Messages posted by: chaien281985

Look2Me wrote:

C:\windows\system32\com Xóa hết các file có thuộc tính ẩn và sysem trong đó ( chủ yếu là 2 file lsass.exe và smss.exe)
xóa hết đi

Đường dẫn này còn tùy vào version của virus. Con mà mình gặp nằm trong Windows\Fonts\
(Chạy hijackthis là thấy ngay thôi mà)

Cái này mình đã từng làm rùi Mình vào Dos show hết những File trong c:\windows\system32\com thì nó vẫn thấy File lsass.exe và smss.exe Nhưng khi thực hiện lệnh xoá thì lại báo ko tìm thấy file này.---> tại sao lại như thế chả lẽ trong Dos mà nó vẫn chạy sao

File ẩn bạn phải xóa bằng: del filename /ah

Mình dùng NC chứ ko phải vào DOS. Sorry mọi người

Hì hì. Sorry. Mìn dùng NC chứ ko phải vào DOS.

Nguyên tắc diệt virus là trước tiên bạn phải end các process của con virut đó. Cách diệt con dashfer này như sau:

Bạn dùng Hiren boot khởi động vào DOS. tìm đến

C:\windows\system32\com Xóa hết các file có thuộc tính ẩn và sysem trong đó ( chủ yếu là 2 file lsass.exe và smss.exe)
xóa hết đi
và
C:\documents & settings\alluser.windows\..\starup xóa hết các file trong thư mục này ( thường có dạng ~.exe).

Tìm tất cả các file inetcfg.dll xóa nó đi ( file này để kích hoạt virus).

Sau đó khởi động lại máy, quét virus bằng BKAV

Thêm hai khóa để vào được safemode
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

Thêm khóa sau để thấy được các file protected system
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden\Type thành "checkbox" (thay cho giá trị cũ là "radio..")

Tiếp đến vào ổ C, D tìm tất cả các file pagefile.pif, autorun.inf xóa hết đi ( nhớ ko được nháy đúp chuột vào ổ đĩa ).

Theo như mô tả của bạn thì máy bạn bị nhiễm con W32.Dashfer rùi. Dùng BK quét cũng được đó. Thử kiểm tra xem có vào safemode được ko? Có cho hiện file ẩn hệ thống ko?

Kiểm tra các tiến trình lạ trên máy như lsass.exe và smss.exe xem có ko?

Uh. Không tin bạn vào xóa 2 cái key đó đi. Rồi khởi động lại máy xem có vào được safemode ko?

Link nè : hơi nặng một tí đó (75 MB) nếu ở nhà thì down còn quán nét chắc hơi lâu đó :

http://www.mediafire.com/?7mj1bygjyuy

Bạn phải mô tả rõ hiện tượng như thế nào thì mọi người mới có thể chẩn đoán và giúp bạn được chứ.

ko thì thử xem cái này có giúp gì cho bạn ko?
http://www.diendantinhoc.com/lofiversion/index.php/t23096.html

Vào google search để bít rõ hơn nhé

Máy mình nếu để process Explorer.exe chạy thì nó chiếm hết CPU, đồng thời hiện các thông báo như ở trên. và chương trình spyware doctor cảnh báo là nó muốn ghi 1 giá trị vào khóa HKLM ( cụ thể ko nhớ rõ vì giờ nó ko hiện lên nữa). Nếu tắt đi thì ko sao. Máy vẫn hoạt động bình thường

Vậy ai có chương trình nào diệt spyware tốt hơn spyware doctor cho mình xin nhé. Cảm ơn nhiều.

Hay quá. Cảm ơn Ikut nhiều nha. Sao bạn ko up lên host khác. Cái rapidshare này nó hay dở chứng quá bạn ới.

Bạn tự học cho mình một ngôn ngữ lập trình đi, rùi kiếm quyển sổ tay hacker 1.0 vào đoạn virus trojan ấy...có rất nhiều thứ để học hỏi trong đó.

Đó là 2 khóa mới mà bạn: Đâu phải giá trị (value) hay data gì đâu.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network -> chuột phải chọn new -> key : {4D36E967-E325-11CE-BFC1-08002BE10318}

Tương tự cho cái kia. Chúc bạn thành công

Bạn vào registry thêm 2 khóa sau vào:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

Mình vào trang www.hosting.zymic.com đăng kí một hosting tên là : khongdunghang.99k.org. Sau đó up mã nguồn VBB lên. Tạo một database tên: khongdunghang_99k_org_forum, user cho database là : khongdunghang_99k_org_admin, pass ***

Sau đó vào file config.php chỉnh lại nội dung như sau:

config.php
/*======================================================================*
|| #################################################################### ||
|| # vBulletin 3.6.8 Patch Level 2
|| # ---------------------------------------------------------------- # ||
|| # All PHP code in this file is �2000-2007 Jelsoft Enterprises Ltd. # ||
|| # This file may not be redistributed in whole or significant part. # ||
|| # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # ||
|| # http://www.vbulletin.com | http://www.vbulletin.com/license.html # ||
|| #################################################################### ||
*======================================================================*/

/*-------------------------------------------------------*
| ****** NOTE REGARDING THE VARIABLES IN THIS FILE ****** |
+---------------------------------------------------------+
| If you get any errors while attempting to connect to |
| MySQL, you will need to email your webhost because we |
| cannot tell you the correct values for the variables |
| in this file. |
*-------------------------------------------------------*/

// ****** DATABASE TYPE ******
// This is the type of the database server on which your vBulletin database will be located.
// Valid options are mysql and mysqli, for slave support add _slave. Try to use mysqli if you are using PHP 5 and MySQL 4.1+
// for slave options just append _slave to your preferred database type.
$config['Database']['dbtype'] = 'mysql';

// ****** DATABASE NAME ******
// This is the name of the database where your vBulletin will be located.
// This must be created by your webhost.
$config['Database']['dbname'] = 'khongdunghang_99k_org_forum';

// ****** TABLE PREFIX ******
// Prefix that your vBulletin tables have in the database.
$config['Database']['tableprefix'] = '';

// ****** TECHNICAL EMAIL ADDRESS ******
// If any database errors occur, they will be emailed to the address specified here.
// Leave this blank to not send any emails when there is a database error.
$config['Database']['technicalemail'] = 'chaien281985@gmail.com';

// ****** FORCE EMPTY SQL MODE ******
// New versions of MySQL (4.1+) have introduced some behaviors that are
// incompatible with vBulletin. Setting this value to "true" disables those
// behaviors. You only need to modify this value if vBulletin recommends it.
$config['Database']['force_sql_mode'] = false;

// ****** MASTER DATABASE SERVER NAME AND PORT ******
// This is the hostname or IP address and port of the database server.
// If you are unsure of what to put here, leave the default values.
$config['MasterServer']['servername'] = 'localhost';
$config['MasterServer']['port'] = 3306;

// ****** MASTER DATABASE USERNAME & PASSWORD ******
// This is the username and password you use to access MySQL.
// These must be obtained through your webhost.
$config['MasterServer']['username'] = 'khongdunghang_99k_org_admin';
$config['MasterServer']['password'] = '****';

// ****** MASTER DATABASE PERSISTENT CONNECTIONS ******
// This option allows you to turn persistent connections to MySQL on or off.
// The difference in performance is negligible for all but the largest boards.
// If you are unsure what this should be, leave it off. (0 = off; 1 = on)
$config['MasterServer']['usepconnect'] = 0;

// ****** SLAVE DATABASE CONFIGURATION ******
// If you have multiple database backends, this is the information for your slave
// server. If you are not 100% sure you need to fill in this information,
// do not change any of the values here.
$config['SlaveServer']['servername'] = '';
$config['SlaveServer']['port'] = 3306;
$config['SlaveServer']['username'] = '';
$config['SlaveServer']['password'] = '';
$config['SlaveServer']['usepconnect'] = 0;

// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
// This setting allows you to change the name of the folders that the admin and
// moderator control panels reside in. You may wish to do this for security purposes.
// Please note that if you change the name of the directory here, you will still need
// to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

// Prefix that all vBulletin cookies will have
// Keep this short and only use numbers and letters, i.e. 1-9 and a-Z
$config['Misc']['cookieprefix'] = 'bb';

// ******** FULL PATH TO FORUMS DIRECTORY ******
// On a few systems it may be necessary to input the full path to your forums directory
// for vBulletin to function normally. You can ignore this setting unless vBulletin
// tells you to fill this in. Do not include a trailing slash!
// Example Unix:
// $config['Misc']['forumpath'] = '/home/users/public_html/forums';
// Example Win32:
// $config['Misc']['forumpath'] = 'c:program filesapache groupapachehtdocsvb3';
$config['Misc']['forumpath'] = '';

// ****** COOKIE SECURITY HASH ******
// This option allows you to encode cookie.
// You may use any latin and/or any other alphanumeric symbols.
// Leave this blank to use the default value.
// Note: if you change this all users will be logout.
$config['Misc']['cookie_security_hash'] = '';

// ****** USERS WITH ADMIN LOG VIEWING PERMISSIONS ******
// The users specified here will be allowed to view the admin log in the control panel.
// Users must be specified by *ID number* here. To obtain a user's ID number,
// view their profile via the control panel. If this is a new installation, leave
// the first user created will have a user ID of 1. Seperate each userid with a comma.
$config['SpecialUsers']['canviewadminlog'] = '1';

// ****** USERS WITH ADMIN LOG PRUNING PERMISSIONS ******
// The users specified here will be allowed to remove ("prune") entries from the admin
// log. See the above entry for more information on the format.
$config['SpecialUsers']['canpruneadminlog'] = '1';

// ****** USERS WITH QUERY RUNNING PERMISSIONS ******
// The users specified here will be allowed to run queries from the control panel.
// See the above entries for more information on the format.
// Please note that the ability to run queries is quite powerful. You may wish
// to remove all user IDs from this list for security reasons.
$config['SpecialUsers']['canrunqueries'] = '';

// ****** UNDELETABLE / UNALTERABLE USERS ******
// The users specified here will not be deletable or alterable from the control panel by any users.
// To specify more than one user, separate userids with commas.
$config['SpecialUsers']['undeletableusers'] = '';

// ****** SUPER ADMINISTRATORS ******
// The users specified below will have permission to access the administrator permissions
// page, which controls the permissions of other administrators
$config['SpecialUsers']['superadministrators'] = '1';

// ****** DATASTORE CACHE CONFIGURATION *****
// Here you can configure different methods for caching datastore items.
// vB_Datastore_Filecache - for using a cache file
// $config['Datastore']['class'] = 'vB_Datastore_Filecache';
// vB_Datastore_Memcached - for using a Memcache server
// It is also necessary to specify the hostname or IP address and the port the server is listening on
/*
$config['Datastore']['class'] = 'vB_Datastore_Memcached';
$i = 0;
// First Server
$i++;
$config['Misc']['memcacheserver'][$i] = '127.0.0.1';
$config['Misc']['memcacheport'][$i] = 11211;
$config['Misc']['memcachepersistent'][$i] = true;
$config['Misc']['memcacheweight'][$i] = 1;
$config['Misc']['memcachetimeout'][$i] = 1;
$config['Misc']['memcacheretry_interval'][$i] = 15;
*/
// ****** The following options are only needed in special cases ******

// ****** MySQLI OPTIONS *****
// When using MySQL 4.1+, MySQLi should be used to connect to the database.
// If you need to set the default connection charset because your database
// is using a charset other than latin1, you can set the charset here.
// If you don't set the charset to be the same as your database, you
// may receive collation errors. Ignore this setting unless you
// are sure you need to use it.
// $config['Mysqli']['charset'] = 'utf8';

// Optionally, PHP can be instructed to set connection parameters by reading from the
// file named in 'ini_file'. Please use a full path to the file.
// Example:
// $config['Mysqli']['ini_file'] = 'c:program filesMySQLMySQL Server 4.1my.ini';
$config['Mysqli']['ini_file'] = '';

// Image Processing Options
// Images that exceed either dimension below will not be resized by vBulletin. If you need to resize larger images, alter these settings.
$config['Misc']['maxwidth'] = 2592;
$config['Misc']['maxheight'] = 1944;

/*======================================================================*
|| ####################################################################
|| #
|| # CVS: $RCSfile$ - $Revision: 16258 $
|| ####################################################################
*======================================================================*/

Khi cài đặt đến bước 2 thì nó báo lỗi như sau:

Step 2) Connect to the database

Attempting to attach to database

Connect failed: unexpected error from the database.

Error number: 1044

Error description: Access denied for user 'khongdunghang_99k_org_admin'@'localhost' to database 'khongdunghang_99k_org_forum'

Please ensure that the database and server is correctly configured and try again.

Dưới đây là link bị lỗi :
http://khongdunghang.99k.org/upload/install/install.php?step=2

Rất mong được các bạn (anh , chị, em, cô, chú, bác...) tận tình giúp đỡ

p/s: Cài đặt được rùi. Hóa ra là mình chưa set quyền cho user.

Đúng rùi. Cảm ơn phstiger nhé. Mình cũng đang cấu hình file config.php.

Mình mới đăng kí một account tại hosting.zymic.com. Sau đó up mã nguồn v.bulletin lên ( ở dạng chưa cài đặt). Sau đó mình vào cài đặt trực tiếp thông qua mạng ( dùng FF). Nhưng ko được vì làm như vậy mình chỉ có quyền user mà ko có quyền admin.

Vậy làm cách nào để giải quyết được vấn đề này. Mong các bạn giúp cho.

p/s : Mình định cài v.bulletin lên localhost trước rùi up lên trang đó thì liệu có được ko? ( chưa thử được vì lâu quá) smilie

Bạn đã thử chưa?

Chỉ sợ không siêng năng và không suy nghỉ

Bạn cũng nên tìm hiểu cách thông thường mà tôi hay nói là gì.

Thay vì ngôn ngữ góp ý đầy tính mỉa mai và châm chọc bạn hãy góp phần năng lực của mình cho diễn đàn bổ ích hơn. Bạn là một elite cơ mà

p/s: Bạn xem lại trong 1243 bài bạn đã post, có bao nhiêu bài là những lời góp ý như vậy nhé. Thân chào bạn

Đi vào topic nào tôi cũng thấy tmd cãi nhau, liệu như vậy có ích lợi gì cho diễn đàn của chúng ta. Nếu bạn cảm thấy khó chịu với việc người khác hỏi đi hỏi lại thì bạn có thể ko tham gia topic này cũng đựơc mà.

Vậy còn trang [url]
http://viruswebprotect.com/shandler.php?sid=502&pn=5&aid=820&said=0&sg=1 [/url]
này thì sao vậy anh?
nó có phải là website của spyware ko?

Máy mình hôm nay tự dưng dở chứng, xuất hiện những thông báo hết sức lạ lẫm như sau:

và

Mặc dù ko mình đã tắt hết các services alert và security center của windows nhưng những thông báo này vẫn liên tục xuất hiện. Đồng thời xuất hiện những shorcut lạ trên desktop:

các shorcut này đều có URL trỏ đến website sau:

http://viruswebprotect.com/shandler.php?sid=502&pn=5&aid=820&said=0&sg=1

Đồng thời trên thanh taskbar các tab của chương trình thường hay nhấp nháy vàng khè mặc dù mình chả động gì đến nó.
Và Explorer thường chiếm rất nhiều CPU khiến cho máy bị đơ. Làm mình phải endprocess thì mới hết được nhưng cũng chỉ được 5, 10 phút thì Explorer lại chiếm gần hết CPU.

Vậy có phải máy mình đã bị nhiễm virus ko? Cách diệt như thế nào?
Hiện tại trên máy có cài hai trình diệt virus là Fire-lion và BKav.

Một số dịch vụ như SMTP, TELNET mình đều tắt hết.

Tớ muốn vô hiệu hóa cả nút folder và search đồng thời cả menu customize trên thanh toolbar luôn. Để giỡn với mấy đứa pạn đó mà.

Cảm ơn cậu nhiều nha Ikut.

p/s: Tớ tìm mãi mà chẳng thấy cái khóa để ẩn cái nút folders đâu cả. Thử hết cả Noshellfoldersoption đến noshellfolderoption mà vẫn ko được. Sau đó thử lấy cái noshellfolderoption dán lên google thì ko cho ra một kết quả nào cả. Còn nếu là noshellsearchoption paste thì ra một đống trong đó có trang microsoft. Tìm mỏi mắt trong trang đó cũng ko thấy cái cần tìm (ẩn folder trên toolbar).

Hic hic mong Ikut3 và bà con giúp cho.

Mình muốn dùng registry để ẩn nút Search và Folder trên thanh toolbar thì dùng khóa nào vậy? Lên mạng tìm mờ hết cả mắt chẳng thấy mô tê cả?

Rất mong được pà kon giúp đỡ. Thân.

Bích Ngọc cô nương quả nhiên là nữ trung hào kiệt khiến cho tại hạ đây vô cùng kính phục.

Cũng đơn giản thui.
Đầu tiên bạn vào msconfig. bỏ chọn những file ~.exe đi. Sau đó vào Regedit. thêm những khóa sau vào:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

2 khóa này để bỏ vô hiệu hóa safe mode. Tiếp theo là khóa sau:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden\Type thành "checkbox" (thay cho giá trị cũ là "radio")

Khóa này để thêm cái dòng Hide protected system file trong folder option.
Khởi động lại máy. Quét virus. Đồng thời để chế độ hiện file ẩn hệ thổng lên. Vào những folder sau để xóa virus:
C:\windows\system32\com : Xóa hết file ẩn + system đi.
C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup : Xóa hết các file trong này
C[và D..]:\autorun.inf
C[ và D..]:\pagefile.pif.
Tìm thêm file inetcfg.dll xóa hết nó đi. Khởi động lại Quét virus tiếp.
Nên nhớ trong quá trình bạn làm những điều này bạn nên disable mạng và tắt System restore đi.

Bài viết này có tham khảo bài viết của cây đại thụ trong làng virus, trojan việt nam , xin giới thiệu anh LEVUHOANG. Có gì bạn gặp anh ấy liên hệ.

Xin được hết. Xin một tràng pháo tay cổ vũ. He he

mình nghĩ ko nên chấp nhặt câu chữ làm gì

mình sửa được rồi. Cần gì phải cài lại. Lúc cần thể hiện bản lĩnh thì lại pỏ chạy(cài lại win). smilie

)

em thử rồi. Chẳng thấy gì cả?

Máy mình hôm nay dính cả Dasher lẫn pagefile.pif. Đầu tiên đang chạy FF tự nhiên thấy một cửa sổ lạ trên taskbar hiện lên rồi biến mất. Mình vội vàng vào msconfig thì thấy 2 file lạ trong thư mục startup được đánh dấu. Với tên rất lạ ~.a1...exe, sau đó mình bỏ chọn nó và khởi động lại máy.

Vào thử safe mode, lần đầu nó báo corrupt file hal.dll, khởi động lại nó đang chạy các file chuẩn bị cho quá trình safemode thì tự nhiên khởi động lại, làm lại 3 ,4 lần ko thể vào safemode được mình lại vào lại win theo chế độ normal,disable mạng, bât bkav lên quét lần đầu thì có đến gần 700 file (hầu hết là .htm) bị nhiễm dashfer. Vào thử Folderoptions thì nó như sau:

không thấy hiện dòng : Hide protected operating system file

Quét xong thì mở lại thì mới thấy được. Quét xong khởi động lại máy, quét tiếp lần này báo nhiễm 2 file. Và thấy trong ổ D có file autorun.inf với 1 số kí tự lằng ngoằng cùng pagefile.pif, mình xóa nó luôn.

Bây giờ ko bít đã chắc chắn xóa được pagepif này chưa vì kiểm tra trong msconfig ko thấy.

Nhân đây cũng cho hỏi luôn. Khóa nào trong Registry làm mất dòng Hide protected operating system file.
p/s: Hiện thời vẫn chưa thể vào được safemode. Mặc dù ko báo lỗi gì cả. Nhưng cứ chạy được vài dòng load file là khởi động lại.

Cảm ơn pà con nhiều

hì hì. có gì anh thichhackinh up bài lên cho mọi người cùng xem. E đang nghiên cứu sổ tay hacker có một phần nói về vấn đề này ( cả source code), phải đọc thêm PE thì mới hiểu hết được.