Cổng vào tri thức => Tin học => Topic started by: cop_xong_paste on 08/12/08, 20:27 Return to Full Version
Title: Máy bị nhiễm Virust W32.vomoG.PE
Post by: cop_xong_paste on 08/12/08, 20:27
Post by: cop_xong_paste on 08/12/08, 20:27
Máy ở chỗ em đang bị nhiễm loại này mà ko tài nào diệt đc tận gốc, cái bkav nó cứ cảnh báo liên tục ,diệt xong nó lại có cứ thế đến mấy trăm con vẫn chưa hết, qua ngày này đến ngày khác vẫn ko có gì tiến triển cả, bực mình lắm anh ạ.
Em định vào safe mode để quét nhưng ko vào đc
Em định vào safe mode để quét nhưng ko vào đc
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: Lovers_Again on 08/12/08, 20:53
Post by: Lovers_Again on 08/12/08, 20:53
máy anh còn dính 5-6 loại khác nhau KAV diệt từng ngày một mà vẫn còn. Cài lại máy thì được vài hôm lại dính. Loại này phải biết hình thức lây lan mới xử lý được
gọi bác SSM đê
gọi bác SSM đê
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: saos@ngmo on 08/12/08, 21:50
Post by: saos@ngmo on 08/12/08, 21:50
ko vào được safe mode + biết cài lại windows thì cứ cài lại cho lành, diệt được con này rồi sau này lại dính tiếp.
vào đây để download tool hijackthis về http://majorgeeks.com/download3155.html
sau đó scan rồi copy và paste cái log và paste lên đây. Sau đó anh mới tính tiếp được
vào đây để download tool hijackthis về http://majorgeeks.com/download3155.html
sau đó scan rồi copy và paste cái log và paste lên đây. Sau đó anh mới tính tiếp được
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: cop_xong_paste on 08/12/08, 23:02
Post by: cop_xong_paste on 08/12/08, 23:02
Logfile of HijackThis v1.99.1
Scan saved at 10:59:16 PM, on 12/8/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ATKKBService.exe
C:\Program Files\CMC\Internet Security\cmccore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bkav2006\Bkav2006.exe
C:\Program Files\CMC\Internet Security\CMCTrayIcon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\Setup\unikey\UniKey\UniKey.exe
D:\HijackThis.exe
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BkavFw] C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR
O4 - HKLM\..\Run: [CMC Internet Security] C:\Program Files\CMC\Internet Security\CMCTrayIcon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: CMC Internet Security Core (cmcis) - Unknown owner - C:\Program Files\CMC\Internet Security\cmccore.exe
Scan saved at 10:59:16 PM, on 12/8/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ATKKBService.exe
C:\Program Files\CMC\Internet Security\cmccore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bkav2006\Bkav2006.exe
C:\Program Files\CMC\Internet Security\CMCTrayIcon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\Setup\unikey\UniKey\UniKey.exe
D:\HijackThis.exe
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BkavFw] C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR
O4 - HKLM\..\Run: [CMC Internet Security] C:\Program Files\CMC\Internet Security\CMCTrayIcon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: CMC Internet Security Core (cmcis) - Unknown owner - C:\Program Files\CMC\Internet Security\cmccore.exe
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: saos@ngmo on 09/12/08, 00:01
Post by: saos@ngmo on 09/12/08, 00:01
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe virus đã được add vào mục Run của windows, nghĩa là mỗi khi khởi động đều bị nhiễm trở lại. Chờ tí xem sao đã
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: saos@ngmo on 09/12/08, 00:16
Post by: saos@ngmo on 09/12/08, 00:16
Nào bắt đầu diệt bằng tay.
Làm đúng y các bước này, ko được click hay làm bất kỳ cái gì ngoài các bước anh nêu, nếu mà tranh thủ mở ổ đĩa C: thì cũng đứt đó,mà nếu nhỡ rồi thì khởi động lại máy và làm từ bước 1 nhé.
1. Save bài này về desktop
2. Cài đặt winrar (có rồi thì thôi)
3. Khởi động lại windows
4. Vào start, gõ winrar
5. Đang ở trong winrar, tìm tới thư mục C:\WINDOWS\system32 --> xóa file này: kamsoft.exe
6. Đang ở trong winrar, tìm tới C:\WINDOWS\system32 --> xóa file này gasretyw0.dll
7. Đang ở trong winrar, tìm tới C: xóa file autorun.inf,
8. Đang ở trong winrar, tìm tới D: xóa file autorun.inf
9. Đang ở trong winrar, tìm tới E: xóa file autorun.inf
10. Đang ở trong winrar, tìm tới F: xóa file autorun.inf
11. Đang ở trong winrar, tìm tới G: xóa file autorun.inf
12. Đang ở trong winrar, tìm tới H: xóa file autorun.inf
(có bao nhiêu ổ trên máy thì cứ tìm tới các ổ đĩa đó để mà xóa file autorun.inf)
13. Vào regedit tìm tới khoá HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
và ở bên cửa sổ bên phải, xóa key có tên là kamsoft
14. sau đó tuyệt đối không được cắm USB vào máy đó nữa, vì mới tạm thời làm cho máy đó hết virus thôi. Các usb cần có kiểm soát bằng cách khác (sẽ nói sau)
15. Khởi động lại windows. (nhớ là đừng có làm gì ngoài các bước anh nêu)
16. Bkav làm nốt phần còn lại, bkav nó hơi ngu 1 tí, nhưng thi thoảng có tác dụng phết. vì anh ko có virus đó, nên đành nhờ con giời nó kill hộ nốt
Làm đúng y các bước này, ko được click hay làm bất kỳ cái gì ngoài các bước anh nêu, nếu mà tranh thủ mở ổ đĩa C: thì cũng đứt đó,mà nếu nhỡ rồi thì khởi động lại máy và làm từ bước 1 nhé.
1. Save bài này về desktop
2. Cài đặt winrar (có rồi thì thôi)
3. Khởi động lại windows
4. Vào start, gõ winrar
5. Đang ở trong winrar, tìm tới thư mục C:\WINDOWS\system32 --> xóa file này: kamsoft.exe
6. Đang ở trong winrar, tìm tới C:\WINDOWS\system32 --> xóa file này gasretyw0.dll
7. Đang ở trong winrar, tìm tới C: xóa file autorun.inf,
8. Đang ở trong winrar, tìm tới D: xóa file autorun.inf
9. Đang ở trong winrar, tìm tới E: xóa file autorun.inf
10. Đang ở trong winrar, tìm tới F: xóa file autorun.inf
11. Đang ở trong winrar, tìm tới G: xóa file autorun.inf
12. Đang ở trong winrar, tìm tới H: xóa file autorun.inf
(có bao nhiêu ổ trên máy thì cứ tìm tới các ổ đĩa đó để mà xóa file autorun.inf)
13. Vào regedit tìm tới khoá HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
và ở bên cửa sổ bên phải, xóa key có tên là kamsoft
14. sau đó tuyệt đối không được cắm USB vào máy đó nữa, vì mới tạm thời làm cho máy đó hết virus thôi. Các usb cần có kiểm soát bằng cách khác (sẽ nói sau)
15. Khởi động lại windows. (nhớ là đừng có làm gì ngoài các bước anh nêu)
16. Bkav làm nốt phần còn lại, bkav nó hơi ngu 1 tí, nhưng thi thoảng có tác dụng phết. vì anh ko có virus đó, nên đành nhờ con giời nó kill hộ nốt
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: cop_xong_paste on 09/12/08, 11:07
Post by: cop_xong_paste on 09/12/08, 11:07
em đã làm theo lời anh chỉ, vừa dow bản bkav mới về quét.
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: saos@ngmo on 09/12/08, 12:28
Post by: saos@ngmo on 09/12/08, 12:28
nhưng anh chưa biết kết quả, :D
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: cop_xong_paste on 09/12/08, 17:24
Post by: cop_xong_paste on 09/12/08, 17:24
em quét xong rồi chạy về nhà luôn, để mai sang kiểm tra kết quả xem thế nào, à e quét bằng bkav đc 2 thằng viruts.
Title: Re: Máy bị nhiễm Virust W32.vomoG.PE
Post by: Lovers_Again on 09/12/08, 20:19
Post by: Lovers_Again on 09/12/08, 20:19
Thử mìn phát coi mồ. Không được lại ăn vạ bác SSM thui :P :P :P ::) ::) ::)