Máy của bà cô mình dùng winxp sp2 (loại internet explorer 5.0 hay sao đó). Sau khi thằng con bả lên mạng thì nó có hiện tượng như sau:
   - Khởi động máy, máy không chạy explorer.exe mà xuất hiện 1 cái bảng có 1 nút Next, trên bảng đó có chữ Google nữa, bấm vào nút đó cũng không có gì xảy ra.
   - Vào Taskmanager để chạy explorer thì không thấy CMC, USB disk security, loa, Vietkey ở gần đồng hồ nữa, cỡ vài phút thì máy bị treo cứng.
  - Mình dùng đĩa Hiren có kèm cái win pe (có thể nhận USB) vào máy, xoá hết mấy cái file exe lạ ở ổ C, trong Local của Documents and Settings.
  - Mình vào Safe Mode để chỉnh lại regedit, xoá mấy dòng chữ đi kèm explorer.exe ở mục shell và 1 cái mục taskmanager lạ hoắc chứa đường dẫn đến 1 file exe virus
  - Khởi động máy, quét bằng CMC thì không thấy gì, máy chạy ổn định bình thường
  - Có điều, khi mở mạng, đèn mạng nhấp nháy, máy tự động tải cái gì đó khoảng 10Mb, và chỉ số CPU tăng 100% liên tục, mình khởi động lại máy thì hiện tượng ban đầu trở lại: màn hình chỉ có duy nhất 1 cái bảng có nút Next.
  - Mình đã xoá lại lần nữa, rút mạng ra để bả gõ giáo án tạm.
  - Trong 2 lần xoá virus đều thấy xuất hiện 1 con virus mang tên Uac.exe, có biểu tượng vàng vàng
  - Các bạn giúp mình diệt với, đừng khuyên mình ghost lại máy nha
  - Ah, trước đây mình có gặp 1 con reader_s (không phải con reader_s hay xuất hiện giả mạo đi cùng con OSA trong Adobe và Office đâu), mình cũng xoá mà không cứu được máy, cứ cắm mạng là nó tải dữ liệu về máy, rất nhanh, mấy phút mà khoảng 40mb
 
 

Việc bạn xử lí virus không triệt để đã dẫn đến tình trạng virus vẫn còn trong máy, theo như bạn miêu tả thì file Uac.exe của bạn rất có thể đang rủ anh em trên mạng xuống đánh chén cái máy của bạn, con reader_s bạn gặp trước đây cũng thuộc dạng đó (mình cũng là nạn nhân của nó). Bây giờ bạn cần gửi log Hijack Hunter lên đây để mọi người xem xét tình trạng máy của bạn, bạn có thể xem cách gửi log ở topic này



Xem ra đây không phải là lần đầu tiên bạn đem vấn đề này lên các Forum IT để hỏi

Nhà bà cô của mình xa lắc à nên mình không thể chạy lên chạy về được, lần sau mà lên nếu không xử lí được thì mình kêu bả đem máy ra tiệm. Cái hijack đó có phải là loại đính kèm với Care system advance không, lúc máy kia bị con reader_s đó, mình dùng nó để xoá mấy cái dòng tự khởi động exe lạ nhưng vẫn không ăn thua.
  Mình ít lên mạng hỏi lắm, vì ít khi được trả lời hoàn chỉnh, khó khăn là mình ghost luôn. Máy mình đang dùng là loại celeron755Mzh, ram 128 nên mình không có điều kiện để thử nghiệm các chương trình diệt virus, các phần mêm mình cài giúp người khác là: CMC, Usb disk security, tool xem file ẩn có biểu tượng thuyền buồm, tool phục hồi lại folder ẩn của Bkav, còn lại thì mù tịt.
   Mình nghĩ cũng không phải là con Uac là nguyên nhân chính, vì mình đã xoá rồi mà, chắc là tại con khác núp ở đâu đó tự động tải nó về. Y như con reader_s, ban đầu thì thấy, xoá hết, sau đó mình tạo lại 2 cái file đặt tên giống nó, từ đó không còn xuất hiện reader_s nào nữa (trừ 2 file mình tự tạo) nhưng máy vẫn tự động download.
   Mình không phải thợ sửa máy tính nhưng khi gặp vấn đề rắc rối thì lại tò mò muốn biết nguyên do: chẳng hạn cái máy nhà con bạn mình, mở máy thì màn hình đen (ở phần test ram, hiện tên cpu AMD) đứng khoảng 3 phút, lúc vào win thì những cái ô vuông chạy chạy trước khi vào win chạy rất chậm, khi vào win rồi thì máy hoạt động bình thường, nhưng đèn ổ cứng đỏ liên tục, sau 1 tháng mình mới phát hiện nguyên nhân là tại cái ổ ghi đĩa LG cũ kĩ, tháo ra thì máy khởi động bình thường, là tại nguồn yếu hay tại hư ổ đĩa, thật khó hiểu. Còn 1 vấn đề nữa mà không ai trả lời giúp mình hết: ttp://lqv77.com/forum/index.php?showtopic=6115 , buồn quá

Bạn vui lòng xem kĩ bài hướng dẫn trong topic mình đưa


Nếu bạn có bất kì thắc mắc nào, bạn có thể trình bày rõ ở diễn đàn này để mọi người có thể dễ dàng nắm được vấn đề của bạn, nhưng bạn cũng cần chú ý trọng tâm của Forum là hỗ trợ kĩ thuật phần mềm, ngoài ra các vấn đề khác nếu bạn vẫn muốn hỏi thì có thể post ở Box Tán gẫu, các thành viên sẽ cố gắng giúp đỡ bạn trong khả năng có thể thực hiện được

@anninh1984: Nếu bạn muốn được hướng dẫn đầy đủ thì nên đặt 1 vấn đề trong một topic thui, vấn đề khác nên post một topic mới.
- Quay trở lại vấn đề đầu tiên, mình thấy bạn đã thao tác rất nhiều trên máy như chỉnh sửa Registry, phiền bạn mô tả bạn đã chỉnh sửa
gì được không?
- Khi có hiện tượng trao đổi gói tin ra ngoài, để chắc ăn thì bạn có thể dùng Wireshark check xem. Tắt mạng rồi thao tác như bạn nói.
- Nếu ScreenShot được thì tốt. 

Về phần chỉnh regedit thì mình chắc chắn không làm sai gì cả. Sáng nay mình ghé nhà cô, mở mạng rồi khởi động lại thì không có hiện tượng bị xuất hiện 1 cái màn hình nữa, search trong phần Document and setting cũng không còn file .exe nữa, nhưng mở internet là nó cử tự động nháy, 1 phút là 10mb. Mình đã dùng hijack hunter scan mấy lần nhưng xem vẫn chưa biết vì sao, nhất là ở phần các file được tạo cách đây 15 ngày, không có gì khác thường ngoài 1 file tmp, mặc dù máy tự tải dữ liệu gì đó vào lúc 7'55 đến 8'10 ngày 29/7 (lúc mình mở mạng lần thứ 2)
  Hiện trong máy có cài 3 chương trình (không phải mình cài): game Sim của Max,1 cái OnGame, 1 cái audio của Sigma, trong autorun thì có 1 file của Sigma tự khởi động cùng máy. Mình thấy bkav có 1 chức năng là phát hiện được chương trình nào đang truy cập vào internet, các bạn có biết có chương trình nào có chức năng đó không.
   
  Mình gửi cái log để các bạn xem giúp, à, mình không thể up file trực tiếp từ bài gửi.
   http://files.myopera.com/nhanquoc/files/log.log

Bạn nên đọc kĩ bài viết hơn

Bạn bị nhiễm malware Bredolab, sckeylog và rootkit.
-Dark- sẽ xem tiếp cho bạn.

Đề nghị tắt CMC AV bằng cách: Click chuột phải vào biểu tượng CMCAV ở khay hệ thống chọn Thoát khỏi phần mềm CMCAV. Sau đó vào Run gõ: "net stop cmcis" (không bao gồm dấu "").
Tải và cài đặt Threat Killer từ link sau:
http://downloads.novirusthanks.org/files/threatkiller_setup.exe
Chạy Threat Killer.
Tạo 1 file text bằng Notepad với nội dung sau (không copy từ "Trích dẫn"):
Save file text này với tên Xuli.txt .
Click nút "...", tìm đến và chọn file script.txt mà bạn đã save => Open => Click nút "Execute!".
Sau khi việc thực thi hoàn tất, bạn hãy gửi nội dung kết quả ở khung Report vào topic này.
Sau đó tiếp tục scan lần nữa bằng Hijack hunter rồi gửi report lên đây nhé.
Hoàn tất tất cả các bước trên bạn tải file đính kèm ở dưới về rồi giải nén ra -> Copy file vừa giải nén vào thư mục C:\Windows\system32\drivers.

 Cảm ơn bạn, đây là log của Threat: http://files.myopera.com/nhanquoc/files/logT.log
        sau đó mình quét bằng Hijack: http://files.myopera.com/nhanquoc/files/logH.log
       mình khởi động lại, lúc mở mạng lên thì vẫn có dữ liệu được tải
        đây là log của 1 chương trình xem các chương trình đang hoạt động: http://files.myopera.com/nhanquoc/files/run.txt

Bạn anninh chú ý nhé! Xem report của threatkiller thì mình thấy bạn đã quá vội thì phải. Bạn đã copy thiếu dòng script của mình. Bạn hãy thực hiện lại đúng và đầy đủ các bước hướng dẫn như trên nhé!

 Mình đã làm lại: đây là log Threat:  http://files.myopera.com/nhanquoc/files/logT.txt
                     và đây là log Hijack:  http://files.myopera.com/nhanquoc/files/logH.txt
  
  Mình copy cái file system ndis vào màn hình nhưng máy không cho chép vào, search thì vẫn thấy file đó còn trong driver của máy. Làm xong mình khởi động lại máy, mở mạng thì nó nháy khoảng 2MB thì dừng. Nãy giờ 5 phút rồi mà đèn mạng không nháy, không biết có ổn không nữa. Mình post bài xong sẽ khởi động lại máy.
  @bolzano: mình khởi động lại máy ngay sau khi chạy Threat mà.
  
  - Sau khi khởi động mạng nháy liên tục 1 phút hết 7Mb
  - Mình vào xem regedit thấy có 1 cái này, không biết có bình thường không: Hkey_curent_user: winlogon ExcludeProfileDirs: Local Settings;Temporary Internet Files;History;Temp;Local Settings\Application Data\Microsoft\Outlook
 - Mình đã vào Services tắt mấy cái không cần thiết, trong đó có dịch vụ của C:\Program Files\SigmaTel\C-Major Audio (file sttray.exe) <-- không biết ai cài cái này vào nữa
 - Khởi động lại máy, chạy Threat killer một lần nữa, khởi động lại, mở mạng, lần này mạng vẫn tự tại dữ liệu nhưng chậm và ngắt quãng, trong 10 phút tải và nhận khoảng 3Mb.
 - Mình gửi file sttray các bạn xem thử có chứa virus không nha: trời, nén exe thành rar mà myopera cũng không cho up, lần trước được mà ta.
 - Còn đây là log của Hijack mình quét lại: http://files.myopera.com/nhanquoc/files/logs.txt
 - Vì quãng đường xa quá nên mình đã kêu bà cô giáo ngày mai kêu thợ xuống sửa, thật tình mấy ngày nay mình mệt mỏi chịu hết nổi rồi.
 
- Mình mới post sửa bài xong thì thấy mạng nháy liên tục, bây giờ là phút thứ 26 kể từ khi mở máy, sent: 34MB, received: 32MB

Không được rồi, -Dark- rút kinh nghiệm khi gặp rootkit, dùng Threat Killer thì cần yêu cầu khởi động lại máy ngay.

Máy anninh1984 vẫn còn rootkit, sẽ có những hướng dẫn tiếp theo cho bạn. Stay tuned.

 Tin tưởng vào thợ sửa máy tính, ai dè thằng đó chơi ghost lại máy, pó tay luôn, đã vậy còn không cài lại các phần mềm, nhẩt là chương trình  diệt virus, lấy 30 ngàn im lặng đi về, phải chăng đây là cách sửa máy tính thông dụng hiện nay, chắc họ làm vậy để máy tiếp tục bị... hic, @diễn đàn: vậy con virus đó trị bằng cách nào vậy các bạn?