Virus này e ko bít nó tên gì? Nhưng nó thường làm đứng máy. Dùng cmc và vào safemode để diệt đều ko dc.
Sau khi cài lại win thì vài ngày sau vẫn xuất hiện và nó thay đổi cả icon.
Bây giờ e vào làm gì cũng chậm... :(
Xin hãy giúp đỡ. Thanks

Chào bạn , có thể bạn đã up nhầm file , đây ko phải là Virus , mình nghĩ Virus bạn đang nói vẫn đang ẩn nơi nào đó trong máy của bạn , bây giờ bạn hãy gửi Hijack log lên đây cho mình bằng hướng dẫn ở đây

Sau khi cài lại Win mà vẫn bị chứng tỏ bạn chỉ format ổ đĩa cài Win thôi, còn con virus vẫn ẩn ở những ổ đĩa còn lại do đó khi bạn vào ổ đĩa đó thì mặc nhiên máy bạn đã bị nhiễm lại.
Tạm thời bây giờ bạn hãy mô tả hiện tượng sau khi bị nhiễm để hoặc gửi log hijackthis lên đây để mình có thể tìm cách khắc phục tạm thời.

File log hijackthis đây ạ!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:53:28 PM, on 3/10/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\sysdiag64.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CMC\Antivirus\CMCTrayIcon.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\WINDOWS\Drivers.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\CMC\Antivirus\cmccore.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
D:\Quynh\Phan mem ung dung\Internet Download Manager\IEMonitor.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\Quynh\Phan mem ung dung\hjjack\HijackThis.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vn.rd.yahoo.com/customize/ycomp/defaults/sp/*http://vn.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zing.vn/zing/?utm_source=hp&utm_medium=boom
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://vn.rd.yahoo.com/customize/ycomp/defaults/su/*http://vn.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Quynh\Phan mem ung dung\Internet Download Manager\IDMIECC.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [MicrosoftNAPC] C:\Windows\sysdiag64.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [Drivers] Drivers.exe
O4 - HKCU\..\Run: [IDMan] D:\Quynh\Phan mem ung dung\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CMC Internet Security] "C:\Program Files\CMC\Antivirus\CMCTrayIcon.exe"
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - HKLM\..\Policies\Explorer\Run: [MicrosoftCorp] C:\Windows\sysdiag64.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download all links with IDM - D:\Quynh\Phan mem ung dung\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - D:\Quynh\Phan mem ung dung\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - D:\Quynh\Phan mem ung dung\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CMC Internet Security Core (cmcis) - Unknown owner - C:\Program Files\CMC\Antivirus\cmccore.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\WildGames\Game Console - WildGames\GameConsoleService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 6499 bytes


E nhớ là bị dính con Wupdate.exe. Sau khi cài win thì ko bít còn ko. Nhưng mỗi lần khởi động thì báo lỗi " runtime error 55" của file e gửi kèm ở trên. Nó còn có tên là oeidr3.

Bạn up file này lên cho mình xem nhé :

Phiền chủ topic ngoài up những file mà Carem nói thì phiền bạn up thêm file này nữa  D:\Quynh\Phan mem ung dung\Internet Download Manager\IEMonitor.exe

Trước hết có thể xác định dc sysdiag64.exe có thể là virus. Bạn hãy tắt tiến trình của nó trước về tiến hành delete file gốc của nó luôn. Để đảm bảo chắc chắn vẫn cần mẫu để kiểm chứng.

Những file đó đây ạ! Nó giấu hay thiệt, phải lục tung cả lên e mới kiếm được. :(

Chào bạn , bây giờ bạn hãy vào msconfig > startup > tắt bỏ tiến trình chạy cùng win sysdiag64.exe > OK > tiếp theo bạn download chương trình tại đây để thấy đc và kill Process sysdiag64.exe rùi tìm đến đường dẫn của nó del đi nhé ( C:\WINDOWS\sysdiag64.exe )
Xong xuôi thì Restart máy , tạm thời khi bạn kill xong Virus này máy bạn sẽ tạm thời ổn định ( vì ko bít còn Virus nào trú ẩn ở đâu nữa mà ) , nếu còn tình trạng nào xảy ra nữa thì bạn lên báo với bọn mình nhé

P/S: Để kill dc process bạn cũng có thể dùng chính CMC để kill. Bạn mở giao diện CMC ---> vào Tab event và nhấp chuột phải vào process mà bạn muốn kill.

cho em hỏi thêm cái driver.exe có phải virus ko ạ?
Sao e thấy icon nó giống với cái file em up lần đầu.

Bạn hãy kill luôn tiến trình driver. Có gì thông báo lại cho tụi mình biết.

Đầu tiên, tải và cài đặt Threat Killer từ link sau:
http://downloads.novirusthanks.org/files/threatkiller_setup.exe
Chạy Threat Killer.
Tạo 1 file text bằng Notepad với nội dung sau (không copy từ "Trích dẫn"):
Save file text này với tên script.txt .
Click nút "...", tìm đến và chọn file script.txt mà bạn đã save => Open => Click nút "Execute!".
Sau khi việc thực thi hoàn tất, bạn hãy gửi nội dung kết quả ở khung Report vào topic này.

Bạn cũng nên gửi log hijack this lại lần nữa nhé ;)

Em làm được rồi, thanks mấy anh chị nhiều^_^

Vấn đề của bạn đã dc giải quyết và mẫu virus của bạn đã dc gửi về Lab chờ phân tích. Xin phép closed topic này lại và nếu bạn có vấn đề gì thì xin cứ mở topic hoặc tìm lại các topic cũ có liên quan.
Cảm ơn.