Có vấn đề với Spyware

[iamgod]

Hi mọi ng`, lâu lắm mới hỏi mọi ng` 1 câu =.="
Chả là sáng nay, bật máy, ngồi luớt web 1 lúc thì tự dưng IDM nhảy ra down file lên là lk j` j` đấy, nói chung là tên ko có nghĩa... Thế là biết ngay 100% máy mình lại dính spyware rồi... Tưởng remove dễ dàng, cho quét SD và Avast ra bao nhiêu rồi, cuối cùng chiều nay bật máy lên, mở IE vào enfull cập nhật software (firefox dùng IEtab mở enfull là lỗi) thì tự dưng cái bảng này hiện ra (hình trên), bấm Cancel thì nó ra hình duới


Và tự mở web http://winantiviruspro.com (chắc bác quanzi mà mở web này lên điên thúi ruột, nhất là câu này

Norton 360 is old junk - CNET

Đây nữa:
)
Nói chung là cái web này nói năng rất mất dạy (ko phải xxx)
Quay trở lại vấn đề, trong máy tớ ko hề có process nào khả nghi


Tớ nghĩ đây là 1 kiểu hijack IE, tuy nhiên dùng Hijack This chẳng thấy có gì khả nghi
Dùng Firefox ko vấn đề j`
Anh em cho ý kiến cái ::(

 

[CuteBaby]

cậu thử bật bật regedit lên và sau đó edit>find từ khóa winantiviruspro , xem coi nó chui chỗ nào tạo ra Popup như vậy , sẵn tiện không phiền cậu save cái log của hijackthis lên cho tớ kiểm tra thử

 

[iamgod]

Registry thì chẳng ra kết quả nào
HijackThis Log File:

Logfile of HijackThis v1.99.0
Scan saved at 4:45:12 PM, on 8/29/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AppServ\Apache2.2\bin\httpd.exe
C:\AppServ\Apache2.2\bin\httpd.exe
C:\AppServ\MySQL\bin\mysqld-nt.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Bkav2006\Bkav2006.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\regedit.exe
C:\DOCUME~1\sTrAnGeR\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: GameVN Toolbar - {e211c8d1-06e3-4ad5-abcd-6080e7a0208e} - C:\Program Files\GameVN\tbGam0.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: GameVN Toolbar - {e211c8d1-06e3-4ad5-abcd-6080e7a0208e} - C:\Program Files\GameVN\tbGam0.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDrives\vsdrv.exe
O4 - HKLM\..\Run: [BkavFw] C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\AppServ\Apache2.2\bin\httpd.exe
O23 - Service: avast! iAVS4 Control Service - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: mysql - Unknown - C:\AppServ\MySQL\bin\mysqld-nt.exe
O23 - Service: PC Tools Spyware Doctor - Unknown - C:\Program Files\Spyware Doctor\sdhelp.exe

 

[CuteBaby]

kiểm tra không thấy gì , có lẽ cậu đã fix checked , phải có gì liên quan , cậu kiểm tra xem có thư mục winantivirus gì đó được tạo trong máy không

 

[iamgod]

Chưa Fix Checked gì cả
Search ko thấy gì
Thế tớ mới lên đây hỏi chứ

 

[CuteBaby]

hic không có dấu vết gì cả , chắc phải nhờ đến soft giúp thôi

 

[VeryBad]

Nó bảo XoftSpy diệt được này

http://labs.paretologic.com/spyware.aspx?remove=WinAntiVirus%20Pro%202007

 

[iamgod]

Tình hình là dùng XoftSpy quét ra mấy con, del hết rồi, còn cẩn thận quét lại lần nữa thấy ko phát hiện ra con nào cũng thấy yên tâm
Tưởng là hết nạn rồi, thế nhưng...
10h từ trường về bật máy, chơi Boom tầm 1 tiếng thì avast lại nhéo...
Delete File xong đc khoảng 1' sau Popup WinAntiVirusPro 2007 lại xuất hiện
Dùng XoftSpy quét lại là mấy con WinFixer (đã phát hiện đc ở trên)
Để khoảng 2' nữa lại đc cái này



Giờ đang cho quét SD, đc 106 infections rồi, có j` tí hỏi tiếp

 

[iamgod]

Thx mọi ng`, bây giờ thì hết rồi
Nhưng đừng lock lại nhé, sợ mai lại bị tiếp thì :-S

 

[iamgod]

Vừa rồi lại tòi thêm mấy cái download file info, rồi cái cửa sổ cảnh báo của Avast lại hiện ra
Chắc cài lại win mất

 

[CuteBaby]

những kiểu hijack này , nó thường tự động phục hồi lại trong registry trong vòng 30s , phải nhanh tay gọn lẹ + tắt modem

 

[iamgod]

À, nhân tiện 2pic hỏi luôn (VB đi mua dao chưa về :'>), sao crack norton 360, ngắt mạng từ đầu đến cuối mà vẫn ko đc? Sau khi điền code activate = điện thoại thì nó bảo code sai
Trc đấy thì có cài mà quên tắt mạng , dùng Urunistaller rồi

 

[kenzabo]

thế bác ai am gút có download nhầm bản cỡ 50M kô
bản đó kô active được đâu bản 90m thì active mới được

 

[iamgod]

À ừ
Vừa hỏi Vb thấy đúng là phải down bản khác
ken có bản đấy ko, vứt tớ cái link

 

[iamgod]

Sau khi cài WinPatrol Plus 2007 thì đã hiểu nguyên nhân:


Con Trojan này cài addons vào IE..
Còn đây là thông tin:

Virus Alert – AWVTT.DLL

A file called awvtt.dll will appear in your Windows\System or System32 folder. You may see it described as 'MS Events Object'. It installs with Trojan.Vundo.B. The primary job of this Trojan is to contact its controlling server and then download a list of adware or other unwanted programs. This Trojan is known to generate random filenames. Some of these names and folders in which these files can be found are listed at http://www.sarc.com/avcenter/venc/data/trojan.vundo.b.html.

We'd recommend removing this file using WinPatrol. First, kill it under Active Tasks. You'll also want to kill any filenames that appear to be randomly generated for which there is no company or copyright information available. Be on the lookout for other names ending in .dll and consisting of 5 random characters. Next, remove these programs from your IE Helpers and Start Programs (if present). If running WinPatrol 8.x or later, right click each file then select "Delete file on Reboot". Finally, reboot your system.

Thử cái hướng dẫn ở trên xem sao

 

[hoontung02]

Và tự mở web http://winantiviruspro.com (chắc bác quanzi mà mở web này lên điên thúi ruột, nhất là câu này

Máy bạn bị dính Trojan.w32.looksky rồi. cái này rất khó diệt nếu chạy win bình thường. Cần khởi động lại ấn F8 vào Win chế độ "safe Mode" rồi chạy chương trình SmitfraudFix (download SmitfraudFix)

rồi làm theo hướng dẫn sau:

Use:

• Search:
  • Double-click SmitfraudFix.exe
  • Select 1 and hit Enter to create a report of the infected files. The report can be found at the root of the system drive, usually at C:\rapport.txt
  
  Reduced: 95% of original size [ 669 x 338 ] - Click to view full image
  
  
  
  
  
• Clean:
  • Reboot your computer in Safe Mode (before the Windows icon appears, tap the F8 key continually)
  • Double-click SmitfraudFix.exe
  • Select 2 and hit Enter to delete infect files.
  • You will be prompted: Do you want to clean the registry ? answer Y (yes) and hit Enter in order to remove the Desktop background and clean registry keys associated with the infection.
  • The tool will now check if wininet.dll is infected. You may be prompted to replace the infected file (if found): Replace infected file ? answer Y (yes) and hit Enter to restore a clean file.
  • A reboot may be needed to finish the cleaning process. The report can be found at the root of the system drive, usually at C:\rapport.txt
  
  Reduced: 95% of original size [ 669 x 338 ] - Click to view full image
  
  
  
  
  
• Optional:
  • To restore Trusted and Restricted site zone, select 3 and hit Enter.
  • You will be prompted: Restore Trusted Zone ? answer Y (yes) and hit Enter to delete trusted zone.

Note:
process.exe is detected by some antivirus programs (AntiVir, Dr.Web, Kaspersky) as a "RiskTool". It is not a virus, but a program used to stop system processes. Antivirus programs cannot distinguish between "good" and "malicious" use of such programs, therefore they may alert the user.

 

[iamgod]

Tớ bị con Vundo chứ ko phải con này