Giúp với ! virus
- Thread starter Roman1111
- Ngày gửi
- 28/11/04
- 1,114
- 541
- Thread starter
- #3
hịc ko hiểu sao mỗi khi bật máy lên là mất hết icon và phần start ! toàn phải Ctrl alt del để vào trương trình ! ko biết bị dính virus gì mỗi khi dùng spyware doctor quét là lại hiện lên icon và start ! ai biết cách diệt hẳn con virus này thì chỉ tôi với ! cho tôi luôn soft để diệt
otzi
Dragon Quest
- 2/4/06
- 1,375
- 0
nếu quét xong hết 1 thời gian sau lại tiếp mà phần mềm quét lại là spy doctor thì con này có khi nó thuộc loại khủng rồi . tớ thấy có lẽ cách tốt nhất là cậu nên cài lại win nếu kô được thì dùng hijack quét xem có cái gì đang chạy mà là là thì del thẳng tay :)
* Phát hiện các virus lì lợm:
Có nhiều virus chỉ quét được lúc nó đang hoạt động, do đó ta phải chủ động đi “tìm diệt” trước bằng cách mở My Computer/Local disk (D:), sau đó xóa các file mà bạn không hiểu nghĩa (điều này cũng đòi hỏi bạn phải đọc file thật kỹ). Tiếp tục mở My Computer / Local disk (C:), các file không có nghĩa rõ ràng cũng xóa luôn, mở Program Files và làm tương tự như vậy, WINDOWS: xóa các file có tên không có chút liên quan nào với tin học như GatorUSA, Bigbangrrr, Sizu zusi,..., các file toàn bằng số hoặc chèn chữ như 2848e46, 56hg8h333,...; file có đuôi theo kiểu chữ hoa+ys +exe, log dll, srv wav, lnk tmt, wad txt, ine tmp, wbm fil, oxy, per, ví dụ: CMESys.ex,GLine.dll, HELper.wav,...; file có các ký tự đặc biệt (@,::,?,><,[ ],{ },\ | /,* *,%,#,^,và ~) trong tên, ví dụ: [email protected], Drwstn#.dll.
* Kiểm tra tận gốc:
Sau khi xử lý xong bề mặt, bạn kiểm tra phần gốc rễ bằng cách vào Start /Run, gõ Tasks, nhấn OK xem có gì lạ trong danh sách thì xóa. Gõ Prefetch/ OK tìm xóa file có tên na ná những chương trình chứa virus bạn đã từng gặp. Gõ msconfig /Startup /OK, tìm chỗ chứa những tên khả nghi và xóa đi.
* Loại trừ nơi trú ẩn khác:
Công đoạn kế tiếp bạn loại trừ những nơi file chứa virus có thể tìm đến ẩn. Cách thực hiện như sau: Start /Run, gõ Regedit /OK. Tìm các khóa:
+ HKEY_CLASSES_ROOT /CLSID, dò xuống các giá trị 09..., data nào tên không có nghĩa thì xóa.
+ HKEY_CURRENT_USER /Software, những tên file nào “ăn theo” Local AppWizard-Generated Applications và Software by Design mà vô nghĩa thì xóa; tiếp đến bạn dò xuống các mục +Internet Explorer /Main, +Schedule, +Windows / CurrentVersion /Run- xóa các giá trị %1%*,%ys+, các data nói có nguồn gốc từ System32 nhưng khi lôi nó ra Desktop thì Target lại có đuôi khác trong Registry Editor.
+ HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft dò xuống
+ Internet Explorer /Main, Schedule, Windows/ CurrentVersion/Run
Run-
RunOnce
RunOnceEx
RunServices
RunServices-
xóa các giá trị %1%*,%ys+, các data hiển thị nguồn gốc từ System32 nhưng khi đưa ra Desktop, Target lại có đuôi khác trong Registry Editor
+ HKEY_USERS /DEFAULT/Software/Microsoft/ Windows / CurrentVersion /Run /S-1-5-18/Software/Microsoft/ Windows / CurrentVersion /Run /S-1-5-21-1292428093-1202660629-842925246-1003/Software/Microsoft/ Windows / CurrentVersion /Run
xóa các giá trị %1%*,%ys+, các data nói có nguồn gốc từ System32 nhưng khi lôi nó ra Desktop thì Target có đuôi khác trong Registry Editor.
- 28/11/04
- 1,114
- 541
- Thread starter
- #5
Đây cho cậu xem :Trojan.Downloader.Small.CML (Troj/BckDr-DKG [Sophos]
Trojan.Win32.Agent.qt [Kaspersky]
Backdoor.Sualimpo.E [BitDefender]
Trojan.Click.1210 [Dr Web])
Type: Trojan
Threat Level: High
Description: Trojan.Downloader.Small.CML will attempt to connect to a pre-determined website and download additional malware. It will also download a list of commands to execute.
Cài lại win 1 lần rồi ! ko hiểu sao vẫn bị T_T giúp mình với ! cho tớ luôn cái phần diệt con virus này nhé
Advice: Toss
Trojan.Win32.Agent.qt [Kaspersky]
Backdoor.Sualimpo.E [BitDefender]
Trojan.Click.1210 [Dr Web])
Type: Trojan
Threat Level: High
Description: Trojan.Downloader.Small.CML will attempt to connect to a pre-determined website and download additional malware. It will also download a list of commands to execute.
Cài lại win 1 lần rồi ! ko hiểu sao vẫn bị T_T giúp mình với ! cho tớ luôn cái phần diệt con virus này nhé
Advice: Toss
cứ đưa tớ file log của hijack
- 28/11/04
- 1,114
- 541
- Thread starter
- #7
ko biết đúng ko
Logfile of HijackThis v1.99.1
Scan saved at 12:55:44 PM, on 11/21/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\windows media player\wmplayer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ngoisao.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] "C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /RM /FS /X
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O16 - DPF: {2D52AF9C-51C9-4EF5-B98C-A64997635235} (RunGame Class) - http://windygame.nefficient.co.kr/patch/infinity/cab/20061025/windyMngrAx.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.egov.go.kr/sso/KALogoutComponent.cab
O16 - DPF: {F7899FAE-51C9-4EF5-B98C-A64997635235} (GSPRunGame Class) - http://www.playinfinity.net/cab/WindyGSPAx.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpccd - C:\WINDOWS\System32\rpccd.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Logfile of HijackThis v1.99.1
Scan saved at 12:55:44 PM, on 11/21/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\windows media player\wmplayer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ngoisao.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] "C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /RM /FS /X
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O16 - DPF: {2D52AF9C-51C9-4EF5-B98C-A64997635235} (RunGame Class) - http://windygame.nefficient.co.kr/patch/infinity/cab/20061025/windyMngrAx.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.egov.go.kr/sso/KALogoutComponent.cab
O16 - DPF: {F7899FAE-51C9-4EF5-B98C-A64997635235} (GSPRunGame Class) - http://www.playinfinity.net/cab/WindyGSPAx.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpccd - C:\WINDOWS\System32\rpccd.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Innocent_boy
Mr & Ms Pac-Man
- 2/2/06
- 213
- 1
mấy chị dowm cái quét vi rút tên là D32-scanvirut về xài thử đi.công dụng lắm
otzi
Dragon Quest
- 2/4/06
- 1,375
- 0
chú ý : tớ chỉ cậu cách diệt hẳn từng con 1 , các thứ dưới đây rất quan trọng nên cậu phải làm đầy đủ cẩn thận kô được thiếu thao tác nào .
cái file log chẳng thấy gì khả nghi cả đành diêt mấy con này trước vậy đầu tiền
1. Trojan.Downloader.Small.CML có đứa làm cách này diệt hẳn được con này
down cái này Ewido Anti-spyware về http://www.ewido.net/en/download
down về rùi update
quét xong chọn settings -> Recommended actions -> Quarantine -> Reports -> Automatically generate report after every scan
sau đó khởi động lại máy , vào chế độ safe mode chọn scanner rồi ở tab scan click vào Complete System Scan . scan xong nếu máy ông quét được virus thì chọn Apply all actions -> reports -> Save report as . save vào nơi nào thì phải nhớ cái này quan trọng đó
scam tiếp = panda antivirus
ATF Cleaner down típ ^^
http://www.atribune.org/ccount/click.php?id=1
chọn Select All Click vào nút Empty Selected nếu chung là chọn tất
Download WinPFind
http://www.bleepingcomputer.com/files/winpfind.php
down rùi khởi động lại để chế độ an toàn ( safe mode )
rùi scan
hix có đứa làm vậy quét được tận gốc con này nên tớ post bài này hi vọng diệt đc nó
chẳng biết tại sao lắm trò thế nhưng mấy thằng tây nó bảo thế
otzi
Dragon Quest
- 2/4/06
- 1,375
- 0
Trojan.Win32.Agent.qt
đến con này
http://www.downloads.subratam.org/KillBox.exe
down cái này về
Start -> Run đánh msconfig rồi Enter
tắt chức năng phục hồi của win đi
rồi cài CleanUp!
http://www.stevengould.org/downloads/cleanup/CleanUp40.exe
chạy CleanUp! sau đó vào Options -> Custom CleanUp!
rồi
Empty Recycle Bins
Delete Cookies
Delete Prefetch files
Cleanup! All Users
ấn OK -> CleanUp!
thoát khỏi CleanUp!
chạy KillBox và chọn Delete on Reboot
C:\WINDOWS\system32\1024\ldEF1D.tmp
C:\WINDOWS\system32\1024\ldEF9A.tmp
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\Temp\win1357.tmp.exe
File -> Paste from clipboard. Click All Files
xong thì ấn chữ X để thoát -> yes khởi dộng lại
khởi động lại xong
chạy KillBox chọn Standard File Kill
C:\WINDOWS\system32\1024\ldEF1D.tmp
C:\WINDOWS\system32\1024\ldEF9A.tmp
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\Temp\win1357.tmp.exe
File>>Paste from clipboard
xong thì ấn chữ X để thoát -> yes
rùi
đến con này
http://www.downloads.subratam.org/KillBox.exe
down cái này về
Start -> Run đánh msconfig rồi Enter
tắt chức năng phục hồi của win đi
rồi cài CleanUp!
http://www.stevengould.org/downloads/cleanup/CleanUp40.exe
chạy CleanUp! sau đó vào Options -> Custom CleanUp!
rồi
Empty Recycle Bins
Delete Cookies
Delete Prefetch files
Cleanup! All Users
ấn OK -> CleanUp!
thoát khỏi CleanUp!
chạy KillBox và chọn Delete on Reboot
C:\WINDOWS\system32\1024\ldEF1D.tmp
C:\WINDOWS\system32\1024\ldEF9A.tmp
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\Temp\win1357.tmp.exe
File -> Paste from clipboard. Click All Files
xong thì ấn chữ X để thoát -> yes khởi dộng lại
khởi động lại xong
chạy KillBox chọn Standard File Kill
C:\WINDOWS\system32\1024\ldEF1D.tmp
C:\WINDOWS\system32\1024\ldEF9A.tmp
C:\WINDOWS\system32\dxole32.exe
C:\WINDOWS\Temp\win1357.tmp.exe
File>>Paste from clipboard
xong thì ấn chữ X để thoát -> yes
rùi
otzi
Dragon Quest
- 2/4/06
- 1,375
- 0
nếu dùng thì đùng dùng WB cậu dùng cái này này tớ đang dùng rất đãOk rồi
http://rapidshare.de/files/10589799/Visual_Styles.rar.html
muốn nhẹ thì
http://rapidshare.de/files/10588596/UXTheme_Multi-Patcher_4.0.exe.html
2 cái này tớ đều đánh giá cao hơn windows blind