Cũng thực hiện đúng các bước trên cho 1 máy thực đang bị nhiễm, nhưng kết quả đáng tiếc là sau 1 số lần chạy vô google.com thì nó bị nhiễm lại. Đã dùng process explorer và mornitor các dll của IE nhưng vẫn không thấy gì lạ.
Giờ tiếp tục fix lỗi theo khuyến cáo của Microsoft http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx để coi có gì khả quan hơn không?
 

Ah quên, bên security của mình đã tìm được nguồn lây nhiễm từ các trang web nghe nhac online, mình vô trực tiếp thì thấy firewall của mình nó chặn trang của thằng này:
http://news.zing.vn/static/iframe/newsnct2810/index.htm
Hix, thấy cái gì liên quan tới thằng Zing là có chuyện liền, trang vo để test là nhaccuatui.com
Mấy bạn thử test lại coi sao. 

thanhtung0811 wrote:

Cũng thực hiện đúng các bước trên cho 1 máy thực đang bị nhiễm, nhưng kết quả đáng tiếc là sau 1 số lần chạy vô google.com thì nó bị nhiễm lại. Đã dùng process explorer và mornitor các dll của IE nhưng vẫn không thấy gì lạ.
Giờ tiếp tục fix lỗi theo khuyến cáo của Microsoft http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx để coi có gì khả quan hơn không?
 

Chỗ màu đỏ thì mình chưa rõ lắm, chỗ màu vàng thì không hiểu mục đích monitor các dll làm gì????
 

Chủ cái topic này và những ai chạy máy ảo để được thử mùi cái thứ chuyennguoilon đó, đã cung cấp thông tin chi tiết để người khác hiểu để giúp không.

Một câu hỏi chưa trả lời là có thường xem diễn đàn không. Một câu khác là có xem thông tin về lỗi windows trên internet không. Một câu khác nữa là tại sao lại bị dính và tiền sữ xài máy trước khi dính. HỎi chừng đó câu và không nhận được chừng đó câu trả lời, mod hỏi có xài sniff xem traffic không, cũng không thấy hồi âm.

Hỏi một hồi lòi ra mặt chuột, là ít xem thông tin diễn đàn, ít sài windows, không biết cách thức cung cấp thông tin, rồi lại thích đánh trống lảnh nhách nữa. Cái vụ chính tả này nói nhiều lắm, đứng lấy nó ra làm đồ đánh trống.
 

Vào Start > Control Panel > System > Hardware > Device Manager > View > Show Hidden Devices.

Tìm “Non-plug and Play Drivers” click plus icon
Tìm “TDSSserv.sys”
Right click > “Disable”
Chú ý: Nếu bạn chọn Uninstall, nó sẽ đc tự động cài lại sau khi reboot.
Restart pc.
Download Malwarebytes' Anti-Malware: http://www.spywarefri.dk/downloads1/mbam-setup.exe
rename to abc.exe
run
update
scan

Bạn thử cách này, hi vọng sẽ có ích

Thân. 

Chú ý là các trình KIS, McAfee... không phát hiện ra virus-trojan này (gọi là Trojan thì đúng hơn) dù áp dụng chế độ On-demand scan và All files scan. Tuy nhiên khi Trojan Remover 6.7.5 phát hiện ra Trojan này và rename các file cơ bản của Trojan để cô lập chúng, thì McAfee lâp tức nhảy ra "ăn theo" và báo hệ thống dính Trojan... Hì Hì.

Tôi đã từng vất vả gần 3 ngày (tháng trước) về con Trojan quái quỷ này.




 

Trojan Remover 6.7.5 & McAfee nó báo trojan thì tên của trojan đó là gì vậy anh? nếu được thì trên file nào (không phải TDSSxxx.sys chứ đấy chứ?)  

gsmth wrote:

Trojan Remover 6.7.5 & McAfee nó báo trojan thì tên của trojan đó là gì vậy anh? nếu được thì trên file nào (không phải TDSSxxx.sys chứ đấy chứ?)  

Cứ là hỏi thông minh và phản biện sắc sảo như thế đấy.

Đó là Trojan Msqpdxserv.sys (W32.Tidserv, DNSChanger.gen...)

Ngoài ra tên đúng của Non-plug and Play Drive mà Trojan tạo ra trong Drive Manager của Windows là:
msqpdxserv.sys (repeat: msqpdxserv.sys), không phải là "TDSSserv.sys".
Nhưng Msqpdxserv.sys có nhiều variant và biến thể (đã đươc modified), TDSxxxserv.sys có thể là một biến thể. Tuy nhiên phương thức xâm nhâp vào hệ thống (từ các malicious websites khi ta truy cập đến) của chúng là tương tự.

Conflicker virus (mà Microsost đang treo giải 250,000 USD cho người truy tìm ra nguồn gốc phát tán) có một số "cơ chế" hoạt đông giống Msqpdxserv.sys.  

Mình cũng đang gặp tình trạng này (truyennguoilon.biz)

Symantec 11 tìm hông thấy. FF thì không bị, vào IE xóa cache xong thì biến mất nhưng sau đó khoảng 10 phút gì đó tự nhiên xuất hiện lại.

Ghét quá, trên firewall block cái destination của nó lại, block luôn link trong trang đó đến 1 số domain như vnsx.net, đặc biệt là ssc.vn (cái này chắc chiêu quảng cáo nữa ròi)

Test lại trên FF thì đúng là mình đã block okie như IE vẫn lỗi.

Có khả năng khi load IE lên nó kéo theo 1 cái khỉ gì đó vì cache IE đã clear sạch sau đó đi những trang rất đơn giản như vnexpress .... lát nó bị lại.

Để rãnh chút mày mò xem nó thế nào, dễ giận thiệt. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Internet Settings\

w4s.info wrote:

Vào Start > Control Panel > System > Hardware > Device Manager > View > Show Hidden Devices.

Tìm “Non-plug and Play Drivers” click plus icon
Tìm “TDSSserv.sys”
Right click > “Disable”
Chú ý: Nếu bạn chọn Uninstall, nó sẽ đc tự động cài lại sau khi reboot.
Restart pc.
Download Malwarebytes' Anti-Malware: http://www.spywarefri.dk/downloads1/mbam-setup.exe
rename to abc.exe
run
update
scan

Bạn thử cách này, hi vọng sẽ có ích

Thân. 

Cách làm của bạn w4s.info có lẽ đúng trong trường hơp xử lý loại virus rất khó chịu và rất đăc biệt này, loai virus liên quan đến DNS changer hay Rogue DNS . (Xin chú ý tôi đang dùng từ "có lẽ", vì không ngôi trên máy của bạn, nên không khảo sát kỹ lưỡng được).

Tuy nhiên:

1- Cần phải delete "TDSSserv.sys" Non-plug and Play Driver này, chứ không chỉ Disable hay Uninstall. Vì Drive này do chính virus tạo ra và hiện diện (nhưng hiden) trong Drive manager của Windows.

2- Ngoài ra, bước này (bước 1 nói trên) chỉ là bước thứ 2, sau khi đã thưc hiện một bước cân thiết trước đó. Bước cần thiết trước đó là phải xóa các file cơ bản (trong đó có file.dll) và registry liên quan của virus này. Nếu không TDSSserv.sys sẽ lai đươc tái tạo trong Hardware- Drive Manager.

Tôi sẽ xin nói cách diệt virus băng tay. Nhưng tốt nhất, để tiện, thì bạn hãy Download "Trojan Remover 6.7.5" (bản dùng thử 30 ngày), update file Trojan mới nhất và quét hệ thông. Sẽ có kết quả khả quan, nếu đúng là loại virus mà tôi và bạn w4s.info đang dự đoán trong đầu.

Chú ý là các trình KIS, McAfee... không phát hiện ra virus-trojan này (gọi là Trojan thì đúng hơn) dù áp dụng chế độ On-demand scan và All files scan. Tuy nhiên khi Trojan Remover 6.7.5 phát hiện ra Trojan này và rename các file cơ bản của Trojan để cô lập chúng, thì McAfee lâp tức nhảy ra "ăn theo" và báo hệ thống dính Trojan... Hì Hì.

Tôi đã từng vất vả gần 3 ngày (tháng trước) về con Trojan quái quỷ này.
 

w4s.info wrote:

Vào Start > Control Panel > System > Hardware > Device Manager > View > Show Hidden Devices.

Tìm “Non-plug and Play Drivers” click plus icon
Tìm “TDSSserv.sys”
Right click > “Disable”
Chú ý: Nếu bạn chọn Uninstall, nó sẽ đc tự động cài lại sau khi reboot.
Restart pc.
Download Malwarebytes' Anti-Malware: http://www.spywarefri.dk/downloads1/mbam-setup.exe
rename to abc.exe
run
update
scan

Bạn thử cách này, hi vọng sẽ có ích

Thân. 

Cách làm của bạn w4s.info có lẽ đúng trong trường hơp xử lý loại virus rất khó chịu và rất đăc biệt này, loai virus liên quan đến DNS changer hay Rogue DNS . (Xin chú ý tôi đang dùng từ "có lẽ", vì không ngôi trên máy của bạn, nên không khảo sát kỹ lưỡng được).

Tuy nhiên:

1- Cần phải delete "TDSSserv.sys" Non-plug and Play Driver này, chứ không chỉ Disable hay Uninstall. Vì Drive này do chính virus tạo ra và hiện diện (nhưng hiden) trong Drive manager của Windows.

2- Ngoài ra, bước này (bước 1 nói trên) chỉ là bước thứ 2, sau khi đã thưc hiện một bước cân thiết trước đó. Bước cần thiết trước đó là phải xóa các file cơ bản (trong đó có file.dll) và registry liên quan của virus này. Nếu không TDSSserv.sys sẽ lai đươc tái tạo trong Hardware- Drive Manager.

Tôi sẽ xin nói cách diệt virus băng tay. Nhưng tốt nhất, để tiện, thì bạn hãy Download "Trojan Remover 6.7.5" (bản dùng thử 30 ngày), update file Trojan mới nhất và quét hệ thông. Sẽ có kết quả khả quan, nếu đúng là loại virus mà tôi và bạn w4s.info đang dự đoán trong đầu.

Chú ý là các trình KIS, McAfee... không phát hiện ra virus-trojan này (gọi là Trojan thì đúng hơn) dù áp dụng chế độ On-demand scan và All files scan. Tuy nhiên khi Trojan Remover 6.7.5 phát hiện ra Trojan này và rename các file cơ bản của Trojan để cô lập chúng, thì McAfee lâp tức nhảy ra "ăn theo" và báo hệ thống dính Trojan... Hì Hì.

Tôi đã từng vất vả gần 3 ngày (tháng trước) về con Trojan quái quỷ này.