Messages posted by: tmd

Hy vọng là quyền admin vẫn còn, và chức năng chạy vbscript chưa bị vô hiệu hóa. Nên rút cáp mạng, vào chế độ safe mode, chay file .vbs mà bkav một thời post để fix registry, bà con kiếm lại, hoặc vào kellys-korner-xp.com/xp_tweaks.htm để tìm vài cái .vbs để sửa registry về folder option, no saving at exit, ... để sửa lổi, tui đi chơi với bà con khác đây.Trường hợp con gì đó cao tay hơn, nó hide được key registry, file, process bà con xài mấy cái soft tựa icesword,seem,....

Không biết tiếp theo là các thủ thuật gì đây, nhưng bạn nào muốn coi một trogn số các original source của cái thủ thuật này,
http://www.google.com.vn/search?hl=vi&q=+Export++Import+Bookmarks+&btnG=T%C3%ACm+ki%E1%BA%BFm&meta=

KHông hiểu bác trung kia sao không nói thêm một chút về những thủ thuật này chứ, như nguồn gốc, dịch thuật, hệ thống thủ thuật, tương tác, hậu quả, các chú ý của thủ thuật, sao toàn xào lại rồi post lại không vậy. Thủ thuật đâu phải vậy, người ta làm theo thủ thuật mà không hiểu hết các kết quả của thủ thuật đem lại, thì thủ thuật có vấn đề lớn đó.

Mấy dòng hình như là worm này có kiểu lây độc đáo lắm. Nó tạo một process chạy tự động, vài cái key trong registry để nó tự khởi động khi windows chạy, kết vào explorer, rồi ẩn cái process, khóa registry, đại loại vậy.

Bạn cứ đem các ổ cứng đó qua một máy khác mà dùng trình diệt virus mạnh mà giết nó, gắn nó thành slave mà diệt cho tiện.

Đừng hy vọng mấy trình diệt virus cài vào cái ổ cứng đã bị dính virus nha bạn, nhiều người cài vào rồi, giết nhưng không diệt chết cái process của con worm, thành ra than thở chuyện trình diệt virus không mạnh như quảng cáo.

Theo khả năng của bạn thể hiện qua topic, bạn nên kiếm một công ty nào đó chuyên về dịch vụ vi tính để làm chuyện này. Bạn đã vào mấy trang như 911, đã biết tên con virus đó nhưng lại không hiểu cách làm. Thông tin giết nó đã có ở google, 911 rồi, chỉ vì bạn chưa thật quen cách giết trojan và họ rontonbok thôi. Hoặc bạn trả tiền để người nào đó giết dùm cho.

Con trojan istbar đó vào máy bạn trước, thường trú luôn với windows bằng cách tạo một process chạy tự động , rồi sau đó nó mới tự kết nối tới cái server được quy định để down virus về máy.
Họ worm brotok là đám code độc mà con trojan được viết để down về máy của bạn.
Trước tiên giết con trojan này trước, hy vọng bạn có thể vào system32 coi có cái file .exe nào mới tạo ra, hoặc ẩn rồi xóa tay khôgn được không, như mấy cái file mà trình diệt không được, bạn post địa chỉ mấy cái file đó vào đây để coi. Bạn down cái Hijackthis rồi chạy trên máy, gửi lên forum cái file log của nó để coi tiếp. Spybot Search and Destroy cũng có thể thấy cái con trojan này, phải update trước.

Sau khi con trojan bị giết chết rồi, con brotok kia cũng chết theo thôi. Worm nó không tự kết vào file hiền, nó chỉ tạo phiên bản và tự chạy nó, bạn có thể quét nó ở safe mode không có network, hay hơn là đem ổ cứng đi qua máy sạch mà quét, đĩa cứng để slave nha.

Chổ quan trọng của việc kill spyware, mailware,adware là xác định được đúng loại , con trojan kia còn vì cái process của nó chạy, trình diệt không kill được. Diệt cái file trojan để trên máy, nếu biết đích xác nó ở đâu, ra dos thực mà delete. Con virus họ lon ton boc đó cũng vậy luôn. Để ý là 2 thứ này đều để lại tàn dư trên registry, system restore.

Không có lạc hậu đâu, chỉ có bạn Trung mở topic này mới cực kỳ lạc hậu. Anh bạn đó câu toàn bộ các chiêu thức thủ thuật đã được đăng trên các diễn đàn, web thông tin, báo mạng và sào nấu lại, post vào hva. Chỉ hơi tiếc là anh bạn đó không để xuất xứ, post rất hưng phấn, cứ như là do anh bạn đó xài windows, search các trang nước ngoài để thu thập tài liệu, thực tế là sao y chổ khác và có cải biên. Mấy ngài đừng dùng chử viết, nên dùng chử sưu tầm, vì sưu tầm thì dễ biết lắm. Hy vọng không gặp lại những thủ thuật sào lại và có thêm gia vị của quý vị bằng hữu.

Hình như, sau khi HVA bị mất database, rất nhiều người thích chiêu "sào bài, chế biến" .Thấy tiếc thật.
Tui xin trích lại 1 đoạn từ 1 reply từ anh bạn Trung :
Code:

Nó bị lỗi rồi.Bạn chụi khó Ghost lại đi.Và down bkav về quét là xong thôi.Tại vì con virus so91 phá file hệ thống rùi.repair cũng hổng được đâu.tôt nhất là cài lại rồi quét virus bạn ạ.Thân

Bà con có thấy ai, có đủ kinh nghiệm viết ra thủ thuật, mà đi ghóp ý kiểu kinh dị này chưa.

Nói vậy chứ, cách này hiệu quả 10% thôi bạn ơi. Mấy loại virus trong 10% này bao gồm Virus Việt Nam gần đây lây qua đường Yahoo, một số con trojan không có ẩn được file thực thi nó(.dll,.exe trong thư mục của windows, documents and settings,..), vài con virus không có chức năng lây lan tốc độ nhanh. Cũng chỉ vài con dễ giết thôi bạn ơi, nói 90% là quá rồi, chỉ sợ là 10% còn chưa tới.

Cách của bạn cao lắm chỉ giết được vài con thôi. Ít ra bạn cũng phải kể tới phân quyền trong hệ windows, cách thức kill process đang chạy ở dạng ẩn, key registry ẩn, xác định chính xác nó là trojan, worm, virus , backdoor hay gì đó. Có gì cùng trao đổi thêm.

Ông nội này, tui đảm bảo là hắn ta copy các thủ thuật từ các forum khác tới đây, lại không để nguồn gốc, 100% là dân thích danh tiếng hảo. Cái khoảng acc yahoo bị mất, tui thấy nó từ năm 2004 rồi. Tội nghiệp quá.

mấy con virus hay trojan, khi lây vào hệ máy tính windows, thường để lại trong registry của windows một số key, hoặc một số file .inf này nọ kia. mấy cái thông báo thiếu file này nọ kia như copy.exe hay svc... gì đó, đều do mấy thứ key , rồi file .inf gì đó còn lại. Nên kiểm tra con virus , trojan là loại nào, sau đó tìm hiểu thêm thông tin từ các hảng bán soft giết virus để biết thêm thông tin, để quét hết thông tin do con mã độc để lại.

Rất hoan nghênh kiểu cách viết thủ thuật , nhưng phải có thêm kinh nghiệm, phân tích tình huống, đừng chế biến thủ thuật của người khác thành của mình.

Cách này mà chạy tốt, mấy thằng chuyên phá quán nét tiếc đứt ruột, chủ quán đâu có cho restart máy, bỏ đĩa boot, rồi phá máy quán người ta.

Spam vì hâm mộ link rapidshare kìa. Trong đó có mấy version .12 .16 .18 .2 sao khôgn sài mấy cái link bình thường.

Cho hỏi 1 câu ngoài lề, MD5: 14573e30abbbe576ed739ec7866e5939 đi kèm cái link http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip
có ý nghĩa gì vậy.

Phần mềm này, không biết phạm vi tác động của nó như thế nào, đụng độ với soft nào hay không, hay là đụng ram, một số máy có thể bị reset khi chạy cái soft này.
Ban đầu cho là Ram của máy bị lỗi sẽ bị reset, hoặc driver của một phần cứng nào đó đụng hàng với soft này.

Một số ít modem adsl mới nhất hiện nay, có thể config nó để prevent access bằng đường đường web và đường telnet, điển hình là Draytek 2800. Bửa trước có người phá chơi( cũng là dạng bug trong công ty đó) , nên phải reset và đặt lại mật khẩu mặc định.

Có máy bị restart khi chạy cái soft này thật, chẳng hạn là cái máy đang ngồi để post cái bài này. Xác suất khá thấp vì chưa xài nhiều ở các máy khác nhau. CHưa biết là đụng phần mềm hay gì.
Sau đó mở log lại thấy Error code 1000007f , vào tra mạng thấy do lỗi phần cứng, hay lỗi driver gì đó. Chưa biết được, mới thấy 1 máy này bị thôi.

cũng muốn kiếm tiền diệt virus, nhưng không thấy tận mắt các máy đó, chịu, không biết nói gì hơn. Nói rõ hơn, chẳng có gì để nói rõ hơn, thông tin đã nói hết rồi, chỉ có bà con chưa giết virus bằng soft chưa quen.

Dùng trình diệt virus mạnh để quét virus, tấc nhiên phải tắc system restore và quét trong safe mode với quyền administrator.
Tui cũng muốn nổ với bà con với cái icesword để bà con có cách nhìn khác với cái soft này(vì có nhiều người chẳng biết icesword là cái gì).

May mắn một cái là cái process do con virus tạo ra , có thể tắc đi bằng user có quyền administrator.

Trường hợp registry bị khóa hoặc user administrator bị dính virus làm mất 1 số quyền như mở taskmanager hay chỉnh registry, người ta vẫn có thể dùng icesword để xóa mấy cái reg key khóa quyền.

Cái process SVOHOST.exe , mấy cái file sxs.exe, autorun.inf, vẫn có thể xóa bằng icesword. Vì icesword có chức năng duyệt file, thấy file ẩn, mở registry, mở process và kill process.

BKAV chỉ có thể diết con flashy đó trong trường hợp BKAV đang chạy, vừa gắn USB vào là nó giết được. Trường hợp Flashy vào máy rồi, đã tạo được process và reg key, BKAV là củ chuối không thể giết được hết con đó. Đừng quá tin vào BKAV chuối.

10 cái usb có tới 9 cái dính virus,->100 cái pc có 99 cái dính virus lây từ 9 cái usb kia. icesword là phần mềm khá tốt để diệt trojan, virus lây usb khá.

Ổ cứng là NTFS hay FAT32, mở task manager coi cái CPU usage, mở tasklist coi mấy cái process, mở netstat coi kết nối ra ngoài, repair windows... nhiều cái làm cho windows bị như vậy lắm. Bao gồm cả virus

He he, con spyware, có 1 con spyware đó giờ giết hoài không có được, con này vui lắm. Máy đó có bitdefender, một số trình diệt khá ngon như spyware doctor và spy sweeper. Chỉ ần ắm cáp mạng vào, nó tự mở trang web ra ngoài , bất kể anh dùng trình duyệt web nào như IE, firefox, opera nào. Chưa thấy thằng process chạy ẩn, chưa thấy em file .dll nào, dám nó chít vào "trình duệt" "inject" Hơi bó tay.

Con Flashy đó bạn ơi, file copy.exe đã được hide đi rồi, kiêm nó bằng trình duyệt explorer không có ra đâu.

Ba nội trên kia cũng hay thiệt, chui vào trốn này để thả mấy cái code để làm virus, link có code độc nửa, mod làm việc đi cho rồi.

File copy.exe không trực tiếp nằm trên ổ D,E,... đâu, nó vẫn nằm trong thư mục windows, thư mục rác của user trong Documents and Settings,...

Chắc là một U không biết soft này để làm gì rồi. Cũng không sao, vô số người không biết roorkit là gì. Ngoài cái soft này,còn có một số cái soft dễ sử dụng khác, đều có link trong trang antirootkit.com trên kia. Một cái soft gần gần giống như icesword là SEEM, cũng trong trang web đó. Không chuyên , nên biết mấy thứ soft này vậy.

Cái hồi mấy con virus YM VN mới viết ra, BKAV chưa kịp giết, tui xài cái soft này để giết mấy con virus đó. Sau này virus YM của mấy anh em học sinh sinh viên VN cạn ý (ý góc từ source). Soft này tui dùng để sử mấy em trojan dễ giết.

Soft này yêu cầu chạy từ accout nào nằm trong nhóm administrators.Nó có thể xóa, chỉ xóa thôi , các key trong registry, duyệt file( đa số các file ẩn nào) mà bình thường windows có thể không show ra được, xem các process, các port mà các process mở ra khi kết nối ra internet,...

Có 1 chuyện mà tới lúc sài soft này tui mới biết, là trong registry, mấy con gì đó mà ai cũng biết, nó tạo ra một số key registry user không thấy được khi chạy cái regedit. Còn vô số thứ nữa mà dân như tui đâu có biết về đóng phần mềm đó.
Bà con không biết nó là gì, cứ xài đi rồi sẽ biết thôi. Chứ nói như bạn fjk, tui thấy xấu hổ quá.

Báo nó là keylogger khi nó chạy, hay khi mới copy về vậy, để còn kiểm tra nó kết nối ra ngoài bằgn đường dì, mấy trình diệt thường nhìn ra một số cái hoạt động của phần mềm thành virus.
Chức năng của cái soft này , hì hì, nếu nói không có gì, chắc U cũng chưa giờ xài nó rồi.

Bà con có bao giờ thấy 1 file autorun.inf, trong đó có chứa thông tin \recycled\ctfmon.exe chưa. ctfmon.exe nó nằm đâu, thì bà con hay sài windows đều biết. Và file autorun.inf nó hay nằm đâu bà con cũng biết luôn. Theo biểu hiện, tui chỉ tò mò trong cái thư mục rác Recycled của windows, nó chứa cái gì. CTFMON.exe là file của bộ windows rồi, chẳng cần xóa(nó nằm trong thư mục windows thì khỏi xóa). Bà con nghiên cứu coi sao cái file đó nằm trong Recycled, rồi cái file autorun.inf tại sao lại có vụ xóa rồi lại hiện lên. Bà con cùng tò mò tiếp .

Con virus này ngon thiệt, nó nằm trong thư mục rác Recycled của windows.Vào đó xem thử.
Con này là lạ thiệt. vào registry search key ctfmon.exe , xem nó nằm bao nhiêu chổ. Đừng xóa, cứ search coi trước.Ngắt cái cáp mạng ra(nếu có) trước khi làm.

Sory, quên để link download để tham khảo.
http://www.antirootkit.com/software/IceSword.htm

Dân không chuyên như tui nên mới hay sài Ice sword của của ông tàu ô, thấy được, cũng chưa bị thệt hại gì từ soft này. Thấy nó show hết được process, xóa được key registry,thấy file ẩn(windows không thấy được).... Mấy anh lâu năm trong nghề, có thể phân tích cái phần mềm này cho mọi người hiểu được không.

Cách nào giết được thì chẳng có cũ /mới gì hết cả. Còn bạn than_thinh bên trên nói ghê quá, con virus đó thần kỳ vậy . Mấy cái USB không có khoá ngoài, một số có chương trình khóa bên trong, nhỏ thôi, có mật khẩu, cho nhập vài ký tự. Trường hợp này chỉ có ai ngớ ngẫn, đặt pass bảo vệ rồi quên thôi .Còn chuyện nó bảo writed protected trong khi owner chẳng có đặt, do mấy chú virus tạo process ngăn.

Kiểu bạn nói nó "thay đổi" mấy cái services của windows , thì chắc là bạn nên format luôn cái ổ C, cài lại windows, giết tàn dư trên các ổ khác. Hơi đâu mà hỏi bí người ta . Hỏi kiểu của bạn là huề cờ, tự hỏi, tư bắt bẻ ý kiến bà con.

Tự mày mò từ phần mềm tới phần cứng. Hơi đâu ngồi chờ người ta bàn tán. Repair windows, mà vẫn bị, thì coi tới mấy chú phần mềm xài nhiều Ram , hay cần đồ họa. Sau đó tới kiểm tra từng phần cứng, nếu có thời gian, không gấp. Chạy nhiều phần mềm đồ họa để kiểm tra Ram, driver màn hình là cách người ta hay làm.

cứ vào windows bằng administrator, tạm thời sài đở cái file fix_reg.vbs của bkav(tui lười lắm), chạy cái file đó, chạy trong safe mode, vào registry search bằng từ khóa sxs.exe xem có còn cái gì liên quan tới nó không. GIết thịt hết. Thủ công chơi cho biết.

KHổ thật, mấy con virus kiểu winfiles, ... cũng làm mọi người suy nghỉ tới sao hỏa, ghê. Virus chứ còn con nào vào đây nửa. CỨ suy nghỉ cao siêu.

CÓ một con sxs.exe thôi, nó tạo 1 sxs, 1 autorun.inf trên các ổ cứng (trừ ổ C), một SVOHOST tự chạy để lây lan, vài cái key trong registry( tui biết có mấy cái liên quan tới sxs.exe) . Bà con cứ dựa vào hiện tượng mà xử lý, BKAV cũng bó tay với con này.
Con Tufik kia ghê gớm, lây luôn vào explorer.exe, chủ yếu muốn dò người ta gỏ bàn phím rồi gửi thông tin tới chủ nhân của nó.