44 replies to this topic

[hieunova]

Chào các chiến hữu Bệnh Viện Tin Học! các chuyên gia về ngành virus học.

-----------------------------------------------------------------------------------------

Triệu chứng :

Máy tình nhiễm 2 Files ẩn ở các ổ C,D,E,..... : Autorun,Explorer.exe (Files Ẩn)

Dùng BKAV quyét báo toàn là những virus j j đâu nhưng ko diệt được con nào,diệt xong vẫn vậy : W32.Dashfer....GameOnline,DownloadHB,...GameHK....Rookit

Còn KIS thì chỉ báo là một loại Trojan W32.System.hiden nhưng ko delete được!

- Ko vào được : Regedit,msconfig,ko nhìn thấy files ẩn,....

Và ngoài ra chúng thường có những Files kèm theo ở các Ổ C,D,E,F,.....: Win*.pif (* = các số radom 1-99)

Mình bị gặp 1 loại Virus rất khó chịu.Nếu dùng Bkav quyét thì nó báo liên tục.nhưng không xóa được,Còn nếu dùng KIS mới nhất Full update để quyét thì cũng cũng rất khó diệt được,thường diệt được thì Sau lần khởi động đó vào bên trong chỉ còn Ctrl,Alt,Del.màn hình không còn cái j!

- Còn nếu máy đã nhiễm Virus này rồi thì thường kèm theo nhiều loại Virus khác nữa

-------------------

Phương án dùng anti virus quyét loại này hầu như ko giải quyết vần đề một cách triệt để.Mình chán phương án này rồi!

bạn nào đã gặp hay đã từng gặp hãy giúp Mình!

.

Các phương pháp đã sử dụng :

- sử dụng CD Hiren boot để xóa hay scan Virus trên Dos

- Kis 135

- Bkav

--------------------------

Mong anh em góp ý cho mình lời khuyên

"Ko cài windows nhé"

[VÂNG CHO EM XXX]

Mình chắc chắn là sử dụng Hiren Boot ko quét đc cho mà coi http://www.benhvient...tyle_emoticons/default/kapook-16527-6977.gif



Dạo này mình cũng dính con pagefile.pif. Ko boot đc CD, anti bị vô hiệu hoá, ko vô đc safe mode ^^' => bó tay lun



Có cáhc nữa là tháo HDD cắm qua máy khác rồi quét. ^^" Cẩn thận ko lây sang máy kia luôn đó

[hieunova]

Mr.Calvados^^', on May 22 2008, 01:52 AM, said:

Mình chắc chắn là sử dụng Hiren Boot ko quét đc cho mà coi http://www.benhvient...tyle_emoticons/default/kapook-16527-6977.gif



Dạo này mình cũng dính con pagefile.pif. Ko boot đc CD, anti bị vô hiệu hoá, ko vô đc safe mode ^^' => bó tay lun



Có cáhc nữa là tháo HDD cắm qua máy khác rồi quét. ^^" Cẩn thận ko lây sang máy kia luôn đó

Pagefiles ko phải là virus,Mình nhớ ko nhầm nó là do RAM Ảo tạo nên

[Sỹ Lương]

Virus Trojan.PSW.Win32.Agent.mk



Bài viết của nvtrieu46 trên trang ctu.edu.vn

Quote

Con này khi "bị" kích hoạt:

- Nó tạo ra file autorun.inf & Pagefile.pif lên tất cả các phân vùng và ổ đĩa đang có hiện thời (Kể cả USB).



- Đồng thời, làm mất tính năng "Hide protected operating system file (Recommanded)" trong Folder Option.



- Và tạo ra 2 file: lsass.exe & smss.exe trong "C:\Windows\System32\Com".



- Rất nhiều file *.exe cũng sẽ bị lây nhiễm. Kể cả sau khi bạn cài lại máy mà kích hoạt các file bị nhiểm thì máy cũng sẽ trở lại tình trạng bị lây nhiễm như ban đầu !



- Đó là chưa kể những hậu quả khác nó tạo ra mà miình chưa biết.





BẠN CÓ THỂ DIỆT CON NÀY BẰNG CÁCH SAU (KHÔNG CHẮC LẮM NHƯNG CŨNG KHÔNG TỆ LẮM):



- Đầu tiên dùng soft Process XP( http://rapidshare.co...8/ProcessXP.exe ) để tắt "lsass" & "smss" đang chạy (Note: Hiện thời sẽ có 2 lsass & 2 smss đang chạy, bạn chỉ Kill 2 cái của User - thường thì 2 cái này nằm kề nhau và nằm dưới "Eplorer" trong Process XP). Vì dùng Task Manager của Win sẽ ko tắt được nó.



- Dùng soft http://rapidshare.com/files/73990704/FixAl...erOption1.0.exe để fix lỗi mất tính năng "Hide protected ..." trong Folder Option.



- Sau đó vào Folder Option, chọn tab "View" -> "Chọn Show hidden files and folders". Và bỏ chọn "Hide protected operating system files ...". -> OK !



- Lúc này các files Autorun.inf & Pagefile.pif đã hiện nguyên hình. Hãy xóa nó đi. Nhớ là xóa ở tất cả các phân vùng và ổ đĩa hiện có nha.



- Tiếp theo, vào C:\Windows\System32\Com để xóa 2 files lsass.exe & smss.exe. Cứ an tâm mà xóa nó đi vì nó không phải là phần tử của Win mà do Virus tạo ra. Và nhớ là tắt nó trước rồi mới del nó - Có cần fải nói "Why ?" ko ???



- Và công việc cuối cùng của bạn là xóa đi tất cả các files đã bị nhiễm con này. Thường thì những files bị nhiễm thì biểu tượng của nó sẽ khác đi so với ban đầu.



- Để chắc ăn hơn thì dùng phần mềm diệt Virus "có uy tính" để Scan (Nên dùng những bản mới nhất và tải về file cập nhật gần nhất để có hiệu quả cao) - Máy của mình đã dùng Symantec Antivirus Co. 10 !

Mình đảm bào sau khi Scan thì danh sách bị nhiểm sẽ làm bạn rất kinh ngạc ...



* NOTE: - Khi máy bị nhiểm con này thì không nên ouble click lên ổ đĩa. Và nên dùng Explore để mở.

[VÂNG CHO EM XXX]

Quote

Pagefiles ko phải là virus,Mình nhớ ko nhầm nó là do RAM Ảo tạo nên

Có cần mình gửi cho ko http://www.benhvient...tyle_emoticons/default/sadist.gif Thử dính đi rồi lằm ngủ luôn

[Humoristvn]

Humor đã trả lời tương đối kĩ trong topic này và kèm theo File để Fix lỗi.



http://www.benhvient...showtopic=55496



Điều kiện: ban diệt virus, sau đó khởi động lại, máy tính chỉ có thể sử dụng Ctrl+Alt+Delete

Quote

Nguyên nhân của lỗi trên là do File explorer.exe không được khởi động.



Có 2 khả năng gây ra lỗi trên



1. File explorer.exe trong C:\Windows đã bị xóa (Tương tự cho các bạn cài win ở ổ đĩa khác)

2. Đường dẫn để kích hoạt file đó đã bị thay đổi do virus. -> Khi virus bị diệt thì máy tính sẽ gặp lỗi.



Khắc phục:



Trong màn hình Windows bạn ấn tổ hợp Ctrl+Alt+Del để mở TaskManager

Chọn File\New Task (Run)...

Trong ô hiện ra bạn gõ explorer.exe

Nếu không có hiện tượng gì có nghĩa là File đó đã bị xóa hoặc bị hư.

Nếu được thì có nghĩa là Đường dẫn để kích hoạt file đó đã bị thay đổi do virus, bạn tải file humor đính kèm về, giải nén rồi chạy file .reg trong đó để sửa lỗi. -> Restart.



Nếu không được thì bạn thử như sau:



Cách 1: Chọn File\New Task (Run)... rồi ấn vào nút Brows ...

Tiếp theo bạn chọn đến thư mục C:\Windows\System32\Dllcache

Nếu có File explorer.exe thì chạy nó.

(Có thể máy bạn không có thư mục này)

Nếu OK thì bạn tiến hành Copy file đó vào C:\Windows rồi chạy file sửa lỗi humor gửi kèm. -> Restart

Cách 2: Nếu cách 1 vẫn không được thì bạn copy file explorer.exe từ 1 máy tính khác cùng phiên bản Windows rồi đặt vào C:\Windows

Khởi động máy tính, nếu vẫn chưa được thì làm tiếp:

Trong màn hình Windows bạn ấn tổ hợp Ctrl+Alt+Del để mở TaskManager

Chọn File\New Task (Run)...

Trong ô hiện ra bạn gõ explorer.exe

Cuối cùng là chạy file humor gửi.-> Restart





Note: Nếu thực sự nguyên nhân chỉ nằm ở file explorer.exe thì cách trên chắc chắn hiệu quả.



Chúc zui! Nhớ comment nếu có kết quả bạn nhé!

[TuanSaker1x]

dung` boot 9.5 bảo đảm quét được.

[phamviettra]

Tôi đồng ý với humor về vấn đề này, trước khi tôi đọc topic này tôi cũng bị dính con Virus này, nếu các bạn xài các chương trình duyệt virus thì dễ dẫn đến 1 điều là file Explorer.exe sẽ bị xóa, hoặc không chạy trong startup của Windows. Vì vậy cách đơn giản nhất là phục hồi file Explorer.exe bị xóa đó trong thư mục hệ thống C:\windows là ok.

[hieunova]

Mình cảm ơn các bạn đã trả lời!



------------------------------------------------------------

- có rất nhiều cách xác định là virus hay ko!Nhưng quan trọng là Mình biết cách khắc phục sự cố lỗi Explorer.exe bị lỗi

Hiện nay!Khách hàng của Mình bị nhiễm loại virus Autorun.inf này rất nhiều,Nếu nó chỉ có các File Autorun.inf hay cái j đó thôi thì ko sao.nhưng nó lại Download hàng tá SPY,TRojan về làm rất khó chụi

Qua bài viết trên. Mình thấy cách diệt virus Tốt Nhất Là Không Dùng Phần Mềm Diệt Virus

hihihi http://www.benhvient...tyle_emoticons/default/banana.gif

------------------------------------------------------------

Còn một vẫn đề nữa, rất Mong các bạn cùng thảo luận nhé:

- Hiện nay trên thị trường thì Kaspersky là phần mềm số 1 trong lòng người dùng rồi.nhưng ngày xưa 6.0 còn được chứ nên đến 7.0 hay 8.0 nó đều phát sinh ra các lỗi rất khó hiểu...ví dụ :Tốc độ mạng LAN hay WAN với nhau bị chậm.Cool Down rất lâu

Nếu người dùng ko có hiểu biết về phần mềm thì dường như rất khó sự dụng nó

Còn BKAV thì nhược điểm : chạy rồi luôn có một thằng Help.exe chạy cùng.và nếu Máy đã bị nhiễm Virus thì cài thằng này vào rất có thể bị VÔ DỤNG

Các bạn có thể tư vẫn cho Mình một phần mềm hay một giải pháp nào đó để đạt được những ưu điểm sau :

- Chạy ko tốn dung lượng,RAM,CPU

- Giao diện đơn giản Dễ Sự Dụng

- Không làm Ảnh Hưởng lơn đến hệ thống Mạng LAN,WAN,Internet

- Có Khả năng chống SPAM

.............................????

[nukepc]

Cái bạn cần.... DeepFreeze http://www.benhvient...tyle_emoticons/default/152.gif

[Humoristvn]

Bạn nên vào Box đố vui thì thích hợp hơn.

Đưa ra câu hỏi như người đi đánh đố.

BVTH trả lời thì đưa ra giải đáp rất "dài", cho humor hỏi là bạn thực sự có gặp trường hợp trên hay không?

Bạn đã thử các cách chúng tôi đưa ra chưa?



Nếu bạn đã kết luận là "Tốt Nhất Là Không Dùng Phần Mềm Diệt Virus" thì câu trả lời của humor là "Tốt Nhất Là Không Dùng Máy Tính"

^^

[thanhlong296]

KHÔNG NÊN CÀI QUA NHIỀU PHẦN MỀM CHỈ ĐỂ DIỆT CON VIRUS BÉ TẸO HEHE

THỨ NHẤT CHỈ CẦN DÙNG CHƯC NĂNG KILL TREE PROCESS LÀ CHƠI ĐƯỢC MẤY CON TẠO RA 2 PROCESS XONG DÙNG PHẦN MÊM KHÔNG CẦN CÀI SỬA LỖI HIỆN FILE ẨN SAU ĐÓ SEARCH XÓA LÀ XONG

[Chiến thần]

Tuy mình không nắm rõ được là bạn bị nhiễm loại virus nào , nhưng mình cũng góp vài ý kiến . Hi vọng sẽ giúp ích cho bạn !!

Theo như bạn mô tả thì hầu hết các phương án diệt loại malware này đều không được , vì vậy bạn thử áp dụng cách diệt bằng tay xem sao . Trước hết nếu máy của bạn có nối mạng thì nên ngắt mạng , sau đó tiến hành phân tích .Nếu máy có file Autorun.inf thì bạn nên mở ra xem nó dùng để load file nào , sau đó dùng phần mềm quản lý file để xóa đi là xong (loại virus này thường có khả năng lây lan giữa các phân vùng) . Nếu bạn đã xóa file đó rồi nhưng sau khi khởi động lại máy lại thấy nó thì có nghĩa là bạn chưa xóa được file virus gốc , lúc này bạn nên kiểm tra trong startup xem có file nào không , nếu thấy lạ thì nên xóa đi bởi vì thư mục này thường để trống , sau đó kiểm tra trong registry vì có thể virus sẽ chèn thêm K.@.y để chạy cùng với file explore.exe của windows , bạn cũng nên kiểm tra các file chạy cùng windows khi khởi động bằng cách vào Run\ gõ msconfig , thấy file lạ thì xóa đi . Nếu nó là trojan thì có thể nó sẽ không có file Autorun.inf do đó bạn nên kiểm tra các cổng đang mở bằng cách vào Start \ Run => gõ cmd , trong cmd gõ lệnh "netstat -nao" , bạn dùng thêm lệnh tasklist (cũng trong cmd) để tìm xem process nào đang dùng các port đó thông qua mục PID , sau đó xóa file trojan đi . Nếu lần khởi động máy sau vẫn thấy nó xuất hiện thì bạn áp dụng như với cách diệt virus trên .Mình khuyên bạn nên dùng ProcessExplorer và total CMD để tìm và diệt virus , bạn cũng nên tìm một vài công cụ để fix lỗi virus sau khi đã diệt . Nếu trong quá trình xóa các file hoặc các process mà nó không cho xóa thì bạn có thể tắt process " Explorer.exe" đi rồi tiến hành xóa các file virus đó , vẫn không được thì bạn phải tìm một công cụ disabled các file đó lại ,không cho nó hoạt động rồi mới xóa nó hoặc dùng công cụ trong wins để khóa các file đó lại cũng được (cái này là thủ thuật tin học cấp cao) .Để xác định một file có phải là chương trình bất hợp pháp không thì bạn nên mở mục Properties để xem các thông tin như phiên bản , tên công tin , mô tả.... Nói tóm lại là có rất nhiều cách để xác định một chương trình có hợp pháp hay không , tùy thuộc vào trình độ và kinh nghiệm của người diệt ....À quên nếu virus ẩn K.@.y trong registry thì bạn có thể dùng các công cụ khác để mở như IceSword chẳng hạn hoặc phần mềm registry viewer của hiren's boot.....Chúc bạn thành công !!

[hieunova]

Hihi!Cảm ơn các bạn đã giúp mình!

Các cách mà các bạn đưa ra Mình đã sự dung wa.nó rất hiệu quả!

Thank!~

[undefinite]

Kiểu này chắc phải đố thêm mọi người tình huống này. Theo như hướng dẫn ở đầu Topic, các bác cho rằng nguyên nhân do file Explorer.exe bị lỗi, bị xóa, ... gây ra hiện tượng này. Nhưng em đã gặp một trường hợp, em đã kiểm tra chắc chắn file explorer.exe chưa hề bị xóa, bị hỏng, em cũng thử khởi động bằng Task Manager, nhưng chỉ có một thông báo vẻn vẹn hiện lên. Đó là không tìm thấy file này, mặc dù bằng mắt thường cũng có thể nhìn thấy file này tồn tại. Vậy em hỏi các bác nguyên nhân vì sao?

[zodjac]

Máy em bị nhiễm con virut có tên là: worm/w32.Sohana... Trỉệu chứng của máy là không vào dc task manager,registry... Em đã diệt bằng bkav nhưng đến tìm còn ko ra. Chỉ đến khi đăng nhập vào game thì game gaund mới báo đường dẫn của nó là:c:\windows\system32\ctfmon.exe . Khi em bật winrar lên thì thấy 1 file autorun.inf em đã del luôn nhưng còn 1 file là clfmon.exe em ko biêt có del dc không?

Anh, chị nào biết chỉ cho em với ạh.

[Mr Bờm]

Nó không phải là virut đâu bạn xem thông tin của bác BILL về nó nha

Quote

What Does the Ctfmon.exe File Do?

Ctfmon.exe monitors the active windows and provides text input service support for speech recognition, handwriting recognition, keyboard, translation, and other alternative user input technologies. Back to the top



Can I Remove the Ctfmon.exe File?

Removing the Ctfmon.exe might cause problematic behavior in your Office XP programs, so removing it is not recommended. To prevent Ctfmon.exe from running, follow these steps.

Step 1: Uninstall Alternative User Input

To uninstall the alternative user input feature, set the installation state to Not Available in Office XP Setup.



Microsoft Windows Millennium Edition (Me), Microsoft Windows 98, or Microsoft Windows NT 4.0: 1. Quit all Office programs.

2. Click Start, point to Settings, and then click Control Panel.

3. In Control Panel, double-click Add/Remove Programs.

4. On the Install/Uninstall tab, click to select Microsoft Office XP product, where Office XP product is the name of the specific Office product being used. If you are using a standalone version of one of the Office programs, click to select the appropriate product in the list. Click Add/Remove.

5. In the Maintenance Mode Options dialog box, select Add or Remove Features, and then click Next. This displays the Choose installation options for all Office applications and tools dialog box.

6. Click the plus sign (+) next to Office Shared Features to expand it.

7. Click the icon next to Alternative User Input, and then select Not Available.

8. Click Update.



NOTE: If you have multiple Office XP products installed, for example, Office XP Professional and Publisher 2002, you must repeat the preceding steps for each installed product.



Microsoft Windows 2000 and Microsoft Windows XP: 1. Quit all Office programs.

2. Click Start, point to Settings, and then click Control Panel. NOTE: In Windows XP, click Start and then click Control Panel.



3. In Control Panel, double-click Add/Remove Programs.NOTE: In Windows XP, click Add or Remove Programs.



4. In the Currently installed programs list, click to select Microsoft Office XP product, where Office XP product is the name of the specific Office product being used. If you are using a standalone version of one of the Office programs, click to select the appropriate product in the list. Click Change.

5. In the Maintenance Mode Options dialog box, select Add or Remove Features, and then click Next. This displays the Choose installation options for all Office applications and tools dialog box.

6. Click the plus sign (+) next to Office Shared Features to expand it.

7. Click the icon next to Alternative User Input, and then select Not Available.

8. Click Update.



NOTE: If you have multiple Office XP products installed, for example, Office XP Professional and Publisher 2002, you must repeat the preceding steps for each installed product.

Step 2: Remove Alternative User Input Services from Text Services1. Click Start, point to Settings, and then click Control Panel.

2. In the Control Panel, double-click Text Services.NOTE: In Windows XP, click Date, Time, Language, and Regional Options, and then click Regional and Language Options. On the Languages tab, click Details.



3. Under Installed Services, select each input item that is listed, and then click Remove to remove the item. All items must be removed, one by one, except the following input service:



English (United States)- default Keyboard United States 101

Step 3: Run Regsvr32 /U on the Msimtf.dll and Msctf.dll Files1. Click Start and then click Run.

2. In the Run dialog box, type the following command:

Regsvr32.exe /u msimtf.dll

3. Click OK.

4. Repeat steps 1 through 3 for the Msctf.dll file.



For additional information about how to remove CTFMon.exe, click the article number below to view the article in the Microsoft Knowledge Base:

313176 Programs May Start, Quit, Lose, and Gain Focus Randomly Back to the top



Why Will Ctfmon.exe Not Go Away When I Remove It from MSConfig?

Removing Ctfmon.exe from MSConfig does not disable Ctfmon.exe. For more information about disabling Ctfmon.exe, refer to the "Can I remove the Ctfmon.exe file?" section earlier in this article. Back to the top



When I Remove the Alternative Input Features from Office XP, Ctfmon.exe Still Loads. What Else Must I Do to Keep It from Running?

Unlike the Alternative User Input features, Ctfmon.exe is a system component that cannot be uninstalled. For more information about disabling Ctfmon.exe, refer to the "Can I remove the Ctfmon.exe file?" section earlier in this article. Back to the top



What Amount of System Resources Is Used When Ctfmon.exe Is Running?

Ctfmon.exe uses little of the system resources if Advanced Text Services are not running. Advanced Text Services are those input technologies (speech recognition, handwriting recognition, and Input Method Editors) that are being controlled by Ctfmon.exe via a TIP. Back to the top



Can I Load Ctfmon.exe on Demand Instead of All the Time?

The Alternative User Input system is not designed to be loaded and unloaded on demand. Back to the top



Can I Click "End Task" in the Task Manager Dialog Box or "End Task" in the Close Program Dialog Box for the Ctfmon.exe Process?

No. It is not recommended that you manually close the Ctfmon.exe process. It is recommended that you use the steps in the "Can I remove the Ctfmon.exe file?" section if you want to stop the Ctfmon.exe process. Back to the top



Does Ctfmon.exe Work the Same in All Operating Systems?

Generally, yes. Ctfmon.exe performs the same tasks on different Microsoft Windows operating systems. Back to the top



Additional Information

Ctfmon.exe is the file that is responsible for controlling the Alternative User Input technologies. It starts the Language Bar component (in the Systray) and remains running in the background even after you quit an Office XP program. It also starts each time Windows is started and remains in the background, regardless of whether an Office XP program is started.



Ctfmon.exe is designed to continue to run in the background during Windows sessions after the Office XP Alternative User Input components are installed.

^^

Còn các lỗi kia bạn dùng cái này nha

http://www.benhvientinhoc.com/dd/index.php...c=85828&hl=

[doanvison]

cái này bị lỗi j vây?tuy chọn trong folder option nhưng cũng không tháy trong ổ đĩa luôn,làm sao để thấy được,chứ nó hiên cái bảng này hoài a

Attached Images

• 

[Mr Bờm]

Cái thông bào đó là ổ E của bạn bị virut autorun và bị Eset xử rùi

Bạn dùng cái này để fix lại các file bị ẩn nha

http://www.benhvient...showtopic=47366

^^

[doanvison]

fix lại các file ẩn là ok rùi phải hok bạn?hình như là autorun ăn vào file hệ thống rồi nên nó chỉ bị cách ly ra khỏi hệ thống chứ chưa bị xử,thèng bạn mình nơ bảo rãnh thì cài lại win ,mình ko biết có nên cài lại hay để vậy?