| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
12/01/2010 21:54:12 (+0700) | #1 | 203047 |
 Máy em tự dưng có 2 tên chạy rất lạ: Reader_s.exe và Implayok.exe. Nói chung là nó cứ tự chạy cùng Window, em đã cố gắng tắt nó bằng msconfig, cclean, hay revoUninstall nhưng đều không có tác dụng, thậm chí vào regedit tìm nó và xóa khóa tự chạy của nó nhưng ..... nó vẫn chạy. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Ngoài ra em còn nghi ngờ một số tên thế này:
"C:\WINDOWS\system32\msjuehus.dll";
"C:\WINDOWS\system32\kbdsock.dll";
"C:\WINDOWS\system32\6E.tmp.exe";
..............
"C:\WINDOWS\fonts\services.exe" - thằng này là đáng ngờ nhất vì không thể có chuyện file.exe lại nằm trong thư mục font được, em vào mini win xp để xóa nó đi nhưng sau đó nó lại vẫn có -> bó tay.
Còn 1 triệu chứng nữa là trong C:\WINDOWS\system32\ cứ tự nhiên xuất hiện các file.exe (ví dụ 813595.exe, 8008997.exe ... tất cả chúng đều có dung lượng 252K)
Cũng trong system32 còn có mấy tên file.dat - em mở ra bằng notepat thì có nội dung thế này " ol+>?s%6! :<=nqb}cqlm^Yo!<<'|m^Y " - ko hiểu gì cả.
Cũng trong system32 còn có 1.tmp, 2.tmp, ... 9.tmp, 6E.tmp, 6D.tmp .... rất nhiều file kiểu như thế.
Lại vẫn là trong system32 em còn tìm thấy regedit.exe, regedit32.exe - em nghi lắm.
Vậy bác nào có kinh nghiệm trong khoản này hoặc đã gặp tình trạng này, hoặc chưa gặp nhưng biết cách khắc phục thì chỉ em với.
Em đã down bkav về, KIS2010, Avira, CMC ... nhưng vô dụng - cái thì không cài được, có cái cài được thì máy đơ luôn, thằng CMC thì hắn báo là ko tìm thấy Virus!.? - bó tay. Thằng BKAV thì cài xong vào máy nó lên đến gần 300M! -máy em lại cấu hình thấp nên ko chạy được.
Rất mong các bác giúp đỡ, em cảm ơn các bác trước.  |
|
|
 |
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
12/01/2010 22:06:42 (+0700) | #2 | 203048 |
Tiện thể em gửi luôn các bác cái hijackthis.log - nhờ các bác phân tích hộ:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:57 PM, on 1/12/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\winsersec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sdaemon.exe
C:\WINDOWS\winwd.exe
C:\WINDOWS\system32\imPlayok.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\Mr Tuan\imPlayok.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Vietkey\vknt.exe
C:\Documents and Settings\Mr Tuan\reader_s.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\E.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\fonts\services.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Downloads\Compressed\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
F3 - REG:win.ini: load=C:\WINDOWS\fonts\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\fonts\services.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SDaemon] C:\WINDOWS\sdaemon.exe
O4 - HKLM\..\Run: [SWd] C:\WINDOWS\winwd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [imPlayok] C:\WINDOWS\system32\imPlayok.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [vkqzej] RUNDLL32.EXE C:\WINDOWS\system32\msjuehus.dll,w
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [imPlayok] C:\Documents and Settings\Mr Tuan\imPlayok.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Mr Tuan\reader_s.exe
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINDOWS\fonts\services.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Mr Tuan\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [imPlayok] .\E.tmp (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Mr Tuan\reader_s.exe (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\kbdsock.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: winser - Unknown owner - C:\WINDOWS\system32\winsersec.exe
O23 - Service: WMI Performance Adapter WmiApSrvALG (WmiApSrvALG) - Unknown owner - C:\WINDOWS\system32\6E.tmp.exe (file missing)
--
End of file - 5245 bytes
|
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 08:04:31 (+0700) | #3 | 203065 |
![[Avatar]](/hvaonline/images/avatar/fd39ef8ecd438a7e44adbb949bd19969.png "[Avatar]")
|
maithangbs
Elite Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
|
|
| Bạn download, cài đặt và chạy cái này http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml, mình thấy tương đối hiệu quả đấy. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 10:34:15 (+0700) | #4 | 203080 |
![[Avatar]](/hvaonline/images/avatar/589d3f053232d680c8f392b0e729a3f8.jpg "[Avatar]")
|
HiTnRuN
Member
|
|
0 |
|
|
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
|
|
Thêm các file nghi ngờ
C:\WINDOWS\system32\winsersec.exe
C:\WINDOWS\sdaemon.exe
C:\WINDOWS\winwd.exe
Và giải pháp cài Avast quét ở DOS |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 11:49:06 (+0700) | #5 | 203088 |
Thêm các file nghi ngờ
C:\WINDOWS\system32\winsersec.exe
C:\WINDOWS\sdaemon.exe
C:\WINDOWS\winwd.exe
Và giải pháp cài Avast quét ở DOS
Cái thằng "C:\WINDOWS\system32\winsersec.exe" thì em thấy lâu rồi không biết nó có tác dụng gì, nhưng còn hai thằng "C:\WINDOWS\sdaemon.exe" và "C:\WINDOWS\winwd.exe" là của chương trình khóa thư mục của em, ko phải virut đâu bác ạ. Bác làm ơn chỉ em cách cài Avast và quét ở DOS với, cái này em mù tịt. 
|
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 13:13:24 (+0700) | #6 | 203098 |
|
HiTnRuN
Member
|
|
0 |
|
|
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
|
|
Xem thử link dưới có thông tin nào hữu ích không?
http://www.threatexpert.com/report.aspx?md5=f7d6f8dfff8f6c2129e7de7bd1ed68fc
Đọc thêm bài /hvaonline/posts/list/30263.html
Vì mình chạm trán với bộ đôi sdaemon.exe và read_s.exe khá nhiều nên có chút nghi ngờ, tuy nhiên xử lí chúng trực tiếp không phức tạp lắm. Mình chỉ e ngại bộ đôi servises.exe và reader_s.exe, gặp trong máy đồng nghĩa với việc cài lại Win càng nhanh càng tốt; còn có một số file đi kèm như *.tmp.exe, _id.dat,... Các thông tin bạn đưa ra khá giống với những biểu hiện của loại virus này
Bạn chụp thêm ảnh Msconfig và Task Manager đưa lên đây
-------------------------------
Còn vụ avast, link tiếng Anh và tiếng Việt nhiều vô kể
|
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 16:34:36 (+0700) | #7 | 203111 |
jforum3000
Member
|
|
0 |
|
|
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
|
|
| Xem qua log thì thấy máy bạn nhiễm virus nặng quá rồi, nên ra dos quét, hoặc tốt nhất là cài lại máy và update antivirus mới nhất, xong quét lại toàn hệ thống sẽ tốt hơn. Ngồi diệt bằng tay với msconfig, regedit, task manager, ... thế này vất vả lắm, mà cũng khó diệt triệt để được. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 17:33:01 (+0700) | #8 | 203115 |
Em chào các bác, sau khi đọc một loạt các bài viết các bác cho trên diễn đàn này em đã quyết định đi theo tiếng gọi của trái tim. Đó là fomat nát hết ổ C rồi cài Win mới vào rồi. Hiện 2 thằng reader_s và Implayok.exe không thấy nữa nhưng vẫn còn thằng service.exe trong thư mục windows/font. Nó tự cho mình cái quyền thích chạy lúc nào thì chạy, em tắt mãi mà ko được.
Ngoài ra, em cũng thấy có 2 thằng nữa là file.dll không biết nó liên quan gì đến RUNDLL32.exe mà em cũng không thể xóa được, nó tự chạy và tự chui ở đâu ra ấy. Các bác xem hình:
Chưa hết, em down về 1 mớ AV nhưng ko cài được cái nào cả, ví dụ khi cài AVIRA nó thông báo thế này:
Em là dân ngoại đạo, mới học và làm quen với máy tính thôi (chủ yếu là do máy hỏng nhiều quá nên có kinh nghiêm chứ ko có bài bản trường lớp gì cả), nên có 1 số cái em biết còn 1 số cái em khù khờ lắm. Các bác làm ơn nói rõ cho em là vào DOS như thế nào? Cách cài và quét virut trong DOS như thế nào? Các bác làm ơn chỉ rõ từng câu lệnh không là em tịt luôn đấy. Cảm ơn các bác nhiều. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 21:56:31 (+0700) | #9 | 203135 |
jforum3000
Member
|
|
0 |
|
|
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
|
|
Bạn đã bị nhiễm virus lại rồi.
Sau khi format ổ C và cài lại Windows, bạn đừng đụng chạm gì đến các ổ đĩa khác cả, vì chỉ cần 1 lần double click chuột mở ổ đĩa, folder hay chạy file .exe nào đó là ... xong (rất nhiều người đã rơi vào trường hợp này, sau đó cứ bảo là: virus gì mà format cũng không hết). Tải ngay antivirus về từ internet, update rồi quét tất cả các ổ đĩa khác ngay, xong tạo restore point và ghost lại.
Chúc bạn may mắn. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 22:06:49 (+0700) | #10 | 203136 |
Bác nói chả sai tý nào, đúng là lại nhìn thấy nó rồi  Chán thật, lẽ nào phải sống chung với nó sao? Lên mạng cả buổi chiều tưởng làm gì được nó, không ngờ tối đến lại nhìn thấy cái mặt nó. quả này khéo phải format luôn cả cái ổ cứng mất thôi. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
13/01/2010 22:09:58 (+0700) | #11 | 203137 |
| Bác nào đó làm ơn chỉ em cách diệt VIRUT trong DOS với! |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
14/01/2010 07:29:36 (+0700) | #12 | 203147 |
|
HiTnRuN
Member
|
|
0 |
|
|
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
|
|
Hì, đứa trẻ trong icon của bạn cần baby spoon feeding 
Những gì cần xử lí jforum3000 đã nói khá tường tận rồi, Google cũng không thiếu các thông tin "hướng dẫn sử dụng máy tính". Vấn đề nằm ở chính bạn. Bạn chưa đủ khả năng chắt lọc các thông tin bên ngoài để thực hành và biến nó thành kinh nghiệm hữu ích cho bản thân. Hãy thử tự liệt kê các bước chi tiết nhất có thể mà bạn đã làm từ lúc đút đĩa CD Windows vào cho đến lúc dính virus. Đó chính là một log thời gian thực dạng đơn giản giúp kiểm chứng xem đã nhiễm virus ở khâu nào.
Trường hợp của bạn, mình xin đưa ra các bước và tường minh mục đích của từng bước:
1. Cài đặt Windows >> có hệ điều hành
2. Tốt nhất nên có đĩa CD driver cài VGA, sound, network card >> mục đích là kết nối mạng
3. Download một antivirus software trên mạng về, cài đặt, update và quét hard disk thật lực >> diệt các file đã nhiễm virus (thường là *.exe)
Chú ý nhé:
Lại phải nói lại rằng: không không không, trăm lần không, ngàn lần không
1. Double click vào bất cứ phân vùng nào, ngay cả cái USB bạn hay dùng cũng là một ổ virus
2. Cài lại driver từ các phân vùng trên ổ cứng
3. Cài lại bất cứ phần mềm nào từ các phân vùng trên ổ cứng
Chúc bạn thành công! |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
14/01/2010 10:02:27 (+0700) | #13 | 203158 |
| Chà,nói như bác thì có nghĩa là tất cả các file.exe trong máy của em đều phải bỏ đi hết? Thế thì tiếc quá, vậy có cần format luôn ổ ko bác? Để em làm 1 thể cho ngon lành đi. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
14/01/2010 10:11:25 (+0700) | #14 | 203160 |
|
HiTnRuN
Member
|
|
0 |
|
|
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
|
|
| Khả năng mất hết các file *.exe là có thể xảy ra. Bởi virus gắn được thêm vào file exe thì antivirus cũng có thể loại bỏ nó ra khỏi file exe. Trường hợp không thể loại bỏ, file exe đó không nên sử dụng tiếp. Nếu bạn vẫn muốn chiến đấu với nó để tìm hiểu thì đó lại là file thú vị |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
14/01/2010 13:11:03 (+0700) | #15 | 203165 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Người làng vũ đại wrote:
Chà,nói như bác thì có nghĩa là tất cả các file.exe trong máy của em đều phải bỏ đi hết? Thế thì tiếc quá, vậy có cần format luôn ổ ko bác? Để em làm 1 thể cho ngon lành đi.
Nếu không có gì thật sự quý giá trong máy thì nên format tất cả các ổ trong máy.
Nếu Antivirus ở máy bạn không làm sạch một số file quý giá được thì bạn có thể cầu may qua forum BKAV nhờ họ xem sao, họ có giúp bạn hay không thì là chuyện khác (nhiều khả năng sẽ chỉ thông báo đã cập nhật mẫu malware (virus...) và đề nghị bạn sử dụng BKAVPro, còn hiệu quả thế nào thì mình chưa rõ  ) :
http://forum.bkav.com.vn/showthread.php?t=3250 |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
15/01/2010 14:54:44 (+0700) | #16 | 203281 |
Em không biết phải tả cái máy của em thế nào cả, nó buồn cười lắm các bác ạ.
+ Đang chạy bình thường, tự dưng treo máy, khởi động lại thì nó chỉ chạy được cái đoạn đầu tiên (cái đoạn chạy ra mấy cái thông báo nhấn F2 để ..., F11 để ....) rồi ... thôi, khi nhấn vào nut power thì tắt luôn (bình thường em phải nhấn và giữ 1 lúc nó mới tắt) Cây vẫn hoạt động, quạt chip và các thứ khác vẫn thấy bt, chỉ có màn hình là tối thui. Nhưng bỏ đĩa boot hoặc đĩa win thì vẫn chạy bt - làm em tưởng phần cứng có vấn đề, loay hoay tháo RAM và quạt chíp ra lau chùi rồi mất cả tiếng mới lắp được cái quạt chíp.
+ Cài lại win, xong xuôi đâu đấy, khởi động lại vào đến màn hình WELCOM thì nó ra cái thông báo, e không biết dịch đúng là thế nào nhưng hình như liên quan đến license gì đó - không thể vào win được, cũng không vào safe mode. Chắc tại cái đĩa win 7000đ  Nhưng tại sao có lúc được có lúc lại không? cài lại lần nữa - được! Xong rồi máy chạy vài lần lại chết - không biết vì sao
+ Bực mình, em định format hết cả ổ cứng, vào mini win xp em chỉ coppy các file word, excel, powerpoint, một số file ảnh, một vài file htm và html còn lại em SHIFT DELETE hết - gần 30G giờ gói gọn chỉ không đầy 1 cái USB 2G. Xong tắt máy đi ăn cơm, trở về bật máy lên lại thấy chạy bt mặc dù chưa cài hay chỉnh sửa gì hết ??? 
Lần này chắc em sẽ format hết, nhưng theo các bác thì với những triệu chứng như vậy thì cái máy của em có vấn đề gì về phần cứng hay không? và các file mà em giữ lại đó liệu có thể có virut trong các file word, excel, ppt, file ảnh hay file htm, html hay không? |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
15/01/2010 15:31:15 (+0700) | #17 | 203290 |
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
| Cẩn thận, file html có thể bị dòng Virut lây nhiễm iframe độc vào đấy, tốt nhất là quét lại và làm sạch hết bằng Antivirus cho chắc ăn. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
16/01/2010 07:03:39 (+0700) | #18 | 203327 |
taiphuong
Member
|
|
0 |
|
|
Joined: 29/12/2009 09:57:19
Messages: 2
Offline
|
|
| Theo mình thấy thì bạn nên diệt virut trong thư mục System Volume Information của mọi ổ đĩa! Mình có lần cũng bị tương tự như bạn, cứ cài đi cài lại mãi cuối cùng phát hiện ra trong thư mục System Volume Information có cả vài GB Virut. Nếu bạn còn nhiễm bạn nên kiểm tra lại xem sao nhé! |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
17/01/2010 08:36:43 (+0700) | #19 | 203389 |
Theo mình thấy thì bạn nên diệt virut trong thư mục System Volume Information của mọi ổ đĩa! Mình có lần cũng bị tương tự như bạn, cứ cài đi cài lại mãi cuối cùng phát hiện ra trong thư mục System Volume Information có cả vài GB Virut. Nếu bạn còn nhiễm bạn nên kiểm tra lại xem sao nhé!
Cảm ơn bạn, nhưng tôi tắt chế độ system restore mà nên System Volume Information không có gì cả.
Hì hì, hai hôm nay tôi bận "làm lại" cái máy, format hết rôi, cài lại. Bực quá, không cài được cái cạc tiếng, còn lại thì OK nhưng down chương trình mới về nên thấy "xót ruột" quá. Tháng này chắc phải mấy 3->4 trăm tiền mạng.
Mà hình như 2 cái thằng Reader_s.exe và Implayok.exe nó đi cùng với nhau hay sao ấy. Thằng này có là thằng kia cũng có theo. Có lẽ bọn này trốn trong mấy file.exe.
Ai có biện pháp diệt triệt để 2 thằng này mà không phải làm như tôi (format lại ổ cứng) thì bày cho mọi người với. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
17/01/2010 09:08:55 (+0700) | #20 | 203392 |
Hôm nay vào mail.google.com vô tình nhìn thấy cái hình ảnh quen thuộc. Các bác xem và cho nhận xét nhé
Lẽ nào thằng ImplayOk.exe lại là của thằng google???? |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
17/01/2010 09:27:39 (+0700) | #21 | 203395 |
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Với các dòng virus lây file, thông dụng nhất bây giờ là dùng đĩa boot quét virus, khi hoàn thành thì cài lại Windows (ở chế độ Repair Windows cũng được), sau đó cài đặt, update đầy đủ và quét lại toàn máy bằng 1 Antivirus thật tốt. Hạn chế cách này là nhiều file sau khi được quét và làm sạch xong sẽ hỏng file trong những trường hợp máy bị nhiễm virus lây file như bạn, bạn tốn công tìm lại file còn xài được, bạn cần phải dọn rác máy tính và dùng chương trình chống phân mảnh ổ đĩa để máy hoạt động nhanh trở lại.
Một số người thích đối diện và chiến đấu với virus cùng với công cụ riêng biệt của 1 số hãng hơn, thủ thuật và kinh nghiệm của từng người khác nhau cho từng loại malware (virus...) cũng khác nhau, độ phức tạp và khéo léo trong xử lí cũng khác nhau, độ hiệu quả nói chung không cao với tình hình malware liên tục được cải tiến ngày nay. Vì thế với đại đa số người dùng (không riêng bạn "Người làng vũ đại"), hướng đi này không thích hợp.
Với nhiều hãng có sản phẩm Antivirus mà mình đã sử dụng, chỉ có BKAV là tuyên bố "chưa bó tay trước bất kỳ virus nào", nhiều mẫu virus lây file khủng đã được gửi về để đội ngũ chuyên gia của BKAV phân tích và họ đã tuyên bố cập nhật thành công qua BKAV forum, bạn có thể dùng BKAVPro để "cầu may" thử, nếu không thành công bạn hãy gửi mẫu virus và phối hợp với họ giải quyết vấn đề và nếu được thì cho mình và mọi người ở forum HVAOnline biết kết quả nhé  .
Hiện giờ, mình vẫn chưa rõ BKAVPro có đảm bảo diệt được và làm sạch máy bị nhiễm virus thành công không một khi BKAV tuyên bố đã cập nhật được những virus khó/khủng đó rồi. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
17/01/2010 16:43:36 (+0700) | #22 | 203413 |
tulu
Member
|
|
0 |
|
|
Joined: 23/02/2009 00:46:02
Messages: 21
Offline
|
|
Eo! Nhiếm virus lay file Vetor rồi! reader_s và Implayok đều là 2 mẫu malware được virus lây file trên download về trong quá trình lây nhiẽm vào máy bạn! Nếu bị nhiễm 2 loại malware trên các file ndis.sys, cdrom.sys hoặc atapi.sys của bạn cũng bị lây nhiễm luôn đó (tránh xóa nhá); cứ xem version thì biết! Theo mình cái mẫu virus lây file này là đa hình không nên format lại máy! Bởi có format lại, cài lại, thì ở các ổ dữ liệu khác nó vẫn còn mà! Dùng AV đi  |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
26/01/2010 11:02:26 (+0700) | #23 | 203913 |
lama
Member
|
|
0 |
|
|
Joined: 14/06/2004 20:27:02
Messages: 40
Offline
|
|
Mình cũng đã quần 2 ngày (chủ yếu là cài đặt lại chương trình) cho các máy laptop trong công ty mình do bị nhiễm virus này.
Triệu chứng các máy như sau : không nhận thiết bị, USB, bị dump, ... chậm, Skype tự động gởi message.
Lúc đầu mình quét bằng Hirenboot + BKAV Home và tự tay xóa các file imPlayok.exe gì đó, xong tiêu Windows luôn --> mình cho chạy repair nhưng repair cực kỳ lâu (khỏang 4-5 giờ).
Cuối cùng mình quyết định cài lại hết cho xong.
Theo mình thì hình như virus kiểm sóat luôn phần driver thiết bị hay sao đó. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
28/01/2010 00:34:37 (+0700) | #24 | 204030 |
Các bác ui, không ai có ý kiến gì về cái vụ này sao?
Lẽ nào imPlayok lại là của thằng Gmail?
Mà hình như 2 thằng imPlayOk và Reader_s đã biến thể rồi hay sao ấy. Trong máy bạn tôi cũng có 2 con này nhưng mà cái biểu tượng thì khác hẳn trong máy tôi.
Mấy file.exe trong system32 cũng không như trong máy tôi, ở máy bạn tôi nó có cái biểu tượng là một cái bàn bóng bàn (table tenis), có lúc thì biểu tượng khác nhưng tôi ko nhớ rõ, dung lượng của mấy file.exe này cũng khác, hình như có 32 hay 33K gì đó.
Ai có thông tin gì thì chia sẻ cho tôi với. Thanks! |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
28/01/2010 11:39:56 (+0700) | #25 | 204053 |
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
| Người làng vũ đại dùng trang virustotal.com để xem có phải biến thể mới không ấy. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
31/01/2010 09:16:56 (+0700) | #26 | 204259 |
tulu
Member
|
|
0 |
|
|
Joined: 23/02/2009 00:46:02
Messages: 21
Offline
|
|
| đã bảo là máy bạn bị nhiễm virus lay file siêu đa hình Vetor.PE rồi mà lại! Bạn cần dùng một AV để khôi phục hoàn toàn máy của bạn! Cài lại máy cũng không phải là giải pháp, bời nó là lây file! Bạn xóa bằng tay mấy file Reader_s, imPlayOk cũng là do virus lây file đó download về! Nếu bạn xóa bằng tay, thì nó cũng được down về trở lại! ===> Cần một AV, một lời khuyên chân thành! Và thực tế, BKAV đã diệt được virus này! Bạn hãy đọc kĩ hướng dẫn diệt virus siêu đa hình của BKAV. |
|
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
31/01/2010 11:57:41 (+0700) | #27 | 204269 |
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
@tulu: Một tin mới là BkavPro đã thất bại trong một cuộc "bắt cá dưới nước" rồi đấy, dù "con cá siêu đa hình" này đã được các chuyên gia từ Bkav đặt tên và khẳng định là diệt nó ngon lành rồi. "Con cá" đó cũng thuộc dòng Vetor của Bkav đấy tulu.
Với 1 số dòng lây file siêu đa hình, BkavPro phục hồi file rất tốt khi "bắt cá trên bờ" với những mẫu malware đã được phân tích kĩ. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Question] Máy em có 1 ổ virut: Reader_s.exe, Implayok.exe v.v và v.v |
01/02/2010 14:18:08 (+0700) | #28 | 204334 |
Cảm ơn các bác quan tâm, tôi đã format toàn bộ máy rồi, xóa hết tất cả các file dạng exe, rar, zip, js, css, tmp, dat, html, htm, .... Tóm lại là tôi chỉ giữ lại mỗi mấy file word, xls, ppt, và một ít file ảnh thôi.
Sau đó cài thằng AVIRA vào. Nói chung từ dạo đó thì nó hết hẳn.
Tôi không dám cài BKAV vì cái đó mà cài vào máy tôi thì nó cực kì nặng, khởi động chậm quá có lẽ do cấu hình thấp. Với lại không hiểu sao khi down về thì nó có mấy chục Mb nhưng cài xong thì cả thư mục đó lên đến 300Mb! Mấy lần trước quét bằng BKAV nó báo phát hiện đến mấy trăm con, diệt cũng từng ấy con rồi đề nghị mình khởi động lại. Xong đâu lại vào đó nên bây giờ ko tin tưởng mấy.
Chỉ thương ông bạn lại dính phải 2 con đó rồi, chắc phải khuyên ổng dùng cách của tôi thôi.
FORMAT cả ổ cứng là hết
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Avatar]](/hvaonline/images/avatar/20266f727db0acc9d6e4801b75fe03e7.jpg "[Avatar]")
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/2076a4072c153afd44d66853200675bb.jpg "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")