tôi bị dính virus ko hiểu loại gì bây giờ cứ bật máy là mất hết icon và start ! thỉnh thoảng nó còn cho down mấy cái gì lúc bật máy nữa ! ai có cách nào thì chỉ tôi nhé
kaspersky + spy doctor hoặc spy sweeper . thử lun bkav cho chắc . dùng hijack quét rồi paste lên đây cho tớ xem nào
hịc ko hiểu sao mỗi khi bật máy lên là mất hết icon và phần start ! toàn phải Ctrl alt del để vào trương trình ! ko biết bị dính virus gì mỗi khi dùng spyware doctor quét là lại hiện lên icon và start ! ai biết cách diệt hẳn con virus này thì chỉ tôi với ! cho tôi luôn soft để diệt
nếu quét xong hết 1 thời gian sau lại tiếp mà phần mềm quét lại là spy doctor thì con này có khi nó thuộc loại khủng rồi . tớ thấy có lẽ cách tốt nhất là cậu nên cài lại win nếu kô được thì dùng hijack quét xem có cái gì đang chạy mà là là thì del thẳng tay :) * Phát hiện các virus lì lợm: Có nhiều virus chỉ quét được lúc nó đang hoạt động, do đó ta phải chủ động đi “tìm diệt” trước bằng cách mở My Computer/Local disk (D:), sau đó xóa các file mà bạn không hiểu nghĩa (điều này cũng đòi hỏi bạn phải đọc file thật kỹ). Tiếp tục mở My Computer / Local disk (C:), các file không có nghĩa rõ ràng cũng xóa luôn, mở Program Files và làm tương tự như vậy, WINDOWS: xóa các file có tên không có chút liên quan nào với tin học như GatorUSA, Bigbangrrr, Sizu zusi,..., các file toàn bằng số hoặc chèn chữ như 2848e46, 56hg8h333,...; file có đuôi theo kiểu chữ hoa+ys +exe, log dll, srv wav, lnk tmt, wad txt, ine tmp, wbm fil, oxy, per, ví dụ: CMESys.ex,GLine.dll, HELper.wav,...; file có các ký tự đặc biệt (@,::,?,><,[ ],{ },\ | /,* *,%,#,^,và ~) trong tên, ví dụ: Set@up.exe, Drwstn#.dll. * Kiểm tra tận gốc: Sau khi xử lý xong bề mặt, bạn kiểm tra phần gốc rễ bằng cách vào Start /Run, gõ Tasks, nhấn OK xem có gì lạ trong danh sách thì xóa. Gõ Prefetch/ OK tìm xóa file có tên na ná những chương trình chứa virus bạn đã từng gặp. Gõ msconfig /Startup /OK, tìm chỗ chứa những tên khả nghi và xóa đi. * Loại trừ nơi trú ẩn khác: Công đoạn kế tiếp bạn loại trừ những nơi file chứa virus có thể tìm đến ẩn. Cách thực hiện như sau: Start /Run, gõ Regedit /OK. Tìm các khóa: + HKEY_CLASSES_ROOT /CLSID, dò xuống các giá trị 09..., data nào tên không có nghĩa thì xóa. + HKEY_CURRENT_USER /Software, những tên file nào “ăn theo” Local AppWizard-Generated Applications và Software by Design mà vô nghĩa thì xóa; tiếp đến bạn dò xuống các mục +Internet Explorer /Main, +Schedule, +Windows / CurrentVersion /Run- xóa các giá trị %1%*,%ys+, các data nói có nguồn gốc từ System32 nhưng khi lôi nó ra Desktop thì Target lại có đuôi khác trong Registry Editor. + HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft dò xuống + Internet Explorer /Main, Schedule, Windows/ CurrentVersion/Run Run- RunOnce RunOnceEx RunServices RunServices- xóa các giá trị %1%*,%ys+, các data hiển thị nguồn gốc từ System32 nhưng khi đưa ra Desktop, Target lại có đuôi khác trong Registry Editor + HKEY_USERS /DEFAULT/Software/Microsoft/ Windows / CurrentVersion /Run /S-1-5-18/Software/Microsoft/ Windows / CurrentVersion /Run /S-1-5-21-1292428093-1202660629-842925246-1003/Software/Microsoft/ Windows / CurrentVersion /Run xóa các giá trị %1%*,%ys+, các data nói có nguồn gốc từ System32 nhưng khi lôi nó ra Desktop thì Target có đuôi khác trong Registry Editor.
Đây cho cậu xem :Trojan.Downloader.Small.CML (Troj/BckDr-DKG [Sophos] Trojan.Win32.Agent.qt [Kaspersky] Backdoor.Sualimpo.E [BitDefender] Trojan.Click.1210 [Dr Web]) Type: Trojan Threat Level: High Description: Trojan.Downloader.Small.CML will attempt to connect to a pre-determined website and download additional malware. It will also download a list of commands to execute. Cài lại win 1 lần rồi ! ko hiểu sao vẫn bị T_T giúp mình với ! cho tớ luôn cái phần diệt con virus này nhé Advice: Toss
cậu phải quét = hijack để tớ biết xem nó thế nào chứ kiểu này thì khả năng còn virus cao lắm . cứ đưa tớ file log của hijack
ko biết đúng ko Logfile of HijackThis v1.99.1 Scan saved at 12:55:44 PM, on 11/21/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32krn.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\CursorXP\CursorXP.exe C:\Program Files\Internet Download Manager\IDMan.exe C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\windows media player\wmplayer.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ngoisao.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [PRONoMgr.exe] "C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\RunOnce: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /RM /FS /X O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe O16 - DPF: {2D52AF9C-51C9-4EF5-B98C-A64997635235} (RunGame Class) - http://windygame.nefficient.co.kr/patch/infinity/cab/20061025/windyMngrAx.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.egov.go.kr/sso/KALogoutComponent.cab O16 - DPF: {F7899FAE-51C9-4EF5-B98C-A64997635235} (GSPRunGame Class) - http://www.playinfinity.net/cab/WindyGSPAx.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: rpccd - C:\WINDOWS\System32\rpccd.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
chú ý : tớ chỉ cậu cách diệt hẳn từng con 1 , các thứ dưới đây rất quan trọng nên cậu phải làm đầy đủ cẩn thận kô được thiếu thao tác nào . cái file log chẳng thấy gì khả nghi cả đành diêt mấy con này trước vậy đầu tiền 1. Trojan.Downloader.Small.CML có đứa làm cách này diệt hẳn được con này down cái này Ewido Anti-spyware về http://www.ewido.net/en/download down về rùi update quét xong chọn settings -> Recommended actions -> Quarantine -> Reports -> Automatically generate report after every scan sau đó khởi động lại máy , vào chế độ safe mode chọn scanner rồi ở tab scan click vào Complete System Scan . scan xong nếu máy ông quét được virus thì chọn Apply all actions -> reports -> Save report as . save vào nơi nào thì phải nhớ cái này quan trọng đó scam tiếp = panda antivirus ATF Cleaner down típ ^^ http://www.atribune.org/ccount/click.php?id=1 chọn Select All Click vào nút Empty Selected nếu chung là chọn tất Download WinPFind http://www.bleepingcomputer.com/files/winpfind.php down rùi khởi động lại để chế độ an toàn ( safe mode ) rùi scan hix có đứa làm vậy quét được tận gốc con này nên tớ post bài này hi vọng diệt đc nó chẳng biết tại sao lắm trò thế nhưng mấy thằng tây nó bảo thế
Trojan.Win32.Agent.qt đến con này http://www.downloads.subratam.org/KillBox.exe down cái này về Start -> Run đánh msconfig rồi Enter tắt chức năng phục hồi của win đi rồi cài CleanUp! http://www.stevengould.org/downloads/cleanup/CleanUp40.exe chạy CleanUp! sau đó vào Options -> Custom CleanUp! rồi Empty Recycle Bins Delete Cookies Delete Prefetch files Cleanup! All Users ấn OK -> CleanUp! thoát khỏi CleanUp! chạy KillBox và chọn Delete on Reboot C:\WINDOWS\system32\1024\ldEF1D.tmp C:\WINDOWS\system32\1024\ldEF9A.tmp C:\WINDOWS\system32\dxole32.exe C:\WINDOWS\Temp\win1357.tmp.exe File -> Paste from clipboard. Click All Files xong thì ấn chữ X để thoát -> yes khởi dộng lại khởi động lại xong chạy KillBox chọn Standard File Kill C:\WINDOWS\system32\1024\ldEF1D.tmp C:\WINDOWS\system32\1024\ldEF9A.tmp C:\WINDOWS\system32\dxole32.exe C:\WINDOWS\Temp\win1357.tmp.exe File>>Paste from clipboard xong thì ấn chữ X để thoát -> yes rùi
Ok rồi chắc là do tớ dùng cái window blind nên mới bị thế ! dạo này toàn down themes về vista nên mới bị thế ! cảm ơn cậu nhé
nếu dùng thì đùng dùng WB cậu dùng cái này này tớ đang dùng rất đã http://rapidshare.de/files/10589799/Visual_Styles.rar.html muốn nhẹ thì http://rapidshare.de/files/10588596/UXTheme_Multi-Patcher_4.0.exe.html 2 cái này tớ đều đánh giá cao hơn windows blind
Link đó bị hỏng rồi cậu ạ ! cho mình link khác đi ! hoặc bạn pm vào nick namdante nhé ! rồi send cho mình
