Mong giúp đỡ cách chỉnh Registry khi bị virus phá

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành Windows

Mong giúp đỡ cách chỉnh Registry khi bị virus phá

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	25/10/2009 15:14:39 (+0700) \| #1 \| 196649

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

Triệu chứng:

Tất cả các Shortcut của chương trình trên Desktop hoặc khi vào Run gõ Calc, notepad ... sẽ chuyển vào mục Edit và mở bằng Word. Bình thường thì cái menu của ta khi chuột phải sẽ thế này

Nhưng máy trên lại bị mục đầu tiên là Edit, cái thứ 2 mới là Open các dòng dưới như bình thường, nghĩa là Double click như thông thường thì sẽ vào Edit đầu tiên. Khi khởi động vào Window thì các chương trình chạy ở Startup sẽ mở 1 đống vào Edit của Word luôn.

Công nhận thằng nào làm cái này nghĩ cũng hay, mình có search khá nhiều trên mạng hầu hết đều là các Tips chỉnh tắt cáí này cái kia nhưng chưa thấy cái nào chỉ phần sửa đổi được menu của hệ thống như thế này hoặc 2 là tối ưu Win
3 là khắc phục lỗi của những virus dấu Run hay dấu ổ đĩa , folder option thì thằng này ko thèm khóa vẫn cho vào Run vẫn bình thường nhưng gõ regedit, calc ... chương trình ko mở mà sẽ vào edit bằng word )

Cách thức bị lỗi này:

Người đó click vào link trên email có thể là thực thi 1 file registry *.reg sửa lại phần này (nó làm cách này để qua mặt các chương trình Anti Virus vì đa số chỉ lock file exe vào sửa trong registry chứ ko lock file do ng dùng tự chạy ?). Sau đó thì thấy nó tự động mở Firefox vào trang kêu máy tính bạn nhiễm virus rồi click vào down + cài T_T (bó tay)

Cách làm của virus này có thể :

1/ Nó thay đổi duy nhất 1 chỗ trong registry có thể chỉnh được menu của tất cả các file chương trình exe trong máy

2/ Nó viết soft chạy vòng for cứ tìm file exe trong win thì sẽ sửa menu của nó. Vì mình thấy những chương trình mình mới cài thì nó cũng bị vụ này

Những điều mình đã làm để khắc phục :
Trên máy đó trước khi bị lỗi đã có cài Norton Coporation Edition, thằng này crack được nên update online nhé, mình đã remove cài Kasperky lại quét ko có gì ....

Đã dùng soft Process Explorer mở lên xem có file nào đang chạy lạ ko thì ko có, khi mở Task Manager lên thì thấy có AVP.exe hơi lạ ? (file ALG.exe thì bình thường ?) ko dùng CPU nhiều mà dùng Ram cỡ 5Mb, tắt thì báo lỗi can not end process ...

Mình có thể dùng Zone Alarm để chặn ko cho soft vào sửa registry được ko ?(nó có làm được ko bình thường thì chặn truy cập ra và vào rất tốt ?)

Đã dùng soft TuneUp utiliti 2009 để fig registry nhưng ko được, còn System Mechanic thì chưa dùng

Lỗi này chỉ bị trên User bình thường nếu log on vào bằng account Admin thì bình thường, không bị lây sang máy khác ..

Vướng mắc hiện tại là khi đổi sang User mới thì ko có phần chữ ký - Signature và các mail mới của user đó (dùng Microsoft Outlook trong bộ Office) nên mình lười ko muốn xóa user này làm user khác

Nếu có cách nào chỉnh trong registry được thì chỉ giúp mình nhé hoặc có cách nào remove hẳn user này tạo user khác ?

Cảm ơn nhiều

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	27/10/2009 11:57:58 (+0700) \| #2 \| 196789

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

Bạn down cái này về

http://free.antivirus.com/hijackthis/

Chạy scan and log, rồi post cái report lên đây xem smilie

-- w~ --

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	28/10/2009 23:26:22 (+0700) \| #3 \| 196867

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

To windark :

Mình có up 1 số hình test mới bên này, bạn xem giùm nhé còn cái hijack kia thì mình chưa chạy qua nhà bạn đó nên chưa làm tiếp được

/hvaonline/posts/list/0/31851.html#196850

Thanks nhé

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 01:26:25 (+0700) \| #4 \| 196898

jforum3000
Member

Joined: 26/08/2007 02:53:39
Messages: 1172
Offline

Thử system restore về lúc trước khi bị xem?

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 08:29:00 (+0700) \| #5 \| 196939

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

To windark:

Hôm nay mình đã scan theo soft bạn nói thì nó báo ko có lỗi , file log của máy ở dưới :

Thanks bạn nhiều

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:16:48 PM, on 10/28/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vn.rd.yahoo.com/customize/ycomp/defaults/sp/*http://vn.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vietnamstay.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Searchurl,(Default) = http://vn.rd.yahoo.com/customize/ycomp/defaults/su/*http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://login.yahoo.com/config/login?.intl=us&.done=http://messenger.yahoo.com/
R3 - urlSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file)
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [Auto EPSON Stylus C87 Series on SERVER] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABP.EXE /P38 "Auto EPSON Stylus C87 Series on SERVER" /O17 "\\SERVER\EPSONSty" /M "Stylus C87"
O4 - HKLM\..\Run: [EPSON Stylus C87 Series on server (from AURORA6)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABP.EXE /P48 "EPSON Stylus C87 Series on server (from AURORA6)" /O5 "TS003" /M "Stylus C87"
O4 - HKLM\..\Run: [\\192.168.1.37\EPSON Stylus C87 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABP.EXE /P38 "\\192.168.1.37\EPSON Stylus C87 Series" /O6 "USB002" /M "Stylus C87"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Deluxe Tree] C:\Documents and Settings\Thanh Binh\Desktop\Christmas.exe
O4 - HKCU\..\Run: [FreeXmasTree] C:\Documents and Settings\Thanh Binh\Desktop\FreeXmasTree.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Global Startup: Outlook Plugin.lnk = C:\Program Files\PayPal Payment Request Wizard\Outlook Wizard\OEHook.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Client32 - NetSupport Ltd - C:\PROGRA~1\NETSUP~1\client32.exe
O23 - Service: iolo FileInfolist Service (ioloFileInfolist) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: ZoneAlarm ForceField IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/THANHB~1/LOCALS~1/Temp/msohtml1/11/clip_image001.jpg

--
End of file - 7865 bytes

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 08:42:34 (+0700) \| #6 \| 196940

Dpm
Member

Joined: 06/04/2009 01:43:30
Messages: 85
Offline

Bạn thử vào folder options,sau đó vào tab File type,chọn New,sau đó gõ exe xem sao.

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 09:20:23 (+0700) \| #7 \| 196943

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

Xem cái list của bạn tớ không thấy có gì khả nghi, có lẽ virus/worm đã được quét sạch rồi, chỉ có 2 cái này :

O4 - HKCU\..\Run: [Deluxe Tree] C:\Documents and Settings\Thanh Binh\Desktop\Christmas.exe
O4 - HKCU\..\Run: [FreeXmasTree] C:\Documents and Settings\Thanh Binh\Desktop\FreeXmasTree.exe

Nếu nó không phải là của bạn thì nên remove nó đi

Sau đó làm theo hướng dẫn này thử :
http://www.askvg.com/solution-exe-files-always-open-with-notepad-or-other-applications/

wd.

-- w~ --

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 09:52:14 (+0700) \| #8 \| 196944

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

To jforum : Máy này tắt chức năng System Restore T_T

To windark : mình nghĩ cái này nó ko phải bị virus chỉ bị phá registry chơi thôi, vì nó ko lây sang máy khác gắn mạng chung với nó

Cái user Thanh Bình này bị nhưng log vào user Admin thì ko bị gì cả mình chỉ vướng mắc là ko add được contact trong Microsoft Outlook từ user TB qua admin thôi, đã export và import file pst ra mà vẫn ko được ...

Còn bạn nói remove bằng cách nào ? vào registry sửa hay dung Add and Remove của Win ?
cái thứ 2 thì mình mở ko được rồi vì mở lên bằng edit word smilie

Như mình đã nói từ đầu, mình đã thử mở regedit nhưng thằng này làm trò chuyển hết file exe sang edit nên mở cái gì ấn Enter vào là sang edit bằng Word T_T

Những chương trình mình chạy đều phải chuột phải chọn Open mới mở được smilie

(

Mình dùng cách như trong trang web nói http://www.askvg.com/solution-exe-files-always-open-with-notepad-or-other-applications/

Cách 2 là dùng chương trình quick remove để có thể mở cmd và regedit khi nó đã bị log thì nó mở file notepad function của chương trình , botay.com

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 10:18:39 (+0700) \| #9 \| 196948

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

To dpm : Mình ko hiểu cách của bạn là để làm gì nhưng mình đã làm ko thấy tác dụng

Mình new exe và chọn advance là Application có đúng ko ?, chọn App extension thì nó báo đã có rồi

Cảm ơn mọi người

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 10:34:54 (+0700) \| #10 \| 196952

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

Thế cuối cùng problem của bạn đã dc giải quyết chưa ?
Không thấy nói j sau khi mở regedit bằng cách vào Task manager ?

-- w~ --

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 10:39:46 (+0700) \| #11 \| 196953

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

WinDak wrote:

Thế cuối cùng problem của bạn đã dc giải quyết chưa ?
Không thấy nói j sau khi mở regedit bằng cách vào Task manager ?

ac đâu có mở được vì mở nó lên edit bằng word mà , mình có ghi rõ ở bài đầu tiên mở calc hay notepad gì cũng vậy tất cả đều vào mục edit đầu tiên chứ ko phải là Open ...

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 11:02:14 (+0700) \| #12 \| 196955

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

Như cái hình folder option của bạn ấy ? thử bấm restore chưa ?

-- w~ --

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 11:14:52 (+0700) \| #13 \| 196956

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

@hoabomby : Bạn chịu khó tổng kết lại tất cả những thao tác quan trọng nào bạn có thể và không thể thực hiện được khi đã vào Windows nhé.

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 12:07:24 (+0700) \| #14 \| 196972

freeze_love
Member

Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline

Sao có đến 2 chủ đề vậy nhỉ?
/hvaonline/posts/list/31851.html
/hvaonline/posts/list/31852.html
/hvaonline/posts/list/31896.html
Spam à?

do{
học đến điên;
}while (sống);

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	29/10/2009 23:15:11 (+0700) \| #15 \| 197007

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

@hoabomby:
Thấy ở topic bên kia bạn có đưa cái hình này. Processes có icon toàn là thư mục, mà HijackThis lại không thấy gì cả.

Vấn đề Exe này theo mình thì Fix rất dễ mà ở đây lại không được. Có lẽ con gì đó đang núp đằng sau.

Bạn tìm lại mấy bài gần đây của bolzano_1989 để lấy Full Log gửi lên đây xem sao.

Sẵn ngó lên "tin nhắn riêng" luôn.

-------
Bạn thử dùm mình luôn cách này nha.
http://www.box.net/shared/yz1ie2nisg về, giải nén, chạy Fix 1 trước, sau đó Right Click lên Fix 2 chọn Install.

Báo kết quả lên luôn nha bạn.

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	30/10/2009 05:38:23 (+0700) \| #16 \| 197063

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

To all : Mình có nói rõ trường hợp của mình ngay ở bài đầu tiên mà :

Máy chỉ bị 1 lỗi duy nhất là tất cả các file exe, file chạy trong win đều bị đổi menu thông thường là Open ở trên cùng nhưng ở đây lại có Edit và nằm ở lựa chọn thứ 1, lúc nào cũng sẽ là Edit bằng Word ...

Nó sẽ gây ra những lỗi gì :

1/Không thể double click để mở bất kì file exe nào

2/Khi bạn mở 1 chương trình mà nó gọi chương trình khác lên thì sẽ bị lỗi vì ko open được mà sẽ chuyển sang Edit (VD như chương trình Quick Remove kia tự tin là mở được cmd và registry khi bị virus khóa thì thằng này làm thế sẽ mở luôn file vb của chương trình)
--> 1 trò đơn giản duy nhất nhưng lại làm được nhiều điều

3/Khi bạn mở máy lên thì các chương trình chạy Start up của win sẽ bị mở edit 1 đống lên rất khó chịu, sau đó tắt hết thì chạy bình thường

Lưu ý : Có thể ko phải bị virus vì ko lây sang các máy khác trong mạng Lan, nó chỉ phá chơi lỗi trên chứ ko gây tác hại nào cả ...
Và chỉ bị trên user Thanh Binh người đó dùng còn log vào user Admin trên máy thì ko bị

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	30/10/2009 05:59:42 (+0700) \| #17 \| 197072

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Bạn làm theo cách của kamikazeq post ở cuối thì kết quả thế nào ?

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	30/10/2009 07:04:06 (+0700) \| #18 \| 197083

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Default open key trong registry cho exefile file của cậu đã bị thay đổi. Nếu được mở = Word thì không phải do virus. Cậu lưu đoạn text dưới đây vào 1 file .reg rồi import vào RegEdit:

REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;size"
"TileInfo"="prop:FileDescription;Company;FileVersion"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	30/10/2009 10:39:57 (+0700) \| #19 \| 197104

hoabomby
Member

Joined: 16/12/2007 22:21:07
Messages: 35
Offline

To tqn: Hix mình đã làm theo cách của bạn nó báo succesfull đàng hoàng nhưng vẫn ko được, quyền của user bị lỗi Thanh Bình mình đã change sang Admin rồi (dùng Merge file registry)

Mình có làm file fix của bạn bolzano và của bạn tqn đều báo success nhưng ko có kết quả

To kami: file fix 1 thì mình ko biết làm cách nào theo ý của bạn có phải là Open with command prompt ko hay sao, sau khi chạy open with cmd xong mình Install file 2 thì ko được nó mở edit bằng word smilie

Đây là hình khi mới khởi động log vào máy thì các chương trình trong Startup của win sẽ mở thế này cho các bạn hình dung dễ

To windark : Ko hiểu tại sao giờ mình mở lại folder ... như thế nhưng lại ko có nút Restore smilie

, chắc là có sau khi thêm kiểu exe, nếu mình log off lại thì ko còn file exe đó ...

Thanks all

[Question] Mong giúp đỡ cách chỉnh Registry khi bị virus phá	30/10/2009 13:14:07 (+0700) \| #20 \| 197135

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Mình tin là bạn bị nhiễm malware (virus...) rồi.

Tải catchme vào nền desktop: http://www2.gmer.net/catchme.exe
Chạy catchme.exe, click tab "Script", copy vào khung chính nội dung sau:

---------Bắt đầu copy ở dòng sau, không copy dòng này------------
Files:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
---------Kết thúc, không copy dòng này---------------
Click nút Run.
Khi chạy xong, ở desktop của bạn sẽ xuất hiện file catchme.zip, bạn upload/attach file này lên 1 host nào đó và post link lên forum cho mình.

Go to:

Users currently in here
1 Anonymous