English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... em dính virus..  XML
  [Question]   em dính virus.. 07/06/2007 07:23:30 (+0700) | #1 | 63478
NJP
Member
[Minus]    0    [Plus]
Joined: 09/05/2007 07:47:51
Messages: 38
Location: Jupiter
Offline
[Profile] [PM]
Ko hiểu em dính thằng virus gì mà nó làm tốc độ download chậm đi rất nhiều ...mất cả dữ liệu tải về. Em thử quét bằng Fire lion cũng ko được, đã thử tải http://depositfiles.com/en/files/131821/Norton.Antivirus.2007.BETA.200.html? nhưng tải về thì mất luôn không kịp dùng...mong các bác giúp đỡ..
[Up] [Print Copy]
  [Question]   Re: em dính virus.. 07/06/2007 13:45:57 (+0700) | #2 | 63524
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Post cái "Hai Jic" lên xem nào bạn.
[Up] [Print Copy]
  [Question]   em dính virus.. 07/06/2007 20:50:17 (+0700) | #3 | 63552
NJP
Member
[Minus]    0    [Plus]
Joined: 09/05/2007 07:47:51
Messages: 38
Location: Jupiter
Offline
[Profile] [PM]
Đây nó đây thưa "đại ca":Logfile of HijackThis v1.99.1
Scan saved at 7:43:45 AM, on 6/7/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\FixCamera.exe
C:\Program Files\Bkav2006\Bkav2006.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\Program Files\FireLion Softwares\FastHelper\FastHelper.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\Program Files\FireLion Softwares\FastHelper\ResidentShield.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\mtd2002\MTDSERVER.EXE
C:\Program Files\mtd2002\MTDSHELF.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Vietkey] C:\Program Files\Vietkey2000\VKNT.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [BkavFw] C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [Inters] C:\WINDOWS\system32\Inters.exe
O4 - HKLM\..\Run: [FastHelper] C:\Program Files\FireLion Softwares\FastHelper\FastHelper.exe /startup
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178698628859
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: [FireLion] FastHelper Resident Shield (FastHelper) - FireLion Co., Ltd - C:\Program Files\FireLion Softwares\FastHelper\ResidentShield.exe

[Up] [Print Copy]
  [Question]   em dính virus.. 07/06/2007 22:07:12 (+0700) | #4 | 63557
TQN
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Có 2 file .exe khả nghi: C:\WINDOWS\tsnp325.exe và C:\WINDOWS\vsnp325.exe. Copy nó qua máy nào có cài Ka hay Bit quét thử xem.
[Up] [Print Copy]
  [Question]   em dính virus.. 07/06/2007 22:25:37 (+0700) | #5 | 63559
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
upload cho mod 1 mẫu trước khi làm.Scan online 2 file đó để biết thêm chi tiết khuyến mãi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: em dính virus.. 08/06/2007 02:03:55 (+0700) | #6 | 63618
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
@NJP: Có 2 Process lạ và khả nghi là:tsnp325.exevsnp325.exe
Path:
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe 


2 Process này được kích hoạt bởi hai key:
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe 

Cái thàng Inters.exe là của cái gì nhỉ sao chỉ thấy key kích hoạt mà kô thấy nó chạy? Có thể nó là một file của virus, nó chỉ có nhiệm vụ kiểm tra sự tồn tại và hoạt động của 2 file kia lúc win khởi động còn sau đó nó tự End nên kô thấy Process của nó. Hay nó là của bác Hoàng ấy nhỉ smilie
O4 - HKLM\..\Run: [Inters] C:\WINDOWS\system32\Inters.exe 


Bạn hãy kiểm tra ngày tạo ra(Date Created) của 3 file này, nếu thấy cùng Date Created thì đúng là đồng bọn của nhau rồi.

Bạn thử kiểm tra xem Task Manager, Regedit, cmd ,Folder Options(hoặc chức năng ẩn file của Folder Options) có bị khóa khô. nếu mấy cái này bị khóa thì đúng là có virus rồi.

Bạn hãy kill 2 process trên. Chắc là biết cách kill Process rồi chứ? Kô biết thì đọc ngay mấy bài ở trong box này này nói nhiều làm rồi smilie)

Sau đó Fix 2 cái key kia bằng HijackThis. Restart máy xem còn 2 Process ấy kô? Nếu 2 Process ấy kô còn và những hiện tượng kia hết thì chắc là 2 Process đó là virus rồi smilie) lần theo Path mà delete mấy cái file đó đi.

Nếu rảnh thì Up một file lên ủng hộ cái FastHelper của bác Hoàng rùi nhờ bác ấy mổ bụng nó ra xem nó có những chức năng gì smilie) Kô biết bao giờ HijackThis nó mới gọi FastHelper của bác Hoàng là AntiVirus nhỉ smilie) Cố lên bác Hoàng smilie)

Ngoài ra HijackThis còn nói 2 cái này là kô cần thiết. Bạn kô dùng tới thì Fix 2 cái dòng này đi cho nó nhẹ máy.

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing) 


Còn cái:O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE thì đựoc báo là của AC97 nó được Realtek dùng để lấy thông tin của khách hàng. Fix luôn nó đi cũng được.

Mình thấy bấy nhiêu thôi smilie)
[Up] [Print Copy]
  [Question]   Re: em dính virus.. 08/06/2007 20:41:49 (+0700) | #7 | 63768
NJP
Member
[Minus]    0    [Plus]
Joined: 09/05/2007 07:47:51
Messages: 38
Location: Jupiter
Offline
[Profile] [PM]
thanks các bác nhiều em fixed lũ ấy luôn rồi smilie)

[Up] [Print Copy]
  [Question]   em dính virus.. 09/06/2007 03:55:56 (+0700) | #8 | 63833
daotranbang
Member
[Minus]    0    [Plus]
Joined: 14/08/2005 12:05:24
Messages: 25
Offline
[Profile] [PM]
2 file C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe là driver của webcam đó
[Up] [Print Copy]
  [Question]   Re: em dính virus.. 09/06/2007 14:18:21 (+0700) | #9 | 63922
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
2 file C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe là driver của webcam đó  


Thiệt hả smilie

@NJP: sau khi fix xong cái lũ ấy thì máy thế nào hả NJP? tốc độ down có nhanh hơn kô? nếu chỉ dựa vào tốc độ down chậm mà kết luộn có virus thì cũng hơi vội vã thiệt smilie

Bạn đã thử kiểm tra Task Manager, Regedit, cmd ,Folder Options(hoặc chức năng ẩn file của Folder Options) có bị khóa khô chưa?

lần sau nếu nghi ngờ nhiễm virus thì hãy cắm USB vào để kiểm tra xem USB có bị tạo Autorun kô. Oài chán lám rồi smilie(
[Up] [Print Copy]
  [Question]   em dính virus.. 14/06/2007 00:31:47 (+0700) | #10 | 64520
phanxipang
Member
[Minus]    0    [Plus]
Joined: 20/02/2004 03:58:46
Messages: 3
Offline
[Profile] [PM]
máy em bị dính virut,làm ẩn hết các folder trong ổ cứng, và sinh ra các folder có tên tương tự nhưng ở dạng .exe,làm mất luôn cả folder options, sau khi quét bằng BK pro thì hết các file .exe,nhưng các folder chứa dữ liệu ban đầu vẫn ở trạng thái ẩn mà ko phục hồi lại được? bac nào bit' chỉ em với!
[Up] [Print Copy]
  [Question]   Re: em dính virus.. 14/06/2007 03:18:30 (+0700) | #11 | 64531
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
máy em bị dính virut,làm ẩn hết các folder trong ổ cứng, và sinh ra các folder có tên tương tự nhưng ở dạng .exe,làm mất luôn cả folder options, sau khi quét bằng BK pro thì hết các file .exe,nhưng các folder chứa dữ liệu ban đầu vẫn ở trạng thái ẩn mà ko phục hồi lại được? bac nào bit' chỉ em với!  


Bạn thử làm như sau:

1. vào Dos (run -> cmd)

2. gõ lệnh: attrib -s -h /s /d D:\*.*
Lệnh này có tác dụng hiện tất cả những folder và file bị ẩn trong ổ D

3. gõ lệnh các lệnh sau để làm ẩn lại những thứ cần để ẩn:

attrib +s +h /s /d D:\Desktop.ini

attrib +s +h /s /d D:\Thumbs.db

attrib +s +h "D:\System Volume Information"

attrib +s +h "D:\RECYCLER

attrib +s +h "D:\Recycled

Ở các ổ khác làm tương tự. Hi vọng thành công smilie)





[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|