ quá đi ngủ đã. ) hi vọng bạn thành công.
Gluck=;
|
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 09:11:19 (+0700) | #6 | 130246 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
Đã làm theo các cách trên nhưng ko dc.
-AVG bản mới nhất, nhưng ko chạy được ở safe mode
-CTRL+ALT+DEL = ko có gì xảy ra, log off user thì làm sao mà dùng lệnh này được! Chứ ko phải ra màn hình nền rồi đứng đó đâu, nó log off user bắt đang nhập lại mà ko dc.
-Dùng regedit thì ko dc. Em xem key thì ko thấy userinit và sell. Em thử tạo thêm và thêm giá trị như trên tình hình vẫn không khá hơn.
(((((
Các pro còn cách nào ko, cứu cứu |
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 09:32:48 (+0700) | #7 | 130250 |
|
darthtuan
HVA Friend
|
Joined: 10/08/2003 11:57:02
Messages: 312
Location: Trại cai nghiện
Offline
|
|
Post log hijackthis lên xem.
PS: Sorry đã sửa lỗi chính tả. |
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 09:35:30 (+0700) | #8 | 130252 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
darthtuan wrote:
Post log hackthis lên xem
Hic hic, đây là cái gì vậy? |
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 09:56:20 (+0700) | #9 | 130262 |
nkp
Member
|
0 |
|
|
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
|
|
Anh ấy viết nhầm ấy mà.Ý anh ấy là bạn Post log Hijack This lên cho mọi xem thử máy bạn có thể bị nhiễm gì đó.Nếu bạn không có Hijack This thì download tự link này http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip |
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 12:22:52 (+0700) | #10 | 130289 |
|
maithangbs
Elite Member
|
0 |
|
|
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
|
|
nkp wrote:
Anh ấy viết nhầm ấy mà.Ý anh ấy là bạn Post log Hijack This lên cho mọi xem thử máy bạn có thể bị nhiễm gì đó.Nếu bạn không có Hijack This thì download tự link này http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip
Vấn đề ở đây là bồ ấy bị dính virus log off rồi, làm sao mà chạy được cái gì. Mà con này thì rất lắm loại.
akirasan thử khởi động từ CD, tìm xem ổ C có file autorrun.inf (hy vọng là có), mở và post lên đây xem nào.
PS: Có mem nào rập hợp được các loại virus log off chưa nhỉ? |
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 21:37:58 (+0700) | #11 | 130326 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
nkp wrote:
Anh ấy viết nhầm ấy mà.Ý anh ấy là bạn Post log Hijack This lên cho mọi xem thử máy bạn có thể bị nhiễm gì đó.Nếu bạn không có Hijack This thì download tự link này http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip
Thanks bác, em down dc roi`. log hijackthis đây:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:33:16 PM, on 5/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOW\System32\smss.exe
C:\WINDOW\system32\winlogon.exe
C:\WINDOW\system32\services.exe
C:\WINDOW\system32\lsass.exe
C:\WINDOW\system32\svchost.exe
C:\WINDOW\system32\svchost.exe
C:\WINDOW\Explorer.EXE
C:\WINDOW\TEMP\DIL3.tmp
E:\Program Files\Mozilla Firefox 3 Beta 4\firefox.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOW\17PHolmes1001186.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\DOCUME~1\AKIRA~1.PRO\LOCALS~1\Temp\Temporary Directory 1 for HiJackThis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.vn/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [runner1] C:\WINDOW\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Startup: Shortcut to userinit.lnk = C:\WINDOW\system32\userinit.exe
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOW\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) -
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ScsiAccess - Unknown owner - E:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOW\System32\TuneUpDefragService.exe
--
End of file - 4212 bytes
Cai' nay` la` safe mode, con` mode thường thì em ko bật dc mà kiểm tra
|
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 21:43:52 (+0700) | #12 | 130329 |
akirasan
Member
|
0 |
|
|
Joined: 27/12/2007 12:28:04
Messages: 62
Offline
|
|
maithangbs wrote:
nkp wrote:
Anh ấy viết nhầm ấy mà.Ý anh ấy là bạn Post log Hijack This lên cho mọi xem thử máy bạn có thể bị nhiễm gì đó.Nếu bạn không có Hijack This thì download tự link này http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip
Vấn đề ở đây là bồ ấy bị dính virus log off rồi, làm sao mà chạy được cái gì. Mà con này thì rất lắm loại.
akirasan thử khởi động từ CD, tìm xem ổ C có file autorrun.inf (hy vọng là có), mở và post lên đây xem nào.
PS: Có mem nào rập hợp được các loại virus log off chưa nhỉ?
Em dung` search ở chế độ xem cả file ẩn thì ko thấy thằng autorun.inf nào cả
|
|
|
|
|
[Question] Re: virus gì đây?? |
13/05/2008 21:54:17 (+0700) | #13 | 130331 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
O4 - Startup: Shortcut to userinit.lnk = C:\WINDOW\system32\userinit.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOW\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
Hai cái chú ý nhỏ, nên tìm hiểu cách sài registry để search hai cái userinit.lnk và cái .exe.
Safemode vẫn còn hoạt động bình thường, vật lạ này còn chưa dữ dằn. AVG 8 chưa được update nên chẳng làm gì cái thứ đó, nó mà update rồi, diệt được, windows sẽ còn ứng xử hơi lạ đời một chút nửa(nếu người dùng không biết chỉnh key registry lại như lúc thường). Gửi cái file .exe ở dạng .zip mật khẩu infected cho virus@grisoft.com để được avg update hoặc dùng cái tính năng có sẳn trong gói AVG 88 security để gửi thẳng file nghi ngờ. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|