banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Ghost Ship  XML
Profile for Ghost Ship Messages posted by Ghost Ship [ number of posts not being displayed on this page: 0 ]
 

osamabinladel wrote:
tạo autorun cho những cú dubble click thơ ngây :d
 
Cậu đã bao giờ thử tạo Autorun trong folder và thử công dụng của nó chưa? smilie) Tôi thì tôi thấy Autorun (cụ thể là Autorun.inf) chỉ có tác dụng khi tạo ngay ngoài ổ thôi chứ vứt vô Folder nó chả có tác dụng gì hết smilie)Mà mình cũng chưa biết Autorun.ini nó có tác dụng gì smilie)

osamabinlade wrote:
vậy có ai đưa ra một phương pháp wa mặt AV không 

Các virus mới vẫn thường xuyên qua mặt các AV mặc dù chức năng của những virus đó chả có gì mới smilie)

Qua mặt AV khi AV chưa được update nhưng khi AV được update rồi thì virus đó lại bị AV thịt ngon ơ. Chẳng qua chúng chỉ là những phần mềm và cái ra sau qua mặt cái ra trước là chuyện đương nhiên.

Hóa ra là nhiễm tận rootkit cơ à. Ghê nhỉ, rootkit bắt đầu phổ biến rồi đây smilie) mình đã đánh giá thấp vẫn đề và cả nothing1610 nữa smilie) xin lỗi vì đã nói cậu gà nhé smilie) mình là gà mới đúng smilie)

Nhờ con rootkit này và các cậu mà mình biết thêm rằng những file .sys cũng rất cần được quan tâm theo rõi smilie)

Mình vừa tìm các file .sys trong thư mục Window và phát hiện ra con llaclla.dll ngày xưa mà mình dính còn có một file zmqqktfc.sys đi theo smilie) (nó có thời điểm tạo ra giống với file llaclla.dll) hóa ra chúng là rootkit thảo nào mà cứng đầu thía smilie)

Đây là topic nói về nó, ai chưa đọc thì đọc tham khảo chơi smilie) : /hvaonline/posts/list/11387.html

Sau bao nhiêu ngày mà mình gõ "llaclla.dll" vào google mà vẫn kô thấy kết quả nào khác. chẳng nhẽ có mỗi mình mình dính con này? chán thiệt.
Mà đại ca ThangCuEm nói là phân tích con đó giúp mình vậy mà chả thấy hùi âm gì ráo, chán thía smilie)

Chiều nay down IceSword 1.22 về mới xóa được những key của nó trong registry. Ngày xưa, dùng IceSword 1.20 kô thể xóa nổi, cứ gần mở ra nơi có key của nó là máy tắt cái phụt rồi restart lại ngay. kinh thiệt smilie( bị 4 lần liền như thế, hoảng kô dám dùng IceSword động đến nó nữa.

Nhưng từ đó máy cứ chạy chương trình nào nặng nặng là lại bị tắt đột ngột như thế. chiều nay cài cái máy ảo ra chơi nhưng cứ đến chỗ finish là máy lại tắt phụt như vậy, khởi động lại cài tiếp phát nữa cũng thế. Cú quá định Ghost cho nó phát. Rọn hết dữ liệu ổ C ra ổ khác rồi nhưng tự nhiên lại nghĩ sao kô thử xem IceSword nó ra Ver bao nhiêu rồi smilie) thử down về cố lần cuối em sao smilie) Và kết quả thật là tuyệt xóa đi mấy cái đó ngon ơ. Quên kô thử dùng IceSword 1.20 thử lại trước nên chẳng biết có phải do IceSword mới nó mạnh kô hay là để lâu con đó nó tự chết smilie) có khi vào registry del tay bo nó cũng mât í chứ smilie) Sau đó, cài lại máy ảo thì kô bị tắt nữa smilie) khoái thiệt smilie)cài máy ảo rồi thì từ giờ tha hồ chơi với virus tươi sống smilie Mà kô biết cái bệnh tắt đột ngột kia có còn kô, phải theo dõi thêm đã, có khi vẫn phải làm lại Win smilie(

LeVuHoang wrote:
Cách tốt nhất là nhấn Ctrl+E để mở Windows Explorer, rồi chọn ổ đĩa ở Panel bên trái... hehehe smilie. Không thì để FastHelper đang chạy và double-click vào cái Flash Drive, cũng sẽ không bị gì smilie
Còn một giải pháp nữa là sử dụng explorer khác thay cho Windows Explorer. 


Hì trước giờ em toàn vào USB bằng Explorer (qua cái cây thư mục). Mấy lần nghe người ta bảo vào qua dòng Open hay Explorer trên cái menu nhưng em vẫn có cảm giác kô an toàn nên vẫn dùng cách kia. smilie Kô ngờ giác quan thứ sáu của mình tốt thía smilie

Kô biết Autorun có thể kích hoạt virus khi vào qua cây thư mục kô nhỉ? dù sao vẫn còn tới mấy cách để vào ổ smilie)

Run--> [tên ổ]: -->Enter cũng được

Sổ cái khung Address xuống rồi chọn ổ cũng được.

Mà mình có một cách đơn giản để kiểm tra Autorun trong các ổ như sau: Save đoạn code sau với file .bat rồi mỗi khi muốn kiểm tra chỉ việc run file bat này là nó sẽ báo ổ nào có Autorun. Bào nhiêu ổ thì bấy nhiêu dòng "@if exist..." và gõ tên ổ vào dòng tương ứng.smilie
Code:
@if exist "C:\Autorun.inf" ECHO C co Autorun
@if exist "D:\Autorun.inf" ECHO D co Autorun
@if exist "E:\Autorun.inf" ECHO E co Autorun
@if exist "F:\Autorun.inf" ECHO F co Autorun
@PAUSE

Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy.  


thật kô đấy thằng viết worm chắc là thiên tài rồi  

Kô phải là thiên tài đâu mà là những tác giả trước đây kô tìm hiểu nhiều về Autorun nên kô biết hết khả năng của nó thôi. Thực ra những file Autorun đi theo worm của Tàu nó tạo ra các ký tự loằng ngoằng kô phải để che mắt người dùng mấy cái dòng Open và Explorer mà là do bên Tàu người ta toàn dùng bản Win đã được Tàu hóa (đổi tiếng Anh thành tiếng Tàu) nên 2 cái chữ ấy đều là chữ Tàu nên Autorun nó cũng Tàu hóa luôn 2 cái chữ ấy. Nhưng sang Việt Nam thì nó bị lỗi Font nên mới loằng ngoằng ghê gớm như thế --> càng dễ nhận biết là USB bị nhiễm smilie)

Đây là code của một cái Autorun có nguồn gốc từ tàu và đã được tui sửa cho hết loằng ngoàng. Với cái file Autorun.inf này thì dù click chuột phải vào ổ có nó cũng kô thấy gì khác thường smilie Dù chọn dòng Open hãy Explore virus vẫn được kích hoạt smilie) Sắp tới code này chắc chắn sẽ được mấy cha chế tác worm sử dụng nhiều nên chúng ta hãy từ bỏ kiểu kiểm tra bằng cách right-click vào ổ dần đi là vừa smilie) và cả thói quen double-click vào USB nữa smilie)
Code:
[autorun]
OPEN=VIUS.EXE
shell\open=Open
shell\open\Command=VIUS.EXE
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=VIUS.EXE


Chỉ khác có vài dòng mà tạo ra sự thay đổi đáng sợ smilie-))
Mấy cha chế tác Worm chưa biết cái nầy mà vớ được chắc sướng phải biết smilie) kô biết việc mình post phát hiện này lên đây có phải là vẽ đường cho sói chạy hay kô smilie( nhất là mấy mem choi choi thích nghịch worm ở forum của Dungcoi. Thể nào anh chàng danvac kia chả mang sang đó khoe ngay smilie) Than ôi! đến là mệt smilie)
ây a, Mình vừa vào forum của ông Còi này xem. share nhiều source virus quá smilie( vừa viết AV vừa làm admin của một forum chuyên bàn luận về viết virus smilie( kô hiểu nổi smilie)

xikenet wrote:
Noi nhu vay. thi` ai cu moi lan nhiem virus la format sau do cai lai. Vay thi mo dien dan nay ra de chi troi. 


Hê` tui đồng ý với ý kiến nầy smilie) nhưng kô phải là mở diễn đàn này làm gì mà mở mục thảo luận virus làm gì thôi smilie) nhưng mà tui xin nhắc bạn là bạn mau sửa lại bài của mình cho nó có dấu đi kô là bị cảnh cáo bây giờ đấy smilie

danvac wrote:
mình nghĩ format là dễ + nhanh + hiệu quả nhât 


Dễ + nhanh + hiệu quả nhất = mãi là gà smilie)

Nhanh: thời gian để làm một con virus ngỏm đúng là nhanh nhưng thời gian để máy quay lại thời điểm chưa bị nhiễm thì lâu gấp trăm lần.(phải cài lại đủ thứ)

Hiệu quả nhất: chưa đủ, phải gán thêm là:"nó hiệu quả nhất đối với những người kô biết mấy về virus":lolsmilie

Dễ: nếu kô biết mấy về virus thì đúng là sẽ thấy format và cài lại dễ hơn thật :lolsmilie

Sau mỗi lần bị nhiễm ta cần phải tìm hiểu xem do đâu mà mình bị nhiễm và rút ra chút bài học chứ cứ thấy nhiễm là format rùi cài lại thì sẽ cứ đứng mãi trong hàng ngũ "trung gian truyền bệnh" thôi :lolsmilie là một người thường xuyên lên 4rum IT chơi mà thế thì mình nghĩ hơi đáng xấu hổ smilie)
Bạn post kết quả quét hijackthis lên đây nhá smilie)

nothing1610 wrote:
Sau khi mình cài lại hề điều hành và cho nó nhiễm lại virus đó thì nó không còn tình trạng như vậy nữa. 

Kinh nhỉ? cài lại Win rồi lại cho nhiễm lại smilie) đam mê nghiên kíu kinh smilie)

Theo Kết quả của Hijackthis:
Cái process này khả nghi này: C:\WINDOWS\lsass.exe

Có 2 file lsass.exe file của hệ thống nằm trong System32 cơ.

Đây là key kích hoạt nó lúc win khởi động:O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe

Cậu hãy up cái file C:\WINDOWS\lsass.exe lên đây cho bác Hoàng phân tích nhá smilie) để xem nó có những hoạt động gì rùi lấy FH của bác ấy về quét cho triệt để.

sau khi lấy mẫu xong thì làm như sau để tạm thời vô hiệu nó:
Dùng Procexp hoặc IceSword để kill Process C:\WINDOWS\lsass.exe

nếu chưa có 2 tool trên thì dùng luôn hijackthis cũng được: Mở hijackthis --> Open the Misc Tools section --> Open process manager --> chọn dòng C:\WINDOWS\lsass.exe rồi ấn nút Kill process. (nếu cái dòng ấy kô mất đi thì bạn down cái IceSword về mà sài. chài, kô biết là có biết dùng kô nữa)

Sau đó Scan lại bằng hijackthis rồi tìm đến dòng:O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe tick vào cái ô vuông đầu dòng rồi ấn nút Fix checked

Có lẽ như vậy là đủ vô hiệu nó. mình hướng dẫn hơi tỉ mỉ vì thấy cậu miêu tả hiện tượng chưa chi tiết lắm nên nghĩ cậu hơi "gà" về khoản này. Thấy cậu nhắc tới file Autorun.inf nhưng cậu có biết vô hiệu nó kô vậy? hình như cậu kô biết mở ẩn thì phải? hoặc là kô biết kiểm tra chức năng ẩn có bị khóa hay kô. :lolsmilie Xin lỗi nếu nhận định của mình là sai smilie

Mới xem xong cái trình diễn Flash của cậu khá ấn tượng đấy smilie) nhưng sự ấn tượng đó càng khẳng định nhận định trên của mình là đúng smilie

Cậu nhắc đến file Autorun.inf nhưng cậu kô biết nó có tác dụng gì đúng kô? nếu biết thì cậu đã kô click đúp để vào USB như vậy smilie)

Và 2 file trong USB là Autorun.inf và Boot.exe chứ kô phải Boot.inf đâu bạn ạ. Mà làm thế nào mà bạn biết trong USB có 2 file ấy thế?

Đó chỉ là 2 cái mầm của virus do con virus đang hoạt động đẻ vào USB thôi.

Con virus đang hoạt động chính là cái file lsass.exenằm trong C:\WINDOWS\ đấy bạn ạ. và việc làm ẩn những thứ trong USB như bạn thấy chính là do cái process lsass.exe làm. còn vì sao cái Process ấy nó làm được như thế thì bạn hãy up cái file lsass.exe lên đây hay file Boot.exe cũng được nhưng chắc là bạn chưa biết mở ẩn để lấy nó đâu smilie) Sau khi các pác ấy phân tích xong cái file ấy thì sẽ có câu trả lời cho bạn smilie)

Mà bạn tạo file hay folder tên là gì thì cũng bị ẩn đi thôi chứ kô phải cứ đặt tên là Autorun.inf thì nó mới ẩn đâu smilie)

Mà mình nghĩ chỉ cần biết do cái Process kia làm là đủ smilie Sau khi bạn kill cái Process ấy như trên kia mình hướng dẫn thì những hiện tượng đó sẽ kô xảy ra nữa.

Nhưng bạn chú ý đừng có click đúp để mở USB và các ổ khác như thế nữa nếu kô con virus đó lại được kích hoạt lại đấy và những hiện tượng như vậy lại xuất hiện.

Đợi khi nào bác Hoàng update xong FH thì bạn down về mà quét cho triệt rồi dùng tool của nó mà vô hiệu mấy cái Autorun ở các ổ (kô biết các ổ khác có kô, hình như hắn kô biết right-click để kiểm tra :mrgreensmilie

Xin lỗi vì mình có những lời kô được vui lắm. có lẽ người khác đọc cũng thấy khó chịu smilie) nhưng mình mà kô nói như vậy thì mình còn thấy khó chịu hơn smilie mọi người thông cảm nhá mình kô có ý coi thường ai đâu mình biết rất rõ mình là con gà to còi nhất HVA này mừ smilie smilie)
Ác phết nhỉ smilie) mà tưởng 15/8 mới ra lò cơ mà smilie) sao lại vượt tiến độ vậy?

Cuối cùng cũng có người có cùng ý tưởng quét theo icon smilie Có thể cách này kô hiệu quả cao trong việc phát hiện malware nhưng nó sẽ hạn chế rất nhiều khả năng worm được kích hoạt do người dùng thiếu kinh nghiệm mở những file .exe có icon của Folder. smilie) nếu các tác giả worm bỏ kiểu lừa này thì sức lây của worm cũng sẽ giảm đáng kể smilie

Tính năng phát hiện ra file được thêm vào thư mục Windows cũng rất hay smilie) mình đang muốn có chương trình có chức năng nầy smilie làm thêm chức năng theo dõi các key được thêm vào hay bị sửa trong registry nữa nhá.

Mới học hết cấp 3 mấy tháng mà làm được như vầy là cũng đáng nể phết đấy chứ smilie Chúc thành công nhá Còi smilie)

Ngại ghê mình vẫn chả biết gì smilie có lẽ phải nhờ mod khóa nick mình mấy tháng chứ cứ suốt ngày lên đây buôn thế này thì chả đọc được gì để mà mở mang smilie
Hic muốn rút lui lắm rồi nhưng mà đọc phải những bài như thế này mà kô dưa ra ý kiến là em bứt rứt kô thể chịu đựoc các pác ạ :lolsmilie khổ quá thể :lolsmilie mình phát hiện ra là mình kô có khả năng "read-only" ở nơi nầy :lolsmilie

Hic hic xin thưa với tác giả! trước tin tui có lời khuyên với tác giả là tác giả hãy thu lại 3 cái dòng cuối đi kô thì tí nữa lại có nhiều người vào đây rồi cười lăn cười bò ra đây kô đứng dậy được mất đấy :lolsmilie

Đọc sơ qua tui có một số nhận xét sau, mà thui mình mà nhận xét là hay làm người khác phật lòng lắm :lolsmilie thui kô nhận xét nữa mà chỉ nêu những điểm mà mình đã thấy và cho là có vấn đề nhất trong bài của bạn thui :lolsmilie

danvac wrote:
1 - Kiểm tra giao vận thong tin với bên ngoài : ở đây tôi chỉ đơn giản là dung 1 USB “sạch “ tức là không có dòng chữ AUTORUN màu đậm ở trên đầu nó . Cắm vào sau đó rút ra => cắm trở lại nếu thấy dòng chữ autorun màu đậm trên đầu USB => máy tính đã bị nhiễm worm  

Giao vận thông tin với bên ngoài cơ à :lolsmilie kêu như chuông chùa thiếu lâm ấy :lolsmilie

Kô phải là "dòng chữ AUTORUN màu đậm trên đầu nó" mà là chữ Autoplay hoặc Auto in đậm ở trên đỉnh menu hiện ra khi ta right-click lên ổ USB bạn ạ :lolsmilie

Mà hình như các tác giả worm bây giờ kô dùng loại Autorun tạo ra 2 chữ đậm ấy nữa đâu bạn danvac thân mến ạ :lolsmilie Hình như autorun bây giờ toàn toàn ăn cắp của Tàu(hoặc là có nguồn gốc từ Tàu) nên mấy chữ đó toàn lằng ngoàng do bị lỗi font :lolsmilie mà là mấy dòng loàng ngoằng chứ kô phải chỉ một dòng nên còn chẳng thấy chữ Open và Explorer đâu nữa cơ.

Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy. smilie

danvac wrote:
2 - Kiểm tra các chương trình đăng ký khởi động cùng windows :
Ta nhấn Start/run => gõ mscofig => vào tab starup

Chương trình liệt kê các phần mềm đăng ký khởi động cùng windows dung dấu kiểm bỏ chọn các chương trình mà bạn nghi ngờ ở đây là 1. exe , shel. , Exe vbkey……
về vấn đề này bạn có thể tìm trên www.google.com.vn bài viết “10 cách tự động thực thi file “để hiểu rõ hơn về vấn đề này trong bài viết tôi chỉ nêu ra cách đơn giản mà trong bài viết trên không nêu ra thôi smilie .  

:lolsmilie Kô phải là trong bài viết ấy kô nêu ra đâu bạn danvac thân mến ạ :lolsmilie mà những cái dòng được msconfig/statup liệt kê chính là những dòng trong cách thứ 7 ở bài viết ấy đấy bạn ạ :lolsmilie

10 cách wrote:
7. Ở Registry có thể là
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Something"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Something"="c:\directory\virus.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Something"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Something"="c:\directory\Virus.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Something"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Something"="c:\directory\virus.exe"  


Còn Process Explorer thì đúng là phát hiện ra nơi cư ngụ của con worm đang chạy như khả năng Kill Process của nó thì có vẻ kô còn hiệu quả với những con mới nữa smilie)

Cám ơn bạn đã cho tui một trận cười sảng khoái :lolsmilie có thể tối tôi sẽ đọc kỹ hơn và có ý kiến thêm :lolsmilie

Tối: thôi kô nói gì nữa smilie kô nên vùi dập những con người có tâm huyết cống hiến như thế smilie

tmd wrote:
Cậu GS kia chỉ thích khích bác bà con thôi. Chuyện về malware dài hơi lắm. Không phải biết 1 chút là có thể phán người khác này nọ kia được. Nếu muốn, lên các diễn đàn, blog về malware của các hảng sản xuất trình phát hiện malware mà học hỏi, trao đổi. Ở đó họ chuyên nghiệp hơn. Muốn post linh tinh bậy bạ cũng không có được.
Điển hình là beeping computer, hijackthis được sử dụng ở đó. Muốn show off gì đó thì vào trỏng thử. Vài lần sẽ thấy.  


Ai da! đúng là đại ca nói cang ngày càng hay đó nha smilie)
-->câu này của đại ca đúng là làm em phải suy ngẫm smilie) đúng là mình hay làm cái nầy thật cần phải sửa chữa smilie) rất cám ơn đại ca vì câu này.

mà "diễn đàn, blog về malware của các hảng sản xuất trình phát hiện malware" địa chỉ thế nào vậy đại ca smilie ngại quá em ngại tìm bác biết thì cho em luôn em đỡ mất công smilie Mà thôi em cũng kô còn hứng với malware nữa. kô định đi sâu hơn nữa. với khả năng hiện tại là đủ ảo vệ cho mình rồi nếu gặp con nào ngoài khả năng thì ghost phát cho nó êm :lolsmilie

Mà đã kô định đi sâu hơn thì có lẽ từ giờ em cũng ít vào đây post linh tinh hơn smilie lúc nào gặp cái nào hay hay thì mới tham gia thôi smilie
Còn virus hay gì đó lây lung tung, vào các forum của f-secure, spyware terminator(dạng trung bình), mcafee... các thứ. Lúc đó thấy kiến thức của cậu GS có phán được gì không.
Vài ý kiến. 

Hì đâu phải ai cũng thích sài AV đâu đại ca. Nhiều người cũng muốn quai tay như em chứ bộ smilie mà nhiều con khi đã nhiễm thì nó kô cho cài mấy AV kia ra luôn lúc ấy chỉ có mua đia Boot phiên bản mới nhất về quét--> mất công di mua mà lại tốn tiền mà chưa thể biết có đúng là phiển bản mới nhất hay kô smilie Còn nếu lên đây thì được chỉ cách dùng mấy tool đặc chủng để diệt, chỉ mất chút thời gian mà kiến thức kinh nghiệm của cả hai bên đều tăng :lolsmilie
Vấn đề này có liên quan gì tới virus nhỉ smilie) nếu đưa ra ở box "thảo luận hệ điều hành Windows" có lẽ hiệu quả hơn smilie)

Hình như cũng có lần máy mình bị như thế. đang chạy tự nhiên màn hình xanh lè đơ luôn. Ấn nút reset thì kô vào được nữa, nó báo thiếu mấy file .dll. Tháo HDD sang máy khác để lấy thì phát hiện ra mấy cái file đó vẫn còn.--> bó tay--> đành cài lại Win cho máy nó bon smilie
hì hì lão tmd vừa lập chiến công ở đâu mà được chính phủ thưởng cho cái huy chương to thía smilie được huy chương xong về noí nghe hay hẳn smilie)

tmd wrote:
Lôi Art of Deception ra nói chuyện . Security in mind là thứ khó chịu. Như kiểu anh GS kia, Art of Deception là thứ xa xỉ.
Câu nói "ta thừa khả năng nhúp từng con ra nuốt sống " là câu nói có vấn đề nhất.  

Ầy a, mìn lại làm lão ấy kêu khó chịu roài smilie em nói chơi mà đại ca smilie) mà câu đó là em dành cho cậu APlaceForMyHead chứ có phải là nói em đâu smilie
Không nên tranh cải cách thức nào là tốt nhất, vì như vậy, bà con đã tự mình che mắt, che tai, không chấp nhận tấc cả các phương pháp phòng chống có hiệu quả.  
Thực ra là kô có cách nào tốt nhất mà mối cách đều có ưu điểm riêng, phù hợp vầ có hiệu quả trong từng hoàn cảnh riêng và chúng ta nên trao đổi để tìm ra những điểm mạnh của từng phương pháp.
Security in mind, là thứ gì đó đòi hỏi thời gian, công sức, kinh nghiệm... mới có được.
Nên chấm dứt chủ đề này tại đây. Nên lắng nghe .  

Nếu kô ai chịu nói thì biết lắng nghe ai đây đại ca?
Tranh cải càng nhiều, thường dẫn tới lộ sai sát và tự ái(vì mình sai sót)-> nói chuyện vớ vẫn tào lao. Lộ sai sót để sửa sai. Nhưng rất ít người sửa sai.
Nói vui vậy để bà con đừng tranh luận kiểu khích bác. Nên góp ý. Càng nhiều ý kiến càng tốt.  
Hì hì hôm nay đại ca ăn phải món gì mà nói hay rứa smilie)
Đừng tưởng mình là chuyên gia rồi ngủ quên trên cái ghế chuyên gia đó. Chẳng ai trong forum này là chuyên gia cả.  
Ây a, chắc là kô phải nói mình smilie nếu là nói mình thì chắc là nói sai rồi smilie Thực sự thì mình nghĩ là mình cũng biết chút chút về virus và những cái mình chưa biết thì cũng còn rất nhiều và mình đang rất tích cực đi tìm hiểu những cái chưa biết ây smilie)

APlaceForMyHead wrote:

Ghost Ship wrote:



Nếu có định down lại từ nguồn chắc chắn thì dung lượng bộ cài cũng đến cả mấy trăm MB :lolsmilie mà thằng bạn mình cũng đang sài ngon nghẻ máy nó có sao đâu sao mình lại phải lăn tăn nhỉ smilie

 


Mình đã nói đi nói lại mà bạn ko hiểu ý mình. Xài atv thì tốt, nhưng nếu bạn rảnh (smilie ) và muốn biết thêm nhiều thứ thì ko xài cũng ok.

Có nhữnng quy tắc về security tối thiểu mà bạn nên tuân theo. Làm theo thì sẽ hạn chế khả năng bị trouble rất lớn.

Bạn sử dụng chương trình tùm lum như vậy, ko có ý thức về an toàn thì bạn có cài 100 cái atv cũng như ko.

Đơn giản là vì cái chương trình phá hoại đó do 1 thằng bạn của bạn làm ra. và bạn tin mà xài nó.

Bạn nên đọc "The art of deception"

Security in mind.
 


Vậy khi gặp tình huống như trên bạn sẽ làm thế nào?

Việc sử dụng cái soft đó đối với bạn là chắc chắn và chỉ có hai lựa chọn down từ nguồn trên mạng hoặc là lấy của bạn.

Thằng bạn thì chắc chắn là kô thể cố ý chơi bạn được rồi vì nó đâu biết gì về malware. Kiểm tra tình trạng máy của nó thì kô thấy những biểu hiện nhiễm virus mà mình biết -->kô hề có ý nghĩ trong bộ cài đó có chứa malware.

Thời copy của thằng bạn về so với thời gian down trên mạng về chênh lệch rất lớn. Nếu down trên mạng có khi mất nửa ngày trong khi lấy của bạn chỉ mất 3 phút copy ra USB 2 phut paste vào máy smilie)

Rồi lại tâm lý: nếu nhiễm thì sao chứ? ta thừa khả năng nhúp từng con ra nuốt sống smilie

Nếu bạn vẫn giữ ý định dành nửa ngày down trên mạng thay vì mất 5' để lấy của thằng bạn thì mình phục bạn sát đất luôn smilie) với người chủ như bạn thì khả năng kô bị nhiễm malware của chiêc máy của bạn phải đạt 99,999999% ấy chứ smilie)

APlaceForMyHead wrote:
Ặc ặc. Tui bó tay rùi.

Ko lẽ bạn dám xài 1 cái chương trình từ 1 nguồn ko dc trust?

MD5 hash đâu?

Ko lẽ bạn ko có khả năng tìm ra nguồn gốc của cái software đó từ internet và download về từ site của author?

Nó cấy vào os, ko lẽ bạn ko có cách check os của bạn bị thay đổi sao. 


Cái chương trình đó bạn của bạn đang sài rất ngon. bạn mới nhìn đã kết kền kệt rồi smilie) kô còn tâm trí để kiểm tra MD5 hay gì gì nữa smilie mà máy của bạn bạn cũng đang nhiễm con này nhưng kô hề có các hiện tượng thông thường của sự nhiễm malware như bạn nói smilie

APlaceForMyHeade wrote:
Em ko thấy cái process nào lạ hết, ko thấy file lạ trong máy, ko có connection lạ,ko co disk activity bất thường....->Ko nghĩ là mình có nuôi con vì-rút nào.  


Gõ cái tên của soft đó lên mạng thì ra cả đống thông tin tin nào cũng khen nó hay thế này thế khác càng đọc càng kết chỉ muốn cài luôn ra chơi smilie Nếu có định down lại từ nguồn chắc chắn thì dung lượng bộ cài cũng đến cả mấy trăm MB :lolsmilie mà thằng bạn mình cũng đang sài ngon nghẻ máy nó có sao đâu sao mình lại phải lăn tăn nhỉ smilie

Sự thay đổi duy nhất ở OS đó là dung lựong của cái file bị nhiễm tăng lên chút xíu smilie)

công việc của đoạn mã độc này là khi bạn mở một folder trong máy ra thì nó sẽ tìm trong folder đó xem có file .exe nào kô. nếu có nó sẽ cấy tiếp bản thân nó vào file đó. Bạn phát hiện những hành động đó của nó như thế nào ?

Khi những file .exe bị nhiễm đó đựoc chạy thì đoạn mã đọc đó sẽ kiểm tra cái file OS kia đã được cấy chưa nếu chưa thì nó cấy tiếp smilie Bạn bè của bạn vốn luôn tin tưởng bạn là người am hiểu về virus nên đến lấy các soft của bạn về sài vô tư :lolsmilie nhưng họ đâu biết những bộ cài ấy đều đã dính malware smilie

Thật may trong những người bạn của bạn có ngừoi cẩn thận sài AV thường xuyên update nên đã phát hiện ra những cái lấy của bạn nhiễm malware. Hắn báo cho bạn và bạn bắt đầu cài AV đó ra để quét thì ôi thôi kho soft của bạn đã bị virus xơi gần hết rồi smilie(

NJP wrote:
vậy sau khi "kê" bằng hijack rồi fix có được không bác ...em thấy cái evtran 3.0 của ác npln share hay hay load về ..tường lửa và Kav đều cảnh báo....fix xong liệu còn hậu họa không bác..(em vẫn thi thoảng chạy cái chương trình này)  


nếu là loại như tôi nói ở trên thì hijackthis pó tay bạn ạ smilie) kô thấy điểm nào nghi ngờ đê mà fix luôn smilie

Nếu trong bộ cài của evtran 3.0 đã bị dính thì khi nào bạn cài evtran 3.0 ra là khi đó malware cũng được bung ra theo. Nếu bộ cài đã được Kav fix xong mà khi cài ra vẫn chạy được thì có thể malware đã được loại bỏ. Nhưng thường thì Kav del luôn chứ có mấy khi fix nhỉ smilie) (mình chưa thấy nó fix bao giờ :lolsmilie toàn thấy hỏi delete hay bỏ qua thôi :lolsmilie có thể file malware cho vào bộ cài evtran 3.0 là một file riêng kô liên quan đến evtran 3.0 nên bị del xong mà vẫn kô ảnh hưởng gì smilie)
Có một người lấy một soft khá hay trên mạng về rồi anh ta cấy thêm malware vào cái soft đó.

Sau đó anh ta mang cái soft đó cho bạn bè hay mang lên mạng share. Bạn của bạn thấy hay và down về rồi khoe với bạn. Bạn cũng thấy hay và lấy về sài.

Khi chạy cái soft đó thì con malware được cấy vào cũng được kích hoạt. cụ thể là sẽ có một đoạn mã độc được cấy tiếp vào một file của OS thường xuyên chạy. và như vậy là máy đã nhiễm malware hay đúng hơn là cái file OS đó đã bị nhiễm. Vì nó ký sinh trên một file bình thường của OS nên bạn sẽ kô thấy Process lạ. smilie)

Bạn làm thế nào để đề phòng con malware này mà kô dùng AV?

Nếu cài một Av và cho chạy thường trực thì có thể cái soft chứa malware kia đã được phát hiện chứa mã độc khi bạn copy nó vào máy của bạn.

osamabinladel wrote:
em định viết một con bằng C :
tạo autorun.ini tại folder chứa nó
del *.pdf,*.doc....
change date để vô hiệu hóa trình anti virus nếu user reset
tự nhân lên sau mỗi lần kick chuột
vd:
nếu folder đầu tiên nó tìm đc là osama thì nó sẽ tạo ra một loạt
folder 0sama"x "(x= a-->z)
ý tưởng này thế nào
smilie  

Tạo autorun.ini tại folder chứa nó để làm gì vậy osama?

del *.pdf,*.doc... là trò kô hay nếu kô muốn nói là "đê tiện". Tư tưởng của cậu giống bọn khủng bố lắm rồi đấy.

Một con virus được gọi là hay và đáng được ngưỡng mộ là do khả năng phòng thủ của nó tạo ra. chứ những khả năng phá hoại tầm thường kia sẽ làm người kô hiểu biết ghét và người hiểu biết khinh đấy.

Cậu muốn đạt được điều gì khi tạo ra những con virus thiên về phá hoại như vậy?

Vo_danh_tang wrote:
to: Ghost Ship bác cố copy cho bác hoàng còn cập nhật chứ lỡ anh em cũng dính con đó thì sao smilie-))  


Tui pó tay mà :lolsmilie Thực ra có thể lấy mẫu nó bằng cách kích hoạt nó rồi phân tích tình trạng hệ thống để tìm ra nơi ẩn nấp trong hệ thống của nó và lôi cổ nó lên đây.đấy là nếu nó giống con /hvaonline/posts/list/40/11507.html

Còn nếu mấy file chui vào system cũng được bảo vệ như vậy thì chưa biết phải làm sao :lolsmilie

Nếu ai bị dính thì cứ post kết quả quét bằng hijackthis lên đây để tìm nơi ẩn nấp của nó rồi up nó lên đây cho bác Hoàng là OK smilie)

À quên chưa thử cái lệnh rd /s với nó smilie) chán.

APlaceForMyHeade wrote:
Em ko thấy cái process nào lạ hết, ko thấy file lạ trong máy, ko có connection lạ,ko co disk activity bất thường....->Ko nghĩ là mình có nuôi con vì-rút nào.  


Như bạn nói thì có thể kết luận là: hiện kô có chú virus nào đang chạy trên máy nhưng chưa chắc trong các ổ kô có mầm virus đang tồn tại.

Nhiều khi virus nằm trong các folder dữ liệu mà ta mang về máy, bị cấy vào trong các file mà ta mang về mắt thường kô thể phát hiện ra mà phải phân tích file đó bằng soft thì mới biết. Để đề phòng những mầm virus kiểu này chui vào máy thì vẫn nên cài một AV thường xuyên update và bật ở chế độ canh phòng. có thể vẫn bị sót nhưng vẫn hơn là kô.

Bí Danh NJ wrote:
meomeo_bebong @ : Diệt tốt nhất là Boot từ Dos và dùng các chương trình anti chạy trong dos (đã update) chắc ăn nhất ! smilie
Xin đọc lại cho rõ nhé smilie


Tốt nhất dành cho những chú gà và cũng là cách đắt đỏ nhất đấy :lolsmilie cậu định mấy ngày thì mua một cái đĩa mới để update ?

Hts @: Cao nhân tắc hữu cao nhân trị Nếu phòng bị chỉ khoảng 70% an toàn 30% còn lại vẫn chắc chắn dính rồi cài lại máy smilie


Mấy con số 70 với 30 cậu lấy từ đâu vậy? theo tôi mấy con số này là bao nhiêu còn phụ thuộc vào mức độ hiểu biết của người dùng máy. Tôi dám chắc có ngừoi có thể đề phòng cho máy kô bị nhiễm đạt tới 99,99% đấy.
1. Khi tạo một file có tên là boot.exe hay autorun.inf hoặc folder boot or autorun thì chúng nó biết mất tiêu, không thể nhìn thấy được.  


Tạo các file và folder đó ở đâu? (ngay ngoài ổ hay là trong một folder?hay tất cả mọi nơi trên ổ đều thế?)
2. Khi tạo file autorun.inf không cần biết nội dung là gì thì tất các file và folder đều bị biến đâu mất hết, dùng show hidden file và show system file đều không nhìn thấy tuy nhiên vẫn truy xuất bằng bằng cách gõ tên tập tin được.  


Có chắc là chức năng ẩn system và ẩn thường kô bị khóa kô ? khi mở ẩn xong thì hãy mở lại để kiểm tra xem có mở được thật kô hay là lại bị trở lại như cũ.

chạy quét bằng Hijackthis rồi post kết quả lên đây.

Có thể đây là trò của mấy con virus mới ra. Thử cắm USB vào máy rồi Right click vào USB xem có Autoplay hay các ký tự loằng ngoằng kô?
Đây là nội dung chính của cái link tui vừa đưa (hay đúng hơn là của bác Hoàng đưa ở đầu trang 2) toàn chữ tàu nên lỗi font nhưng vẫn đọc đựoc cái cần đọc.
今天接到了一个病毒 样本Backdoor.RWX.2005.hy 测试了一下 发现他是个比较怪异的病毒
下面我们就来看看他如何怪异
病毒主要特征:
1.结束一些杀毒软件和安全工具进程
2.IFEO映像劫持 cmd regedit msconfig等文件
3.通过硬盘双击启动(怪就怪在这点,而且作者很聪明)
病毒分析:

File: dllhost.exe
Size: 762368 bytes
File Version: 3.0.2.3
MD5: 1D8B98F417340D9B399A5F9F9944B2E3
SHA1: 19E4F629D735AC04504510B3A2D6124E654BF883
CRC32: 0ACAB18C
运行后

生成如下文件
C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF

创建服务COMSystemApp
服务相关键值

HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00

00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00

00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18

00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00

00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00

00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ImagePath: "C:\WINDOWS\dllhost.exe -netsvcs"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\DisplayName: "COM+ System Applications"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Description: "管理基于组件对象模型 (COM+) 的组件的配

置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的

服务都将无法启动"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\FailureActions: 00 00 00 00 00 00 00 00 00 00 00 00

03 00 00 00 53 00 65 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00

结束以下进程
autoruns
autoruns.exe
procexp.exe
WoptiProcess.exe
KavPFW.EXE
KPFW32.EXE
RfwMain.EXE
RRfwMain.EXE
PFW.exe
ewido.exe
SysSafe.exe
FireWall.exe
kpf4gui.exe
McAfeeFire.exe
FireTray.exe
jpf.exe
ssgui.exe
outpost.exe
360tray.exe
FYFireWall.exe
runiep.exe
Ras.exe
cpf.exe
KAVPF.exe
kav.exe
avp.exe
avpcc.exe
mmc.exe
KBVXP.kxp
KvMonXP.kxp
KVCenter.kxp
TrojDie.kxp

监控如下窗口 如果发现他们则将其关闭

天网防火墙个人版
Tapplication
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
ZoneAlarm Pro

IFEO映像劫持cmd.exe msconfig.exe regedit.exe regedt32.exe 到C:\WINDOWS\setuprs1.PIF

连接218.16.138.64:83

下面就是比较“聪明”比较怪异的地方了

在第一次运行样本的同时 在每个分区根目录下面 生成autorun.inf.tmp的文件 和一个歧义文件名runauto..\的文

件夹
这个文件夹是通过歧义文件名创立的 所以通过一般手段是删不掉的
这个文件夹有什么用呢?

而且奇怪的是 怎么生成的是autorun.inf.tmp呢 这样怎么达到双击启动病毒的目的呢
别急 病毒创建了这么一个注册表键值
注册表群组: System Critical
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
注册表值: PendingFileRenameOperations
新的值:
类型: REG_MULTI_SZ
值:
\??\C:\autorun.inf.tmp
\??\C:\autorun.inf
也就是说你重启以后 会自动 把autorun.inf.tmp重命名为autorun.inf

再看那个autorun.inf的内容吧
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

这回明白了吧 那个runauto..\的文件夹中 有一个autorun.pif的文件
双击启动的就是他
autorun.pif当然就是 病毒文件咯
原来runauto..\是为了保护 病毒文件的 这回杀毒软件也没辙了吧。。
而且为隐人耳目 这个东西使得右键菜单中的出现了两个打开 和一个浏览
点击 第一个打开 和浏览 都会激活病毒(见图)

而且那几个被映像劫持的文件 也很隐人耳目
当我们在 运行中输入 cmd回车的时候
首先会劫持到C:\WINDOWS\setuprs1.PIF 运行之 然后 由C:\WINDOWS\setuprs1.PIF马上复制一个cmd.exe出来并把

他重命名为 cmd.exe.exe 最后启动他
如果我们打开的是注册表 那么同样打开的也是 regedit.exe.exe而之中一切发生的变化我们会浑然不知
说说解决办法吧
还是安全模式吧
打开sreng (还好 还可以用)

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

[COM+ System Applications / COMSystemApp][Running/Auto Start]
<C:\WINDOWS\dllhost.exe -netsvcs><>


双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件

(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

右键 点击 最下面的 “打开” 打开C盘
删除C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF


利用autoruns.exe 恢复被映像劫持的文件(autoruns也要重命名,否则可能会被结束)

接下来 我们来对付那个歧义文件名的文件夹

开始 运行 输入cmd(此时 已经恢复了IFEO,所以可以用了)
依次输入 rd /s c:\runauto..\
rd /s d:\runauto..\
del C:\autorun.inf
del d:\autorun.inf 


Bác hãy tới công ty của bác vào máy đang bị nhiễm copy cái file sau C:\WINDOWS\dllhost.exe ra USB rồi up lên mạng cho bác Hoàng nghiên cú update cho FH rồi bác down FH về diẹt là nhanh nhất.

Còn IceSword thì bác gõ vào Google ra cả đống link, kô đựoc cái này thì dùng cái khác. Kô thì cho em nick yahoo em send luôn cho.
USB muốn nhận được ngoài DOS hình như phải rút dây ổ cứng ra.
@hachi8:để xóa cái file runauto.. trong USB bác thử dùng IceSword xem.

Tham khả link sau đây để biết các thông tin về nó để diệt bằng tay
http://64.233.179.104/translate_c?u=http%3A%2F%2Fhi.baidu.com%2Fmcoffice%2Fblog%2Fitem%2F7c97f0c4e6a98fa88326ac19.html&langpair=zh-CN%7Cen&hl=en&ie=UTF8

Còn nếu máy ở công ty nhiễm nhiều thì nên đợi bác Hoàng Update xong diệt cả đám luôn cho nhanh.

tmd wrote:
smilie) smilie) . Chuyên gia bó chi kìa trời. Trong môi trường DOS thì ai cũng như ai . Ra đó mà copy nó sang chổ khác, rename, zip thỏa mái. smilie) . Còn các action cấm đoán, do nó đã chạy lên rồi. Chết . 


Nhần rồi lão tmd ạ. lão đọc lại bài con runauto... Delphi xem các action do cái nào cấm đoán. Trong DOS (ngoài win) thì chưa thử nhưng mà vào USB trong DOS ấy mất công lắm.

Tôi dùng hẳn IceSword copy còn kô được. còn những báo lỗi khi copy,cut,delete thì giống hệt con runauto... Delphi kia. Copy bằng IceSword chỉ ra một cái file 0kb smilie chắc thằng này cũng của TQ nó ra sau IceSword nên nó khắc cả IceSword luôn :lolsmilie

ngoài cái file ấy còn có file Autorun để kích hoạt nó. cái file Autorun thì tôi xóa xong kô thấy quay lại --> máy tôi chưa nhiễm con này :lolsmilie

Bó tay kô xóa được nó may mà nó vẫn cho rename nên đổi tên thành cái file kô đuôi cho nó thôi. chẳng biết nó nhiễm ở đâu. :lolsmilie Mà giờ cũng kô còn hứng thú với virus nữa sắp tới sẽ chuyển hướng sang mảng khác smilie với kiến thức của mình hiện tại kô thể lên cao hơn đựoc với mấy chú virus nầy smilie

LeVuHoang wrote:

osamabinladel wrote:
chỉ là ý tưởng thôi
vì em muốn vượt mặt AV
lần này với khả năng chiếm dụng ngắt do phần cứng tạo ra : nó sẽ chạy khi có ai đó nhấn M
các pác tấng công ý tưởng này wa' em xin thôi vậy nhưng nó sẽ không vào wen lãng đâu 

Đầu tiên, bạn thử trả lời những câu hỏi sau đây xem:
1. Làm thế nào để vượt mặt AV ? AV chặn virus ở tầng nào ?
2. Ngắt phần cứng là ngắt gì ?

Bạn trả lời được 2 câu đó đi đã rồi mới tính đến chuyện tiếp theo smilie 


Đây có phải Ma châm Ver 2.0 kô vậy ta smilie

Bác Hoàng à hôm trước thằng bạn em mang cái USB đến bên trong có một file newfolder.exe (239kb) cái đặc biệt của file này là rename thoải mái nhưng kô thể copy,cut,delete nên em kô thể lấy mẫu được :lolsmilie mà em lại ngại kích hoạt nó để lấy mẫu trong system smilie nên kô up lên cho mọi người ngâm cú được. Chắc nó cũng giống con runauto... Delphi smilie)

kieuphong87 wrote:
Anh Kinyo nói hoàn toàn đúng, nhưng chúng ta đâu có biết file.exe nằm trong ổ setup của em file nao chứa virut file nào ko chứa virut . Bài viết trước có anh viết là cách đóng băng . Vậy thì đóng băng bằng cách nào đây? Mục đích chính của em là phương pháp diệt kiếu này thế nào để sau này em còn biết làm ."Đóng băng "??? 


ĐÓNG BĂNG là cái quái gì thế :lolsmilie lại được trận cười nữa :lolsmilie cứ thế này thì mình khỏi phải tới box tán gẫu nữa :lolsmilie

kieuphong87 hãy thử vào cái link dưới đây xem có phải các ổ của cậu cũng giống như cái USB này kô nhá smilie)
/hvaonline/posts/list/9442.html
Há há đọc xong cười muốn chết luôn smilie)

Bạn kieuphong87 thân mếm để tôi nói cho bạn biết điều này nhá smilie) Nếu cái thằng Back Khóa kia kô phải nó cố tình bày trò (làm tới nửa ngày) để lừa lấy 100k của cậu thì nó là một thằng "siêu gà" smilie)

Bạn có thể đạt được kết quả giống như nó làm chỉ trong vòng hơn nửa tiếng (bằng cách cài lại Win và diệt Autorun trong các ổ) smilie) Thậm chí nếu máy đã có bản ghost thì chỉ mất có 10' (hoặc hơn tí tùy vào cấu hình máy có khủng kô smilie )

Hiện tượng các ổ của bạn hiện ra chữ tàu hay các ký tự loằng ngoằng chỉ đơn giản là do con virus (đúng hơn là worm) đã chạy trong hệ thống của bạn nó tạo ra file Autorun.inf trong các ổ để tự kích hoạt nó mỗi khi bạn click đúp đẻ mở các ổ thôi.

Nếu bạn kô tìm hiểu về file Autorun.inf thì việc bị nhiễm những con kiểu này từ USB chỉ là chuyện sớm muộn. Lần sau nếu bị nhiễm thì đừng có dại mà tìm "con gà" đó nữa mà mất tiền oan nhé :lolsmilie Cậu chỉ cần học cách cài Win và vô hiệu file Autorun là có thể giỏi hơn thằng đó gấp trăm lầm :lolsmilie

Còn muốn giỏi hơn nữa thì cứ chịu khó lên đây mà đọc chả mấy cậu sẽ thịt bon worm ấy mà chả cần phải cài lại win đâu :lolsmilie

Tức cười quá !!! :lolsmilie :lolsmilie
@quanlypho: hình như cậu là nhân viên tiếp thị của NOD32 thì phải smilie lúc nào cũng NOD32 NOD32 NOD32

Thấy cậu quảng bá kinh quá nên hôm nào mình cũng thử xem thế nào smilie Còn thực ra mình chỉ khoái "quai tay" thôi chứ chả đặt niềm tin vào ông nào hết smilie)

Quai tay thì quai tay nhưng vẫn phải nghe theo lời khuyên" hãy dùng ít nhất một chương trình AV dù cho nó đã kô được update từ lâu" :lolsmilie

Nói vậy thôi chứ nếu kô được update khoảng 6 tháng thì nên remove nó đi cho máy nó bon smilie dính chấu thì cài lại Win cho máy nó bon hơn nữa :lolsmilie
Oài lại mấy cái chuyện con con này. có cái Autorun.inf mà cứ phải nói mãi. smilie(

Tôi nghĩ bạn kô nên Vô hiệu việc tạo ra file Autorun.inf trong USB vì việc vô hiệu nó kô khó mà đó là hiện tượng tiêu biểu giúp ta phát hiện máy có nhiễm worm smilie hay kô. Quan trọng là phải diệt cái con virus tạo ra cái file Autorun.inf chứ vô hiệu cái Autorun ấy thôi thì cũng chả có tác dụng gì có chăng chỉ là tiện hơn ở bước mở USB bằng thao tác kich đúp. Đây là thói quen rất xấu của những người dùng máy tính thiếu hiểu biết biết.

Nếu chưa biết vô hiệu fie Autorun như thế nào thì gõ từ Autorun vào phần tìm kiếm mà tìm, nói mãi rồi, lười thì chỉ có thiệt thân thôi :lolsmilie

Còn chuyện bảo vệ dữ liệu trong USB khi mang đến máy có virus thì tốt nhất là khi copy cái gì đó vào USB thì nên giữ một bản sao ở nhà. Còn cái trong USB thì Zip hoặc Rar nó lại là đủ (nếu rar thì nhớ zip theo bộ cài của rar vì có thể máy bạn mang tới kô cài và kô có bộ cài của rar smilie ) hiện tại hiếm có con nào tấn công vào 2 kiểu file này (đúng hơn là tôi chưa biết con nào smilie mà tôi là người khá biết về virus mà còn kô gặp thì nó hiếm là phải rồi smilie ))

smilie worm hay virus cũng thế quen gọi virus thì cứ gọi là virus đi cho nó dễ hiểu, người sử dụng bình thường ai thèm quan tâm phân loại làm gì? tất cả đều là virus tất smilie smilie
Khi "nó đang send đến máy đích" (cái này là theo bạn nghĩ) bạn vào run/cmd rùi gõ lệnh netstat -nao rùi để ý cái cột PID xem nó hiện những số gì.

Sau đó gõ tiếp lệnh tasklist(có tác dụng hiện danh sách process đang chạy trên máy) và bạn so xem cái số(một hoặc nhiều) hiện ở cọt PID bên trên tương ứng với dòng nào ở kết quả vừa hiện.

Chú ý cái cột Image Name là cột ghi tên của Process đã làm cái việc "send đến máy đich".

Bạn vào serch trong ổ C tên cái Process ấy xem nó nằm ở đâu rùi copy up nó lên đây cho bác Hoàng và mọi người nghiên cú smilie)

Bạn hãy thử xem nhé smilie)

Hôm nay em sẽ ráng tìm cách, cách ly nó ra và bắt gói, xem nó gửi ra cái gì, rùi chúng ta bàn tiếp các bạn há..... 


--> cái này nghe hay hay đây lúc nào bạn share nhé smilie
 
Go to Page:  First Page 1 2 3 5 6 7 Page 8 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|