| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
05/11/2009 00:30:09 (+0700) | #1 | 197586 |
notbad
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
Dạo này máy tính ở cty mình hay bị nhiễm virus, đồng thời có lẽ là rất nặng. Máy không thể vào NetWork, không vào được Run, không vào được Registry, Task manager và cả Command Prompt cũng không vào được, anh chị em nào biết cách giải quyết chia sẽ với, chứ giờ chỉ biết mỗi việc đi ghost lại từng máy đã bị thôi…
Với Command Prompt:
“The command prompt has been disabled by your administrator.
Press any key to continue…” và ngay sau đó tự tắt.
Với Run:
“The operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.”
Registry và Gpedit không mở được (vẫn còn tồn tại trong máy).
Các bạn nào biết cách chỉ giúp mình với...
|
|
|
 |
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
05/11/2009 10:15:35 (+0700) | #2 | 197624 |
![[Avatar]](/hvaonline/images/avatar/0cc8f7bf8a8d56980414a6e4bc69cdc6.png "[Avatar]")
|
kamikazeq
Member
|
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
Hà, con nào mà vừa dis CMD vừa tắt windows cmd vậy ta.
Nghe có vẻ là 1 ổ malware đủ loại đây.
1 cái log HijackThis chắc cũng chưa đủ.
Dù gì cũng gửi tạm lên xem sao. |
|
| IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
06/11/2009 04:43:26 (+0700) | #3 | 197687 |
notbad
Member
|
|
0 |
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
HijackThis không mở được rồi, vừa mở ra là bị văng luôn không vào được nữa.
|
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
06/11/2009 05:00:57 (+0700) | #4 | 197690 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
| Kĩ thuật viên của công ty bạn đâu, sao không kéo hắn ra bắt hắn làm việc ? |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
06/11/2009 05:03:34 (+0700) | #5 | 197691 |
![[Avatar]](/hvaonline/images/avatar/fd39ef8ecd438a7e44adbb949bd19969.png "[Avatar]")
|
maithangbs
Elite Member
|
|
0 |
|
|
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
|
|
notbad wrote:
HijackThis không mở được rồi, vừa mở ra là bị văng luôn không vào được nữa.
Bạn đổi tên file hajackthis.exe và chạy thử.
Bạn thử kiểm tra xem có file spoolsi.exe có trong thư mục windows\system32 không? Lưu ý file này đặt thuộc tính ẩn và hệ thống nên không dùng windows explorer để xem được, phải dùng các chương trình như norton conmander, Windows conmander, ... (Có một số máy trong cơ quan tớ cũng dính con virus này, nó khóa tất tật mọi thứ luôn) |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
06/11/2009 23:01:39 (+0700) | #6 | 197731 |
notbad
Member
|
|
0 |
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
maithangbs wrote:
notbad wrote:
HijackThis không mở được rồi, vừa mở ra là bị văng luôn không vào được nữa.
Bạn đổi tên file hajackthis.exe và chạy thử.
Bạn thử kiểm tra xem có file spoolsi.exe có trong thư mục windows\system32 không?
Mình đã thử đổi tên HijackThis thành tên khác thì chạy được.
Mình có kiểm tra trong windows\system32 không có file Spoolsi.exe mà có một file spoolsv.exe.
Mình đưa mọi thông tin của HiJackThis lên bạn và mọi người cùng kiểm tra xem nhé.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 오전 8:48:39, on 2009-11-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe <- có phải con này không?
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\UniKey\UniKey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\a.exe
O1 - Hosts: ? Copyright (c) 1993-2006 Microsoft Corp.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [Symantec Resource Hub] symlssrc.exe Còn cái này là cái gì mà Kaspersky báo hoài à.
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKey.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Policies\Explorer\Run: [1] c:\dietvirus.bat
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.hyosung.com
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {15AECD82-DA7D-4EC5-B57F-ED578D84C3F9} (DaumFileControl Control) - http://file.daum.net/down/DaumFile.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5ADB63F0-5F9E-4B83-A099-19BF0644BF65}: NameServer = 210.245.24.20,150.15.101.1
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Kaspersky Network Agent (klnagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
-- |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
06/11/2009 23:23:42 (+0700) | #7 | 197734 |
|
kamikazeq
Member
|
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
Fix 2 cái này rồi RE máy.
Vào lại win, down và giải nén cái này http://www.box.net/shared/h0v9odejzo.
Right click lên nó, chọn Install.
Xem Taskmanager, Cmd, Regedit có được phục hồi chưa.
Run lại HijackThis với tên ban đầu xem có bị tắt không. |
|
| IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
07/11/2009 02:05:58 (+0700) | #8 | 197745 |
![[Avatar]](/hvaonline/images/avatar/bc7957046c67689e8660b7d6998c418e.jpg "[Avatar]")
|
kiki9999
Member
|
|
0 |
|
|
Joined: 05/07/2009 13:28:41
Messages: 54
Location: Nha Trang
Offline
|
|
C:\WINDOWS\system32\spoolsv.exe <- có phải con này không?
Cái đó không phải virus đâu bạn, chỉ là 1 file hệ thống về fax thôi. |
|
| suy nghĩ, suy nghĩ đi, suy nghĩ mãi. |
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
07/11/2009 06:56:29 (+0700) | #9 | 197763 |
notbad
Member
|
|
0 |
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
@kamikazeq: Mình down về và chạy rồi, mà cũng vậy à. Giờ gần như tê liệt hết rồi.
Tuy nhiên Kasp phát hiện và diệt file "Images.exe" ở "tất cả các folder khi mở lần đầu" - mở bằng WinRar. Vừa click vào là nó hiện ra rồi lại die do Kaspersky diệt được. |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
07/11/2009 10:18:59 (+0700) | #10 | 197773 |
|
kamikazeq
Member
|
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
Ậy, bạn trả lời thiếu rồi  . Đọc trả lời lại đủ dùm mình cái nào.
PS: sẵn vô đây luôn nha /hvaonline/pm/inbox.html |
|
| IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
10/11/2009 03:54:20 (+0700) | #11 | 197947 |
notbad
Member
|
|
0 |
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
kamikazeq wrote:
Ậy, bạn trả lời thiếu rồi . Đọc trả lời lại đủ dùm mình cái nào.
PS: sẵn vô đây luôn nha /hvaonline/pm/inbox.html
 cái "dietvirus.bat" là một file chỉ có tác dụng diệt mấy con autorun trong các ổ đĩa thôi, nó không phải là vấn đề đáng lo ngại, mình xem rồi, chỉ là những câu lệnh (mấy anh cài máy trong cty mình để - yên tâm). CÒn cái "symlssrc.exe" thì không thể tìm thấy nó được, và cũng không biết tìm đâu, vì Reg không mở lên được, nói chung các tác vụ liên quan chỉnh sữa hệ thống không mở được.
Ps: mình có nick bạn trong list rồi thì phải, "khaiabc"? |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
10/11/2009 09:59:36 (+0700) | #12 | 197960 |
more8x
Member
|
|
0 |
|
|
Joined: 06/11/2009 02:46:24
Messages: 2
Offline
|
|
Mình nghĩ máy của bạn vẫn chưa bị khóa CN Group Policy (Vào Run Gỏ "GPedit.msc" vào Administrative template. systemp -> Prevent access to registry eddit.........., Disabled, tương tự như vậy với Forder option, Task manager......., Cái này trên mạng nói nhiều rùi. sau đó khởi động lại máy, dùng một tool nào thiệt mạnh quet qua hệ thống. mình nghĩ la OK thôi, |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
10/11/2009 22:34:49 (+0700) | #13 | 197987 |
notbad
Member
|
|
0 |
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
more8x wrote:
Mình nghĩ máy của bạn vẫn chưa bị khóa CN Group Policy (Vào Run Gỏ "GPedit.msc" vào Administrative template. systemp -> Prevent access to registry eddit.........., Disabled, tương tự như vậy với Forder option, Task manager......., Cái này trên mạng nói nhiều rùi. sau đó khởi động lại máy, dùng một tool nào thiệt mạnh quet qua hệ thống. mình nghĩ la OK thôi,
 Không có cái nào ra được cả, vô RUN bằng cách nào nữa chứ?!!! |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
10/11/2009 23:12:02 (+0700) | #14 | 197993 |
![[Avatar]](/hvaonline/images/avatar/589d3f053232d680c8f392b0e729a3f8.jpg "[Avatar]")
|
HiTnRuN
Member
|
|
0 |
|
|
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
|
|
C:\Documents and Settings\Administrator\Desktop\a.exe >> cái gì đây vậy bạn?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Bạn vào thử 911.com.vn chọn Hiện registry download file Khoa_regedit.vbs
Trước mình cũng dính 1 em virus khóa tương tự thế này liền nghĩ ra một trò (hơi buồn cười vì thủ công quá)
Ở ô Run mình gõ sẵn regedit, chuẩn bị tinh thần sẵn sàng chạy file Khoa_regedit.vbs xong là Run regedit luôn (shortcut key Win + R). Cố mấy lần mãi cũng mở được regedit (xong ngồi tự mình mất mấy phút)
Trường hợp của bạn bị khóa cả Run thì đặt con trỏ chuột vào sẵn regedit trong C:\Windows thử xem
Nhắc đến cmd lại nhớ kami có một bộ ba file hướng dẫn Vạch mặt virus dành cho newbie (như mình) hay lắm |
|
|
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
11/11/2009 04:12:07 (+0700) | #15 | 198020 |
notbad
Member
|
|
0 |
|
|
Joined: 12/02/2009 11:33:41
Messages: 24
Offline
|
|
| a.exe là cái HijackThis mình đổi tên đó, vì để nguyên tên nó không cho mở mà. |
|
|
| [Question] Giúp mình giải quyết cmd, regedit không vào được với... |
11/11/2009 04:34:57 (+0700) | #16 | 198021 |
![[Avatar]](/hvaonline/images/avatar/f27700db991585a20845acce9795f663.png "[Avatar]")
|
freeze_love
Member
|
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Bạn sử dụng công cụ nhỏ để mở khóa Registry, task man, run,... này thử xem?
http://freeze_love.summerhost.info/blog/read.php?1 |
|
do{
học đến điên;
}while (sống); |
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/d8a8689598d413ae886cb06977777b86.jpg "[Avatar]")
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")