nhiễm virus Mixa_I.exe từ USB, Bitdefender V10 update hằng ngày mà vẫn

[yeusaigon]

Maý bị nhiễm virus Mixa_I.exe từ USB (cho bạn mượn rồi cắm vô là nhiễm), mặc dù sử dụng Bitdefender V10 update hằng ngày mà vẫn "bó tay" (CÓ BẢN QUYỀN)
Virus hình một người đang nhảy, tên file là Mixa_I.exe, nó ẩn, tự nhân bản và tự tạo file autorun.inf trên thư mục gốc mỗi ổ đĩa; nó còn cư ngụ ở C:\Windowns\Mixa_I.exe, xoá rồi khởi động lại vẫn còn, tự khoá máy khi mở Task Manager (nếu dùng DTaskManager thì được và thấy nó đang process, kill và tìm đến nơi ẩn trú nó được,nhưng khởi động lại vẫn xuất hiện lù lù), nó tự starup.
Tìm thông tin trên mạng rồi nhưng hầu hết chỉ phức tạp quá, mình không rành, và ngán cài lại máy (bay hết dữ liệu làm sao, vì nó nằm ở tất cả ổ cứng rồii)
Làm sao đây, huhu, tức con virus này quá, trước giờ máy tự hào "bất khả xâm phạm" mà giờ đây bó tay con này, điên quá đi!
Cao thủ xin vui lòng giúp nha!
Thanks.

[tuyen86]

Bạn kiểm tra thử một số nơi:
- Startup folder (curent user, all user)
- Schedule task trong thư mục windows
- Run, Run service trong registry HKCU, HKLM, HKU
- Các value Shell, userinit, appinit_dlls trong HKLM\software\microsoft\windowsnt\currentversion\w indows
Và còn ở các nơi khác trong registry, khá nhiều :d
Down HiJackThis xài thử xem.

[yeusaigon]

Để mình Down HiJackThis xài thử xem.

[Bố Tây]

Mình xài Kas, bạn send qua máy mình mình test phát xem có dính không!

Y!M: da.trang

[yeusaigon]

Bây giờ con Mixa nó không cho máy tính login, khởi động tới màn hình desktop thì bị "đuổi" ra ngoài (máy mình cần pass mới vào dc)
có cd nào diệt virus khi khởi động không?
bitdefender v10 bó tay.

[pean]

Theo mình nghĩ con này thuộc loại trojan.
Cách thức hoạt động của nó.Khi bị nhiễm con này thì nó tạo ra các giá trị:
%SystemDrive%\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\inet
Tiếp theo nó sẽ khởi tạo ép buộc file trên mọi phân vùng ổ cứng
%DriveLetter%\autorun.inf
AutoRun]
open=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe .
shellexecute=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe .
shell\Open\command=.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe .
shell=Open
open=.
Diệt nó bằng cách tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\inet

[pean]

Nếu bạn kiẻm tra không có giá trị đó thì bạn làm theo cách này
Bạn vào start->run ->gõ regedit
Bạn tìm đến khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bạn Kiếm tra xem
String Value Userinit sửa lại thành C:\WINDOWS\system32\userinit.exe,

Lưu ý: là có dấu "," sau userinit.exe
Chép đè file userinit.exe bằng 1 file khác từ 1 máy còn chạy tốt hoặc từ đĩa CDWin.

[extjs]

Mua đĩa CB có Hirent boot mới nhất về quét ngoài dos đi, hơi lâu tý nhưng sạch sẽ !

[bibimeo]

Máy tôi cũng bị con Mixa này và thêm con secret.exe hay tặng phimnguoilon.exe đấy, nhưng con Mixa là chủ mưu không cho vào win thì làm sao mà regedit với gpedit, safemode cũng thế. Tôi đã thử nhiều cách nhưng tất cả đều dẫn đến trang --> botay.com
Dùng Hiren 9.3 cũng không ăn thua, chỉ còn cách chỉnh registry bên ngoài window nhưng không biết có chương trình nào làm được không. Tôi đã thử win PE nhưng không xài được remote registry, còn cái registry viewer của Hiren thì chả biết xài thế nào. Ai biết cách nào khác xin hướng dẫn cho tôi với, tôi đang đau đầu vì cái con này đây.

[info1]

Bkav home 1449 trở lên diệt dc gòi muh.