pagefile.pif, LSASS.EXE, SMSS.EXE

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

pagefile.pif, LSASS.EXE, SMSS.EXE

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	29/12/2007 12:27:44 (+0700) \| #91 \| 106757

VXer
Member

Joined: 20/12/2007 10:22:40
Messages: 44
Offline

Ghost Ship wrote:

vậy bạn đổi cái phần mở rộng ấy như thế nào (kô phải rename bằng tay từng file 1 đấy chứ sơ sơ 400 file thôi mà . nếu bạn làm bẳng tool hay lệnh gì thì chia sẻ cho tôi với tôi chưa biết làm thanks trước nhé )?

Bạn có thói quen đọc đc nửa bài là nhảy vô bới móc người khác hả?

Ghost Ship wrote:

quan trọng nhất là bạn đổi như vậy để làm gì?

Cái này tôi nói rồi bạn vui lòng xem lại!

Ghost Ship wrote:

Với cách thứ 4 của bạn thì mỗi file phải gõ lệnh 1 lần à hay là có một lệnh hay cụm lệnh làm được việc đó với tất các các file trong %windir%?

Khéo đùa ghê smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	29/12/2007 12:56:24 (+0700) \| #92 \| 106765

hoanguyenvn
Member

Joined: 28/12/2007 23:27:30
Messages: 1
Offline

Xin cho hỏi. Trong các bài viết phía trên, các bác có nói đến con LSASS.EXE (viết hoa), còn trong máy của em, khi chọn Task Manager thì lại có lsass.exe (viết thường). Không biết có phải dính không hay là một services của Windows nhỉ ?

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	29/12/2007 13:11:38 (+0700) \| #93 \| 106770

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

LSASS.EXE có thể là một malware hoặc là một system process. Muốn biết được điều này bạn phải dựa vào kinh nghiệm.
Ví dụ như, LSASS.EXE nằm trong thư mục System32 thì là system process, còn chỗ khác thì *có thể* là malware smilie

.
Xorer là một dạng virus, nên born2die ở một topic khác có "hỏi khéo" GS là "làm sao để diệt", dùng WinHex hay gì gì đó. Có lẽ là do GS chỉ có một ổ C:\ duy nhất nên không biết về vấn đề này.

Thêm:
chà, cái topic 5 trang này hôm nay mới có dịp ngồi đọc hết.

Em nghĩ bác nên pt module diệt rootkit và virus lây file đi.

Nhưng những module lây file và rootkit đúng là không thể thiếu, nhất là trong thời điểm hiện tại khi mà việc viết những virus này cũng trở nên khá phổ biến do có sẵn rất nhiều module, source trên mạng

Không biết mạn đàm trong topic này có phù hợp không, và có làm loãng topic của bác GS không. Nhưng Hoàng nghĩ một hướng đi khác khá thú vị là kỹ thuật ảo hoá (virtualization). Cho dù người dùng có nhiễm virus, trojan, worm (malware nói chung)... thì cũng không ảnh hưởng đến hệ thống. Một trong những ứng dụng này là BufferZone, Sandboxie... không biết các bác đã xài thử chưa ?

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	29/12/2007 23:55:13 (+0700) \| #94 \| 106832

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

hoanguyenvn wrote:

Xin cho hỏi. Trong các bài viết phía trên, các bác có nói đến con LSASS.EXE (viết hoa), còn trong máy của em, khi chọn Task Manager thì lại có lsass.exe (viết thường). Không biết có phải dính không hay là một services của Windows nhỉ ?

Nếu ở User Name trong task manager của cái cslass.exe ghi là SYSTEM thì đó là process của hệ thống còn nếu ở cột User Name mà ghi tên của account (tài khoản người dùng trong win) bạn đang dùng thì nó chính là con virus này.

file lsass.exe của hệ thống luôn luôn chạy, máy nào cũng thấy. Khi bị nhiễm con này thì nó sẽ có thêm cái LSASS.EXE nữa nên trong danh sách process sẽ có 2 lsass.exe.

Híc pác Hoàng làm iem tổn thọ quá. thôi iem kô đàm điếc gì ở đây nữa. smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	30/12/2007 00:26:18 (+0700) \| #95 \| 106838

neo85
Member

Joined: 06/07/2007 10:16:40
Messages: 7
Offline

Ghost Ship wrote:

Tôi backup chúng như sau:
1. Search trong %windir% từ khóa .exe để hệ thống liệt kê tất cả các file .exe ra.
2. Ấn Ctrl + A để select tất cả những file .exe tìm được.
3. Ấn Ctrl +C để copy tất cả những file đó.
4. paste ra một thư mục trống.
5. Zip lại (xong)

Hay quá hay quá smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	30/12/2007 01:34:56 (+0700) \| #96 \| 106862

war3zl33ch3r
Member

Joined: 29/12/2007 03:43:31
Messages: 7
Offline

LeVuHoang wrote:

Không biết mạn đàm trong topic này có phù hợp không, và có làm loãng topic của bác GS không. Nhưng Hoàng nghĩ một hướng đi khác khá thú vị là kỹ thuật ảo hoá (visualization).

phải là virtualization chứ ko phải visualization smilie

http://en.wikipedia.org/wiki/Virtualization : In computing, virtualization is a technique for hiding the physical characteristics of computing resources from the way in which other systems, applications, or end users interact with those resources.

http://en.wikipedia.org/wiki/Visualization_(graphic) : Visualization is any technique for creating images, diagrams, or animations to communicate a message.

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	30/12/2007 07:12:58 (+0700) \| #97 \| 106932

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

ops, edited. Thank war3zl33ch3r smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	30/12/2007 09:20:36 (+0700) \| #98 \| 106960

angel_of_devil
Member

Joined: 23/10/2004 14:57:09
Messages: 154
Offline

Cho mình hỏi là đến thời điểm này ngoài cách diệt tay thủ công như bác ttn nói còn cách nào khác dùng tool AV để diệt triệt để được ko? Vì ở cty mình có khoảng 30 máy bị dính cả Xorer lẫn Dashfer nên việc diệt bằng tay chắc chết quá. Bác nào có giải pháp triệt để làm ơn chỉ dùm. Thanks

Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	30/12/2007 16:06:43 (+0700) \| #99 \| 107025

karkar
Member

Joined: 12/03/2007 18:22:03
Messages: 18
Offline

Không biết mạn đàm trong topic này có phù hợp không, và có làm loãng topic của bác GS không. Nhưng Hoàng nghĩ một hướng đi khác khá thú vị là kỹ thuật ảo hoá (virtualization). Cho dù người dùng có nhiễm virus, trojan, worm (malware nói chung)... thì cũng không ảnh hưởng đến hệ thống. Một trong những ứng dụng này là BufferZone, Sandboxie... không biết các bác đã xài thử chưa ?

em đang dùng Sandboxie ,cái này cũng khá hay đấy nhưng nó có điểm yếu là không thể xem được khóa registry do các chương trình chạy trong Sandboxie tạo ra smilie

hơn nữa nó chỉ cho dùng thử 30 ngày thôi hết hạn trước khi chạy nó cứ hiện popup đòi đăng kí rất khó chịu smilie

em thì làm gì có mấy chục đô mua nó chứ ,bác nào có bản crack của thằng này thì cho em với smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	30/12/2007 16:10:34 (+0700) \| #100 \| 107027

karkar
Member

Joined: 12/03/2007 18:22:03
Messages: 18
Offline

angel_of_devil wrote:

Cho mình hỏi là đến thời điểm này ngoài cách diệt tay thủ công như bác ttn nói còn cách nào khác dùng tool AV để diệt triệt để được ko? Vì ở cty mình có khoảng 30 máy bị dính cả Xorer lẫn Dashfer nên việc diệt bằng tay chắc chết quá. Bác nào có giải pháp triệt để làm ơn chỉ dùm. Thanks

em nghĩ bác dùng BKav home bản mới diệt thì mấy con này cũng chết mà smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	31/12/2007 11:08:20 (+0700) \| #101 \| 107169

angel_of_devil
Member

Joined: 23/10/2004 14:57:09
Messages: 154
Offline

BKAV chỉ diệt được Dashfer, ko diệt được Xorer tận gốc. Ko hiểu Symantec hay Kaspersky thịt được 2 thằng này chưa nhỉ?

Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	31/12/2007 12:10:44 (+0700) \| #102 \| 107192

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

karkar wrote:

em thì làm gì có mấy chục đô mua nó chứ ,bác nào có bản crack của thằng này thì cho em với

$25 = 400.000 VNĐ. Nếu dữ liệu của bạn quý giá thì 400k không là bao. Còn không thì... sống chung với lũ vậy smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	31/12/2007 12:33:15 (+0700) \| #103 \| 107200

Thuongtamnhan
Member

Joined: 22/09/2003 08:50:35
Messages: 29
Offline

angel_of_devil wrote:

Cho mình hỏi là đến thời điểm này ngoài cách diệt tay thủ công như bác ttn nói còn cách nào khác dùng tool AV để diệt triệt để được ko? Vì ở cty mình có khoảng 30 máy bị dính cả Xorer lẫn Dashfer nên việc diệt bằng tay chắc chết quá. Bác nào có giải pháp triệt để làm ơn chỉ dùm. Thanks

thú thực là tôi cũng chỉ thử qua vài tool, trong đó có xài thử tool của LVH và thấy là rất tốt,tuy nhiên tất cả tool này đều vô ích, diệt xong nó lại bay ra, không tool nào diệt được tận gốc, cũng có thể có tool nào đó diệt được tận gốc mà tôi chưa biết smilie

ngửa mặt cười tan cuộc oán thù
http://thuongtamnhan.blogspot.com/

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	31/12/2007 16:57:06 (+0700) \| #104 \| 107267

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Theo Hoàng nghĩ, quan trọng là cách diệt và tự bảo vệ thế nào.
Bạn nên boot vào Safe Mode hoặc mang đĩa cứng qua máy khác để quét sau đó mang gắn trở lại máy cũ.
Ngoài ra, phải kiểm tra các kết nối mạng, shared folder... vì đây cũng là một nguồn lây đáng kể.
Diệt xong mà cứ nhấn vào mail lạ hoặc download lung tung thì bị lại cũng chỉ là vấn đề thời gian thôi. Phòng hơn chống mà.

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	01/01/2008 01:28:30 (+0700) \| #105 \| 107328

angel_of_devil
Member

Joined: 23/10/2004 14:57:09
Messages: 154
Offline

Máy em thì tất nhiên ko bị rồi. Mà là khoảng 20 máy trong cty bị nhiễm. Cái khổ nhất là ý thức của người dùng. đã có chính sách này nọ rồi xem ra ko ăn thua. Nhiều lúc các ông các bà ý ngô nghê một cách ấu trí. Ai cũng có ý thức như bác Hoàng nói thì sướng quá. Vấn đề nhất là mấy cái AV nước ngoài chưa thịt đc Dashfer mà chỉ diệt đc Xorer thôi. Làm mấy chục cái máy xong 1 con gà cắm USB vào lại dính chắc chết quá. Dùng BKAV thì ko đc rồi smilie

Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	02/01/2008 14:16:48 (+0700) \| #106 \| 107683

TjnD3cK3n
Member

Joined: 05/11/2007 02:00:47
Messages: 21
Offline

tình hình là vẫn chưa có cách nào diệt được con này hết àh? mình đã làm đủ cách mà ko ok chút nào, con này hơi kinh, ai có thể tổng hợp lại từng bước để diệt con này ko?

Sống chung với con này 3 tuần rồi, hix.

Thanks nhiều.

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	02/01/2008 14:50:41 (+0700) \| #107 \| 107692

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Gồm 3 bước chính, mỗi bước có một vài thao tác nhỏ.

Bước 1:
Nén file được cho là malware, hoặc được cho là bị malware lây nhiễm vào một file .zip với tên là malware.zip, đặt password(đặt chế độ hiển thị password) là infected , sau đó gửi file này cho mr Hoàng(nếu thích chơi với FastHelper), gửi cho virus_research@nai.com(để mcafee cập nhật) hoặc gửi mail cho bkav(nếu muốn chơi với bkav), ... nhớ là ghi rõ có passwords là infected.

Bước 2: Bao gồm 2 hướng.

Hướng 1: sau khi nhận được email của các hảng nước ngoài rằng đã update, hay từ bkav,FastHelper là đã update con malware.

*Kiếm một cái máy mới cài windows, cài một trong số các phần mềm trên vào, update bằng file download từ chính hảng, hoặc update bằng đường mạng internet(nếu có mạng internet). Sau đó gắn ổ cứng của mình vào để quét ké. Kiểu gì con malware đó cũng ngủm.

Hướng 2: Tương tự trên, sau khi nhận được mail....

*Sử dụng Hiren boot, trên đó có tool mcafee quét trên dos 16 Bit, có thể update database malware trên DOS. Tìm từ khóa "mcafee udpate" ở google có quá trời hướng dẫn.

Ghi chú: Con malware thuộc dạng mới toanh, chưa được ai udpate, bản thân mình cũng mù tịt, không biết file nào là con nào-> tiến sang bước 3, sau đó xóa sạch file .exe, .pif, (có thể xóa nốt các file .html,.js hoặc tương tự) trong trường hợp xấu nhất, dính phải virus, ở các ổ đĩa khác ngoài ổ cài windows.

Ghi chú: xóa file ngay sau khi ghost, không tiến hành thực thi bất kỳ file thuộc nhóm nghi ngờ bị lây nhiễm( bao gồm .exe,.pif.... .html, .js,.....).

Ghi chú: Sau khi tiến hành bước 2, con malware đó đã chết, tiến hành sang bước nhỏ thứ 2 của bước 3. Còn nếu không chết, làm tiếp bước 3. Chú ý thêm 2 vấn đề nhỏ, tắt chế độ autorun và hiện ẩn, sau khi tiến hành bước 3.

Bước 3 : Cũng có 2 bước nhỏ.

*Ghost đĩa.

Ghi chú: Trước khi ghost đĩa, sao lưu dữ liệu mình cho là quý giá.

*Đọc trước khi mở miệng hỏi trên diễn đàn về bất kỳ vấn đề gì muốn hỏi. Bước này cực kỳ quan trọng đối với người tham gia diễn đàn. Đây là bước chót, sau khi đọc hết 3 bước, hoặc có thể đọc bước này trước khi tiến hành 3 bước trên.

Ghi chú: Đọc kỹ các topic trong box này một cách cẩn thận và có suy nghỉ, kết hợp công việc so sánh các hướng dẫn và hiểu biết của mình có được sau thời gian sử dụng máy tính có cài windows của Microsoft.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	03/01/2008 03:21:10 (+0700) \| #108 \| 107795

TjnD3cK3n
Member

Joined: 05/11/2007 02:00:47
Messages: 21
Offline

chào bạn, cám ơn bạn đã hướng dẫn và nhắc nhở (và rất nhanh nữa). Thật ra mình cũng tìm tòi khắp, vào đây thấy chủ đề này hay và sát với thực tế của mình nên đọc khá kỹ, tuy nhiên có thể do trình độ có hạn hay vì lý do gì đó mà mình vẫn chưa thể đưa ra đc 1 phương pháp nhất định (sau khi đọc các bài viết của các bạn) để diệt con virus này.

Giờ mình đang thử làm theo cách của bạn.

Thanks you so much.

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	03/01/2008 06:12:59 (+0700) \| #109 \| 107826

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C )
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này smilie

2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.

2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).

2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa )
- Nhấn OK.
- Restart lại máy. (Xong)

Từ bây giờ thì bạn cứ vô tư click đúp lên con virus này hay bất kỳ file .exe nào đã bị nhiễm con này nó sẽ kô thể chạy trên máy của bạn được nữa đâu smilie

(trừ khi bạn làm lại win hoặc làm mất cái vừa tạo ra ở bước 2 hoặc bạn click đúp lên phiên bản khác của con này smilie

nếu là phiên bản khác thật thì làm lại các bước trên với cái phiên bản khác đó thì rồi cũng vô tư thôi smilie

)

Nếu bạn muốn dọn dẹp xác của con virus này trên máy của bạn thì bạn hãy cài BKAV (nghe nói BKAV diệt file bị nhiễm con này rất nuột (chỉ Fix chứ kô Del) hoặc một AV nào đó mới update về cài rồi quét toàn bộ các ổ. Nếu bạn nhiễm đã lâu thì có thể sẽ mất khá nhiều (có thể là tất cả) file .exe trong các bộ setup đấy, xin chia buồn! smilie

Đơn giản vậy thôi. smilie

Hi vọng kô còn ai vào đây nói là:"sau khi đọc xong tôi vẫn chẳng biết phải diệt nó như thế nào!" Hic nản quá thể smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	17/01/2008 13:22:10 (+0700) \| #110 \| 110679

gaconngikvirus
Member

Joined: 16/01/2008 23:56:28
Messages: 2
Offline

bác ơi cho em hỏi cái !
Em bị Virus giống như bác . Vô Process thì nó hiên lên 3 cái Process lạ : LSASS.EXE , SMSS.EXE va` 1 đống ~.exe
Nó làm Out luôn cái BitDefender , mất luôn explorer , và tắt 1 số ứng dụng khác
Em đã dùng BKAV và FireLion dều quét được nhưng cứ khoảng 3 hoặc 4 giây sau là nó xuất hiện lại
em đã làm thử nhiều cách như dùng SafeMode nhưng ko được , nó load được 1 đống chữ rồi restart máy lại .
no' hien ra trong process 1 đống cacls.exe nhãy liên tuc. smilie

Còn dùng cái Local Security Policy , em vô muc Software Restriction Policies nhưng khi chọn menu action thì chỉ hiện ra dòng Export List ko hiện ra dòng như bác GS nói smilie

Em bị con víu này mần 3 ngày nay rồi . Mong các bác chỉ em với , em biết ít về diệt Virus lắm. Thx các bác trước smilie

Note : khi em quét virus bằng BKAV thì fát hien con Virus W32.DashferUDII.Worm , còn khi quét bằng Fire lion thì fat hiện con Xorer , cả 2 con dều nằm trong C:\Windows\System32\Com smilie

. Có gì liên lạc với em qua nick YH : hiroyuki_baby3000

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	18/01/2008 03:43:12 (+0700) \| #111 \| 110809

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

gaconngikvirus wrote:

Còn dùng cái Local Security Policy , em vô muc Software Restriction Policies nhưng khi chọn menu action thì chỉ hiện ra dòng Export List ko hiện ra dòng như bác GS nói

Mình nghĩ là bạn đang trỏ chuột vào dòng Software Restriction Policies chứ kô phải dòng Additional Rules nên mới chỉ có dòng Export List

Bạn có thấy trong mục Software Restriction Policies có mục Additional Rules kô?

Bạn hãy click chuột phải vào cái dòng Additional Rules --> Trong cái menu hiện ra bạn hãy click tiếp vào cái dòng New Hash Rule

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	18/01/2008 05:02:10 (+0700) \| #112 \| 110832

maithangbs
Elite Member

Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline

Mình đã làm theo hướng dẫn của bạn NGVANTEO tức là copy 3 file .bat. CHạy chương trình
- Lần đầu OK. Virus đã biến mất.
- Vài ngày sau lại thấy nó xuất hiện (có thể mình hay vào mấy trang Web lấy số crack nên lại bị nhiễm hoặc là
diệt bằng tay như thế nó nằm nghỉ ngơi mấy ngày hay sao ấy).
- Lại lôi đồ chơi ra xử tiếp. Lần này nó chạy hơi lâu, mình ngồi đợi cũng chán nên đi ra ngoài một lúc. Ô hô lúc quay
về thì thấy chương chình lsass.bat đang xóa hết các file trong thư mục windows.
- Khởi động lại, máy tính không khởi động được (Còn đâu Windows mà khởi động!!!)
Kết luận: Sau một hồi diệt virus, nó chết máy tính cũng đi theo luôn

Cài lại, lại dính virus, bực mình, khởi động bootCD xóa béng các file ~.EXE, autorun.inf, pagefile.pif, mss.exe, lsass.exe., khởi động lại máy cũng nghỉ chơi luôn.

Bây giờ cài lại HĐH, mình tạo mấy file autorun.inf, pagefile.pif (trong thư mục gốc các ổ cứng), smss.exe, lsass.exe
(trong thư mục C:\Windows\system32\com), tất nhiên là tất cả các file dung lượng =0. Dùng chương trình Cacls.exe
lock các file đó lại.
Vào GPedit cấm autorun các ổ đĩa (tất nhiên là như thế nhét mấy đĩa CD vào thì chẳng bao giờ chạy rồi)
Đã 1 tháng rồi, không thấy nó ghé thăm mình nữa.

Bạn nào có nhu cầu tìm hiểu cách xử lý rõ hơn, mail cho mình theo địa chỉ maithangbs@vnn.vn

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	18/01/2008 11:47:46 (+0700) \| #113 \| 110913

gaconngikvirus
Member

Joined: 16/01/2008 23:56:28
Messages: 2
Offline

Mình đã làm như GS là vô Software Restriction Policies rồi nhưng nó chỉ hiện ra 3 cái là : Enforcement , Disignated File Types và Trused Publisher chứ kô có mục Additional Rules như GS nói smilie

. mình thật sự ngán con virus này rồi , hồi lúc dầu còn quét được = FireLion chứ giờ thì ko quét được nữa rồi , ko chạy nổi wá 5s smilie

, dịnh down thêm vài chương trình diệt virus về nhưng cứ nhấp chuột vào dowload chương trình diệt virus là nó out luôn FireFox của mình tuy vẫn down nhạc hay video ca nhạc dưoc smilie

. Bây giờ thanh TaskManger của mình chỉ còn hiện Process thôi chứ máy thanh Tab biến mất lun roài smilie

. nản con virus này wá
Note : Con Virus này nằm trong C:\Windows\System32\Com . Vậy mình Back Up lại ổ C thì nó có mất lun ko . Mong anh em chỉ với smilie

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	18/01/2008 13:57:12 (+0700) \| #114 \| 110931

mothREA
Member

Joined: 29/08/2007 19:10:47
Messages: 1
Offline

bạn thử dùng ProcessXP suspend 2 process LSASS.EXE, SMSS.EXE.Sau đó wét = BK ổ C.Sau đó khởi động lại sẽ không thấy 2 process này nữa.Sau đó dùng lần lượt BK,AVG,Avira,FireLion wét tất cả các ổ đĩa.Sau đó cài lại Win cho chắc
Bữa máy thèng bạn bị nhiễm làm cách này thử thấy ok.Chưa thấy nhiễm lại

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	19/01/2008 03:21:48 (+0700) \| #115 \| 111010

mrmeomun
Member

Joined: 26/12/2007 23:33:24
Messages: 9
Offline

Cho tui hỏi nếu trong processes xuất hiện hai cái này thì làm sao del đc :lasass.exe và smss.exe và nó làm cho cái Internet Explorer nhà tớ khi bấm vào thì trên thanh title tren cung chỉ xuất hiện 1 chữ cái làm sao để hết đây mặc dù đang cài KAV đã up lên phiên bản mới nhất nhưng nó vẫn ko tìm diệt đc con đó vạy làm sao đây ???????

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	19/01/2008 13:43:34 (+0700) \| #116 \| 111098

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

gaconngikvirus wrote:

Mình đã làm như GS là vô Software Restriction Policies rồi nhưng nó chỉ hiện ra 3 cái là : Enforcement , Disignated File Types và Trused Publisher chứ kô có mục Additional Rules như GS nói .

Nếu cái Local Security Policy của bạn nó kô giống như hình dưới thì mình cũng kô biết thế nào. Chẳng nhẽ đây là phiên bản mới và nó đã phá Local Security Policy smilie

Note : Con Virus này nằm trong C:\Windows\System32\Com . Vậy mình Back Up lại ổ C thì nó có mất lun ko . Mong anh em chỉ với

làm sao mà mất được. Mà còn tùy vào chuyện bạn back up như thế nào.

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	19/01/2008 20:44:02 (+0700) \| #117 \| 111128

luctieuthien
Member

Joined: 10/01/2008 18:00:39
Messages: 2
Offline

e xin dong gop 1 cach diệt
yêu câu:
= soflware WinXP Manager và winRa chỉ có thế .
sau khi instal vao may cua bạn 2 cai nay làm như sau:
chạy WinXP Manager chon thanh "Security" > chọn "drive and program" > chọn "Restrict programs" > trong khung dưới hình chìa khóa nhấn "add" chọn đường dẫn vào ổ C:\ trong phần -file of type- chọn -all file(*.*)- trong phần -file name- gõ vào pagefile.pif làm như vậy cho tất cả ổ mả bạn có. làm y vậy chỉ thay thế file pagefile.pif = autorun.inf .
tiếp tục chọn "add" vào C:\WINDOWS\system32\Com gõ vào lsass.exe xong open y vậy cho smss.exe
hoàn tất bước 1
tiếp theo :
cũng trong WinXP Manager chọn thanh "Optimizer" > chọn "Startup Manager" > trong đó chọn thanh "Security Option" có bao nhiêu ô check hết rồi "save" lại và restart máy lai . ok bước 2
tiếp tục
chú ý : ""add" vào C:\WINDOWS\system32\Com gõ vào lsass.exe xong open y vậy cho smss.exe
" nhớ gõ vào -file name- vì những file này ko hiện ra ok. nếu báo là ko thấy thì vẫn tiếp tục những bước sau đó.
bước 3:
Trong lúc khởi động máy có tiếng "bip" thì nhấn "F8" cho tới khi hiện bản có chữ như sau "Directory Services Restore Mode"
dùng phím mủi tên chọn nó rùi enter
khi vào HDH rùi click chuột phải chọn new chọn WinRAR archives Desktop xuất hiện "New WinRAR archive.rar" Icon click chọn nó. Xong chọn đường dẫn đến các ổ xóa file pagefile.pif và autorun.inf (đừng xóa những file khác chít ráng chịu)
tiếp tục chọn C:\WINDOWS\system32\Com vẫn trong New WinRAR archive.rar xóa tất cả các file tạo ra trong ngày và chọn tới C:\Documents and Settings\All Users\Start Menu\Programs\Startup xóa file ~.exe restart máy
xong bước 3
tải bản bkav mới nhất về quét toàn bộ ổ đĩa xóa hết những file chưa diệt dc bằng New WinRAR archive.rar (có ghi địa chỉ trong Bkav nhật kí sau khi wét) vi rút này lây file nên phải xóa những file đó
finish
để fòng tránh bạn nên dùng New WinRAR archive.rar để kiểm tra USB trước khi mởi nó hoặc đúp vào nó .
chúc bạn thành công .
luctieuthien@yahoo.com.vn (-_-)zZ

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	24/01/2008 04:26:15 (+0700) \| #118 \| 111778

Thuongtamnhan
Member

Joined: 22/09/2003 08:50:35
Messages: 29
Offline

con này phiên bản mới nó xộc vào máy là tìm và phá ngay mấy cái tool diệt virus, tất cả spycatcher, fire-lion(lúc chạy được lúc không nhưng khi chạy được lại không tìm thấy),kaspersky( không thể install vào) các công cụ khác như unlocker chạy được nhưng khi delete báo lỗi, hijackthis cũng tương tự, khi end prosess đứng luôn, sử dụng prosessxp cũng y hệt, thêm nữa ngoài file ~.exe nó còn đẻ ra vài chục con ~.exe. 1,2,3,4,5 vvv.vvvv thêm cái đuôi chấm chấm phía sau là các kí tự số như trên, các con này tự động chạy khi khởi động, khi khởi động rất lâu nhưng khi nhấn ctr-alt-delete thì vào ngay,khi vào được win rồi tất cả những con ~.exe đó chạy ra chiếm hết use của cpu, khiến computer đứng luôn

ngửa mặt cười tan cuộc oán thù
http://thuongtamnhan.blogspot.com/

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	24/01/2008 13:44:09 (+0700) \| #119 \| 111894

pupi
Member

Joined: 19/08/2007 06:17:03
Messages: 5
Offline

Mình cũng bị dính con này! ko vào được safemode, không cài được một số phần mềm diệt víu nhứ KAV hay BIT kể cả Norton...
Cái Fasthelper nhận ra nhưng cũng không kill được nhóc này! cho dù mình đã làm theo hướng dẫn trên.
Mình thấy đơn giản nhất để diệt con này là ra tiệm mua cái đĩa Hiren hoặc bạn nào có rồi thì chiến luôn(có thể làm boot từ USB cũng được)
Bạn vào Dos gõ VC hoặc chạy chương trình Volko j đó trong phần File manager trong hiren
Tiếp theo là F8(Deletè File) những file sau:
Autorun.inf , pagefile.pif , smss.exe trực thuộc tại các ổ đĩa.
Vào trong c:\windows\system32\Com Delete nốt mấy file Lass.exe , smss.exe
Vào docment & Setting rồi vào all user trong startup xóa nốt mất chú ~.exe
Xong bạn có thể thở phào! Vào win và ko thấy chúng trong starup nữa!
Vào Registry xóa và chỉnh suẳ nốt mấy key như hướng dẫn phía trên!
Nếu bạn ko muốn chọc ngoáy thì cho đĩa win vào repair là ok liền!
Chúc bạn kill mấy nhóc này thành công!
Em mới tham gia diễn đàn trình độ còn kém mong các bác chỉ giáo! thanks!

[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE	29/01/2008 12:50:53 (+0700) \| #120 \| 112732

mrpinochio
Member

Joined: 13/04/2007 18:03:13
Messages: 9
Offline

pupi wrote:

Mình cũng bị dính con này! ko vào được safemode, không cài được một số phần mềm diệt víu nhứ KAV hay BIT kể cả Norton...
Cái Fasthelper nhận ra nhưng cũng không kill được nhóc này! cho dù mình đã làm theo hướng dẫn trên.
Mình thấy đơn giản nhất để diệt con này là ra tiệm mua cái đĩa Hiren hoặc bạn nào có rồi thì chiến luôn(có thể làm boot từ USB cũng được)
Bạn vào Dos gõ VC hoặc chạy chương trình Volko j đó trong phần File manager trong hiren
Tiếp theo là F8(Deletè File) những file sau:
Autorun.inf , pagefile.pif , smss.exe trực thuộc tại các ổ đĩa.
Vào trong c:\windows\system32\Com Delete nốt mấy file Lass.exe , smss.exe
Vào docment & Setting rồi vào all user trong startup xóa nốt mất chú ~.exe
Xong bạn có thể thở phào! Vào win và ko thấy chúng trong starup nữa!
Vào Registry xóa và chỉnh suẳ nốt mấy key như hướng dẫn phía trên!
Nếu bạn ko muốn chọc ngoáy thì cho đĩa win vào repair là ok liền!
Chúc bạn kill mấy nhóc này thành công!
Em mới tham gia diễn đàn trình độ còn kém mong các bác chỉ giáo! thanks!

Hi, mình cũng thế.
làm làm theo tất cả các cách hướng dẫn trên đều không được.
Quay trở lại theo phương pháp thủ công này, lại xong.Hic

Go to:

Users currently in here
1 Anonymous