Virus gì mà Norton không diệt được.

[Huyen Tran]

Máy winserver2003 bị nhiễm con này diệt hoài không được, xin các cao thủ giúp đỡ.
Cám ơn nhiều.

[T4mQu0c]

Thiệt là po tay, cho mình xin 500 thông tin đi bạn như: virus gì, như thế nào và làm sao bạn biết nó là virus
Thanks

[Huyen Tran]

Mình quên attach, đây là thông báo của norton.

[bolzano_1989]

Để diệt Conficker, bạn hãy cài đặt 3 bản update sau:
http://www.microsoft.com/technet/sec.../MS08-067.mspx
http://www.microsoft.com/technet/sec.../ms08-068.mspx
http://www.microsoft.com/technet/sec.../ms09-001.mspx
Khởi động lại máy rồi cập nhật và quét lại toàn máy bằng Antivirus có ở máy bạn vài lần.

Nếu máy bạn vẫn còn malware (virus...), bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé :

Tải AVZ vào ngay ổ C bằng link sau:
http://www.z-oleg.com/avz.exe
Tắt tất cả chương trình đang chạy trên máy kể cả ở thanh System tray (khay hệ thống) bao gồm cả Firewall, Antivirus và các chương trình liên quan security khác. Với CMCiS/CMCAV, bạn hãy tạm "tắt chế độ tự động bảo vệ máy tính"/bỏ dấu chọn "Enable Realtime Protection".
Chạy AVZ bằng cách click kép file có vị trí: C:\avz.exe .
Click File (menu) => Custom scripts, copy vào khung đoạn sau (không copy dòng "Code:"):

Code:

var
AVZLogDir : string;
begin
AVZLogDir := GetAVZDirectory + 'AVZLOG\';
CreateDirectory(AVZLogDir);
SetupAVZ('UseQuarantine=Y');
SetupAVZ('UseInfected=Y');
SetupAVZ('DelVir=Y');
SetupAVZ('AntiRootKitSystem=Y');
SetupAVZ('SCAN='+GetSystemDisk+':\');
RunScan;
CreateQurantineArchive(AVZLogDir+'lk_cure.zip');
ExecuteSysCheckEX(AVZLogDir+'lk_syscure.htm', $FFFFFF, true, 1+4);
RebootWindows(true);
end.

Máy sẽ khởi động lại, bạn hãy nhanh chóng update đầy đủ và quét toàn bộ máy tính của bạn với CMC Antivirus/IS. Sau đó, nén lại (bằng 7-Zip, WinZip hoặc Winrar...) và gửi thư mục C:\AVZLOG được tạo ở ngay ổ đĩa C cho mình.

Tải file sau vào ngay nền desktop: http://www2.gmer.net/mbr/mbr.exe
Chạy mbr.exe , khi chạy xong bạn mở file MBR.log vừa được tạo ở ngay nền desktop bằng Notepad, post kết quả scan lên diễn đàn cho mình.

Tải,giải nén và chạy GMER : http://www.gmer.net/gmer.zip
GMER sau lần quét mặc định lúc khởi động, nếu gmer hỏi bạn có muốn Run Scan, bạn chọn No rồi thiết lập bỏ các lựa chọn sau đây * Sections * IAT/EAT * Những Drives/Partitions khác Systemdrive (thông thường là giữ lựa chọn C:\ , bỏ lựa chọn D,E ..) * Show All

Xong rồi thì click Scan , scan xong thì click Save với tên là "gmer.txt" .
Upload file này và đưa link lên diễn đàn cho mình .

Tải vào ngay desktop và chạy Avira AntiVir Support Collector: http://dlpro.antivir.com/package/dow...llector_en.exe
Click "Start", click "Extended", chương trình sẽ tiến hành scan ở máy bạn.
Chờ khi scan xong, upload file AVSUPINF.ZIP vừa được tạo ra ngay trên desktop của bạn lên host nào đó và đưa link lên diễn đàn cho mình .

Tải vào ngay desktop và chạy SystemLook từ một trong các link sau:
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jps...SystemLook.exe
Copy vào khung chính dưới dòng File nội dung sau (không copy dòng "Code:")::

Code:

:reg
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /sub
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /sub
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg /sub
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects /sub
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 /sub
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SVCHOST /sub
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify /sub
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /sub
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services /sub

:process 
explorer.exe 

:dir
%Temp%
%WinDir% /t30
%WinDir%\System32\ /t30
%WinDir%\System32\drivers /t30

:file
%WinDir%\System32\drivers\AGP440.sys
%WinDir%\System32\drivers\ahcix86.sys
%WinDir%\System32\drivers\atapi.sys
%WinDir%\System32\autochk.exe
%WinDir%\System32\drivers\beep.sys
%WinDir%\System32\cngaudit.dll
%WinDir%\System32\comres.dll
%WinDir%\System32\crypt32.dll
%WinDir%\System32\eNetHook.dll
%WinDir%\System32\eventlog.dll
%WinDir%\explorer.exe
%WinDir%\System32\gpedit.dll
%WinDir%\System32\drivers\iaStor.sys
%WinDir%\System32\drivers\iastorv.sys
%WinDir%\System32\drivers\IdeChnDr.sys
%WinDir%\System32\imm32.dll
%WinDir%\System32\kernel32.dll
%WinDir%\System32\drivers\KR10N.sys
%WinDir%\System32\logevent.dll
%WinDir%\System32\mswsock.dll
%WinDir%\System32\drivers\ndis.sys
%WinDir%\System32\netlogon.dll
%WinDir%\System32\ntelogon.dll
%WinDir%\System32\ntmssvc.dll
%WinDir%\System32\drivers\nvata.sys
%WinDir%\System32\drivers\nvatabus.sys
%WinDir%\System32\drivers\nvgts.sys
%WinDir%\System32\drivers\nvstor.sys
%WinDir%\System32\drivers\nvstor32.sys
%WinDir%\System32\proquota.exe
%WinDir%\System32\qmgr.dll
%WinDir%\System32\rundll32.exe
%WinDir%\System32\scecli.dll
%WinDir%\System32\sceclt.dll
%WinDir%\System32\sfc.dll
%WinDir%\System32\spoolsv.exe
%WinDir%\System32\svchost.exe
%WinDir%\System32\userinit.exe
%WinDir%\System32\drivers\vaxscsi.sys
%WinDir%\System32\drivers\viamraid.sys
%WinDir%\System32\drivers\viasraid.sys
%WinDir%\System32\drivers\ViPrt.sys
%WinDir%\System32\winlogon.exe
%WinDir%\System32\ws2_32.dll
%WinDir%\System32\wscntfy.exe
%WinDir%\System32\xmlprov.dll

Click nút Look để tiến hành scan.
Khi việc scan hoàn tất, một cửa sổ notepad sẽ được mở chứa kết quả scan, bạn upload file SystemLook.txt vừa được tạo ở desktop và đưa link lên diễn đàn cho mình .

[Huyen Tran]

Cám ơn bạn bolzano_1989 rất nhiều
Đây là kết quả, riêng gmer.exe mỗi lần chạy là máy tự shutdown hoặc lên màn hình xanh lè nên không lấy kết quả được. Máy mình là Winserver2003.

[bolzano_1989]

Trước khi xử lí, mình cần xác định một số thông tin sau:

Chương trình sau có phải do bạn cài đặt hay không : D:\shutdown\autoshutdown.exe ?
Bạn hãy upload/reupload (nếu file đã từng được VirusTotal scan) các file sau lên VirusTotal và gửi link kết quả scan lên forum:
C:\Temp\temp\RemStart.exe
C:\Program Files\Windows NT\TableTextService\TableTextService.exe
D:\shutdown\autoshutdown.exe

[Huyen Tran]

C:\Temp\temp\RemStart.exe
và C:\Program Files\Windows NT\TableTextService\TableTextService.exe
nó biến mất tiêu rồi, mình tìm hoài không thấy
còn Autoshutdown.exe là chương trình của mình để hẹn giờ tắt máy.


Mình rất ngưỡng mộ bạn, Nếu không phiền thì bạn có thể viết một bài hướng dẫn và phân tích những bước căn bản để loại bỏ virus cứng đầu được không?

[bolzano_1989]

Chào bạn, nếu quả thật máy bạn đã không còn malware thì một phần không nhỏ là nhờ có CMCAV/CMCiS (gần đây đã có 1 bạn gửi mẫu adobeupdater.exe cho CMC và đã được xử lí).
Để chắc chắn hơn trước khi kết thúc, bạn thực hiện thao tác sau nhé:

Tải vào ngay desktop và chạy SystemLook từ một trong các link sau:
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jps...SystemLook.exe
Copy vào khung chính dưới dòng File nội dung sau (không copy dòng "Code:")::

Code:

:file
C:\Temp\temp\RemStart.exe
C:\Program Files\Windows NT\TableTextService\TableTextService.exe
C:\program files\common files\adobe\updater6\adobeupdater.exe
C:\program files\windows defender\mpsvc.exe

Click nút Look để tiến hành scan.
Khi việc scan hoàn tất, một cửa sổ notepad sẽ được mở chứa kết quả scan, bạn upload file SystemLook.txt vừa được tạo ở desktop và đưa link lên diễn đàn cho mình .

[Huyen Tran]

Đây là file systemlook.txt
Cám ơn bạn