RUNAUT~1\autorun.pif, delphi - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

RUNAUT~1\autorun.pif, delphi

[Question] RUNAUT~1\autorun.pif, delphi	23/06/2007 05:57:58 (+0700) \| #1 \| 66361

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Đây là mẫu:
http://www.freewebtown.com/tauma/data/m1.zip
and
http://www.freewebtown.com/tauma/data/m2.zip

2 file này em lấy từ trong C:\Window. Kô biết có phải là file của con đó kô nhung em thấy 2 file đó là 2 file được tạo ra gần đây nhất trong thư mục C:\Window (quên kô xem có cùng thời điểm kô) hình như là kô vì nó kô nằm cạnh nhau, à quanh nó là rất nhiều file .pf (tìm kiếm với fie .exe và xắp xếp theo ngày tạo ra. quên kô tìm file .dll vì vội quá smilie

)

2 file này kô cùg kích cỡ có lẽ là 2 con khác nhau smilie

)

Nó kô khóa gì cả, trong task manager em thấy file ở m2.zip đang chạy kô biết m1.zip có chạy kô vì nhiều Process quá và đang vội smilie

)

Điều quái dị mà em muốn nói đến là cái file mầm của nó tạo ra trong USB. Đây là nội dung file Autorun của nó:

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=´ò¿ª(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=ä¯ÀÀ(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Cái file .pif kia thì cũng kô lạ nốt cái lạ chính là cái folder RUNAUT... đó là tên chính xác của cái RUNAUT~1 ngoài USB.

Bây giwo em bận đến tối em sẽ nói chi tiết về cái folder này (mà kô biết có phải folser kô smilie

)

CÁc bác cứ down về nghiên cú đi nhé smilie

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 08:29:29 (+0700) \| #2 \| 66372

gsmth
Elite Member

Joined: 15/02/2007 13:25:36
Messages: 749
Offline

mau1 là file M$'s cmd.exe.
Có MD5: eeb024f2c81f0d55936fb825d21a91d6 (WINDOWS/system32/cmd.exe)

mau2 chưa xem.

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 11:07:05 (+0700) \| #3 \| 66405

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Chỉ sợ các mẫu này là các file của windows mà thôi.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 12:19:23 (+0700) \| #4 \| 66417

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Vừa extract ra, cái AV đã báo nè... hehe

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 12:44:47 (+0700) \| #5 \| 66421

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

gsmth wrote:

mau1 là file M$'s cmd.exe.
Có MD5: eeb024f2c81f0d55936fb825d21a91d6 (WINDOWS/system32/cmd.exe)

có lẽ nó đúng là file cmd.exe trong WINDOWS/system32/cmd.exe em thấy dung lượng 2 cái cũng bằng nhau. Nhưng khi em lấy ra thì chắc chắn là em lấy nó ở ngay C:\Windows\cmd.exe.exe chứ kô phải trong System32. Hơn nữa nó có 2.exe và có ngày tạo ra là ngày hôm qua. kô hiểu ai làm việc này hay virus và nhằm mục đích gì. Bác đã thử thực thi nó chưa nếu là cmd thì chả có gì nguy hiểm phải kô bác smilie

trong m2 là file dllhost.exe, cũng là một file có trong system32 nhưng file này có filesize là 745BK lơn hơn rất nhiều so với dllhost.exe của OS(5 KB) và cái icon thì càng kô phải của file dllhost.exe gốc. file này em cũng lấy ở ngay C:\Windows chứ kô phải trong System32.

Mà em cũng không chắc là nó có phải là file của con virus trong USB của em kô. Em chỉ thấy khi cắm USB vào cái máy đó thì thấy Autorun rạo ra và cái RUNAUT... kia quá quái dị nên em mới vào C:\window để lấy mẫu, và em thấy 2 file này là khả nghi nhất.

Bây giờ em xin nói về sự quái dị của cái RUNAUT... kia:

Chắc các bác thắc mắc tại sao em kô up cái file trong USB len luôn mà phải vào Window lấy mẫu phải kô. Vâng đó cũng chính là một phần quái dị của cái folder RUNAUT.. ấy smilie

1. kô thể copy,rename,delete,cut cái folder RUNAUT... đó. Nếu làm 1 trong các tác động trên thì có một báo lỗi tương tự như sau, nếu delete:

Cannot delete file: Cannot read from the source file or disk

Em đảm bảo là khi cắm USB vào máy em máy em kô bị nhiễm con này. Vì file Autoun của nso đã bị em Cut vào máy và em refresh chán chê nó cũng kô tạo lại trong USB.

2. Nếu truy nhập vào folder RUNAUT.. này thì có thông báo lỗi như sau:

H:\RUNAUT... refers to a location that is unavailable. It could be on a hard drive on this computer, or on a network. Check to make sure that the disk is properly inserted, or that you are connected to the internet or your network, and then try again. If it still cannot be located, the information might have been moved to a different location

USB của em để ở định dạng FAT nên kô thể có chuyện phân quyền cho cái RUNAUT... này.

Em kô dám chắc nó là folder hay file vì nó có icon của folder,kô có duôi, nó hiện ra trong danh sách folder trong cây thư mục của Explore Nhưng trong Properties của nó lại có mục Open with và nút "Change.." để chọn chương trình mở nó(cái này chỉ có ở properties của file)

2. Lúc đầu cả 2 file đều có dạng ẩn: cái Autorun thì chắc là -s -h còn cái RUNAUT.. kô biết có -s -h hay kô, lúc đầu em kô kiểm tra.

Em đã dùng lệnh: attrib -s -h /s /d H:*.* (H là ổ USB ở máy em)

Nhưng kết quả là chỉ có file Autorun bị mất ẩm còn cái RUNAUT.. kia vẫn mờ mờ. Em vào Properties của nó thì thấy mấy cái 3 cái tick vẫn trắng nguyên (bình thường khi folder bị ẩn thì cái ô Hidden bị tick)

Em tick vào cái ô hidden rồi apply thì nhận được báo lỗi:

Eror Applying Attributes
...
The system cannot find the file specified

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 12:54:10 (+0700) \| #6 \| 66422

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

LeVuHoang wrote:

Vừa extract ra, cái AV đã báo nè... hehe

Vậy thì con này là hàng ngoại rồi smilie

Thảo nào khủng thế, VN mà làm được con này thì thiên hạ đại loạn smilie

Vấn đề bây giờ của em kô phải là dung Av gì để diệt con này mà là em muốn biết cái H:\RUNAUT... kia lại quái dị như vậy và cách xóa cái RUNAUT.. đó như thế nào (kô format) và làm thế nào để tạo ra một cái tương tự và khống chế được nó thì càng tốt smilie

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:02:59 (+0700) \| #7 \| 66423

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Có gì đâu mà đại loạn ?
Đã chạy rồi, đã ra folder "runauto..." rồi. Thích thì file autorun.pif của nó đây smilie

)
http://superupload.fire-lion.com/download.php?file=0d288b30305cd5c85cfe35c72e09f12d

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:12:47 (+0700) \| #8 \| 66425

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

LeVuHoang wrote:

Có gì đâu mà đại loạn ?
Đã chạy rồi, đã ra folder "runauto..." rồi. Thích thì file autorun.pif của nó đây )
http://superupload.fire-lion.com/download.php?file=0d288b30305cd5c85cfe35c72e09f12d

Nhưng xáo cái runauto.. như thế nào bác Hoàng? smilie

(

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:14:36 (+0700) \| #9 \| 66426

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Con này sử dụng những key sau:
Code:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
HKLM\SYSTEM\CurrentControlSet\Services\COMSystemApp
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun

Tạo các file sau:
Code:

C:\Windows\SetupRs1.PIF
C:\Windows\dllhost.exe
C:\runauto..\AutoRun.pif
C:\autorun.inf.tmp

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:20:50 (+0700) \| #10 \| 66427

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Nhưng máy của em có nhiễm nó đâu. Còn cái runauto.. thì ko thể Open,Delete,Cut,Move,Rename smilie

( Em đã up những file ảnh của nó cho bác rồi đấy.

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:20:51 (+0700) \| #11 \| 66428

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Quái, mấy ngày nay sao gặp toàn malware code = Delphi không ?
Gặp cái class TPingMuKongZhiThread, thấy mắc cười quá, chắc của 1 thằng TQ nào đây. Đã vậy, lần đầu mới gặp, con này có thêm tính năng capture màn hình thành file video.avi và capture từng frame thành file .bmp để gởi đi. Nó dùng 1 free component: TVideoCapture.

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:31:37 (+0700) \| #12 \| 66433

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Ghost Ship wrote:

Nhưng máy của em có nhiễm nó đâu. Còn cái runauto.. thì ko thể Open,Delete,Cut,Move,Rename ( Em đã up những file ảnh của nó cho bác rồi đấy.

Dùng IceSword

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 13:40:16 (+0700) \| #13 \| 66435

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

LeVuHoang wrote:

Dùng IceSword

IceSword vô địch smilie

)

Em xóa được cái runauto.. ròi bác ạ cả cái llaclla.dll luôn hiihii sứong wua'

Có bảo bối khủng mà kô biết dùng smilie

thanks bac Hoàng rất nhiều smilie

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:04:25 (+0700) \| #14 \| 66439

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

IceSword là tool chống rootkit nên xoá được mấy cái này là chuyện đương nhiên smilie

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:16:32 (+0700) \| #15 \| 66440

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Hic...Nhưng lại vừa xảy ra vấn đề mới bác Hoàng ạ smilie

( Từ này tới giờ máy em tự động reboot tới 2 lần kô biết có phải do cái file llaclla bị xóa kô smilie

(

em lại vừa tạo lại cái file ấy vào system 32 rồi smilie

( Khi reboot xong ns hiện lên bảng Send Error Report nọi dung như sau:

The system has recovered from a serious Error.

A log of this error has been created

bác có biết lỗi này là lỗi gì kô bác Hoang (em up file ảnh cua lỗi lên host của bác rồi. Từ khi dính con này thỉnh thoảng em lại bị thế này nhưng từ nãy tới giờ bị liên tiếp 2 phát smilie

( Em hơi bị hoảng với nó rồi smilie

(

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:21:11 (+0700) \| #16 \| 66441

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Giải quyết vấn đề như thế này có vể hơi thô bạo và kô "chiệt để" nên đã nảy sinh tác dụng phụ smilie

(

Kể hiểu được bản chất của nó rồi can thiệp tận gốc thì sẽ ổn hơn smilie

(

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:24:11 (+0700) \| #17 \| 66442

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Bạn up xong thì paste link lên đây chứ đâu ai biết link là gì mà down smilie

.
Cái vụ llaclla thì Hoàng ko rõ vì ko tái hiện được nó trên máy.

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:31:13 (+0700) \| #18 \| 66443

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Bạn up xong thì paste link lên đây chứ đâu ai biết link là gì mà down .

Ặc em tưởng bác là Acmin thì bác biết file nào vừa được up lên smilie

Nó đây ạ:
http://superupload.fire-lion.com/download.php?file=b0688f51142b628381c9986fe9e3ce64

A log of this error has been created

cái log này nó created ở đâu nhỉ? lấy cái ấy up cho bác liệu bác có xử lý được kô? :? smilie

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:37:15 (+0700) \| #19 \| 66444

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Mún bít làm sao để không dùng IceSword mà delete được folder ko... hehehe
Code:

rd /s runaut~1

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:42:42 (+0700) \| #20 \| 66445

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

hmm... hiện nay, do cách tạo thư mục kỳ quái này. Component TFindFile của DelphiArea không có search vào rồi nên tạm thời bị... bypass smilie

).
Xem thêm về info của con này ở đây:
http://64.233.179.104/translate_c?u=http%3A%2F%2Fhi.baidu.com%2Fmcoffice%2Fblog%2Fitem%2F7c97f0c4e6a98fa88326ac19.html&langpair=zh-CN%7Cen&hl=en&ie=UTF8

Đúng là hàng... Tàu kì quặc quá smilie

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:44:19 (+0700) \| #21 \| 66446

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

hmm... hiện nay, do cách tạo thư mục kỳ quái này. Component TFindFile của DelphiArea không có search vào rồi nên tạm thời bị... bypass smilie

ah, còn vụ link. Dĩ nhiên là Hoàng biết link rồi, nhưng GS nên paste link vào đây cho mọi người down.

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:50:32 (+0700) \| #22 \| 66447

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

LeVuHoang wrote:

Mún bít làm sao để không dùng IceSword mà delete được folder ko... hehehe
Code:
rd /s runaut~1

C:\Documents and Settings\Evil>rd /s f:\a
f:\a, Are you sure (Y/N)? y
f:\a\1.txt - Access is denied.
f:\a\2.txt - Access is denied.
f:\a\a.txt - Access is denied.

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 14:54:30 (+0700) \| #23 \| 66448

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Cụ thể hơn này bác Hoàng smilie

)

C:\Documents and Settings\Evil>rd /s C:\WINDOWS\system32\llaclla.dll
C:\WINDOWS\system32\llaclla.dll, Are you sure (Y/N)? y
Access is denied.

C:\Documents and Settings\Evil>

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	23/06/2007 15:02:42 (+0700) \| #24 \| 66449

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

hóa ra cái rs /s chỉ del được cái runaut~1 thôi smilie

)

1 folder bị remove quyền delete nó vẫn kô del được. Vậy mà cái DelAny v2.1.exe del được folder bị remove quyền delete nhưng lại kô delete được runaut~1 smilie

)

con này là hang Tàu à bác Hoang, Ai bảo hàng Tàu là hàng rỏm chứ smilie

[Question] Con Worm quái dị nhất mà em từng gặp!	23/06/2007 17:37:08 (+0700) \| #25 \| 66455

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

chài, không đọc kỹ hướng dẫn sử dụng hả... hehehe... Thì trên bài post trước bạn bảo không biết dùng cách nào del cái folder "runauto.." mà không dùng tool nên chỉ cho cách đó đó smilie

). Chứ Hoàng không nói dùng cách này cho cái llaclla.dll :-|.

Con này nguy hiểm, cách tạo thư mục của nó có thể bypass 1 số AV. BKAV cũng nằm trong đó đó. FastHelper fix lỗi này roài smilie

.

Demo 2 cái screenshot:
1. [FireLion] FastHelper đã được fix để có thể quét cả folder "runauto.." quái quỷ smilie

)

2. Kết quả quét của BKAV. Mặc dù trong folder "runauto.." có file autorun.pif nhưng vẫn báo có 0 file --> bị bypass không đọc được những file có trong folder này.

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	24/06/2007 03:21:46 (+0700) \| #26 \| 66528

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Hôm trước em mới Ghót lại máy. Thằng bạn lên mạng vào trang gì đó bị dính con trojan. Lúc tối khởi động vào đến desktop máy đơ lì. mãi mới mở được cái Task Manager ra, lúc đó CPU Usage 100% luôn smilie

( click mãi cái KAV mới chạy nổi, chạy phát báo có trojan ngay, khổ nỗi có mỗi một Process virus là kô phải của OS còn Winlogon,svchost,csrss cũng bị dính "chấu" smilie

Em định delete mấy cái Process đó rùi repair win nhưng repair thế quái nào chả được thế là Ghost luôn. hic lâu lắm rồi kô làm lại Win thế mà vừa làm lại lại dính con llaclla đáng ghét này smilie

(

Nhưng cái bản Ghost em dùng nó lại có một vấn đề nhỏ bác Hoàng ạ(lần trước mới Ghost xong cũng thế nhưng dùng một thời gian lại hết).

Thỉnh thoảng khi tắt một trang Web đi thì nó "Bùm" ra cái thông báo lỗi như sau:

IXEPLORE.EXE - Application Error

The instruction at "0x62304390" referenced memory at "0x62304390". The memory could not be "read".

Click OK to terminate the Program

Cái Fast Helper thì hiện ra thông báo:

Tiến trình:
C:\Program Files\Internet Explorer\iexplore.exe
Yêu cầu thực thi:
C:\Program Files\Internet Explorer\iedw.exe -h 1708

Khắc phục cái lỗi này như thế nào bác Hoàng ơi

Còn vấn đề nữa làm thế nào để Fast Helper phục hồi cái file Work nhiễm con kspoold.exe Em ấn Diệt rồi nhưng khi vào nó vẫn là file .exe và quét lại lần nữa thì Helper vấn báo là có.

[Question] Con Worm quái dị nhất mà em từng gặp!	24/06/2007 04:59:27 (+0700) \| #27 \| 66540

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Còn vấn đề nữa làm thế nào để Fast Helper phục hồi cái file Work nhiễm con kspoold.exe Em ấn Diệt rồi nhưng khi vào nó vẫn là file .exe và quét lại lần nữa thì Helper vấn báo là có.

Cái file kspool.exe bản thân nó là file .exe nên chỉ có delete đi thôi. Còn những file Word nào bị nhiễm kspool thì sau khi diệt xong sẽ được trả lại thành file .doc mà ? File nào bạn không diệt được đâu up lên đây xem ?

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	24/06/2007 06:28:16 (+0700) \| #28 \| 66560

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

File nào bạn không diệt được đâu up lên đây xem ?

Vẫn hai cái file lần trước em up đấy bác. Em up lại đây:
http://superupload.fire-lion.com/download.php?file=0934da4f79a09c22ae951675bc6b4915

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	24/06/2007 09:01:40 (+0700) \| #29 \| 66579

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một vài ý kiến vui vẽ về worm "quái dị".

Nó tạo ra vài cái key trong registry như mod đã post, ngoài ra nó còn tạo vài key khác để chạy nó khi người dùng chạy một số tiện ích của windows.

Kế tiếp là một services của nó tạo ra trong danh sách services của windows.

Cái file .dll này để hook vào đâu đó

Mới chạy cái file .pif là một loạt thứ này được ghi vào registry.

và các hoạt động này được thực thi tuần tự sau đó .

5 chuyện cần quan tâm là . File .pif để kích hoạt worm, file .dll hook vào đâu đó, file setup... pif để chạy thường trực, file dllhost để chạy services, key regisytry của worm.

Gu chính của dân tàu(nghe bà con nói là Tàu viết con này nên tui đoán mò) là nó chuyên ghi image hijacks một số tiện ích của windows để chạy file thực thi của giun.
Hy vọng ghóp ích cho bà con.
Thử trên HDH windows XP2, và iceswords120,hijacksthisv2(trendmicro version), tcpview,autoruns(sysinternal),paint(microsoft), process explorer-monitor(sysinternal),

Coi thêm monitor thấy có cái đoạn này của file dllhost.exe

Bà con nghiên về lập trình hệ thống, crackers cho biết hoạt động bên dưới của nó. Tui chỉ thấy biểu hiện bên trên của giun.

[Question] Re: Con Worm quái dị nhất mà em từng gặp!	24/06/2007 10:07:10 (+0700) \| #30 \| 66586

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Cung cấp file .log sau khi chạy .exe tieuluan.
http://www.freefileupload.net/file.php?file=files/230607/1182606759/Logfile.rar

Go to:

Users currently in here
1 Anonymous