virus mới >"<

hiện máy nhà em bị 1 số con virus mới, em đã dùng avira và avast quét nhưng ko ra (bản mới nhất nhé). mấy con virus này nó tạo ra 1 số các process để khóa net (tức là ko vào được mạng) và làm chậm đường truyền đi rất nhiều >"< em đã dùng 1 số soft quét ra đại chỉ của mấy con virus này ở trong system32 và em đã chui vào đấy để del virus nhưng chẳng hiểu thế nào mà càng ngày nó càng ăn mạnh vào các file hệ thống như winamp.exe hay explorer.exe và tạo ra 1 số process để khóa net như xfgn.exe , Intsmi.exe, explorer.exe, winamp.exe và tạo ra ngay ở ngoài ổ C 1 cái file exe có tên là m5k1r3r5y2j8.exe. ngoài ra nó còn tạo thêm 1 số file có đuôi scr và có icon hình cái máy ảnh và có tên là 20.scr , 70 , 21, 72....
ai biết cách diệt mấy con này thì chỉ cho em nha

 

ít ra thì phải cho xin 500đ hình ảnh mới biết được chứ.thử dùng kis quét xem hoặc cài lại máy.

 

ảnh đây. đó là những file virus mà em đã xóa

còn vụ cái lại máy thì khi format lại ổ đĩa thì virus sẽ có thể hết nhưng chỉ hết ở ổ C còn ổ D thì ko biết thế nào vì có thể con này trốn trong 1 số các file exe kis cũng quét có ra đâu con này mấy cái trình diệt virus chưa cập nhập chỉ có mỗi thằng prevx là quét ra thôi mà nó chỉ quét ra mấy file tạm của virus còn file gốc thì tìm ko ra

 

tải sample scanner về thử nhá, bỏ 1 con vô nó tìm ra mấy con giống nó còn sót lại
http://phanmemvn.net/ps/showthread.php?tid=15

 

^thanks em sẽ thử
P/s: ở dưới đây là mẫu 2 con virus bác nào down về rồi thử tìm cách diệt tận gốc rồi chỉ cho em nha
Pass archive là virus

 

cái này chỉ quét được mấy cái file tạm thôi còn file gốc thì tìm ko ra nó vẫn mọc trở lại được

 

Oai virus nhờ diệt mà còn đặt pass
em nể bác thật!
bác dùng scan của Bit thử xem

 

mắt có bị sao ko thế tui đặt pass là để cho chắc còn cái Bit thì thôi quét ngu như bò toàn phá máy nó phá máy chỉ sau mỗi thằng BKAV mà có góp ý thì góp ý cho đàng hoàng nhé còn nếu spam thì đi ra chỗ khác

 

bạn vô safe mode with networking. quét = Sample scanner tất cả các file nghi ngờ là virus. rồi sau đó tải avira từ free-av.com về scan rồi quét tiếp. vẫn trong safe mode with networking nha.
còn ko thì bạn xài soft này, tạo file log post lên đây để thử coi thấy con virus mẹ ko nha.
http://www.box.net/shared/07663a03gm

 

đã bảo là avira với avast chưa cập nhập nên quét ko ra mà @@
còn cái sample thì phải có mẫu mới quét được mà nó thì toàn quét mấy file tạm của virus mà tui đã biết @@ còn cái kia thì chưa thử

 

@VLCR: đã xài thử cái kia đây là log
[spoil] Mẫu báo cáo tình trạng máy tính hiện tại.
Thực hiện bởi chương trình: Perfect Antivirus 2009.
Thời gian: 6:37:20 PM - 2/21/2001
- Thông tin máy tính:
+ Hệ điều hành: Microsoft Windows XP Professional 5.1.2600
+ Tên người sử dụng: Lam
+ Tên máy tính: LAME-DB35B80F2F
+ Dung lượng bộ nhớ RAM: 511.484 MB
===============================================================================


[1] - Các chương trình đang chạy trong bộ nhớ:

C:\WINDOWS\System32\smss.exe : 416
C:\WINDOWS\system32\winlogon.exe : 496
C:\WINDOWS\system32\services.exe : 540
C:\WINDOWS\system32\lsass.exe : 552
C:\WINDOWS\system32\svchost.exe : 704
C:\WINDOWS\System32\svchost.exe : 820
C:\WINDOWS\Explorer.EXE : 1176
C:\WINDOWS\system32\khooker.exe : 1248
C:\WINDOWS\system32\spoolsv.exe : 1352
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe : 1952
D:\Duong\Softs\lolifox-0.3.6.en-US.win32\lolifox\lolifox.exe : 1644
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE : 1012
C:\Documents and Settings\Lam\Desktop\PerfectSystemReporter.exe : 1300
C:\WINDOWS\system32\drivers\xfgni.exe : 1572

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


[2] - Các chương trình được nạp lúc khởi động:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[+] Messenger (Yahoo!) = "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[+] _systeminit = C:\WINDOWS\system32\systeminitialization.exe
[+] SiS Tray = C:\WINDOWS\system32\sistray.exe
[+] SiS KHooker = C:\WINDOWS\system32\khooker.exe
[+] Microsoft Driver Setup = C:\WINDOWS\system32\drivers\xfgni.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
[+] desktop.ini

[C:\Documents and Settings\Lam\Start Menu\Programs\Startup]
[+] desktop.ini



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[3] - Giá trị của các Key quan trọng trong khóa Winlogon:


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[+] AutoRestartShell = 0001
[+] DefaultDomainName = LAME-DB35B80F2F
[+] DefaultUserName = Lam
[+] LegalNoticeCaption =
[+] LegalNoticeText =
[+] PowerdownAfterShutdown = 0
[+] ReportBootOk = 1
[+] Shell = Explorer.exe
[+] ShutdownWithoutLogon = 0
[+] System =
[+] Userinit = C:\WINDOWS\system32\userinit.exe,
[+] VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
[+] SfcQuota = FFFFFFFF
[+] allocatecdroms = 0
[+] allocatedasd = 0
[+] allocatefloppies = 0
[+] cachedlogonscount = 10
[+] forceunlocklogon = 0000
[+] passwordexpirywarning = 000E
[+] scremoveoption = 0
[+] AllowMultipleTSSessions = 0001
[+] UIHost = logonui.exe
[+] LogonType = 0001
[+] Background = 0 0 0
[+] DebugServerCommand = no
[+] SFCDisable = 0000
[+] WinStationsDisabled = 0
[+] HibernationPreviouslyEnabled = 0001
[+] ShowLogonOptions = 0000
[+] AltDefaultUserName = Lam
[+] AltDefaultDomainName = LAME-DB35B80F2F


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[4] - Nội dung tập tin Hosts:


(Không tìm thấy tập tin Hosts)


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[5] - Các thông số cài đặt của Internet Explorer:


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[+] NoUpdateCheck = 0001
[+] NoJITSetup = 0001
[+] AlwaysUseDefaultPrinter = yes
[+] Disable Script Debugger = yes
[+] Show_ChannelBand = No
[+] Anchor Underline = yes
[+] Cache_Update_Frequency = Once_Per_Session
[+] Display Inline Images = yes
[+] Do404Search = 01 00 00 00
[+] Local Page = C:\WINDOWS\system32\blank.htm
[+] Save_Session_History_On_Exit = no
[+] Show_FullURL = no
[+] Show_StatusBar = yes
[+] Show_ToolBar = yes
[+] Show_URLinStatusBar = yes
[+] Show_URLToolBar = yes
[+] Start Page = about:blank
[+] Use_DlgBox_Colors = yes
[+] Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[+] StatusBarOther = 0001
[+] FullScreen = no
[+] Window_Placement = 2C 00 00 00 00 00 00 00 01 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00 00 00 00 00 00 00 00 1F 03 00 00 3A 02 00 00
[+] NotifyDownloadComplete = yes
[+] ShowedCheckBrowser = Yes
[+] Check_Associations = No
[+] Error Dlg Displayed On Every Error = no
[+] Use FormSuggest = yes

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
[+] Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[+] Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[+] Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[+] Enable_Disk_Cache = yes
[+] Cache_Percent_of_Disk = 0A 00 00 00
[+] Delete_Temp_Files_On_Exit = yes
[+] Local Page = %SystemRoot%\system32\blank.htm
[+] Anchor_Visitation_Horizon = 01 00 00 00
[+] Use_Async_DNS = yes
[+] Placeholder_Width = 1A 00 00 00
[+] Placeholder_Height = 1A 00 00 00
[+] Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
[+] CompanyName = Microsoft Corporation
[+] Custom_Key = MICROSO
[+] Wizard_Version = 6.0.2600.0000
[+] FullScreen = no

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
[+] SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
[+] CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[6] - Khóa đăng ký của các tập tin thực thi:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
(Default) = "%1" %*

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
(Default) = "%1" %*

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
(Default) = "%1" %*

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
(Default) = "%1" %*


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[7] - Tình trạng Khóa/Mở các chức năng của Windows


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[+] NoDriveAutoRun = F3 FF FF 03

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[8] - Các tập tin Autorun.inf trong ổ đĩa:


LOCAL DISK1 [C:\] - Không phát hiện Autorun.
LOCAL DISK2 [D:\] - Không phát hiện Autorun.



==============================================================================


Hoàn tất báo cáo.
Từ bản báo cáo này, bạn có thể tự phân tích và tìm hiểu để loại bỏ các loại Virus thường gặp trên máy.
Nếu phát hiện máy tính bạn gặp vấn đề qua File Log ở trên, bạn có thể bật tất cả các chức năng tự động bảo vệ của PAV 2009, chương trình sẽ tự động sửa chữa tất cả.
Nếu không biết cách phân tích, bạn có thể gửi File Log này đến những người có chuyên môn nhờ họ giải đáp và đưa ra lời khuyên cho máy tính của bạn.
Hoặc cũng có thể Post File Log này lên 1 số diễn đàn nhờ phân tích như: http://truongton.net (Mục 'Bệnh Viện Máy Tính'), http://virusvn.com, http://benhvientinhoc.com


--------------------------------------- End --------------------------------------
Copyright © Perfect Antivirus 2009[/spoil]
P/s: sau khi xài thì con virus lại mọc trở lại và trở thành xfgni.exe có vẻ như cứ sau mỗi lần bị quét ra thì nó lại mọc trở lại và sẽ tạo ra 1 file tạm mới

 

xfgni.exe là 1 con malware, đi chung tên với con này ERASEME_78036.EXE

Mã:

http://www.prevx.com/filenames/428359347254356667-X1/ERASEME_78036.EXE.html

có thể xử = tool này

Mã:

http://pxnow.prevx.com/zeroL/PREVXCSIFREE.EXE

.
_systeminit = C:\WINDOWS\system32\systeminitialization.exe thằng này lại là 1 con adware khác, có thể xài malwarebyte hoặc ad-aware để quét.

 

cái Prevx trên đã xài trước khi post lên đây rồi thức ra là chỉ có mỗi tahwngf đấy là cập nhập mấy con này mà nó cũng chỉ xáo mấy cái file tạm đó thôi chứ file gốc của con virus ở đâu ra thì không biết >"<
P/s: có ai có acc của hvaonline để có gì vác mấy con này lên đấy xem tụi nó có xử được ko

 

mình xài bit 3 năm rùi thấy nó có phá gì đâu, ổn phết

 

^àh vâng nếu ổn thì mời bác đi ra chỗ khác còn nếu muốn góp ý gì cho tui giết con virus này thì nói còn ko thì đi ra chỗ khác nếu muốn spam thì tui sẵn sàng chỉ cho bác 1 lô địa chỉ hồ câu để bác spam đừng có vào phá topic của tui