Messages posted by: freeze_love

Lại 1 con gà đòi viết Virus = AutoIt smilie

. Hèn chi AutoIt vẫn còn bị BK đưa vào danh sách đen.
Lấy C***, VB ra viết , cứ nhè AutoIt. Một file exe sau khi biên dịch có srcip chỉ là hiện cái Msgbox mà đã mập đển ~ 300 Kb. Virus mà mập cỡ đó.
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Tỉnh táo đi!

Hoàn toàn biết được. Admin vào db, truy vấn SQL là sẽ ra ngay pass và đương nhiên đã md5. HIện có 1 số công cụ và trang web giải mã md5 nhưng pass dài hay lằng nhằng quá thì nó cũng bó tay. smilie

Tương tự cho host. smilie

Dùng process manager coi có process nào lạ ko? Kill nó và tìm cách kill triệt để.

Driver của bạn ko có hỗ trợ WIndows 7. Máy tui cũng thế, nó chỉ hỗ trợ Vista dù main ra đời sau WIndows 7 (main Asus G31).
Lên trang chu của main tìm dr xem? WIn 7 nó nhạn tất cả dr mà, có đieu ko có trình đièu khiển thôi.

Ko sao cả. Trừ khi bạn tung 1 con virus gây hậu quả nặng nề mà con đó có để thông tin của bạn hay bạn tấn công 1 trang web (.gov chẳng hạn) thì mới có sao bạn à. smilie

Các tập tin ctfmon.exe, svchost.exe là gì?

svchost.exe là tên một tiến trình chủ (process) cho các dịch vụ hoạt động từ những thư viện liên kết động. Vào thời điểm trước đây, Microsoft đã chuyển tất cả chức năng từ dịch vụ bên trong Windows vào các tập tin .dll thay vì các tập tin .exe. Tuy nhiên, ta lại không thể kích hoạt trực tiếp lên các tập tin thư viện động (dll) để thực thi chúng, do đó tiến trình svchost.exe ra đời.

Việc có khá nhiều các tiến trình svchost.exe chạy cùng lúc trong phần Processes hay Services (trong Windows Vista) từ Task Manager là do có nhiều dịch vụ của Windows cùng được tải khi hệ điều hành khởi động. Nếu gộp tất cả dịch vụ vào cùng một tiến trình svchost.exe thì khi có trục trặc nhỏ xảy ra, tất cả dịch vụ sẽ bị ngưng trệ dẫn đến việc hệ điều hành ngưng hoạt động. Đây là lý do chính của việc tách các dịch vụ ra thành các phần khác nhau và hoạt động dưới một tiến trình svchost.exe.

Để tắt các dịch vụ đang chạy trong hệ điều hành, bạn vào Start - Run, gõ services.msc rồi lần lượt tìm đến các dịch vụ cần khóa. Tuy nhiên, cần phải biết chắc chúng không phải là những dịch vụ hay nhóm dịch vụ chủ chốt. Cách tốt nhất là sử dụng tiện ích Process Explorer miễn phí của SysInternal trực thuộc Microsoft để nhận diện rõ ràng dịch vụ hay tiến trình qua các thông tin mà tiện ích này cung cấp.

Tương tự như svchost.exe, ctfmon.exe là tiến trình điều khiển thanh ngôn ngữ trong Microsoft Office (Office Language bar) và AUI (Alternative User Input), tạm gọi là phương thức nhập thay thế của người dùng như nhận diện giọng nói, nhận diện chữ viết tay, bàn phím dạng phím Đông Á... nếu sử dụng các phương thức trên, bạn nên để ctfmon.exe chạy thường trú trong hệ thống.

Sau đây là cách thức khóa ctfmon.exe và gỡ bỏ hoàn toàn khỏi hệ điều hành:

Trong Windows Vista, việc khóa ctfmon có vẻ dễ dàng hơn. Bạn cũng vào Control Panel - Regional and Language Options rồi chọn "Change keyboards or other input methods". Trên thẻ "Keyboards and Languages" chọn "Change keyboards", giao diện trở lại tương tự với Windows XP, chỉ việc thực hiện gỡ bỏ những dịch vụ mở rộng đã cài trong danh sách khác với danh sách bàn phím ngôn ngữ mặc định.

Bước kế đến là loại bỏ ctfmon ra khỏi danh sách khởi động bằng cách vào Start - Run, gõ msconfig, chọn thẻ Startup trong hộp thoại "System Configuration Utility", bỏ chọn ctfmon. Nếu không thành công, ta lại loại bỏ phần đăng ký phần thư viện động (*.dll) chạy các dịch vụ nhập thay thế bằng cách thực thi hai dòng lệnh, vào Start - Run, gõ cmd. Kế đến, bạn lần lượt gõ hai dòng lệnh bên dưới:

Regsvr32.exe /u msimtf.dll

Regsvr32.exe /u msctf.dll

Khởi động lại hệ thống để hoàn tất việc khóa và gỡ bỏ ctfmon. Tuy vậy, cả ctfmon.exe và svchost.exe đều không hẳn là nguyên nhân gây ra tình trạng làm chậm hệ thống như bạn đã nêu. Có thể sau một thời gian sử dụng, Windows trở nên ì ạch do nhiều chương trình được cài vào kéo theo hàng loạt dịch vụ riêng của chúng, hoặc bạn nên thực hiện việc chống phân mảnh ổ đĩa (defrag) khoảng ba tháng/lần. Quan trọng nhất là luôn cập nhật và mở chương trình anti-virus ở chế độ thời gian thực để chống các virus, trojan giả mạo các dịch vụ của Windows và chạy thường trú khi hệ điều hành khởi động.

(Nguồn: So tay Windows Vista 8.1 by VVN )

Theo mình nhé, mình cũng ghét học sinh phá phánh, tỏ vẻ hiếu thắng như vậy (dù mình cũng là hs và cũng có hành động phá tương tự, nhưng ko fomat hdd bao h mà chỉ thay đổi boot logon (tỏ tình với bạn gái thui), thay đổi giao diện).
1- Đặt nội quy, nếu em nào nghịch phá thì từ đó về sau ko cho em đó thực hành nữa. Hoặc tương đương.
2- Đặt pass BIOS là các em hết phá, hoặc có thể can thiệp Registry để ngăn truy cập và ẩn các ổ đĩa khác ổ cứng mặc định trong máy. Nếu thấy các cổng đó ko cần, rút dây lun đi. smilie

3- Dùng Shadow Defender (SD) để đóng băng máy, vì thằng này đến h vẫn chưa bị cr đc. Còn Deep Fre thì tràn lan. smilie

DOwn SD tại đây (có key): http://www.mediafire.com/download.php?zezzo31nnef

Chúc vui vẻ. smilie

Cái này đc ko?

http://www.mediafire.com/download.php?wnuobtinum2

Có thể là do máy bị khoá cổng usb. Hoặc đã bị ẩn và ngăn quền truy cập đĩa di động. Bạn dùng cái này http://vn.360plus.yahoo.com/lequocnam_ntv/article?mid=5 , sang thẻ Công cụ, nhấp vào icon hình đĩa cứng rồi chọn theo nó nhé. Làm xong nhấp Ap dụng.
Nếu đĩa bị ẩn và cấm truy cập thì tại ô check box nó sẽ có dấu check.

Chi vậy? Dùng WinPE cũng ok mà.

Có lẽ nó ghi file chứ ko ghi Registry. Và cũng có thể nó kết nối đến Server. Mà nếu là kết nói Server thì ko còn cách nào đâu bạn. smilie

760412 wrote:

bạn làm thế nào để vào được mạng = winpe chỉ mình với

Bạn xem ở đây xem sao? http://vn.myblog.yahoo.com/lequocnam_ntv/article?mid=8

Mình thì:
1- KIS (ngại bản quyền quá)
2- Avira Antivirus Personal (cái này go0d vì free as full)

Vì mình thấy nó giống. file db có nhiều loại tạo ra nó mà...

Mình dùng dịch vụ Mega VNN của VNPT và dùng Ip động (vì mình không thiết lập Ip cho nó từ trước đến giờ). TRên WinPE lại lên mạng được, trên W7 thì lại không. Post bài hỏi từ hôm qua đến giờ không có ai giúp cả dù có khoảng 30 lượt xem. Hix hix buồn quá mình cài Win lại luôn rồi smilie

.
Thanks holiganvn đã quan tâm. smilie

Nhưng nếu ai biết vấn đề này thì cũng thảo luận để những người khác bị tình trạng tương tự thì biết cách giải quyết thay vì cài win lại như mình

tmd và handaewoo đừng có cãi cọ, chỉ trích nhau nữa. Dù sao handaewoo mới 11 và chưa hiểu hết về botnet = autoIt thì bác phải phân tích cho em nó hiểu chứ.
Còn nhớ hôm nào nào bác chỉ trích tui và bolzano_1989 ( /hvaonline/posts/list/20/28066.html#182301 không nhỉ? Sao bác hay hằn học với vấn đề thế? Năm mới rồi, bác đừng hằn học mãi vậy thế thì sao đời nó vui được ạh? smilie

Sao không có ai giúp mình hết vậy smilie

(
Thực sự là mình đang online trên winPe mà.
Không những vậy, dùng IE 8 và FF đều không vào modem được. (nhưng trên winPe thì vào được).
Driver mạng cài đầy đủ. Tường lửa đã tắt, dùng Avira Freee.

Thôi đi mà tmd. KHông phải dựa và hàm gọi dll trong AutoIt của handaewoo giống như mấy con bot trên net là bảo chôm đâu. Nó chỉ đúng một phần thôi. Cũng có thể hàm này (hide()) là handaewoo lấy từ net nhưng cách gọi dll đó trong AutoIt theo một quy tắc (xem file help sẽ rõ).
Cách chống KIS thịt con AutoIt của handaewoo thì chi có cách compile trên một cái máy sạch, các thông tin ở phần Properties bạn điền đủ cả. Tôi từ trước đến giờ chưa bị BKAV và KIS thịt file Aut nào cả. smilie

Tình hình là máy của mình không kết nối Internet được nữa dù đèn data của modem vấn sáng nhưng biểu tượng ở khay hệ thống hình dấu chấm than. Máy đang dùng Windows 7 Ultimate.
Hiện tượng này xảy ra khi một người bạn đưa một địa chỉ mã hóa pass gì ấy tại: http://www.izload.com/passgen.php. Sau đó, ko vào đc internet (truy cập = trình duyệt), hắn ta nói: "...bị dis rồi joombie ơi".
Ko hiểu j nữa???
Ngoài ra, vào mục Device Manager thì có 1 thiết bị không nhận ra, hình như là chíp cầu bắc
on Intel(R) 82801GB/GR (ICH7 Family) LPC Interface Controller - 27B8
Ai đã bị ròi cho mình lời khuyên, mình đang on = winpe. Điều này chứng tỏ là đường truyền và modem vẫn bình thường.

Vì mình thấy rất rất nhièu máy dù đã DF nhưng vẫn bị Configker xuyên thủng. Và hầu hết chúng bị Avira phát hiện là worm (khi đem usb từ net về nhà).
Máy bị dính khi đang chạy và lây lan trong khi đang chạy là đương nhiên.

Minh thì cũng có ý nghĩ giống các bạn là chặn usb chống Virus là đúng. Nhưng không hẳn. Sao người quản lý đó không cài một phần mềm khôi phục hệ thống.
Về vấn đê của bạn, Bạn không mô tả là máy có nhận usb không? Có thong báo gì không, biểu hiện ra sao thì mọi người mới biết cách giải quyết cho bạn được.
1- Vào mục Devide Manager, kéo xuống phía dưới coi người quản lý có bỏ Driver của USB đi không (nếu bỏ sẽ hiện dấu chấm than màu vàng).
2- Bạn có thể xem tiếp cách sau nếu bước trên ok
Nếu bạn đang dùng XP:

Key này sẽ cho phép tất cả user dùng usb
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: AllocateDASD
Type: REG_DWORD
Value: 2

Nếu là Vista/7:

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
Name: WriteProtect
Type: REG_DWORD
Value: 0

Nếu cách này không làm được, dùng phần mềm sau để xem coi người quản lý có ẩn ổ usb hay cấm truy cập không: http://freeze_love.summerhost.info/blog/read.php?1
Sang thẻ "Công cụ", nhấp vào hình cái ổ cứng,

bạn sẽ thấy 2 radio button,

chọn cái "KHóa truy cập" trước để coi danh sách ổ đĩa bị khóa truy cập. Nếu có ổ nào thì nó sẽ check ngay ổ đó, và ổ đó không thể truy cập được. (nhấp vào là nó báo lỗi)
chọn cái "Ẩn ổ đĩa" để coi danh sách ổ đĩa bị ẩn. Nếu có ổ usb gâm vào thì nó sẽ ẩn và truy cập vẫn bình thường nếu biết ký tự usb trên máy là j. Cái nào nó ẩn là nó sẽ check
NHưng ít ai là 1 cái mà là áp dụng cả 2. Đó là vừa ẩn vừa khóa truy cập. Bạn xem cái nào rồi uncheck nó nha. Làm xong nhấp "Áp dụng", nhấp tiếp "Đồng ý" và bạn mở lại My COmluter để kiểm tra.
Chúc thành công. smilie

THeo mình thì cài sạch hết toàn bộ. Sau đó, vãn để share nhưng ở ổ khác ổ hệ đièu hành. Còn hệ đièu hành thì cài Shadow Defender là ok hết. KHỏi cần cài ATV. Theo mình vậy, bạn xem có ổn không, vùa gọn vùa nhẹ.
À mà bạn cài win sạch, tất cả ứng dụng trên máy đó ok hết. Tinh chỉnh tối ưu:
- Tắt AutoRun
- Update hot fix
- Bật firewall
- ...
Tuyệt đối không dùng DeepFreeze vì cái này COnfigker xuyên thủng và đã có bản UnDeep (nhân viên gỡ băng ra ròi phá). Nên cài Shadow Defender là an toàn.
THế là ok rồi. Dữ liệu của nhân viên thường lưu ở ổ khác hệ điều hành trú ngụ mà.
Chúc vui vẻ.
smilie

hackerngheo wrote:

ông rùi quá sữ dụng phần mềm undeepfreeze made in viet nam pha pass dong bang tat ca cac phien ban 6x tui dang su dunh rat tốt các tiem net bi tui cai pr1.68 het rối

Tưởng gì cao sang lắm. Lấy t00l để cra DF rồi cài BPK lên chôm pass. Đúng là hackerngheo thật smilie

.

Bạn có thể tham khảo topic này: /hvaonline/posts/list/0/32495.html#200256
và http://vn.beta.360plus.yahoo.com/lequocnam_ntv/article?mid=188
smilie

Cái đó là fille tạm của Windows tạo ra để hiện thị ảnh dạng thumbail nhanh thôi. Bạn tắt việc tạo thumbail thì các file này sẽ không hiện ra nữa. Tham khảo thủ thuật Registry để biết thêm chi tiết hay G00gle.
smilie

VBF đã giải tán? Bên HCE mới thông báo VBF open trở lại (đã khoảng mấy tháng rồi), vài hôm sau (vài hôm sau của mấy tháng trước khi đọc ở HCE) thì VBF die thật.
=> Có ai biết link mới của VBF là gì không? CHứ mình ko tin VBF die (lý do là bên HCE thông báo VBF open lại thế mà die thật à? )

NHất trí với ThinhKBGTD.
Bọn nó hù thôi. Bạn có thể đăng ký một host free và cài đặt phpBB/VBB/Bo-blog/WordPress cho lớp rất OK. Trừ khi local attack thì bạn mới mất quyền kiểm soát host thôi ngòai ra thì có vẻ an toàn (trừ DDOS) vì đây là host free mà. Host free thì chủ của cái hót đó cũng có thiết lập tường lửa bảo vệ mà.
smilie

Đó là ý mình nghĩ vậy, ko biết đúng ko, anh em đừng cười nha smilie

thinh_monova wrote:

usb chỉ dùng được fat32 thôi mà ....................... làm sao chuyển sang ntfs.................. chỉ với .................. ặc.

/hvaonline/posts/list/0/32356.html#199544 smilie

Một cách khá đơn giản mà ai cũng bỏ qua. Xem hình sau nha:

Cách này mình làm rất OK. Biểu tượng kết nối internet bị đánh dấu chéo đỏ. Đơn giản và dễ làm. Bạn thử làm xem, W7 cái này cũng như W6 và W5 thôi. smilie

Chào các bạn, mình có nhận được tin nhắn YM với nội dung:

Hiện giờ có 1 nik tên là betapchat888, nếu mà bạn có gặp nó thì đừng chát hay add nhé , nó chuyên hack pass từ y!m đến windows của ban ( send đi còn cứu được bao nhiêu người ). Trung tâm xin cảnh báo, bây giờ có 2 nik là "lee_saker" và "manowar_vtn89" , nếu nó muốn add nik bạn thì đừng cho add , nó chính là 2 con virus chuyên phá hoại phần mềm , nếu bất kỳ ai trong list của banju add nik này thì bạn cũng bị dính lun . Gửi ngay cho tất cả mọi người trong list <-- đây ko phải là tin rác

Cái này mình có nghe rồi nhưng ko tin. Vì nếu quả có thật thì chắc toàn bộ máy tính sử dụng chương trìng tán gẫu nổi tiếng Yahoo!Messenger vơi shình thức như trên đều bị dính Virus/Trojan hết à?
Các bạn cùng thảo luận xem có thật không? smilie