Bị virus MS32.TrustlnDIA.Adware cố thủ! (1 người xem)
- Thread starter dvu58
- Ngày gửi
Người dùng đang xem chủ đề này
anhtuan1066
Thành viên gạo cội
- Tham gia
- 10/3/07
- Bài viết
- 5,802
- Được thích
- 6,912
Bác có thể mô tả tình trạng hiện giờ trên máy tính dc ko? Làm sao bác biết dc là máy bị nhiểm virus, mà lại còn biết chính xác tên của nó? Có khi nào là 1 trò lừa của 1 chương trình nào đó trên máy tính ko? Vì theo em dc biết thì chỉ cần 1 con virus ra lò và phát tán thì trong vòng 24 tiếng đồng hồ, cư dân IT trên mạng đã có thông tin về nó.. Còn cái con mà bác nói em tìm khác Google cũng ko thấy thông tin liên quan...
Còn nữa, bằng cách nào đó bác có thể chụp hình Task Manager trên máy và post lên dc ko?
Mến
ANH TUẤN
Còn nữa, bằng cách nào đó bác có thể chụp hình Task Manager trên máy và post lên dc ko?
Mến
ANH TUẤN
anhtuan1066 đã viết:
anhtuan1066 thân!
Mỗi lần khổi động máy tính, BKAV đều báo có chú virus này (họ tên đầy đủ luôn). Nó tạo 1 thư mục riêng trong C:\Program File\TrustIn Contextual
Trong thư mục chẳng thấy gì. Mình dùng BKAV diệt và sau đó xoá hẳn thư mục luôn. Nhưng lần sau khởi động máy là nó lại "thòi ra", cứ thế... cứ thế...
Tuy nhiên, đến giờ vẫn chưa thấy tác hại nào cụ thể của nó. (Hay là mình chưa phát hiện ra tác hại của nó chăng?)
anhtuan1066
Thành viên gạo cội
- Tham gia
- 10/3/07
- Bài viết
- 5,802
- Được thích
- 6,912
Đễ xem nha! Máy bác hiện đang chạy các chương trình:
1> BKAV
2> Internet Download Manager
3> Dịch vụ cho máy in Canon
4> Windows Security
5> WinZIP
6> Unikey
7> Java
Ở đây em chỉ ko hiểu con ufdsvc.exe là cái gì.. bác kiểm tra lại xem nha! Còn nữa ctfmon.exe đúng ra là tiến trình của Windows, tuy nhiên có lần em phát hiện dc 1 em virus ngụy trang thành tiến trình này... Em nghĩ tốt nhất bác tắt nó đi cũng ko ảnh hưởng gì... Với ctfmon.exe thì tắt hơi khó 1 chút, dù có dùng MSCONFIG đễ tắt chế độ khởi động thì có khi nó vẫn ngoan cố... Phải xóa tận gốc nó trong Registry thì mới hòng yên thân!
Ngoài ra virus hiện nay khá thông minh nên chưa chắc bác có nhìn thấy nó chạy trong Task Manager, nhưng cũng có 1 cách là khi vừa khởi động vào Windows, bác bật Task Manager lên ngay và cố gắng theo dỏi.. Rất có thể 1 Proceess nào đó khởi động rất nhanh rồi tắt ngay lặp tức, phải theo dỏi vài lần mới phát hiên, nhưng mà nhanh quá làm sao nhớ tên đây? Đó là bác "rình" sẳn phím Print Screen... khi phát hiện bấm ngay phím này đễ chụp hình...
Còn riêng cái tên TrustIn Contextual thì em nghĩ Symantec hoặc Kasperky đễ diệt dc nó đấy! Còn ko thì bác search tìm tên nó trong Registry và xóa thử xem!
Với món Registry tốt nhất trước khi làm bác nên dùng System Restore đễ tạo điểm phục hồi trước, tránh hậu quả đáng tiếc!
Có thông tin gì mới bác cho em biết với... Máy em cũng đang gặp hiện tượng lạ mà hỏi khắp các diển đàn ko ai biết cách khắc phục... Biết đâu trao đỗi với bác lại tìm ra dc "tuyệt chiêu" ??? ha... ha...
ANH TUẤN
1> BKAV
2> Internet Download Manager
3> Dịch vụ cho máy in Canon
4> Windows Security
5> WinZIP
6> Unikey
7> Java
Ở đây em chỉ ko hiểu con ufdsvc.exe là cái gì.. bác kiểm tra lại xem nha! Còn nữa ctfmon.exe đúng ra là tiến trình của Windows, tuy nhiên có lần em phát hiện dc 1 em virus ngụy trang thành tiến trình này... Em nghĩ tốt nhất bác tắt nó đi cũng ko ảnh hưởng gì... Với ctfmon.exe thì tắt hơi khó 1 chút, dù có dùng MSCONFIG đễ tắt chế độ khởi động thì có khi nó vẫn ngoan cố... Phải xóa tận gốc nó trong Registry thì mới hòng yên thân!
Ngoài ra virus hiện nay khá thông minh nên chưa chắc bác có nhìn thấy nó chạy trong Task Manager, nhưng cũng có 1 cách là khi vừa khởi động vào Windows, bác bật Task Manager lên ngay và cố gắng theo dỏi.. Rất có thể 1 Proceess nào đó khởi động rất nhanh rồi tắt ngay lặp tức, phải theo dỏi vài lần mới phát hiên, nhưng mà nhanh quá làm sao nhớ tên đây? Đó là bác "rình" sẳn phím Print Screen... khi phát hiện bấm ngay phím này đễ chụp hình...
Còn riêng cái tên TrustIn Contextual thì em nghĩ Symantec hoặc Kasperky đễ diệt dc nó đấy! Còn ko thì bác search tìm tên nó trong Registry và xóa thử xem!
Với món Registry tốt nhất trước khi làm bác nên dùng System Restore đễ tạo điểm phục hồi trước, tránh hậu quả đáng tiếc!
Có thông tin gì mới bác cho em biết với... Máy em cũng đang gặp hiện tượng lạ mà hỏi khắp các diển đàn ko ai biết cách khắc phục... Biết đâu trao đỗi với bác lại tìm ra dc "tuyệt chiêu" ??? ha... ha...
ANH TUẤN
Lần chỉnh sửa cuối:
MS32.TrustlnDIA.Adware cái tên này hình như bác dvu58 đưa ra ko chính xác lắm nên bác AnhTuan ko tìm trên google đc là fải. Nguyên nhân thứ hai là do BKAV đặt tên khác với các chương trình diệt virus khác nên chúng ta ko tìm thấy trên google thôi. Mấy bác có thể tìm theo tên này: MS32.TrustInDIIA.Adware sẽ thấy trên BKAV, nó cũng có trong list virus của BKAV nữa.
- Tham gia
- 3/8/07
- Bài viết
- 1,633
- Được thích
- 2,370
- Nghề nghiệp
- E&A
Xin đóng góp một chút, Để diệt được chú này cũng hơi nhọc công một chút. Các bác không thể dùng MSconfig hay xoá trực tiếp nó vì khi khởi động Windows nó đã nằm trong bộ nhớ. Nếu chú Bkav phát hiện ra mà bản thân chính chú ấy cũng bị nhiễm thì bác cũng bó tay. Vấn đề tìm ra Virus sửa đổi chỗ nào trên Registry là rất khó. Bác dùng phần mềm Silent Runners có trên đĩa HirenBootCD, quét toàn bộ tiến trình, trương trình sẽ tự động quét tất cả các tiến trình và trích xuất ra một Report dưới dạng TXT. Căn cứ vào đó bác sẽ thấy chú Virus này sửa đổi phần nào của Registry, từ đó sẽ có phương án diệt nó. Ví dụ như em đã quét trên máy của em như sau:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BDMCon" = ""C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg" ["SOFTWIN S.R.L."]
"BDAgent" = ""C:\Program Files\Softwin\BitDefender10\bdagent.exe"" ["SOFTWIN S.R.L."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"BkavFw" = "C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR" ["BKAV"]
"SetRefresh" = "C:\Program Files\Compaq\SetRefresh\SetRefresh.exe" ["Hewlett-Packard Company"]
"TPP Auto Loader" = "C:\WINDOWS\TPPALDR.EXE" ["Cypress Semiconductor"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {HKLM...CLSID} = "Display Panning CPL Extension"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "AutoCAD Digital Signatures Icon Overlay Handler"
-> {HKLM...CLSID} = "AcSignIcon"
\InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"]
"{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview"
-> {HKLM...CLSID} = "ACTHUMBNAIL"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" [null data]
HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Bkav\(Default) = "{7E41911F-13AA-11D3-A831-00104B9E30B8}"
-> {HKLM...CLSID} = "CopyPathContextMenu Class"
\InProcServer32\(Default) = "C:\Program Files\Bkav2006\ContextMenu.dll" ["Bkis center"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Bkav\(Default) = "{7E41911F-13AA-11D3-A831-00104B9E30B8}"
-> {HKLM...CLSID} = "CopyPathContextMenu Class"
\InProcServer32\(Default) = "C:\Program Files\Bkav2006\ContextMenu.dll" ["Bkis center"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BDMCon" = ""C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg" ["SOFTWIN S.R.L."]
"BDAgent" = ""C:\Program Files\Softwin\BitDefender10\bdagent.exe"" ["SOFTWIN S.R.L."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"BkavFw" = "C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR" ["BKAV"]
"SetRefresh" = "C:\Program Files\Compaq\SetRefresh\SetRefresh.exe" ["Hewlett-Packard Company"]
"TPP Auto Loader" = "C:\WINDOWS\TPPALDR.EXE" ["Cypress Semiconductor"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {HKLM...CLSID} = "Display Panning CPL Extension"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "AutoCAD Digital Signatures Icon Overlay Handler"
-> {HKLM...CLSID} = "AcSignIcon"
\InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"]
"{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview"
-> {HKLM...CLSID} = "ACTHUMBNAIL"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" [null data]
HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Bkav\(Default) = "{7E41911F-13AA-11D3-A831-00104B9E30B8}"
-> {HKLM...CLSID} = "CopyPathContextMenu Class"
\InProcServer32\(Default) = "C:\Program Files\Bkav2006\ContextMenu.dll" ["Bkis center"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Bkav\(Default) = "{7E41911F-13AA-11D3-A831-00104B9E30B8}"
-> {HKLM...CLSID} = "CopyPathContextMenu Class"
\InProcServer32\(Default) = "C:\Program Files\Bkav2006\ContextMenu.dll" ["Bkis center"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
phamnhukhang đã viết:
Cảm ơn bạn nhiều lắm! Nhưng mà mình bị hoa mắt mất rồi bạn ơi.
Chắc phải từ từ luyện bí kíp công phu này của phamnhukhang. Không khéo "tẩu hoả nhập ma" quá!
Mình đã dùng HirenBootCD 9.2 chiếu yêu rồi. Hình như có vẻ tạm ổn. Phììì!.....
Lần chỉnh sửa cuối:
anhtuan1066
Thành viên gạo cội
- Tham gia
- 10/3/07
- Bài viết
- 5,802
- Được thích
- 6,912
Hiện nay sao rồi anh ơi...
anhtuan1066 đã viết:
Ờ! Có vẻ như tạm thời chấm dứt chiến tranh lạnh. Kể ra thì HirenBootCD 9.2 cũng được việc (nó còn lôi ra được 1 lũ quái yêu khác nữa.... dễ sợ!!!)
Trong registry không hề tìm thấy dấu vết nào của chúng cả.
Cái quan trọng là làm thế nào để tìm ra nguồn của nó. Biết đâu nó từ 1 file setup nào đó, một ngày đẹp trời, mát đất nó lại chui ra nữa thì..... oải!
Không hiểu sao các chương trình Antivirus chạy trên Windows của mình lại khó phát hiện, khó diệt các loại virus và các biến thể quá. BKAV phát hiện và thông báo đã diệt xong nhưng giống như ..... dự báo thời tiết vậy!... ngày mai có thể lại mưa!
anhtuan1066
Thành viên gạo cội
- Tham gia
- 10/3/07
- Bài viết
- 5,802
- Được thích
- 6,912
Ối... đạo cao 1 thước ma cao 1 trượng mà anh.. chuyện này có gì khó hiểu... Vì chúng ta cũng biết rằng Virus luôn đi trước chương trình diệt nó 1 bước... Nên việc các chương trình ko nhận dạng dc virus cũng bình thường... Chúng ta đành phải cẩn thận để tự cứu mình là hơn!
ANH TUẤN
ANH TUẤN
- Tham gia
- 3/8/07
- Bài viết
- 1,633
- Được thích
- 2,370
- Nghề nghiệp
- E&A
Bác ơi đã là Virus thì nó phải ẩn để chúng ta không nhìn ra chứ...nhưng mà diệt được chú nào bằng tay mà máy vẫn chạy ngon thì có cảm giác ...sướng... bác ạ. Nhân tiện nói về chức năng các soft trong HirensBootCD, không biết bác đã dùng thử HijachThis chưa, công cụ tuyệt vời để diệt virus nhiễm vào hệ điều hành dạng *.dll. Có những chú virus tự tạo ra files *.dll, copy vào thư mục System32. đăng ký " hộ khẩu" với Windows. Các phần mềm diệt Virus đều bó tay không thể move hay delete được nó. HijachThis có chức năng Delete files on reboot, trước khi xoá nó còn thông minh hơn là khai báo tạm vắng với Windows cho chú *.dll này, nhờ nó mà có thể diệt virus dạng này triệt để. Hy vọng một ngày nào đó, bác sẽ dùng đến nó. chúc cỗ máy của bác chạy êm.dvu58 đã viết:
T/B: Hiện nay đã có HirenBootCD 9.3 bác có thể tải về dùng
http://www.9down.com/Hiren-s-BootCD-9-3-KeyBoard-Patch-18605/
Bài viết mới nhất
- Question
- Question
- Question
- Question
- Question
- Question
