| |
|
|
Edited chờ del 
|
 |
|
|
born2die wrote:
Máy cài 2 win, bị nhiễm virus ở win này -> win kia bị lây tràn lan. Vừa dùng Bkav xong giờ ngon lành.
GhostShip thử phát
Mấy cái cậu nói nó hơi bị vớ vẩn, kô đáng để thử.
born2die wrote:
Mà nói thật chứ, nói câu không diệt được lây file có gì sai đâu mà không nhận nhỉ. Bản thân tôi nhận luôn là không tự diệt được worm, nhưng quan trọng là tôi sẽ cố gắng để diệt được. Chứ không nhận, lảng tránh thì đến bao giờ mới khá lên được. Đôi lời....
ừ nó kô sai mà nó chỉ đúng với gà thôi cố gắng diệt cái kiểu ấy thì mãi là gà thôi. gà nhưng kô biết mình là gà thì quả là vô đối
Kô ghét gà chỉ ghét gà nhưng lại cứ thích thể hiện nói như đúng rồi, cứ nghĩ ai cũng gà như mình vậy.
C:\PROCESS -K Explorer.exe
Nếu mình kô nhầm thì dòng này có tác dụng kill process Explorer.exe, nhưng mình thử kô thấy có tác dụng 
|
|
|
|
born2die wrote:
Con này lây vào các file thực thi và các file html nhưng nó chừa ổ đĩa hệ thống (có lẽ vì vậy mà GS mới diệt bằng tay thành công, không thì đừng có mơ).
vậy nếu nó kô chừa mấy file hệ thống thì các AV có diệt được nó kô? hay là del hết file OS bị nhiễm rồi cho khổ chủ làm lại win?
Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win. kô có hiểu biết về chuyện gì thì ko nên đưa ra những nhận định như làm người khác khó chịu như thế
|
|
|
|
VXer wrote:
Ghost Ship wrote:
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu. 
Virus lây file mà! Có thể nó lây vào các file hệ thống, rồi sau đó AV disinfect hỏng file (hoặc delete hay quarantine gì đó) -> Mất file hệ thống.
Thử ở đây kô phải là thử chạy virus mà là thử mấy file .bat vừa được up lên, mà mấy file .bat ấy thì an toàn nên kô thể mất file hệ thống được, chỉ có mất file rác của hệ thống thôi.
Có lẽ các thông tin về con này như vậy là đã đủ. Nếu ko có gì mới mẻ thì chúng ta nên kết thúc ở đây
|
|
|
|
proxxmaxx wrote:
Bác GS thử chưa?
Kết quả mất một đống file hệ thống 
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu.
|
|
|
|
|
Kết quả: file a.exe trong startup đã thắng có vẻ cách này kô khả thi rồi. pác NGVANTEO đã thử tác dụng của mấy file .bat chưa nhỉ?
|
|
|
|
NGVANTEO wrote:
Chào mọi người tôi thấy diễn đàn rất hay , nên muốn góp vài câu
Đối với việc nhiểm file EXE dùng http://fasthelper.fire-lion.com/ cua Bác Hoàng để diệt
Khi virus đã nạp vào máy tôi dùng tập lệnh batch để Remove toàn bộ như sau.
Tải file lsass.rar tại đây : http://www.uploading.com/files/03HRVXBQ/lsass.rar.html
Trong do gom co 3 file Start.bat Lsass.bat và Lsass.reg
Chep ba file này vào trong thư mực gốc ổ đĩa c:\
Đóng lại tất cả các ứng dụng
Nhấn đúp vào file Start.bat để chạy.
Máy tính sẽ tự động thiết lập và re start lại máy tính.
Virus sẽ bi remove sau khi máy tính khởi động lại.
Duoi đây là nội dung từng file:
...
Thật tuyệt tuy chưa thử và chưa hiểu hết ý nghĩa của code nhưng mình thấy đây là một hướng giải quyết rất hay. Mình sẽ cho nó vào bộ skill của mình cảm ơn pác NGVANTEO rất nhiều 
à em nghĩ chỗ này chưa hợp lý lắm:
Code File Start.bat:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v lsass /t reg_sz /d "c:\lsass.bat" /F
REG IMPORT c:\LSASS.REG
shutdown -r -f -t 0
REG IMPORT c:\LSASS.REG <-- Em nghĩ kô nên làm vào lúc này (khi virus vẫn đang hoạt động). vẫn còn hơi sớm vì nhiều con nó liên tục kiểm tra những thay đổi của nó đối với win nếu thấy ta sửa lại thì nó cũng sửa lại ngay. Em nghĩ nên cho dòng này vào cuối file Lsass.bat thì hợp hơn.
Mà nếu em kô nhầm thì cái file Lsass.bat cũng được kích hoạt lúc vào win (cùng thời điểm với virus nhưng kô biết cái nào sẽ chạy trước?) nếu file Lsass.bat chạy trước file ~.exe và del file ~.exe trước khi nó được kích hoạt thì mới thành công còn kô thì "shutdown -r -f -t 0" là vô nghĩa. kô biết em nói vậy có đúng kô? Bác NGVANTEO đã thử trước khi post chưa ?
Chúng ta có thể kiểm tra xem file nào được kick hoạt trước bằng cách:
1. Sửa nội dung của file Start.bat thành:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v lsass /t reg_sz /d "c:\lsass.bat" /F
shutdown -r -f -t 0
2. tạo ra 1 file a.bat trong %USERPROFILE%\START MENU\PROGRAMS\STARTUP có nội dung như sau:
echo off ;dòng này có tác dụng gì vậy các pác?
DEL C:\lsass.bat
3. tạo trong C: một file lsass.bat có nội dung như sau:
echo off
cd\
cd %USERPROFILE%\START MENU\PROGRAMS\STARTUP
DEL a.bat
4. Click đúp vào file Start.bat
5. Sau khi máy restart thì vào kiểm tra xem file nào còn tồn tại (a.bat hay lsass.bat) Nếu lsass.bat còn thì kết luận file trong startup được kích hoạt sau
ai thử hộ mình cái nhỉ? mình ngại retart lại máy lắm thôi để lúc nào tắy máy thì làm vậy
Skill mới để vô hiệu những virus cứng đầu: sử dụng kiểu kích hoạt nhanh nhất trong các kiểu kích hoạt khi vào win để kích hoạt một file có chức năng del file được kích hoạt của virus --> virus sẽ kô được kích hoạt --> Trận chiến kết thúc -> dọn rẹp chiến trường
Vấn đề là phải tìm ra có bao nhiêu cách kích hoạt file khi vào win và cách nào được Win dùng đâu tiên.
|
|
|
|
mrda_writer wrote:
Không biết máy nhà các cậu có triệu chứng này không chứ máy nhà tớ lại có.....Khi bật Task Manager lên thì nó liên tục hiện ra các file "IEXPLORE.EXE" Những file này thì có thể kill được nhưng bằng thừa vì nó liên tục hiện ra ngốn RAM liên tục.......Kill không xuể....Ngoài ra thỉnh thoảng máy lại hiện ra bảng Dont Sent File "LSASS.EXE" Ai mà tìm được phần mềm nào kill được con này hay cách nào để diệt được con này thì chia sẻ cho mọi người nhanh nhanh nhé......Nguy hiểm quá
Cậu có chắc con máy cậu đang nhiễm là con mà topic này đang nói kô? Cậu thử xem lại xem trong danh sách Process có mấy cái LSASS.EXE nếu có 2 cái thì mới đúng là con này (1 cái là của win)
Cậu đã down FH của bác Hoàng về thử chưa? bác Hoàng đã update rồi thì chắc là FH kill mấy cái process kia được thôi. con này chắc là chưa biết FH nên chắc là nó sẽ kô ngăn FH thịt nó đâu :Vào đây để download FH: http://fasthelper.fire-lion.com/
Hoặc là thử xin bạn quanghabk share cái tool mà bạn ấy viết cho con này xem nó phục hồi được cả các file bị ăn nữa đấy. kô biết bạn quanghabk có vui lòng share kô nhỉ? hay bạn chỉ nói quản cáo vậy thôi
|
|
|
|
noobxxx wrote:
Mình thấy con virus này thật là rắc rối, như trường hợp mình bị là file ~.exe nó ẩn trong tất cả các thư mục startup của các user, có 4 file nằm trong thư mục system32\com là lsass.exe, smss.exe, và 2 file gì nữa ctf gì gì đó. Trước khi kill process lần một mình bị auto shutdown, lần 2 mình gõ shutdown -a, thì nó không shutdown nhưng nó tự gọi ra thêm 1 loạt các file nhỏ, như ở các ổ logic nó xuất hiện 1 file tên kiểu như 1523241.exe rồi nó chạy thêm 1 file trong windows là nfsnut.exe, rồi cũng tự gọi thêm 1 file là ctfmon.exe. Không rõ là do nhiễm nên gọi nhiều hay sao vậy, và có một file nhỏ mình thấy nó hiện ra sau đó mất ngay là calcs.exe nằm cạnh file cacl.exe là cái máy tính con đó. Mình có 2 máy, 1 máy sau khi làm như bạn ghost nói + quét bằng lion thì nó bình thường, còn máy kia sau khi làm xong nó chạy như kiểu bị đơ, cực kỳ chậm, không rõ là bị sao nữa. Đấy là vài hiện tượng ở máy mình.
Mình đã kiểm tra lại tất cả các startup của các user nhưng kô thấy thêm file ~.exe nào --> ở máy của mình nó chỉ tạo ra 1 file ~.exe trong user kích hoạt virus.
Bạn đã kill các process của nó như thế nào vậy? nếu bạn kể ra thì có thể mọi người sẽ nhìn ra điểm chưa hợp lý dẫn đến tình trạng đó.
Bạn nên search trong ổ C với từ khóa là dấu chấm (.) để liệt kê tất cả các file có trong ổ rồi sắp xếp chúng theo thứ tự date created --> bạn sẽ xác định được những file tạo ra trong ổ cùng thời điểm virus được kích hoạt --> xác định được file nào do virus tạo ra(nếu virus kô có tính năng thay đổi thuộc tính này của file).
Rất vui vì sự chia sẻ của bạn, đó quả là những thông tin rất có ích. Mình nghĩ nếu mọi người đều post lên các thông tin như của bạn thì sẽ giúp chúng ta hiểu về nó hơn khắc phục những điểm mà chúng ta chưa tự tìm ra --> topic sẽ rất có chất lượng. xin cám ơn sự chia sẻ của bạn!
|
|
|
|
VUTRUONGDIEP wrote:
chung quy diệt thủ công thi làm như thế nào nè????
Với những loại virus như thế này thì cách diệt của tôi như sau:
1. Tìm xem virus tạo ra những file nào để duy trì hoạt động và lây nhiễm.
2. Nó kích hoạt lúc vào win như thế nào.
3. Kiểm tra mức độ phòng thủ của nó. (bài đầu tiên của topic này có nói)
4. Xóa các file do virus tạo ra (Tùy vào kết quả ở bước 3 và khả năng của mình mà đưa ra phương án xử lý phù hợp, có thể xử lý luôn trong win hoặc ngoài win)
Cơ bản là thế.
VUTRUONGDIEP wrote:
em thấy máy em chạy thử nó lằng nhằng lắm như là tùy vào từng máy mà nó có cách lây ..
của mấy huynh có hiện tượng cam usb vào copy data vào rồi rút ra ( an toàn ) nhung khi cắm vào lại là mất data ko? từ khi thằng này vào là em bi như vậy ah.
Lúc máy nhiễm mình chưa thử cắm USB vào như vậy nên kô biết ở máy mình nó có như vậy hay kô. Bạn có thể nói data của bạn cụ thể là gì kô? các thư mục hay các file gì? Nếu chỉ ko nhìn thấy dữ liệu nhưng đo dung lượng USB vẫn có dung lượng đang sử dụng thì data chỉ bị ẩn đi chứ kô mất hẳn đâu, bạn có thể dùng lệnh ATTRIB để làm data hiện trở lại sau khi đã diệt xong virus.
|
|
|
|
mrda_writer wrote:
Con của các bác thiếu một triệu chứng nữa là...Khi bật Task Manager lên thì nó lại liên tục hiện ra rất nhiều file XEPROER.EXE mấy cái file nầy tắt được = task manager nhưng file LSASS.EXE thì lại không kill được
ở máy tôi kô như vậy và tôi ko thấy có file XEPROER.EXE nào trong máy hết. Cậu có nhớ file đó trên máy cậu nó nằm ở chỗ nào kô? nó là file do virus tạo ra hay là có từ bao giờ? cậu đã diệt con này như thế nào? Nó thiếu triệu chứng đó nhưng còn các triệu chứng khác thì thế nào? có triệu chứng nào kô có trên máy cậu kô? ...
|
|
|
|
LeVuHoang wrote:
filename được tạo ra có thể là bất kỳ thôi. Trên máy này có thể tên khác và máy khác tên khác. Không căn cứ vào cái ~.exe để nói được.
Có thể tên khác, kô phải ~.exe nhưng vị trí của file có thay đổi kô pác Hoàng? ở máy em nó chỉ kích hoạt dựa vào cái file ~.exe trong startup còn ở máy bác em vẫn chưa hiểu nó được kích hoạt lúc vào win như thế nào? chẳng nhẽ ở mỗi máy nó lại chọn một kiểu kích hoạt lúc vào win riêng? Nếu kô xác định được file này, vị trí, cách kích hoạt thì các bước kill process, xóa file là vô nghĩa.
|
|
|
|
quanghabk wrote:
Mình đã viết tool quét phần worm và phục hồi file bị lây dựa trên những thông tin mà mình tìm được trong code, và test ok trên máy mình.Mình cũng đã đưa ra những thông tin đó trên forum, vậy đã chứa đựng thông tin có ích chưa hả bạn?
Vậy thì chắc cậu đã biết phần worm của nó như thế nào rồi, cậu có thể nói cho mình biết khi được kích hoạt thì nó tạo ra những file nào và khi win khởi động thì nó khởi động cùng với win như thế nào chứ? Bác hoàng nói là kô thấy file ~.exe nhưng trên máy mình thì lại thấy, kô biết trên máy cậu thì thế nào? Trình tự tool của bạn xử lý phân worm như thế nào nữa?
Rất mong sự chia sẻ của bạn!
|
|
|
|
quanghabk wrote:
Bạn chắc chắn nó ko lây file trên máy bạn à ,
Tui kô nói là "tui chắc chắn nó kô lây file trên máy tui" mà tui nói là "tui chưa thấy". Có thể nó đã lây nhưng KAV của tôi chưa quét đến hay tôi chưa động đến thì vẫn là tôi chưa thấy, ok?
Mình chưa đọc kĩ,nhưng ko phải bạ file nào nó cũng lây đâu.
Cậu đọc cái gì? ở đâu? Cậu có biết những file thế nào thì sẽ bị lây kô?
Bạn chỉ cần căn cứ các file khi quét xong thì không thay đổi kích thước là khẳng định hết à.
Tui kô khẳng định là "hết" mà tui khẳng định là: "tui đã diệt được nó và những file mà tui hay động đến thì chưa bị nhiễm vì dung lượng những file đó ko bị thay đổi so với lúc con này chưa vào máy"
Giả sử KAV chưa quét được hết thì sao.
Thì kết luận là có thể nó có có file bị lây nhưng KAV chưa quét tới. Nhưng nó kô còn cơ hội chạy lại trên máy tôi và phá phách là chắc chắn.
Cậu có thể nói cho mọi người biết cậu đã thử kích hoạt con này trên máy của cậu chưa kô? nếu rồi thì cậu đã diệt nó như thế nào? đó mới là những thông tin có ích bạn thân mến ạ! rất vui vì sự đóng góp ý kiến của bạn, hi vọng bạn sẽ có những reply chứa đựng nhiều thông tin có ích hơn!
|
|
|
|
quanghabk wrote:
@GS: bạn ko diệt được theo kiểu worm bình thường vì khi chạy những file nhiễm thì nó lại sinh ra như cũ thôi 
kô đúng! lúc trước tui chưa diệt được nó là vì tui chưa nhìn ra file ~.exe của nó trong startup. Sau khi dùng Local Security Policy để kô cho nó khởi động cùng máy tôi đã thấy cái file ~.exe bằng tool autoruns và tui xóa nốt cái file này đi thì từ lân khởi động sau đó đã kô thấy nó quay lại nữa.
Tôi tìm thông tin về nó thì cũng thấy nhiều chỗ nói nó lây file nhưng ở máy tôi thì tôi chưa thấy, bằng chứng là những file .exe tôi dùng khi nó chưa bị diệt có dung lượng kô hề thay đổi, Hơn nữa KAV đã được tôi update và đã phát hiện ra con này nhưng kô báo có file nào bị nhiễm.
|
|
|
|
born2die wrote:
Tưởng con này lây file mà, sao các bác diệt như worm vậy???
Dù nó có lây file nhưng nó vẫn kô phải là giống virus thuần chủng ngày xưa. lây file chỉ là một chức năng của nó thừa hưởng từ virus ngày xưa còn cách kích hoạt và lây nhiễm thì nó thì nó dùng kiểu của worm.
Phân loại thì dựa vào kiểu phá hoại còn diệt thì dựa vào cách lây nhiễm, tự kích hoạt.
Diệt như ở trên chỉ là vô hiệu phần hoạt động của nó còn phần mầm mống (những file đã bị nó ăn) thì phải dùng AV đã update để quét.
|
|
|
|
LeVuHoang wrote:
Nó dùng cái netcfg.dll để tự kích hoạt.
Nhưng nó phải dùng key nào đó trong registry hay thế nào đó tác động vào cái file netcfg.dll lúc win khởi động chứ pác  Mỗi cái file netcfg.dll đứng trơ trọi thì làm sao mà kích hoạt được pác ?
Của em thì em thấy trong Start Menu\Programs\Startup có cái file ~.exe có dung lượng = 100kb = dung lượng(pagefile.pif) = dung lượng (LSASS.EXE). chắc chắn cái file này được kích hoạt lúc vào win và chắc chắn là con này đẻ vào chứ ai lại đặt tên như vậy và vứt vô đó bao giờ
Nếu tất cả các file của nó mà đều nằm trong C:\WINDOWS thì nó đã kô thoát được chiêu xắp xếp theo ngày tháng rồi cut ra ngoài của em. mà rõ ràng trong những file em cut ra có cả cái netcfg.dll này vậy mà lúc khởi động lại nó vẫn được kích hoạt.
hay con này thay chơi mỗi máy một kiểu nhỉ ghê gớm vậy sao .
|
|
|
|
Task Manager không kill được nhưng Process Explorer kill được
À Process Explorer chính là cái Procexp Hôm qua iêm toàn kill chứ kô chọn kill tree thôi để làn sau vậy
Ngoài ra, không thấy file ~.exe
Vậy theo kết quả phân tích của pác thì con này tự kích hoạt khi vào win bằng cách nào?
|
|
|
|
LeVuHoang wrote:
con này có gì đâu mà GS la oai oái vậy ?
Tại nó khóa IceSword (iem có mỗi cái này để kill process hàng loạt ) Khi chưa kill được nó thì dùng autoruns cũng kô nhìn ra cái file ~.exe trong startup. Nó làm kô vào được safe mode. mất dòng ẩn system trong folder option. đối với iem thì con này là con khủng thứ hai sau cái con rootkit lallac.dll ngày xưa
Process Explorer Kill tree có phải là cái dòng "End Process Tree" trong task manager kô pác Hoàng ? Iêm chưa biết tác dụng của cái dòng nầy iem dung taskkill kill liền cả 2 nhưng kô được nên nghĩ task manager cũng kô làm ăn gì hóa ra em chưa biết hết công dụng của nó
Nhưng pác chưa nhắc tới cái file ~.exe trong startup làm thế nào mà nó làm tool autoruns kô nhìn thấy cái file ~.exe ấy ?
key nào trong registry làm mất cái dòng "Hide protected operating system file" thế pác Hoàng?
Ẹc em vừa cho KAV quét lại thử nhưng kva vẫn chưa phát hiện ra. Hôm qua KAV chỉ báo LSASS.EXE là riskware thôi. chắc là thấy LSASS.EXE có những hoạt động khả nghi.
|
|
|
|
Con này tự kích hoạt khi vào win bằng cách để một file ~.exe (100kb) trong startup.
Cách diệt:
1.1: Vào DOS del cái file ~.exe, autorun.inf và các file pagefile.pif trong các ổ ròi khởi động lại máy là ok.
1.2: Vào tới win rồi thì tìm tất cả các file được tạo ra trong ngày trong C:\WINDOWS rồi del hết hoặc dùng KAV mới update quét để dọn nốt mấy file của nó trong. Nghe nói nó còn lây cả file nhưng máy của mình kô thấy. chắc là do mình diệt nó hơi sớm nên nó chưa kip phá
2. Nếu kô muốn vào DOS thì dùng Local Security Policy của Window để khóa cái file pagefile.pif rồi restart lại máy --> tìm đến các ổ xóa autorun.inf, pagefile.pif, và startup xóa ~.exe. --> quay lại bước 1.2
Đơn giản thế thôi . chán, chả có ai chơi trò này cùng mình thiệt là mất hứng.
Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C )
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này
2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.
2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).
2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa )
- Nhấn OK.
- Restart lại máy. (Xong)
|
|
|
|
Chính là con em dính bên topic em vừa lập đấy pác Hoàng à
Nếu bạn kô vội thì sang bên này chờ kết quả nhé.
/hvaonline/posts/list/17261.html C:\WINDOWS\system32\com\lsass.exe
|
|
|
|
quanghabk wrote:
Quai rồi , bạn ko diệt được theo kiểu thường vì con này con có module lây file. Kĩ thuật lây thì cũng bình thường thôi, nó nhét file bị lây vào trong file virus gốc(từ byte 0x19008, byte 0x19000 là để kích thước file cũ), nhưng phải cái nó mã hóa từ byte 545 đến byte 102389 trong file gốc(cứ cách 23 byte nó lại not 1 fát) nên khôi phục hơi khó 1 chút. Bác nào thích viết tool diệt thì viết theo thông tin ấy
Con này con có module lây file thì liên quan gì đến việc kô diệt được nó theo kiểu thường nhỉ? mà kiểu thường là kiểu thế nào vậy bạn?
Kô biết những file như thế nào thì bị nó ăn nhỉ? Diệt xong nó tui vẫn open mấy cái IceSword.exe(728kb), HijackThis.exe(213), autoruns.exe(344kb), procexp.exe(3,539kb) bình thường mà có thấy nó chạy lại đâu. mà sau khi diệt xong KAV chạy có báo gì đâu (lúc nó đang chạy KVA báo có thằng LSASS.EXE nhưng kô diệt được.)
Lúc trước kô diệt được nó là tại nó thủ kinh quá kô, thể kill được mấy cái Process của nó và kô thể nhìn ra cách kích hoạt của nó khi vào win --> kô loại được cái mần kích hoạt lúc vào win thì kô thể vô hiệu được nó. đơn giản vậy thôi.
|
|
|
|
Dowload pagefile.pif và LSASS.EXE http://superupload.fire-lion.com/download.php?file=de5213dd80079d4d284aeb3122372102
Kô biết FH của pác Hoàng update con này chưa.
Hôm qua có thằng gà mang USB đến khoe ảnh, mình kô có nhà, mấy tên kia bảo:" quét virus đi!", thằng đó bảo:"Làm gì có virus!", thế là chúng nó kô quét ! Mình về mở task manager thấy có 2 cái LSASS.EXE và SMSS.EXE đang đứng cùng với ông Explore.exe  . Bực mình với mấy thằng gà nhưng cũng sau đó thấy con này hay hay nên cũng nguôi nguôi đi tí Nhờ nó mà mình thu thêm ít điểm kinh nghiệm và có thêm một skill mới
Các biểu hiện của nó:
- Chưa thấy có biểu hiện gì lạ, nếu kô có thói quen kiểm tra process thì chắc là còn chưa biết có sự ghé thăm của nó
- À mà hinh như nó làm nghẽn mạng. tự nhiên thấy thằng chủ mạng gọi bảo: "máy anh làm gì mà cứ cắm dây mạng anh vào là ping báo tới 2000ms mà rút dây anh ra thì mạng "time out" luôn ". Mình liền ping thử thì thấy vẫn 38ms đều đều --> chẳng lẽ con này làm được như vậy? (đó là lúc mình chưa kiểm tra process, máy lúc đó thằng khác đang dùng.) Lên chỗ thăng chủ mạng xem thử. Nhưng lúc này thì mạng lại ngon rồi kô thấy 2000ms nữa nhưng đúng là rút dây mình ra thì mạng time out thật . nó bảo:"kô biết đâu là dây modem đâu là dây của anh nữa " Một lúc sau thì hết cái hiện tượng ấy. có lẽ con kia đã dùng xong mạng (kô biết nó dụng mạng làm gì ) và buông tha bà kon Lúc sau về dùng máy và kiẻm tra process mới thấy nó. có thằng bảo :"chắc là từ USB thằng X rồi" .kô đỡ được mấy ông, chẳng nhẽ rời máy là out admin luôn.
Bắt đầu chiến với nó:
- Vì nó hiện lù lù 2 cái Process kia nên dùng Procexp thấy ngay con nó cùng nằm trong C:\Windows\System32\Com. Nhưng vào đến nơi thì kô thấy đâu.
- Hóa ra nó đã đóng ẩn system của mình (mình toàn để mở) đóng xong nó làm mất luôn cái dòng:"Hide protected operating system file (Recommanded)" trong Folder Option. (Mình chưa biết key nào làm việc này)
- Dùng atrrib để -s -h 2 cái của nợ ấy nhưng nó cũng kô hiện ra --> chắc là nó liên tục kiểm tra thuọc tính s h của 2 cái đó, nếu thấy bị - thfi nó lại + lại luôn. Dùng Filemon thì thấy đúng là cái LSASS.EXE liên tục chăm sóc chính nó và thằng SMSS.EXE thật.
- Dùng Procexp kill bon nó nhưng kô được, kill 1 thì nó hiện thêm 2 3 chính nó. mà Procexp ko có (hay có mà mình chưa biết nhỉ?) chức năng kill liền nhiều Process nên bó tay với lại này.
- Quyết định rút Kiếm băng (IceSword) ra xài lần này thì máy chết với ông Hix nhưng cứ click mãi mà chả thấy kiếm băng hiện ra --> kinh thật nó khóa cả kiếm băng của mình . Thử đổi tên kiếm băng xem sao? --> à đã hiện ra! nhưng đáng tiếc chỉ trụ được chưa đầy 3s thì lại biến mất hix mày làm tao sợ rồi đấy, sợ pha lẫn cảm hứng dâng trào he he.
-Sau đó thử dùng taskkill nhưng cũng kô được. Thôi bó tay chuyển hướng vậy, tí nữa ông ra dos ông xóa thì mày chỉ có khóc he he.
- Thử kiểm tra Auturun ở các ỏ xem sao --> chà, ổ nào cũng có, thậm chí ở ổ C nó còn hiện lù lù ra chứ ko thèm +s +h (kô nhớ là nó hiện như vạy từ đầu hay là mình attrib nó từ lúc nào.) --> xem tiếp mày kick hoạt thằng nào nào --> Hix nhưng mà kô Open được nó. notepad hiện ra trắng xóa và kèm theo cái bảng báo là "access is denied" nhưng kô giống của windows. Hic ác thật.
- Định dùng hijackthis và Autoruns đẻ xem nó dùng key nào để kich hoạt cugnf máy nhưng kô thấy gì sau khi diệt được nó mới thấy được bằng Autoruns.
- Định vào safe mode nhưng kô hiểu nó làm kiểu gì mà kô vào nổi. chọn safe mode rồi nhưng chạy một loạt dòng xong là máy bị restart
- Đành vào mạng tìm thông tin về mày vậy, nhưng 2 cái process kia trùng tên với 2 process của OS nên sẽ khó đây. à kô sao paste cả cái đường dẫn vào google là ok . Nhưng ôi thôi một cái gạch chéo đỏ đã hiện ra từ lúc nào chỗ khay đồng hồ, thằng chủ mạng nó đã rút dây mạng của từ lúc nào mình rồi hic 11:30 PM rồi phone lên mịa nó lại tế cho. Hic vậy là mình đã bị kô lập với thế giới thôi kố nốt vài skill nữa, kô được thì để mai vậy
- Hôm trước về quê kiếm được cái đĩa cứu hộ hay phết. trong nó có cái win từ đĩa hay phết giống cái ngày xưa pác Hoàng bảo( tên gì quên bó nó roài). nhưng mà nó kô chỉng được registry đâu pác Hoàng à. cũng và được registry nhưng mà là registry của nó, có mỗi tí tẹo chứ kô phải registry của win trong HDD. hay là phải vào kiểu gì nhỉ?
- Với cái win trên đĩa CD này thì mình đã vào và thịt ngon cả lũ kia (liệt kê tất cả các file trong C:\Windows rồi xếp chúng theo thứ tự date creat --> cut hết những thằng mới được tạo ra trong trong ngày hôm nay ra một cái folder đẻ up lên cho pác Hoàng và bà kon nghiên cú chơi ) Hóa ra cái file mà autorun.inf của nó kích hoạt là file pagefile.pif. Thôi bây giờ restart là ok
- Nhưng kô phải vậy. vào đến nơi vẫn thấy 2 thằng đó lù lù trong task manger hic vậy là nó vẫn còn một file để kích hoạt lúc vào win ở đâu đó. đúng là nó đã hiện ra như thế thì nó cũng chả ngu mà dùng chính cái file đó để kích hoạt lúc vào win.
Vậy làm sao bây giờ đây. à còn một skill nữa, mình biết từ hồi mới vào đọc HVA nhưng chưa có cơ hội thử. có dùng vài lần nhưng kô phải để diệt virus :d có lần còn thấy có người bảo nó kô hiệu quả, nhưng lần này thì nó lại hiệu quả có lẽ thằng tác giả con này chưa nghĩ ra skill này của mình, nó mà đọc được bài này thì Ver sau chắc là kô dùng được mà kô biết nó có biết tiếng việt ko cái autorun chứ loàng ngoàng chắc nó lại là Tàu roài. đố ai biết đó là chiêu gì? :d Nếu là bạn thì bạn sẽ xử lý tiếp thế nào? kô chơi dùng các AV để quét nhá. KAV cũng phát hiện ra nhưng nó vẫn được kích hoạt ngay cả khi KAV đang chạy đấy và từ lần khởi động sau thì kô thấy KAV ở khay đồng hồ nữa làm sao để biết nó kích hoạt khi vào win như thế nào đây? xin mời các chuyên gia khoái quai tay
P/S: hơi cao hứng nên iem dùng hơi nhiều smile. nếu các pác thấy kô được thì nhắc để em xóa đi chứ đừng warn iem thêm nhát nữa nhá sao của iêm max roài. Hay các pác cho iêm nợ 3 tháng nữa nhỉ ?
|
|
|
|
Ghost Ship wrote:
lion_king_lovely_1985 wrote:
- Hơn thế nhữa -> Nhiều người còn hay dùng Windows + E hoặc click chuột phải vào My Computer -> chọn Explorer -> Tưởng chừng như thoát khỏi autorun code. Nhưng vẫn có thể mắc sai lầm với sự kết hợp hoàn hảo của Folder.htt + Desktop.ini -> Vì trong mã lệnh của desktop.ini là những mã lệnh mang tính chất hiển thị, sắp xếp... khiến cho Folder của bạn đẹp hơn, trật tự hơn.... -> Nhưng folder.htt lại được thay thế cho những mã lệnh đó để tiếp tục run và phát tán các ông bạn virus của mình!!!
Cậu có thể mô tả rõ về cái Folder.htt + Desktop.ini giúp mình được kô? lấy một ví dụ cụ thể thì càng tốt. ví dụ code của 2 cái file Folder.htt + Desktop.ini như thế nào thì khi ta mở một folder chứa 2 file đó thì đồng thời sẽ kích hoạt luôn một file .exe nằm trong folder đó. thanks trước nhé.
Đợi đồng chí lion_king_lovely_1985 mãi kô thấy đả động j đến cái mình muốn nhờ nhỉ? đồng chí đâu rồi nhỉ?
|
|
|
|
lion_king_lovely_1985 wrote:
- Hơn thế nhữa -> Nhiều người còn hay dùng Windows + E hoặc click chuột phải vào My Computer -> chọn Explorer -> Tưởng chừng như thoát khỏi autorun code. Nhưng vẫn có thể mắc sai lầm với sự kết hợp hoàn hảo của Folder.htt + Desktop.ini -> Vì trong mã lệnh của desktop.ini là những mã lệnh mang tính chất hiển thị, sắp xếp... khiến cho Folder của bạn đẹp hơn, trật tự hơn.... -> Nhưng folder.htt lại được thay thế cho những mã lệnh đó để tiếp tục run và phát tán các ông bạn virus của mình!!!
Cậu có thể mô tả rõ về cái Folder.htt + Desktop.ini giúp mình được kô? lấy một ví dụ cụ thể thì càng tốt. ví dụ code của 2 cái file Folder.htt + Desktop.ini như thế nào thì khi ta mở một folder chứa 2 file đó thì đồng thời sẽ kích hoạt luôn một file .exe nằm trong folder đó. thanks trước nhé.
|
|
|
|
thanks pác CuEm vì những chia sẻ hữu ích
thêm một chi tiết nữa là e đã dùng KAV để quét cái đống .exe lúc thàng bạn em mang tới và kết quả là KAV chả thấy con nào, mà theo như BKAV thì KAV đã diệt được con này nhưng kô phục hồi file về dạng ban đầu --> cái đống exe của em chỉ bị đổi tên thôi chứ chưa bị nhiễm ---> có thể cái con mà máy thằng bạn em bị nhiễm chỉ là sản phẩm ăn theo con Ukuran thôi nó chỉ có chỉ đổi đuôi .doc và xls thành .exe đẻ dọa người ta, nhiều người cứ nhìn thấy cái file .exe như vây là xóa thẳng tay  một cách phá khá đơn giản và hiểu quả phải kô các pác Tiếc là thằng đó nó cài lại win roài nên em ko lấy mẫu con đó về được
À mà hình như bản mới của BK vừa diệt vừa phục hồi được đấy pác CuEm à, pác RE luôn cái bản mới của BKAV xem thế nào
|
|
|
|
ThangCuEm wrote:
Mở file .doc và .xls vừa được BKAV phục hồi lên, xem hai byte đầu tiên có phải là M và Z hay không. Nếu phải là cái tool của BKAV phục hồi không được. File .doc và .xls phải có size # file .exe bị nhiễm virus.
Upload lên 2 file .doc và .xls bị virus đi.
Iem vừa mở ra rồi và chả thấy M hay Z đâu cả pác ạ. 2 cái file đó(1 là file được đổi tên từ .exe và 1 được phục hồi bằng BKAV) là file .doc (22kb) nó chỉ có một trang nên em đã so từng ký tự một và chả thấy khác nhau gì cả pác ạ. mà nếu chỉ có 22kb thì liệu có đủ chứa con virus bên trong kô pác? những file to hơn (có file trên 1MB) em lại vừa del hết roài chắc cái con em có chỉ đổi đuôi file để
Mà những file .doc bị nhiễm thật mà chỉ đổi tên thành .doc thì có thể mở bình thường kô các pác?
Thêm: iem vừa vào BK đọc về con này, hóa ra nó là phiên bản mới của con kspoold.exe ngày xưa. Nó có dung lượng là 215kb nên mấy cái file 22bk của em chưa bị nhiễm mà chỉ bị đổi tên thôi phải kô các pác.
Thằng này ác thật chơi phá hẳn các file dữ liệu của FoxPro và SQL, quả này thì nhiều công ty khóc mếu.
|
|
|
|
Mình vừa có một phát hiện hơi bị hài là mấy cái file được phục hồi có dung lượng y nguyên cái file .exe trước đó. Và mình đã thử đổi cái đuôi .exe thành .doc hoặc .xls mà kô cần qua BkavRecover và kết quả là cái file .doc hay .xls mở như bình thường chả thấy lỗi gì cả. Liệu có phải con virus kia chỉ đổi mỗi cái đuôi .xls hay .doc thành .exe để hù dọa thôi kô?
@chien_emmanuel: chài ơi làm gì mà đa cảm thía chú iêm ai thích ra vẻ mình giống điều hành thì kệ cho ngừoi ta thể hiện đi, chả ai ưa đâu. Chỉ cần những dân đen như tui mình kô ý kiến gì về nhau là ok
|
|
|
|
Chiều nay thằng bạn mình mang tới một đống file .exe. nó bảo là trước đây toàn là file Excel và Word nhưng vừa bị virus biến thành như vậy. Đang định lên nhờ pác Hoàng phân tích phục hồi giúp thì gặp topic nầy
Look2Me wrote:
Hôm rồi tớ đọc được tin trên Bkav như sau:
Nguon: http://www.bkav.com.vn/tin_tuc_noi_bat/23/07/2007/2/1045/
Bạn thử tham khảo xem nhé
Thanks Look2Me! mình đã xài cái BkavRecover.exe và phục hồi được hết roài Thanks BKAV ! (kô biết BKAV đã được ai thanks trên HVA bao giờ chưa nhỉ ? kô biết đây có phải lần đầu tiên kô )
@chien_emmanuel: bạn hãy cho hết tất cả các file .exe bị virus xơi vào chung một thư mục (để đỡ phải chọn nhiều lần ở nhiều chỗ khác nhau) rồi dùng BkavRecover.exe chọn cái thư mục ấy để quét thử xem. Nếu quét xong còn file .exe nào kô phục hồi được thì up lên đây cho các Pro nghiên cú Trước khi làm hay Exit kasperky đi để nó kô thịt BkavRecover.exe Tuy BKAV có cơ chết hoạt động giống virus nên bị KAV mần thịt nhưng nó kô phải virus đâu, bạn an tâm đi.
|
|
|
|
FaL wrote:
supertrain wrote:
Đã nói là Admin đã config hết tất cả.User không thấy được card mạng của mình,lấy đâu mà post lên cho bạn xem!
- Thế cái máy bạn dùng thật sự là của bạn, hay là của thằng admin?
- Thằng admin ngồi vào máy bạn config? rồi khóa lại?
Mình đoán trước đó ông admin (hay ai đó vào được account có quyền Administrator)đã ngồi vào cái máy supertrain đã ngồi rồi dùng account có quyền Administrator để config cho cái máy đó trở thành như vậy(hay chọc ngoáy linh tinh làm nó thành như vậy ) còn supertrain thì chỉ dùng được account có quyền User trên máy đó thôi. Phải vậy kô bạn supertrain ?
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
