|
|
Tôi chạy thử thấy có j đâu ???
Vẫn vào các tools của Windows như thường mà.
|
|
|
Nếu có thể bác cho em luôn links đi !
Thanks
|
|
|
Nó bảo vệ Process của nó không cho kill !
E dùng Process Explorer để kill hoặc suspend nó nhưng cũng không được nó báo là không thể truy cập vào bộ nhớ được !
Bác có cách nào không ?
Quickpost this image to Myspace, Digg, Facebook, and others!
|
|
|
Các bác cho em hỏi làm cách nào để bảo vệ process của mình như thằng IceSword nó làm đó ???
|
|
|
Có bác nào có code bằng VB theo dõi sự thay đổi của 1 folder ( ví dụ xóa đi 1 file hoặc tạo mới 1 file nó thông báo cho mình biết ).
Mong các bác giúp đỡ !
|
|
|
Các bác cho em hỏi là một file đã được Pack bằng AntiDebugLIB Register V2.1 thì có cách nào Unpack được không ?
http://web.1asphost.com/ngochoan2006/AntiDebugLIB%20Register%20V2.1.txt em thử pack bằng phần mềm AntiDebugLIB Register V2.1. Bác nào Unpack nó cái ! ( E đổi đuôi *.exe --> *.txt)
|
|
|
Bác The_last_angel nghĩ là cứ mở các ứng dụng Office ra thì nó đóng lại hiển nhiên là có dính dáng j đến thằng Macro đây !!!
Nhưng xin thưa với bác, ngoài khóa ( đóng ) các ứng dụng của Office nó còn khóa luôn các tools chính thống của windows ( Taskmanager, Msconfig ) và cả thằng Process Explorer nữa mà. Thêm nữa nó có khả năng lây lan qua toàn bộ các ổ đĩa ( kể cả USB ). Mà macro khó có thể làm được điều này ( vì theo em nghĩ macro chỉ chạy và hoạt động khi nó được kích hoạt cùng ứng dụng như Excel,Word... nếu thoát các ứng dụng này đi thì nó cũng im luôn ).
Một vài suy nghĩ của em như thế.
|
|
|
mfeng wrote:
KAV 7.0 diệt được virus này.
virus Heur.Trojan.Generic (modification)
mình đang dùng bản kis7.0.1.321en update mới nhất có thấy phát hiện được đâu nhỉ ?
|
|
|
DEC wrote:
Bác nào Tải nó về và phân tích diệt nó hộ em với.
nghe mà phát ớn . hôm lâu cũng đã thử hộ thằng bạn giờ phải format cả ổ rùi ).
thử ăn bằng Kis 8.0 xem có được không đi bạn. bây giờ ai dùng BKAV nữa.
Thì em bảo là nhờ các bác, bác nào có đủ time và trình thì giúp đỡ.
Còn dùng Bkav là để xác định xem nó có phải là virus nội hay không, bởi vì bên này update các con nội khá nhanh mà.
|
|
|
E vừa dính con Virus mới này, đã dùng F-secrure và Bkav quét nhưng không phát hiện ra con này.
Khi nhiễm con này thì nó không cho mình chạy Office toàn bộ những chương trình thông dụng trong Office khởi động phát tắt luôn !!!
Tắt luôn cả Taskmanager, Msconfig, Process Explorer ...
Bác nào Tải nó về và phân tích diệt nó hộ em với.
File trên các bác tải về đổi đuôi thành System.rar nhé !
Cảm ơn các bác nhiều !
{ File đã Remove ! }
|
|
|
Thực ra tôi cũng đã dính con này 1 lần nhưng không phải là trên XP mà trên hệ điều hành 9X cơ.
Bạn xác nhận lại xem là bạn đang chạy HĐH nào ?
Nó phát nhạc vào thời điểm nào.
Nếu đúng là 9x thì khi khởi động máy lên trước khi vào Win nó sẽ cho loa PC kêu tèn ten ...theo 1 âm điệu đã định sẵn rùi chạy bình thường.
|
|
|
Portable PE Explorer 1.99 R3
A PE file ("Portable Executable") is the native format of executable binaries (programs, dll's and drivers) for the Microsoft Windows® 9x/NT/2000/XP/CE 32-bit operating systems. PE Explorer can handle a variety of different PE file types: EXE, DLL, SYS, MSSTYLES, CPL, OCX, BPL, DPL, SCR and more (including executable files that run on MS Windows CE platform).
PE Explorer gives you the power to look inside these PE binary files, perform static analysis, reveal a lot of information about the function of the executable, and collect as much information about the executable file as possible, without executing it.
PE Explorer provides an amazing array of tools: PE Header Viewer, Section Editor, Exported/Imported API Function List Viewer, Syntax Lookup, Digital Signature Viewer, Resource Viewer/Editor, Dependency Scanner, Removal Tools, and Disassembler.
• See what's inside an executable
• Customize GUI elements of your favorite Windows programs
• Track down what a program accesses and which DLLs are called
• Understand the way a program works and interacts
• Validate the identity of the software publisher
• Special support for Delphi applications
• Open UPX-, Upack- and NsPack-compressed files seamlessly in
• PE Explorer, without long workarounds
Tải bản portable tại đây : http://www.4shared.com/file/51472931/6f2e89f2/PE_Explorer-portable.html
|
|
|
Tôi vừa dính trường hợp này song. Thực sự là không có cách nào khác là phải cài lại Win thôi. Tôi Ghost song cài DF vào sau đó Reset lại máy và .. tèn ten !!! nó không hiện biểu tượng ở khay hệ thống, bấm phím tắt không được mặc dù nó vẫn chạy ( phiên bản 6 ).
Gỡ cài đặt nó cho gỡ bình thường nhưng lúc khởi động lại vẫn đóng băng như thường.
Potay.com.vn ! đành ngậm ngùi lấy bản Ghost for all main ra chạy lại.
|
|
|
Thanks !
Bác có cái Plugin nào hay của thằng này không Up lên cho anh em với !
|
|
|
Máy mình cũng bị con này. Không biết cách làm như thế nào để fix nên chơi theo kiểu nông dân học là cho đĩa cài Win vào setup lại khi cài ta chọn chế độ Repeair là OK.
Bác nào biết cách sửa Registry ở Dos không chỉ cho anh em với !
|
|
|
Nghe có vẻ lạ ghê !
Nếu được bạn up cái file dính Virus lên đây, để tui dùng thử xem có bị nhiễm không !
OK
|
|
|
OK là cách này có thể Enable được thằng TaskManager !
Nhưng tui nói ở đây là khi máy đang bị nhiễm Worm rùi mà chưa diệt được nó thì bạn Fix thì nó lại Disnable luôn !
Vì thế mình phải kill nó chít trước đã rùi mới dùng tệp của bạn được .
Có đúng không ?
|
|
|
Máy em nó báo lỗi file SYSLIB.SYS thì là do gì hả các bác ?
|
|
|
Pó tay !!!
Bác nói như thế thì khó thật !
Trước hết các con Worm hiện nay đều có kiểu đổi biểu tượng file thành biểu tượng thư mục.
Hide Folder option, Taskmanager and Msconfig disnable .... Và nó set các thư mục hiện hành thành Hide hết ( các bác nhìn tưởng mất hết data )
Tóm lại bác trước hết phải kill cái Processes của con đó đi ( Cái này dựa vào kinh nghiệm thui, bác dùng một tool thay thế Taskmanager để xem những cái gì đang chạy thấy cái nào khả nghi thì Kill luôn mà tool này đã có trong mục này rùi đấy.
hy vọng rằng bác sẽ thành công.
|
|
|
Tui update cái tool TaskManager !
Cải tiến giao diện cho thêm phần Pro !
Bác nào cần thì vào http://files.myopera.com/ngochoan2006/files/TaskManager.zip để load về dùng.
|
|
|
Không phải là Dũng còi thả nó chạy đâu, mà có lẽ "đệ" của Dũng còi làm đó.
Hắn đã viết tool để fix con này rùi đấy, download về là ok thui.
|
|
|
Ặc ặc !!!
Tui đang định download về test nhưng .... link : http://fasthelper.fire-lion.com/download/FastHelperSetup52.zip
File not found !!!
Bác Hoàng check lại xem có đúng không !
|
|
|
OK dùng thử xem có làm gì được nó không nhé.
Tools này chỉ có tác dụng kill nó chết tức khắc thui chứ không có tác dụng diệt nó.
Bạn phải cài phần mềm AV vào mới diệt được.
Tui thường cài BKAV cùng với F-Secure 6.0 !
|
|
|
PhamTienSinh wrote:
ngochoan2003 wrote:
Cả nhà dùng song không cho ý kiến gì hả ?
Góp ý vài câu cho nó Pro tí !!!
Bác thử ngó qua đây tý nha
http://www.caulacbovb.com/forum/viewtopic.php?t=6609&highlight=
Ngó rùi thế ông không thấy trong đó có tên tui à !
|
|
|
Durza wrote:
ngochoan2003 wrote:
Hà hà hà ! Các bác thích học AutoIT hả !
hiện nay tui đang nói cho mọi người biết về mã nguồn của một Worm viết bằng VB. Còn các bác thích bằng AutoIT hả ??? phải có căn bản trước đã, thấy con Worm viết bằng AutoIT lộng hành ghê wa' nên cũng muốn làm thử một con chứ gì ! :lol thôi được tui sẽ không post tiếp source code của con này nữa vậy để các bác học AutoIT cho đỡ mệt.
For All :
Địa chỉ học AutoIT thì các bác vào http://identical.wordpress.com/tag/coding/autoit/ //url nhé bao giờ thành công viết được một con thì hướng dẫn em với nhé ! )
Mèng ơi ! Có biết lập trình VB không mà gáy to thế không biết
Còn các bác thích bằng AutoIT hả ??? phải có căn bản trước đã, thấy con Worm viết bằng AutoIT lộng hành ghê wa' nên cũng muốn làm thử một con chứ gì ! :lol
Bạn nghĩ muốn tạo một chú virus từ AutoIT cần có căn bản lập trình gì ?
thôi được tui sẽ không post tiếp source code của con này nữa vậy để các bác học AutoIT cho đỡ mệt.
Ha ha ! Chưa gì đã đổ quạu rồi . Động chạm tự ái à ? Source virus thì đầy rẫy trên mạng thiếu gì mà phải hù dọa nhau như thế .
@ngochoan2003 : đoạn code virus trên là bạn viết ????????????? . Chưa biết code hay như thế nào nhưng riêng cái chủ đề này thì bạn spam hơi bị nhiều đấy .
Định không tham gia nữa nhưng thấy bố này nói chuối quá nên lại phải ra mặt vậy
Thứ nhất : Tui biết VB chỉ sơ sơ thui, đủ để đọc được các đoạn code đơn giản vậy là OK rùi
Thứ hai : Câu hỏi để viết được một con Virus từ AutoIT thì cần có căn bản lập trình gì ? Câu hỏi này thật sự làm tui choáng ) Bởi vì hình như là hồi tui học lớp vỡ lòng về IT họ có nói với tôi là Virus có các đặc tính riêng như tự lây lan, tự thực hiện một công việc nào đó .... và để làm cũng như diệt được nó mình phải biết được điều này --> Căn bản để lập trình Virus là tự tìm hiểu tui còn " non" nên không thể nói cho bạn biết được
Thứ ba: Bạn bảo Source đầy trên mạng, tui đâu có bảo là không thế sao bạn vào Tip này làm gì Híc
Thứ bốn : Đoạn Code Virus trên là do tui viết ??? Câu trả lời là Không phải, Code này tui thấy hay và có đầy đủ các đặc tính cơ bản của một con Worm nên tui muốn chia sẻ cho mọi người. Còn tui mà viết được Virus thì có lẽ bạn sẽ không hỏi tui là có biết lập trình VB không nhỉ ! )
Vậy tui trả lời bạn như thế đấy.
À còn Spam nữa hả ? Pó tay với bố này ! Không hiểu nổi !!!
|
|
|
Hà hà hà ! Các bác thích học AutoIT hả !
hiện nay tui đang nói cho mọi người biết về mã nguồn của một Worm viết bằng VB. Còn các bác thích bằng AutoIT hả ??? phải có căn bản trước đã, thấy con Worm viết bằng AutoIT lộng hành ghê wa' nên cũng muốn làm thử một con chứ gì ! :lol thôi được tui sẽ không post tiếp source code của con này nữa vậy để các bác học AutoIT cho đỡ mệt.
For All :
Địa chỉ học AutoIT thì các bác vào http://identical.wordpress.com/tag/coding/autoit/ //url nhé bao giờ thành công viết được một con thì hướng dẫn em với nhé ! )
|
|
|
Hôm nay tui post tiếp code cho mọi người nhé:
Code trong file Resource thì tui up lên cho mọi người load luôn về.
http://files.myopera.com/ngochoan2006/files/pics.zip
giải nén ra được file Res và add vào Project của mình nhé.
Code trong Module:
Declare Function RegOpenKeyEx Lib "advapi32.dll" Alias "RegOpenKeyExA" (ByVal hKey As Long, ByVal lpSubKey As String, ByVal ulOptions As Long, ByVal samDesired As Long, phkResult As Long) As Long
Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Public Declare Function RegOpenKey Lib "advapi32.dll" Alias "RegOpenKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Public Const HKEY_CURRENT_CONFIG = &H80000005
Public Const HKEY_PERFORMANCE_DATA = &H80000004
Public Const KEY_ENUMERATE_SUB_KEYS = &H8
Public Const HKEY_CLASSES_ROOT = &H80000000
Public Const HKEY_CURRENT_USER = &H80000001
Public Const HKEY_LOCAL_MACHINE = &H80000002
Public Const HKEY_USERS = &H80000003
Public Const HKEY_DYN_DATA = &H80000006
Public Const REG_SZ = 1 'Unicode nul terminated String
Public Const REG_BINARY = 3 'Free form binary
Public Const REG_DWORD = 4 '32-bit number
Public Const ERROR_SUCCESS = 0&
Dim DispName As String
Const READ_CONTROL = &H20000
Const KEY_QUERY_VALUE = &H1
Const KEY_SET_VALUE = &H2
Const KEY_CREATE_SUB_KEY = &H4
Const KEY_NOTIFY = &H10
Const KEY_CREATE_LINK = &H20
Const KEY_ALL_ACCESS = KEY_QUERY_VALUE + KEY_SET_VALUE + _
KEY_CREATE_SUB_KEY + KEY_ENUMERATE_SUB_KEYS + _
KEY_NOTIFY + KEY_CREATE_LINK + READ_CONTROL
Private Declare Function RegQueryValueEx Lib "advapi32.dll" Alias "RegQueryValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal lpReserved As Long, lpType As Long, lpData As Any, lpcbData As Long) As Long ' Note that if you declare the lpData parameter as String, you must pass it By Value.
Private Const MAX_PATH = 260
Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal hKey As Long, ByVal lpValueName As String) As Long
Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long
Public Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String)
Dim Ret
'Create a new key
RegCreateKey hKey, strPath, Ret
'Save a string to the key
RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData)
'close the key
RegCloseKey Ret
End Sub
Public Function RGGetKeyValue(hKey As Long, SubKey As String, ValueName As String, Optional Default As String = "")
Dim lngRet As Long
Dim lngResult As Long
Dim sData As String
lngRet = RegOpenKeyEx(hKey, SubKey, 0, KEY_ALL_ACCESS, lngResult)
If lngRet = ERROR_SUCCESS Then
sData = String(128, vbNullChar)
lngRet = RegQueryValueEx(lngResult, ValueName, 0, REG_SZ, ByVal sData, Len(sData))
If Not lngRet = ERROR_SUCCESS Then RGGetKeyValue = Default: Exit Function
RGGetKeyValue = Left(sData, InStr(1, sData, vbNullChar) - 1)
RegCloseKey lngResult
Else
RGGetKeyValue = Default
End If
End Function
Chốc nữa tui giải thích các câu lệnh, tóm lại module này dùng để tạo, đọc ghi các giá trị trong Regedit.
Thế nhé bây giờ tui đi có chuyện một chút.
|
|
|
azteam wrote:
). Cao siêu quá đây mừ. Nản... Đã thấy cái j đâu mà cao siêu. Cuối cùng cũng dùng TastManager với Regedit thôi mừ (mà em chưa thấy nói rõ ràng j cả). Diệt con folder .exe kia em dùng AVG fat là đi thẳng cẳng. Có ai pro chỉ lại jum em cách diệt không dung AVG không? (nhớ hướng dẫn từng bước jum cho em, vì em là newbee)
Có lẽ phải để phải để Pro Anti Ghost trả lời bạn mới được.
Còn tui thì chỉ có thể bảo bạn vào mục mà tui đã post lên 2 công cụ thay thế Regedit và Taskmanager thui. Nhưng với 2 công cụ này cũng chỉ kill nó không cho chạy Realtime mà thui và không cho StartUp cùng Windows mà thui. Và bạn vẫn phải cần dùng các phần mềm AV để diệt nó.
|
|
|
OK thui để tui post " Từng phần" lên vậy. Nếu Admin Hide thì chịu thui:
Trước hết trong project của bạn phải có :
01 Form trong form chứa các thành phần sau : 01 Dirlistbox, 01 drivelistbox, 2 filelistbox, 1 listbox, 1 timer.
01 module ( khai báo các API cần sử dụng )
01 Relate document ( chứa các định dạng file )
Trước mắt thế đã. Hết giờ rùi tui phải về mai đi làm tui post tiếp ! :lol
|
|
|
Tóm lại tui không biết là " Câu cú" như thế nào nhưng theo cách ăn nói của Ghost ship thì có vẻ là dân Pro lắm. Nhưng khi tui đọc qua các bài viết của người này thì chứng tỏ một điều là ..... Pó tay !
|
|