remove trojan CWS searchx, setup homepage about:blank khong sua duoc, kiu kiu ...

Chao cac ban, may cua minh chac bi trojan hay gi do, trang homepage cua minh luc nao cung bi setup about:blank trong giong nhu hinh vay do, ko chinh sua lai duoc.
Minh co dung chuong trinh Ad-aware pro de remove nhung van khong duoc, dung chuong trinh Mcafee de test thi duoc 1 so file *.dll trong folder system32 va xoa di nhung van khong het. Minh tim ra duoc 1 chuong trinh ten la CWShredder - Coolwebsearch trojan remover, chuong trinh nay detect duoc CWS searchx va remove duoc no nhung sau 1 thoi gian la bi lai, van phai test lien tuc,

Cac ban nao co cach diet tan goc cai nay khong thi chi cho minh voi, minh vote 5x5* luon

Đây là một con trojan thuộc loại ương bướng nhất. Hiện chưa có remover tool nào riêng cho loại này cả vì khi vào từng máy nó tạo ra từng biến thể khác nhau, hầu như không con nào giống con nào.
Cách diệt vì thế cũng rất phức tạp và đòi hỏi bạn phải kiên nhẫn. Trước hết bạn cần download một công cụ có tên là hijackthis về và chạy nó. Sau đó bạn save file log của nó và post lên đây. Mọi người sẽ xem xem có thể phát hiện được gì từ đó không.
Bạn download hijackthis ở đây: http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Day la file logfile ma ban can. Thanks
----------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 3:24:02 PM, on 26/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
cROGRA~1mcafee.comvsomcvsrte.exe
CROGRA~1McAfee.comPERSON~1MPFSERVICE.exe
cROGRA~1mcafee.comvsomcvsshld.exe
C:WINDOWSSystem32svchost.exe
crogra~1mcafee.comvsomcvsescn.exe
C:WINDOWSsystem32svchost.exe
C:WINDOW***plorer.EXE
CROGRA~1mcafee.comagentmcagent.exe
Crogram FilesTOSHIBATOSHIBA ControlsTFncKy.exe
C:WINDOWSSystem320THotkey.exe
CROGRA~1McAfee.comPERSON~1MpfTray.exe
CROGRA~1McAfee.comPERSON~1MpfAgent.exe
Crogram FilesMSN MessengerMsnMsgr.Exe
Crogram FilesCommon FilesNetwork AssociatesMcShieldMcshield.exe
crogra~1mcafee.comvsomcvsftsn.exe
Crogram FilesMessengermsmsgs.exe
Crogram FilesYahoo!Messengerypager.exe
Crogram FilesYahoo!MessengerYPager.exe
Crogram FilesTotalcmdTOTALCMD.EXE
C:WINDOWSSystem32WISPTIS.EXE
Crogram FilesTechSmithSnagIt 7SnagIt32.exe
Crogram FilesTechSmithSnagIt 7TSCHelp.exe
Crogram FilesInternet Exploreriexplore.exe
COCUME~1VOQUAN~1LOCALS~1Temp\_tcHIJACK~1.EXE
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://vnexpress.net/Vietnam/Home/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O1 - Hosts: 216.239.51.99 www.kazaa-gold.com
O1 - Hosts: 216.239.51.99 kazaagold.com
O1 - Hosts: 216.239.51.99 www.kazaa-download.de
O1 - Hosts: 216.239.51.99 www.mp3downloadhq.com
O1 - Hosts: 216.239.51.99 www.easymusicdownload.com
O1 - Hosts: 216.239.51.99 easymusicdownload.com
O1 - Hosts: 216.239.51.99 www.mp3madeeasy.com
O1 - Hosts: 216.239.51.99 www.monstershare.com
O1 - Hosts: 216.239.51.99 monstershare.com
O1 - Hosts: 216.239.51.99 www.kazaa-plus.net
O1 - Hosts: 216.239.51.99 kazaa-plus.net
O1 - Hosts: 216.239.51.99 www.kazaa-plus.com
O1 - Hosts: 216.239.51.99 www.edonkey.com
O1 - Hosts: 216.239.51.99 www.kazaa-file-sharing-downloads.com
O1 - Hosts: 216.239.51.99 www.kazaaplatinum.com
O1 - Hosts: 216.239.51.99 www.madeformusic.com
O1 - Hosts: 216.239.51.99 www.ikazaa.net
O1 - Hosts: 216.239.51.99 ikazaa.net
O1 - Hosts: 216.239.51.99 www.mp3u.com
O1 - Hosts: 216.239.51.99 www.mp3specialty.com
O1 - Hosts: 216.239.51.99 music-download-world.com
O1 - Hosts: 216.239.51.99 song-download-world.com
O1 - Hosts: 216.239.51.99 www.flixs.net
O1 - Hosts: 216.239.51.99 www.ishareit.net
O1 - Hosts: 216.239.51.99 www.ishareit.com
O1 - Hosts: 216.239.51.99 www.download-doctor.com
O1 - Hosts: 216.239.51.99 www.ezmp3download.com
O1 - Hosts: 216.239.51.99 www.kazaamedia.com
O1 - Hosts: 216.239.51.99 mp3-network.com
O1 - Hosts: 216.239.51.99 www.mp3-network.com
O1 - Hosts: 216.239.51.99 www.mp3grandcentral.net
O1 - Hosts: 216.239.51.99 www.mp333.com
O1 - Hosts: 216.239.51.99 www.kazaamate.com
O1 - Hosts: 216.239.51.99 www.kazaa-download.de
O1 - Hosts: 216.239.51.99 www.emule.biz
O1 - Hosts: 216.239.51.99 www.kazaam8.tk
O1 - Hosts: 216.239.51.99 www.rippro.com
O1 - Hosts: 216.239.51.99 www.kaaza.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - Crogram FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {9535A0CB-218D-4625-B2C3-994989B9A862} - (no file)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - Crogram FilesAdobeAcrobat 6.0AcrobatAcroIEFa***ient.dll
O2 - BHO: Zero Popup - {EB23F789-F17F-4bcc-988B-6B70A3A67E9C} - CROGRA~1EROPO~1ERO-P~1.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - crogra~1mcafee.comvsomcvsshl.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Crogram FilesAdobeAcrobat 6.0AcrobatAcroIEFa***ient.dll
O4 - HKLM..Run: [MCAgentExe] cROGRA~1mcafee.comagentmcagent.exe
O4 - HKLM..Run: [VSOCheckTask] "cROGRA~1mcafee.comvsomcmnhdlr.exe" /checktask
O4 - HKLM..Run: [TFncKy] TFncKy.exe /Type 10
O4 - HKLM..Run: [Apoint] Crogram FilesApoint2KApoint.exe
O4 - HKLM..Run: [00THotkey] C:WINDOWSSystem320THotkey.exe
O4 - HKLM..Run: [MCUpdateExe] CROGRA~1mcafee.comagentmcupdate.exe
O4 - HKLM..Run: [VirusScan Online] "cROGRA~1mcafee.comvsomcvsshld.exe"
O4 - HKLM..Run: [MPFExe] CROGRA~1McAfee.comPERSON~1MpfTray.exe
O4 - HKCU..Run: [msnmsgr] "Crogram FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Yahoo! Pager] Crogram FilesYahoo!Messengerypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = Crogram FilesAdobeAcrobat 6.0Distillracrotray.exe
O9 - Extra button: Research (HKLM)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab
O16 - DPF: {665585FD-2068-4C5E-A6D3-53AC3270ECD4} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/en/filesharingctrl.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37786.2585185185
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab
O17 - HKLMSystemCCSServicesTcpip..{84618F0A-FFF9-407A-B799-A43B24A58845}: NameServer = 206.47.244.139 206.47.244.106

Minh thay co phan nay co ve nhu la cua thang trojan. Minh xoa di nhung phan nay roi nhung van con ???
-----------------------------------------------------------------------
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://vnexpress.net/Vietnam/Home/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O1 - Hosts: 216.239.51.99 www.

Đọc qua thấy không có gì kỳ lạ lắm. Nhưng mấy cái search page đó, trong hơi kỳ quặc.
Cách tổng quát như sau : tìm xem cái trang search đó tên là gì, lên google gõ nó vào rồi thêm trojan virus remove, sau đó đọc các bài trên đó để tim diệt.
Đây là cách tớ dùng để diệt con trojan ntsearch.
Con ntsearch mà tớ dính là do một lỗi ở trong JVM của Windows. Cậu thử kiểm tra xem trong máy còn JVM không. Nếu còn thì tốt nhất là uninstall nó đi, rồi lên Sun mà down bản mới nhất sdk của nó về.
Hưỡng dẫn = tiếng Anh ở đây
Được imweasel sửa chữa / chuyển vào 10:10 ngày 27/06/2004

Chắc chắn có phần update của nó ở trong registry, cậu thử tìm kỹ hơn xem

Chao cac ban, trong qua trinh tim kiem thong tin de remove cai trojan CWS.Seachx nay minh tim duoc thong tin nay o tren 1 forum : http://forums.spywareinfo.com
O muc Virus and Trojan Removal and Prevention Methods
co bai huong dan remove con trjan nay, minh copy 1 doan va post len day de ban nao bi nhu minh co cach khac phuc.
Van de la o cho nay trong registry
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
Hy vong rang cai nay diet tan goc duoc trojan CWS.Searchx. Minh lam theo nhung chua biet co bi lai nua hay khong.
------------------------------------------------------------------------------------
The following posted information worked for removing CWS.SearchX on some infected computers, but I needed to also do the step in the final paragraph:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
You have to remove this key. The value of this key may look blank for you, but it is not. They hide the value so you can''t see it. This registry key tells Windows to load the Trojan DLL every time ANY application is run giving it complete control to do whatever it wants. So you need to remove it so that the Trojan DLL cannot load and keep re-infecting your PC.
The way to remove the registry key is not obvious. If you just delete it from RegE***, since the Trojan DLL is loaded, it will re-add it right back. (Try it. Delete the AppInit_DLLs registry key and hit F5. Notice that it''s added right back by the Trojan). So what you have to do is the following which worked for me.
1. Rename the HLMSoftwareMicrosoftWindows NTCurrentVersionWindows folder to Windows2.
2. Now delete the AppInit_DLLs key under the Windows2 folder.
3. Hit F5 and notice that AppInit_DLLs doesn''t come back.
4. Rename the Windows2 folder back to Windows.
Now that AppInit_DLLs is gone, run the latest AdAware 6 to remove the Trojan for good. Reboot your machine. Check the registry and make sure AppInit_DLLs is still gone. Your computer should be free of this for good now."
On this computer, there was in infected .dll file in the WindowsSystem32 directory called wdmdpi.dll which was detected by Grisoft AVG (Installed) and not Norton or McAfee. AVG reported the infection as BackDoor.Agent.BA. A review of this directory in Windows showed no such file exists. Numerous posts in various online message boards criticized Grisoft AVG for reporting false information. The complete opposite is true. The file did exist and was the Trojan itself. It was discovered by using the Microsoft Windows Recovery Console, and manually deleted. The operating system was secured and the Trojan was eradicated.

May quá, máy ở cơ quan ông anh mình cũng bị dính con này, để mình học tập kinh nghiệm về để chữa trị xem sao. Ờ mà sao các bạn không gửi mấy mẫu trojan này cho thầy Quang Dê-32 món hoặc thầy Quảng BKAV (bệnh không ăn vạ) để họ chuyển qua diệt và hướng dẫn diệt bằng tiếng Việt luôn cho tiện với quảng đại quần chúng. Mình không rành lắm cách gửi mẫu virus đi.
To monopoly: bạn có để ý con trojan này nằm ở website nào không? Cho mình biết để còn né, vừa rồi gặp 1 con cũng đến mệt, may nhờ Augustan chỉ cho cách để diệt.

Như tôi đã nói ở trên, diệt con này rất phức tạp. Mỗi khi chui vào một máy nào đó nó lại tạo ra một biến thể khác nhau và dẫn đến cách diệt khác nhau. Không có công thức chung để diệt con này. Và như tôi đã nhắc, bạn nên kiên nhẫn, làm không đúng các bước sẽ không thể diệt triệt để. Và vì thế, su75 ơi, không áp dụng được cho máy của ông anh bạn được đâu.
Thực tế, tôi không tự nghĩ ra được cách diệt con này. Nó quá phức tạp. Tôi gửi thông tin của bạn đến một trang web nước ngoài và nhờ họ xem xét. Nhưng nó phức tạp hơn tôi tưởng vì thế tôi sẽ để bạn liên lạc trực tiếp với họ. Theo tôi thấy, bạn phải dành chút thời gian để online liên tục cùng họ và báo cho họ ngay kết quả khi họ yêu cầu. Vì tôi thấy trong yêu cầu của họ, bạn không được re-boot. Bạn phải tuân thủ tuyệt đối những yêu cầu của họ.
Đây là link: http://forums.techguy.org/showthread.php?p=1732843#post1732843
Bạn vào đó để tiếp tục nhé. Bạn phải đăng ký nick và khi post bài tiếp vào chủ đề đó, bạn nhớ thông báo với họ bạn là bạn của Augustan, nếu không họ sẽ không xem xét đâu. Nếu cần gì, bạn có thể liên hệ với tôi. YM: augustan_hn
Chúc may mắn.

Cám ơn ban Augustan nhieu.
Dung la con trojan nay khong de diet ti nao. Doi voi may cua minh, minh lam theo cach o tren minh da post thi thay no chua xuat hien tro lai. Hy vong la da remove duoc no.
Theo toi nghi van de o day la con trojan nay no tu dong re-inject lai ngay o cai key nay trong registry
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
Sau do no se tu dong upload cac file dll trong folder system32 len, cac file nay thay doi ten lien tuc. Tiep tuc no se dien vao registry theo nhu link o duoi va homepage cua bi setup lai about:blank
HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
HKLMSoftwareMicrosoftInternet ExplorerMain,Search page = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://COCUME~1VOQUAN~1LOCALS~1Tempsp.html
HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
Minh da vao forum ban huong dan, do la 1 forum hay day, minh thich lam ...
Ban nao co them thong tin gi moi xin upload len day de anh em nghien cuu.
Thanks nhieu.

Được monopoly sửa chữa / chuyển vào 20:52 ngày 27/06/2004