máy dính một con spy (có lẽ), cài lại máy vẫn bị

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

máy dính một con spy (có lẽ), cài lại máy vẫn bị

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	27/06/2009 12:34:52 (+0700) \| #1 \| 184766

ned
Member

Joined: 09/08/2008 10:55:06
Messages: 15
Offline

Tình hình là máy của đệ bị một con spy (có lẽ là spy chứ ko phải virus do đã dùng kav quét nhưng ko hiệu quả) và "công việc" của nó là:
+ chiếm homepage của IE(chỉ IE)
+ làm ko nghe được âm thanh (mặc dù đã cài sound driver và vào Divice Manager vẫn thấy nhận là có sound card)
+ một số chương trình trong máy bị cà tưng (đã thử tháo cài mới nhưng vẫn ko khắc phục được).
Đệ đã tham khảo bài về spy chiếm trang chủ của một số member, nhưng làm vẫn ko được, đau đầu quá đã cài lại máy, nhưng sau khi cài xong, mở IE lên, Windows Media Player lên...vẫn dính như thường smilie

.
Mong các huynh chỉ giáo đệ khắc phục tình trạng này với.
Cám ơn các huynh rất nhiều

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	27/06/2009 23:41:43 (+0700) \| #2 \| 184779

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

Ồ, thật tình là chẳng thể mò được nếu có nhiu đó thông tin.
Bồ chịu khó làm theo tất cả những gì sau đây để được giúp đỡ nhiệt tình nhất. smilie

-------

Tải ATF Cleaner vào desktop :
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Tắt tất cả các chương trình trên các cửa sổ màn hình
Chạy ATF-Cleaner.exe , chọn Select All, click Empty Selected .

Cài đặt Ccleaner từ link: http://download.cnet.com/ccleaner/
Chạy Ccleaner và click "Run Cleaner" .

Tải chương trình này về , tắt tất cả các chương trình mà bạn đang dùng trừ các chương trình về security (AV,Firewall..) , chạy và create report :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link cho mình .

Tải AVZ từ link : http://ftp.kaspersky.com/devbuilds/AVZ/avz4.zip
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start => trở lại màn hình chính của AVZ, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start . Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link cho mình .
Tiếp tục với AVZ, click menu File => chọn System Analysis => chỉnh "list of processes + DLLs without repeating" thành "list of DLLs for each process", chỉnh "Only active services and drivers" thành "All services and drivers" , click chọn "Add System Analysis log to ZIP" => click Start , chọn nơi save log , chạy xong thì upload file avz_sysinfo.zip và đưa link cho mình .

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Run Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .

Tải : http://rootrepeal.googlepages.com/RootRepeal.zip , giải nén, cho RootRepeal.exe vào ngay desktop . Chạy RootRepeal.exe , click tab Files, click Scan , chọn tiếp tất cả các ổ trong máy => OK .
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này cho mình .

Tải vào ngay desktop và chạy DDS : http://www.forospyware.com/sUBs/dds
Nén,upload và đưa link 2 file sau : DDS.txt , Attach.txt

Tải vào ngay desktop và chạy RSIT : http://images.malwareremoval.com/random/RSIT.exe
Chạy ở chế độ mặc định, cứ continue, yes, OK ...
Nén,upload và đưa link 2 file sau : info.txt , log.txt

Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Chạy xong , upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .

Bạn lấy log khoảng 20 phút là xong, trong việc đọc log của bạn tui phải kiểm tra vất vả hơn nhiều, vì thế bạn hãy thực hiện đúng thứ tự và chuẩn xác nhé .
Bước này thực hiện xong, những thao tác còn lại sẽ rất đơn giản trong đa số trường hợp (không có rootkit,driver đặc biệt..) vì mình sẽ viết script làm thay bạn nhiều thao tác diệt malware

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 04:10:02 (+0700) \| #3 \| 184802

ned
Member

Joined: 09/08/2008 10:55:06
Messages: 15
Offline

Trước hết phải cám ơn kamikazeq cái đã, cám ơn bạn rất nhiều đã giúp mình hem
Thiệt tình là lấy cái mớ log như bạn nói đã thấy phê rồi, huống hồ kiểm tra...phục quá ^^.
mình đã làm hoàn toàn như bạn nói (đúng bước, chính xác, ko dư ko thiếu)
nhưng trong lúc làm có một số chỗ làm ko được. Chẳng hạn:
Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All
Xong rồi thì click Run Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link cho mình .

Mình làm hoàn toàn như bạn nói nhưng trong lúc chạy lại báo lỗi, và mình đã chụp hình file lỗi đó để ở trong "logfiles.rar" để bạn xem rồi.
Tải MGtools vào ngay thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy : http://forums.majorgeeks.com/chaslang/files/MGtools.exe
Chạy xong , upload file MGLogs.zip ở cùng ổ đĩa và đưa link cho mình .
Việc lấy file này mình cũng đã làm được nhưng trong lúc chạy máy có báo một dòng thông báo và mình cũng đã chụp gởi vào "logfiles.rar" cho bạn xem luôn cho chắc ăn.
Ngoài 2 vấn đề đó mọi việc còn lại diễn ra tốt đẹp cả.
Đây là toàn bộ logfile: http://www.box.net/shared/3nzlak7f13
Tái bút:
Cám ơn bạn rất nhiều vì bài viết hướng dẫn rất dễ hiểu...nhưng ko hiểu j hết (vì làm mà ko biết mình đang làm gì ) smilie

Sau bài viết này nếu sửa chữa được máy hay ko đi nữa, cũng rất mong bạn chỉ cho mình cách đọc log file và cách sửa chữa.
Rất muốn được học hỏi, vì mình rất gà trong mấy vụ này (rất gà nhưng cũng chịu mò ^^).
Cám ơn bạn lần nữa và mong được học hỏi rất nhiều.
Thân!

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 12:11:00 (+0700) \| #4 \| 184830

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

ned wrote:

Tình hình là máy của đệ bị một con spy (có lẽ là spy chứ ko phải virus do đã dùng kav quét nhưng ko hiệu quả) và "công việc" của nó là:
+ chiếm homepage của IE(chỉ IE)
+ làm ko nghe được âm thanh (mặc dù đã cài sound driver và vào Divice Manager vẫn thấy nhận là có sound card)
+ một số chương trình trong máy bị cà tưng (đã thử tháo cài mới nhưng vẫn ko khắc phục được).
Đệ đã tham khảo bài về spy chiếm trang chủ của một số member, nhưng làm vẫn ko được, đau đầu quá đã cài lại máy, nhưng sau khi cài xong, mở IE lên, Windows Media Player lên...vẫn dính như thường .
Mong các huynh chỉ giáo đệ khắc phục tình trạng này với.
Cám ơn các huynh rất nhiều

"vẫn dính như thường"
=> cho hỏi những dấu hiệu khiến bạn nghĩ rằng "vẫn dính như thường" .
Bạn còn nhớ những đặc điểm nào dễ nhận dạng con spy mà bạn nói không , ví dụ: 1 thông báo nào đó, nguyên nhân bị nhiễm con spy đó (url lây nhiễm... )...

Bạn thử nghe nhạc không dùng Windows Media Player mà dùng KMPlayer xem có nghe nhạc được không : http://www.filehippo.com/download_kmplayer/

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 12:20:10 (+0700) \| #5 \| 184831

ned
Member

Joined: 09/08/2008 10:55:06
Messages: 15
Offline

bolzano_1989 wrote:

ned wrote:

Tình hình là máy của đệ bị một con spy (có lẽ là spy chứ ko phải virus do đã dùng kav quét nhưng ko hiệu quả) và "công việc" của nó là:
+ chiếm homepage của IE(chỉ IE)
+ làm ko nghe được âm thanh (mặc dù đã cài sound driver và vào Divice Manager vẫn thấy nhận là có sound card)
+ một số chương trình trong máy bị cà tưng (đã thử tháo cài mới nhưng vẫn ko khắc phục được).
Đệ đã tham khảo bài về spy chiếm trang chủ của một số member, nhưng làm vẫn ko được, đau đầu quá đã cài lại máy, nhưng sau khi cài xong, mở IE lên, Windows Media Player lên...vẫn dính như thường .
Mong các huynh chỉ giáo đệ khắc phục tình trạng này với.
Cám ơn các huynh rất nhiều

"vẫn dính như thường"
=> cho hỏi những dấu hiệu khiến bạn nghĩ rằng "vẫn dính như thường" .
Bạn còn nhớ những đặc điểm nào dễ nhận dạng con spy mà bạn nói không , ví dụ: 1 thông báo nào đó, nguyên nhân bị nhiễm con spy đó (url lây nhiễm ).

vẫn dính như thường= mở IE vẫn bị chiếm quyền (mặc dù trên cái link vẫn ghi là http://www.microsoft.com nhưng thực chất lại hiển thị một trang khác, trang này có nội dung có vẻ là web bậy bạ), khi gõ một địa chỉ bất kỳ (chẳng hạn goole.com.vn) thì nó dẫn đến một số trang khác...+ cài sound driver ko được (lúc trước cài được, cũng driver đó và máy vẫn nhận)

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 12:57:22 (+0700) \| #6 \| 184832

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Ok, có động lực để xem tiếp rồi, bạn cho mình biết địa chỉ những trang bậy bạ mà nó dẫn tới xem (thử view source để xem link), post link nhớ đổi "http://" thành "hxxp://" .
Bạn nghe nhạc bằng KMplayer được không ?

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 13:31:01 (+0700) \| #7 \| 184833

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Việc scan bằng GMER đã thất bại, con này chống GMER , ca của bạn rất rất đặc biệt .
Bạn đổi tên file gmer.exe ở ngay nền desktop thành winlogon.exe, và thực hiện đầy đủ những thao tác với winlogon.exe như đã làm với gmer (gmer.exe) mà mình đã hướng dẫn ở trên .
Scan,save gmer.txt, upload file gmer.txt mới này cho mình .

Nếu kết quả log gmer vẫn trống rỗng thì ta phải mạnh tay hơn vào ngày mai .

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 13:39:29 (+0700) \| #8 \| 184834

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Bạn tranh thủ ngày mai online vào xem và cập nhật topic thường xuyên nhé .

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 22:22:40 (+0700) \| #9 \| 184842

ned
Member

Joined: 09/08/2008 10:55:06
Messages: 15
Offline

Dạo này đang bận một số việc nên để bạn phải nhắc. Xin lỗi nhiều hem.
Mình đã làm như bạn nói (thay tên file thành winlogon) và đây là file GMER
(đang chạy...)
Ok, có động lực để xem tiếp rồi, bạn cho mình biết địa chỉ những trang bậy bạ mà nó dẫn tới xem (thử view source để xem link), post link nhớ đổi "http://" thành "hxxp://" .
Bạn nghe nhạc bằng KMplayer được không ?
Thật tình là có một số vấn đề ở đây, sau khi làm như kamikazeq hướng dẫn thì chọn trang chủ trở về google đã chọn được. Và cái tệ là trong quá trình Ccleaner đã xóa hết các file templates nên ko còn biết cái source trang kia rồi ,hix.
Còn về việc nghe nhạc thì trước đây (trước khi cài lại máy) chỉ nghe được duy nhất windows media, mình đã thử nhiều chương trình nhưng hầu hết ko nghe được (KMplayer thì chưa thử ^^). Nhưng một thời gian sau thì windows media cũng tắc tử.
Hiện giờ thì mình ko thể cài sound được (tên sound cmi8738), với hiện tượng là double click vào...ko ra j cả. Nên việc nghe thử bằng KMplayer là ko làm được.
Cám ơn bolzano_1989 nhiều lắm. Bạn thật nhiệt tình.
Sẽ còn học hỏi ở bạn nhiều.
Thân!

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 22:34:29 (+0700) \| #10 \| 184843

ned
Member

Joined: 09/08/2008 10:55:06
Messages: 15
Offline

Chẳng hiểu sao sửa bài ko được
(Hiện Forbidden!)
đây là link GMER.log
http://www.box.net/shared/15y1g050jy
Vẫn không khắc phục được j, vẫn trống và vẫn vẫn dòng thông báo như hôm qua.
Bạn xem lại giúp mình hem.
Cám ơn bạn thật nhiều lần nữa.

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 23:02:36 (+0700) \| #11 \| 184845

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Vậy cuối cùng là duyệt web bằng IE thế nào , vào trang bất kì có còn chuyển sang trang bậy bạ nào không ?

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	28/06/2009 23:28:37 (+0700) \| #12 \| 184846

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Scan bằng Everest rồi post kết quả cho mình : http://www.filehippo.com/download_everest_home/
Trong các log đã lấy thì thấy audio driver bình thường (đã install tốt) chỉ có phần sau unknown (màu vàng): Multimedia Audio Controller , PCI bus 2, device 13, function 0 .
Cần kiếm driver cài thêm .

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	29/06/2009 04:06:28 (+0700) \| #13 \| 184868

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Định chờ bạn xong vụ driver rồi tiếp tục bởi ca này không đơn giản chút nào, nhưng thôi , cứ tiếp tục với malware .
Nện nó nhẹ bằng Combofix trước vậy :

Trước khi chạy Combofix, bạn hãy thực hiện những bước sau :
_ Tắt tất cả các cửa sổ (thư mục,ứng dụng..) trên máy bạn và những chương trình liên quan đến security trong máy như Antivirus, Firewall, Antispyware... kể cả trên thanh System tray. Hướng dẫn tắt 1 số security software nếu bạn chưa rõ ở http://www.bleepingcomputer.com/forums/topic114351.html .
_ Tải http://www.forospyware.com/sUBs/ComboFix.exe và để ở nền desktop, đổi tên file thành CBFix.exe .
Click chạy CBFix.exe . Combofix yêu cầu hay hỏi gì, bạn cứ chọn Yes hay OK .
Khi thực hiện xong màn hình sẽ hiện ra 1 file log mở bằng notepad , bạn post nội dung file log/upload và post link file log lên diễn đàn cho mình (đó cũng chính là nội dung của file C:\ComboFix.txt ) . Bạn nén và upload thư mục sau cho mình : C:\Qoobox\Quarantine\ . Nếu combofix yêu cầu restart hay tự động restart, bạn hãy để thực hiện theo yêu cầu .
Chú ý: Khi combofix chạy xong, màn hình sẽ tự động hiện ra 1 file log mở bằng notepad . Khi chưa chạy xong, dù màn hình có vẻ bất động, bạn tuyệt đối không dừng,tắt combofix đi , click chuột lung tung trên máy hay tắt/khởi động lại máy.

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	29/06/2009 11:50:08 (+0700) \| #14 \| 184902

qusnken
Member

Joined: 28/06/2009 12:25:25
Messages: 15
Offline

- Theo mình bạn nên dùng PQmagic để ẩn các phân vùng khác, trừ phân vùng C:
- Cài lại win
- thử xem như thế nào nhá
- Đừng nên sử dụng các chương trình đã có trong ổ cứng vì rất có thể chúng đã bị nhiễm virut
// kinh nghiệm nên xem xem chương tình có đổi mầu gì lạ ở icon không nhá
chúc bạn thành công!

/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
| If ( var Tình_cảm = yêu ) then
| {
| echo: Bạn bị nhiễm virut lạ
| echo: Chương trình không thể chống lại
| echo: Bạn nên yêu và hy sinh vì tình yêu
| echo: Nhưng luôn nhớ "Gia Đình"
|

[Question] máy dính một con spy (có lẽ), cài lại máy vẫn bị	30/06/2009 22:07:40 (+0700) \| #15 \| 185052

ned
Member

Joined: 09/08/2008 10:55:06
Messages: 15
Offline

Hôm qua là một ngày vất vả, suốt từ khoảng 3h trưa đến 11h tối bolzano_1989 và kamikazeq đã dùng teamviewer chiến đấu với sality ở máy mình, và kết quả họ đã chiến thắng.
Giờ mình chỉ báo cáo lại là máy mình sau khi cài đặt được trở lại kav thì đã ổn định trở lại, quét hết virus (trước khi bolzano_1989 và kamikazeq ra tay thì ko thể cài được kav, vì con này phá hư nhiều file .exe).
Do trình độ hạn chế nên khi các bạn làm mình ko hiểu j mấy để post lên cho bà con tham khảo.
Chỉ biết là hai bạn bolzano_1989 và kamikazeq rất giỏi, và rất tận tình (khen thật lòng).
Cám ơn các bạn rất nhiều, rất biêt ơn các bạn.
Hy vọng các bạn sẽ còn giúp được nhiều người nữa. (và hy vọng sau này mình cũng sẽ làm được j đó cho mọi người ^^)
Thân!

Go to:

Users currently in here
1 Anonymous