[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 00:16:39 (+0700) | #61 | 105978 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
Mình nói BKAV là cái thằng disinfect mà ko xóa , sorry vì viết chưa rõ!
Thế bạn nghĩ tôi copy bằng tay mấy file .exe hả?? Thế thì phải xem lại ai tư duy gà nhá!!
Tôi nói dùng live cd để đổi đuôi .exe thành .exx hả? Tôi nói dùng live cd để đổi .exx thành .exe trong trường hợp bị nhiễm rồi bạn ạ! Còn chuyện dùng live cd hay không cũng chả bắt buộc, có thể vào dos như bạn làm cũng đc. Tôi chỉ muốn nói tới cách restore lại file hệ thống khi bị nhiễm thôi, bạn đọc kĩ lại coi!
Bạn nói cách của bạn ai cũng làm đc kể cả gà?? Thế tháo ổ cứng sang máy khác thì có gì là không được? Có khi còn đơn giản hơn cách của bạn đó!
Nói chuyện mang con kiến vào phòng thí nghiệm hả? Thế bạn bóp tay con kiến thế nào vậy ta? Nào là vô hiệu hóa phần hoạt động của virus, nào là copy đè lên trong dos, nào là Local Security Policy ... Bóp tay nó là cài AV vào mà diệt cho xong!
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 00:16:43 (+0700) | #62 | 105979 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
dangminh4 wrote:
Mấy con virus này thì diệt có gì khó đâu , hiện nay cái khó mình muốn hỏi ở đây là hiện tượng mở một số ứng dụng rất là lâu , đặc biệt là mở trình duyệt IE bác nào biết về cái này thì nói cho tui vói nhé , cám ơn
Nếu bạn thấy diệt nó quá đơn giản và cách diệt của bạn đơn giản hiệu quả hơn những cách ở trên thì bạn có thể chia sẽ cho mọi người cùng biết kô?
Nếu việc mở một số ứng dụng và IE rất là lâu nhưng kô liên quan tới con virus này thì mời bạn sang những box liên quan tới chuyện đó(thắc mắc thông thường căn bản, thảo luận HDH windows,...) để nhờ giải quyết nhé.
thân cái cho nó thân |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 00:28:57 (+0700) | #63 | 105981 |
neo85
Member
|
0 |
|
|
Joined: 06/07/2007 10:16:40
Messages: 7
Offline
|
|
Chả hiểu các bác phổ biến kiến thức cho gà kiểu gì, cãi nhau ỏm tỏi em loạn cả lên Gà tụi em chỉ quan tâm hết virus chớ có biết diệt rồi xóa, diệt mà không xóa ... gì gì đâu. Tóm lại giờ em chỉ biết ghost lại ổ rồi liều mình xài thử AV thôi hu hu hu |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 00:39:42 (+0700) | #64 | 105986 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 00:50:55 (+0700) | #65 | 105990 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 01:15:53 (+0700) | #66 | 105996 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
born2die wrote:
"Có thể anh kô gà về kiến thức nhưng nếu anh gà về tư duy thì anh sẽ luôn làm mọi việc trở nên phức tạp. kiểu như để giết một con kiến anh lại đi cho nó vào phong thì nghiệm nghiên cứu chán chê để chế ra một loại thuốc độc rành riêng cho nó (để thể hiện mình là pro ) thay vì một cái bóp tay vậy "
Ôi ôi, lây file mà GS gọi là "kiến", quả là siêu cao...gà ), há há há há, chết mất, bó cờ him.
Nói cho gà GS biết chứ mấy bài đầu có người miêu tả khá chi tiết rồi, iem gà của bác theo hướng đó đã viết được tool remove rồi, chẳng qua khiêm tốn tí cho bác tự sướng thôi, há há há. Cần em gửi tool không, xin một tiếng
Tôi thì kô cần, tôi khoái quai tay như tôi vẫn làm hơn tool như vậy chỉ áp dụng được với một con và nó làm tôi lười tư duy --> gà vẫn là gà kô khá hơn được còn cậu dựa vào những thông tin mà người khác cung cấp và kiến thức lập trình của mình để viết ra một tool thì cũng thường thôi, chẳng thể kết luận cậu là pro về virus.
Khiêm tốn kiểu của cậu tôi gọi là kiểu khiêm tốn khoe hàng chẳng chia sẻ được cho ai cái gì mà người ta vẫn nghĩ là mình có hàng |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 01:36:35 (+0700) | #67 | 106000 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Chỉ với một con malware thôi, bà con phang ra tới 65 reply, 4 trang. Có khoảng vài chục đến vài trăm con malware thuộc nhóm nguy hiểm cao, bà con lại làm ra vài chục ngàn reply dư thừa, uổng phí thời gian quá.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 01:40:52 (+0700) | #68 | 106001 |
Overflow
Member
|
0 |
|
|
Joined: 22/05/2007 18:55:46
Messages: 11
Offline
|
|
Cho iem xin có ý kiến ý cò thế này:
- Thứ nhất : bác GS viết nhiều bài đóng góp thế là đáng hoan nghênh, đúng thì ta tiếp thu, sai thì góp ý. Chứ ai lại nói nhau gay gắt thế, mất tình anh em .
- Hai là : Nếu đã nhiễm lây file thì cách hay nhất là nên tìm 1 AV đã xử lí con này thôi, chứ kill by hen suyễn thì khó rồi, gặp chú nào khủng nó ăn hết các file PE trong máy thì bai hand kiểu gì đây.
Còn con Dashfer này các AV đều cập nhật liên tục các biến thể, bác nào dính thì update nhanh kẻo hết |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 01:52:23 (+0700) | #69 | 106004 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Hề ở đây ngoài chuyên chia sẻ thông tin thực tế về con này thì anh em cũng tiện thể trình bày quan điểm để hiểu nhau luôn lần sau gặp nhau trong này thì nói chuyện cho dễ ấy mừ lần đầu tiên nó hay thế các pác thông cảm nhé
- Hai là : Nếu đã nhiễm lây file thì cách hay nhất là nên tìm 1 AV đã xử lí con này thôi, chứ kill by hen suyễn thì khó rồi, gặp chú nào khủng nó ăn hết các file PE trong máy thì bai hand kiểu gì đây.
diệt tay kô phải là biện pháp tốt nhất trong mọi hoàn cảnh. chúng ta chỉ nên tham khảo rồi kết hợp với các AV để đưa ra phương án tốt nhất đối với một con virus trong một hoàn cảnh nào đó thôi.
hề hề topic này bội thu phết nhỉ hơn 2k lượt xem rồi đấy ko còn gì mới thì kết thúc thôi đỡ tốn tài nguyên sơ vơ iem chạy sang box tán gẫu làm mẻ mới |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 03:31:15 (+0700) | #70 | 106009 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
Thưa với bạn GS đúng là tôi bảo tháo ổ cứng để mà vào không vào DOS đấy, vì tôi không thể chạy BKAV, KAV trong DOS bạn ạ, tôi cũng không muốn và không thể viết removal tool cho DOS bạn ạ!
Còn tính chuyện không có chỗ lắp ổ nhờ hả? Tính luôn chuyện không có máy tính mà đọc mấy bài post ở đây luôn nhá . Còn chuyện mang kiến đi thí nghiệm, okie sorry vì hiểu sao ý bạn. Còn cách restore thì nhiều lắm, làm như bạn cũng tốt mà |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 03:55:16 (+0700) | #71 | 106012 |
neo85
Member
|
0 |
|
|
Joined: 06/07/2007 10:16:40
Messages: 7
Offline
|
|
tmd wrote:
Chỉ với một con malware thôi, bà con phang ra tới 65 reply, 4 trang. Có khoảng vài chục đến vài trăm con malware thuộc nhóm nguy hiểm cao, bà con lại làm ra vài chục ngàn reply dư thừa, uổng phí thời gian quá.
Phải đó các bác ơi! Các bác cãi nhau thế này làm em muốn tìm một bài hướng dẫn chi tiết từ đầu đến cuối cũng khó nữa |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 03:57:57 (+0700) | #72 | 106013 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
VXer wrote:
Thưa với bạn GS đúng là tôi bảo tháo ổ cứng để mà vào không vào DOS đấy, vì tôi không thể chạy BKAV, KAV trong DOS bạn ạ, tôi cũng không muốn và không thể viết removal tool cho DOS bạn ạ!
Thực sự kô hiểu bạn muốn nói gì ở cái đoạn này nếu có thể mong bạn nói rõ hơn. Để tôi nói rõ mục đích vào Dos của tôi chỉ là để dùng lệnh del và copy để thay thế một số file luôn luôn phải chạy cùng hệ thống nên kô thể thay(hoặc tôi chưa biết thay) khi win đang chạy chứ tôi chưa bao giờ nói sẽ chạy KAV hay AV nào ngoài dos nên tôi kô hiểu là tháo ổ sang máy khác thì sẽ hơn ở điểm gì?
Còn tính chuyện không có chỗ lắp ổ nhờ hả? Tính luôn chuyện không có máy tính mà đọc mấy bài post ở đây luôn nhá .
những điều tôi nói chỉ là hướng giải quyết. chỉ cần đọc và hiểu một lần đến khi gặp virus (bât kỳ con nào) có kiểu phá tương tự thì cứ thế mà làm chứ việc gì phải nối mạng để đọc lại mấy bài post ở đây.
Còn cách restore thì nhiều lắm, làm như bạn cũng tốt mà
Đấy, bật thì cứ tanh tách nhưng đến lúc bảo nói cụ thể ra cách của mình thì lại ko nói được. Có nhiều cách thì bạn cứ nói thử ra một cách đơn giản hơn cách của tôi xem thế nào? ok?
Tôi có cảm giác cậu luẩn quẩn rồi đấy. Nếu nói được tiếp thì xin bạn nói rõ một tí. những reply tối nghĩa như vậy dễ làm loãng topic lắm. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 11:33:50 (+0700) | #73 | 106076 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
OK thì nói rõ!
1. Về việc tôi nói tháo ổ cứng lắp sang máy khác:
Bạn hỏi tôi có hơn gì cách bạn dùng DOS hả? Ý tôi ở đây là dùng AV cài ở hệ điều hành (HĐH) khác quét cái hệ thống mình bị nhiễm (lúc đó ko ngại vấn đề khó diệt file hệ thống nữa). Cách này cũng tương tự như việc born2die bảo dùng windows khác trên cùng 1 hdd quét thôi, tuy nhiên trong trường hợp này có thể cả windows đó cũng đã bị nhiễm! Thế đã đủ rõ chưa?
2. Về việc restore file:
Cách mà tôi nêu ra (copy thành file với phần mở rộng khác, .exe -> .exx) là tôi nêu ra một cách khác để backup đống file hệ thống (khác so với cách bạn nói là nén lại ... gì gì đó). Tôi có giải thích tại sao lại làm như vậy rồi, là để tôi có thể đối chiếu 2 file (file .exe và file .exx tương ứng), để chẳng may có bị lây file thì cũng phát hiện ra được dựa vào filesize (đương nhiên là không phải lúc nào cũng phát hiện ra, nhưng đúng trong ko ít trường hợp).
Để restore file đúng là có nhiều cách còn gì
c1: ghost ổ đĩa lúc "ngon lành" nhất, khi nào bị hỏng file hay sao đó thì ghost ngược lại. Đương nhiên cách này thì bảo đảm file không hề bị thay đổi gì, nhưng cũng đồng nghĩ với việc mọi sự thay đổi vào ổ đĩa của bạn sau khi sao lưu đều đi tong!
c2: thường xuyên backup những dữ liệu quan trọng. File chương trình hỏng còn có cơ may cài lại được chứ dữ liệu thì ... Nhưng chắc cái này không coi là restore.
c3: cách của GS
c4: cách của tôi
c5: "phó mặc" (hoặc "tin tưởng") trao mọi việc cho AV, trong nhiều trường hợp thì AV diệt virus thành công (theo nghĩa là thịt con lây file đó nhưng vẫn khôi phục được file ban đầu, đương nhiên khó có thể khôi phục 100% song file vẫn chạy bình thường thì hoàn toàn ok). Cũng không ít trường hợp không khôi phục được hoặc khôi phục ko tốt dẫn tới file vẫn không chạy được.
c6: tự mình làm removal tool: bạn có cơ hội học hỏi, tìm hiểu nhiều thứ, tự trao quyền cứu sống cái PC đáng yêu của mình. Đương nhiên rủi ro cũng như trường hợp dùng AV (thực ra thì rủi ro trong đa số trường hợp là cao hơn dùng AV, đương nhiên rồi )
c7: trong trường hợp các file hệ thống bị die thì có thể repair lại bằng bộ cài windows, nhưng không phải mọi file hệ thống đều được cài lại thì phải.
Và có thể còn nhiều cách khác nữa ...
Tóm lại là luôn phải chủ động sao lưu dữ liệu, nhất là những thông tin quan trọng.
Nói thế đã rõ chưa hả bạn GS?? |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 12:00:28 (+0700) | #74 | 106084 |
|
Thuongtamnhan
Member
|
0 |
|
|
Joined: 22/09/2003 08:50:35
Messages: 29
Offline
|
|
thành công rồi, sau gần 3 tiếng đánh vật với con chó má này, cuối cùng mọi thứ đã trở lại bình thường , luc đầu tôi cũng không chú ý nhiều lắm vì nghĩ đơn giản ,sau thấy máy khởii động rất chậm ,con cpu rệu rã của tôi khi boôt máy nó chạy như đánh vật khi startup, thấy khả ngji nên bật prosess lên xem thấy LSASS mấy cái khác đều giống mấy file hệ thống chỉ điểu khác là nó chữ hoa không phải chữ thường, quyết định boot vào safe mode với hi vọng scan hiệu quả hơn nào ngờ không vào được,đành thử diệt ở win đầu tiên tôi sử dụng cái tool scan xong nó báo 5 con như các bác đã đề cập, khi diệt nó báo đã xong nhưng khi quét lại nó vẫn cho ra 4 con khác nhiễm trong file clci hay clsc gì đó không nhớ rõ lắm, lần này diệt không được , end prosess thì end cái này nó nhân bản ra 3 cái khác giống hệt, rồi báo lỗi ,restart, .mở hịackthis để xem thì thấy có 1 file kêu là ~.exe, nhưng trong prosess của win không hề thấy nhưng tại sao lại khôngg diệt được ? cól ẽ là do khi diệt tôi quên không ngắt kết nối, thử lại boot máy , chợt nẩy ra ý định xem các prosess biết đâu nó nhẩy ra rất nnhanh rồi lặn luôn, quả không sai khi boot vào win lần này trong lúc con cpu đang đỏ như ...thẻ đỏ để đọc gần nửa phút vẫn chưa hiện cái yahoo messenger tray , tôi nhấn control-ald-del để xem thử , lần này có 1 file lạ mang tên protector.exe và ~.exe nhẩy vào , có lẽ chính file đầu tiên đống vai trò người bảo vệ cho mấy con cứng đầu kia,kill thằng này ,ai ngờ vài giây sau nó lại mò ra ,bực mình end tất cả các prosess đang hiện diện,end hết tất cả trừ cái tool diệt virus và cái màn hình trắng bóc ,tìm và diệt 1 lần nữa, done, lần này thì thành công mỹ mãn,thử boot vào safemode coi nào, hơi chậm nhưng vào được rồi,quét lại 1 lần nữa duy nhất 1 con allkeylogger hiện ra ,kill,thế là xong ,vào win trở lại kiểm tra prosess,ok
à quên còn cái ping.exe nữa chứ nhẫy ra trong lúc starup cực nhanh rồi lặn mất tăm, mệt quá đi ngủ thôi,tiên sư ông nào viết ra con này nhằm mục đích ddos thằng baidu ,1 trong những site hàng đầu của ba tầu đây ,nhưng thế thì ăn thua gì, ba tầu chưa thấy chết mà nhiều người dân lành đã ngỏm củ tỏi rồi
à quên nó còn vô hiệu hóa tính năng update của các chương trình diệt virus nữa chứ,cứ update là đứng như trời chồng,không chạy hoặc báo lỗi
|
|
ngửa mặt cười tan cuộc oán thù
http://thuongtamnhan.blogspot.com/ |
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 12:01:53 (+0700) | #75 | 106085 |
|
Thuongtamnhan
Member
|
0 |
|
|
Joined: 22/09/2003 08:50:35
Messages: 29
Offline
|
|
Thuongtamnhan wrote:
thành công rồi, sau gần 3 tiếng đánh vật với con chó má này, cuối cùng mọi thứ đã trở lại bình thường , luc đầu tôi cũng không chú ý nhiều lắm vì nghĩ đơn giản ,sau thấy máy khởii động rất chậm ,con cpu rệu rã của tôi khi boôt máy nó chạy như đánh vật lúc startup, thấy khả ngji nên bật prosess lên xem thấy LSASS mấy cái khác đều giống mấy file hệ thống chỉ điểu khác là nó chữ hoa không phải chữ thường, quyết định boot vào safe mode với hi vọng scan hiệu quả hơn nào ngờ không vào được,đành thử diệt ở win đầu tiên tôi sử dụng cái tool scan xong nó báo 5 con như các bác đã đề cập, khi diệt nó báo đã xong nhưng khi quét lại nó vẫn cho ra 4 con khác nhiễm trong file clci hay clsc gì đó không nhớ rõ lắm, lần này diệt không được , end prosess thì end cái này nó nhân bản ra 3 cái khác giống hệt, rồi báo lỗi ,restart, .mở hịackthis để xem thì thấy có 1 file kêu là ~.exe, nhưng trong prosess của win không hề thấy nhưng tại sao lại khôngg diệt được ? cól ẽ là do khi diệt tôi quên không ngắt kết nối, thử lại boot máy , chợt nẩy ra ý định xem các prosess biết đâu nó nhẩy ra rất nnhanh rồi lặn luôn, quả không sai khi boot vào win lần này trong lúc con cpu đang đỏ như ...thẻ đỏ để đọc gần nửa phút vẫn chưa hiện cái yahoo messenger tray , tôi nhấn control-ald-del để xem thử , lần này có 1 file lạ mang tên protector.exe và ~.exe nhẩy vào , có lẽ chính file đầu tiên đống vai trò người bảo vệ cho mấy con cứng đầu kia,kill thằng này ,ai ngờ vài giây sau nó lại mò ra ,bực mình end tất cả các prosess đang hiện diện,end hết tất cả trừ cái tool diệt virus và cái màn hình trắng bóc ,tìm và diệt 1 lần nữa, done, lần này thì thành công mỹ mãn,thử boot vào safemode coi nào, hơi chậm nhưng vào được rồi,quét lại 1 lần nữa duy nhất 1 con allkeylogger hiện ra ,kill,thế là xong ,vào win trở lại kiểm tra prosess,ok
à quên còn cái ping.exe nữa chứ nhẫy ra trong lúc starup cực nhanh rồi lặn mất tăm, mệt quá đi ngủ thôi,tiên sư ông nào viết ra con này nhằm mục đích ddos thằng baidu ,1 trong những site hàng đầu của ba tầu đây ,nhưng thế thì ăn thua gì, ba tầu chưa thấy chết mà nhiều người dân lành đã ngỏm củ tỏi rồi
à quên nó còn vô hiệu hóa tính năng update của các chương trình diệt virus nữa chứ,cứ update là đứng như trời chồng,không chạy hoặc báo lỗi
|
|
ngửa mặt cười tan cuộc oán thù
http://thuongtamnhan.blogspot.com/ |
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 16:49:23 (+0700) | #76 | 106138 |
karkar
Member
|
0 |
|
|
Joined: 12/03/2007 18:22:03
Messages: 18
Offline
|
|
cách diệt bằng tay tuy hay đấy nhưng mà chỉ thích hợp với worm thôi còn virus thì bó tay , dùng AV cho nó nhanh
bác BKAV nhà ta tuy trông có vẻ ghẻ nhưng rất hay đấy các bác đừng có chê nó có thể gỡ bỏ virus khỏi host mà file host vẫn hoạt động tốt ,quá hay còn gì
hiện giờ em đang dùng AVAST HOME 4.7 với bkav ,cả hai đều thường xuyên cập nhật nên em chẳng sợ thằngnàocả.
dùng mạng hơn tháng thường xuyên vào web sex ,crack ,mà chẳng thấy máy bị nhiễm virus ,lạ thật đấy ???
nhân tiện bác nào có mẫu của cái con vir này thì gửi cho em thử với ,tính em tò mò lắm
karkar
email : karkar_hnc@yahoo.com |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 22:59:27 (+0700) | #77 | 106161 |
Overflow
Member
|
0 |
|
|
Joined: 22/05/2007 18:55:46
Messages: 11
Offline
|
|
Nó ping www.baidu.com là để kiểm tra kết nối mạng thôi, ko phải DDOS đâu |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
27/12/2007 00:09:23 (+0700) | #78 | 106190 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
VXer wrote:
1. Về việc tôi nói tháo ổ cứng lắp sang máy khác:
Bạn hỏi tôi có hơn gì cách bạn dùng DOS hả? Ý tôi ở đây là dùng AV cài ở hệ điều hành (HĐH) khác quét cái hệ thống mình bị nhiễm (lúc đó ko ngại vấn đề khó diệt file hệ thống nữa). Cách này cũng tương tự như việc born2die bảo dùng windows khác trên cùng 1 hdd quét thôi, tuy nhiên trong trường hợp này có thể cả windows đó cũng đã bị nhiễm! Thế đã đủ rõ chưa?
rõ thì rõ rồi nhưng tôi thấy nó cũng kô hay hơn. Nếu sô lượng file bị nhiễm ít thì tháo ra kô bõ công, ra Dos làm vẫn nhanh hơn. chỉ cần ra Dos thay một vài file kô thay được trong win (làm một cái file .bat rồi ra Dos kích hoạt là xong) rồi vào win bật AV quét toàn bộ hệ thống.
2. Về việc restore file:
Cách mà tôi nêu ra (copy thành file với phần mở rộng khác, .exe -> .exx) là tôi nêu ra một cách khác để backup đống file hệ thống (khác so với cách bạn nói là nén lại ... gì gì đó). Tôi có giải thích tại sao lại làm như vậy rồi, là để tôi có thể đối chiếu 2 file (file .exe và file .exx tương ứng), để chẳng may có bị lây file thì cũng phát hiện ra được dựa vào filesize (đương nhiên là không phải lúc nào cũng phát hiện ra, nhưng đúng trong ko ít trường hợp).
tôi kô hỏi bạn ý nghĩa của việc copy file với phần mở rộng khác. mà tôi hỏi các bước làm việc đó như thế nào? có phải bạn sẽ vào từng folder trong %windir% rồi thấy file .exe nào thì bạn copy rồi paste ra luôn tại folder đó rồi đặt tên nó giống file cũ chỉ khác cái duôi .exe thành .exx ko? nếu đúng thì bạn có biết thời gian làm xong việc đó là bao lâu kô?
Và có thể còn nhiều cách khác nữa ...
Tóm lại là luôn phải chủ động sao lưu dữ liệu, nhất là những thông tin quan trọng.
Nói thế đã rõ chưa hả bạn GS??
Hình như cậu đã hiểu sai ý tôi. tôi chỉ cần cậu trình bày 1 cách đơn giản tốn ít thời gian nhất thôi.
Nhắc lại vấn đề: hệ thống bị nhiễm virus ăn file, nhiều file hệ thống đã bị ăn. nếu cài lại win thì sẽ phải mất rất nhiều thời gian cài lại theo rất nhiều ứng dụng trong đó nhiều ứng dụng bạn kô còn bộ setup hoặc cài khá phức tạp. Vấn đề bay giờ là đưa ra phương án chẩn bị từ trước (sao lưu)để đến lúc này thì tiến hành loại bỏm, thay thế những file bị nhiễm một cách nhanh nhất. chỉ đưa ra một phương án tốt nhất của bạn. Nhanh và đơn giản cả ở bước sao lưu lẫn bước khôi phục.
Bạn đã hiểu điều tôi muốn rồi chứ. mục đích của chúng ta làm tìm ra cách dơn giản nhất, nhanh nhất, có thể đưa ra ra 2 phương án 1 là đơn giản nhất và 2 là tốn ít thời gian nhất hoặc 2 in 1 bạn có chỉ ra được kô? |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
27/12/2007 00:25:29 (+0700) | #79 | 106197 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
27/12/2007 03:19:17 (+0700) | #80 | 106230 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
Hơ hơ
Bạn GS backup file .exe của hệ thống bằng cách nào thì tôi cũng có thể backup rồi đổi phần mở rộng như thế! Bạn có nói bạn làm cách nào không nhỉ
Copy file rồi đổi tên thì thiếu gì cách
1. Copy lần lượt từng file như bạn nói
2. Dùng tool, CT có sẵn (Total commander hình như cũng có tính năng này, hoặc FAR manager ...)
3. Dùng tool ... tự viết
4. Giả sử bạn muốn sao lưu rồi đổi tên .exe trong thư mục C:\Windows thành .exx lưu vào thư mục D:\Backup, sử dụng chương trình XCopy (Không chắc có trong mọi phiên bản Windows hay không)
XCopy /Q /E C:\Windows\*.exe D:\Backup\*.exx
Còn có thể có cách khác nữa ...
Còn như bạn nói, muốn sao lưu dữ liệu để đề phòng bị virus hả? Ghost lại ổ đi, sao lưu dữ liệu quan trọng đi. Bạn nói cách bạn là sao lưu file hệ thống? OK! Vậy còn các chương trình dữ không có bộ setup hoặc khó cài đặt cách của bạn cũng bó tay thôi!
Tôi không nói tôi có cách nhanh nhất và hiệu quả nhất bạn ạ! Mọi người phải tự có ý thức sao lưu tài liệu quan trọng của mình, còn tới khi bị virus rồi thì dùng cách nào cũng chả thể toàn diện được. Đâu phải là không có virus xóa dữ liệu, hoặc tấn công cả file .doc, .xls ... nên việc sao lưu cũng không thể chỉ làm với file .exe. Có cả virus lây file .dll, .sys đó chứ!
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
27/12/2007 08:26:40 (+0700) | #81 | 106298 |
born2die
Member
|
0 |
|
|
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
|
|
Trời đất ơi, đọc kỹ mới nhận ra rằng hóa ra thằng GÀ GS tưởng nó diệt được con này bằng tay, bó cờ him
Chúc gà ngày một gà hơn với những suy nghĩ AQ như vậy. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
27/12/2007 09:02:30 (+0700) | #82 | 106312 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
đề nghị born2die dùng lời lẽ lịch sự hơn trong tranh luận. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
27/12/2007 17:48:25 (+0700) | #83 | 106394 |
karkar
Member
|
0 |
|
|
Joined: 12/03/2007 18:22:03
Messages: 18
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
28/12/2007 00:23:44 (+0700) | #84 | 106419 |
|
choemhet
Member
|
0 |
|
|
Joined: 04/09/2006 11:10:55
Messages: 2
Offline
|
|
em thấy các bác làm rắc rối quá, thử làm theo cách của anh ttn em thấy rất nhanh,nhưng lúc đầu end hết prosess sợ quá lần đầu tiên làm như thế tưởng sẽ hỏng hểt hệ điều hành ,may quá diệt được rồi |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
28/12/2007 02:55:26 (+0700) | #85 | 106454 |
Overflow
Member
|
0 |
|
|
Joined: 22/05/2007 18:55:46
Messages: 11
Offline
|
|
Con Dashfer này kill phần worm ko khó, lây file chừa ổ cài win -> đỡ quá. Còn các ổ khác, nó không chừa ra -> Diệt bằng tay chắc chỉ có cách find *.exe -> re le te là ổn |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
28/12/2007 07:56:46 (+0700) | #86 | 106494 |
|
Người Nhỏ Bé
Member
|
0 |
|
|
Joined: 16/11/2007 18:02:30
Messages: 5
Offline
|
|
May quá(vì đúng lúc cần thì đã có chủ đề rồi ),hôm qua anh bạn mình mới mang cái usb đến,cắm vào cái là KIS báo ngay có file pagefile.pif đó,định copy cho vào bộ sưu tập nhưng không cách nào làm được.Dùng lệnh attrib -s -h h:\pagèile.pif (cmd quyền hệ thống) mà không sao gỡ bỏ được tính năng systemfile của nó-access denny.Không cho bỏ ẩn,copy,move send to nó gì hết..hic hic.Mà cái usb đó cắm vào là mở bằng cái nút tam giác ở thanh địa chỉ trong winexplorer chứ không có mở trực tiếp bằng chuột(nên chắc nó chưa chạy vào máy,và chắc là cũng không có con nào trong máy đang dùng đến nó..(KIS???)).Đi kém với nó trong cái USB còn có file autorun nội dung thế này:
Code:
[AutoRun]
open=pagefile.pif
shell\open=´̣¿ª(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=pagefile.pif
Giờ thì lỡ tay xóa mất cái con pif đó rồi nhưng mà cái vụ trơ mặt ra không cho đưa vào chỗ khác của nó thì vẫn thấy thắc mắc.Vấn đề này mình chưa gặp bao giờ.Bạn nào hiểu biết vấn đề thì giải quyết giùm.Thân. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
28/12/2007 12:24:18 (+0700) | #87 | 106556 |
juypiter
Member
|
0 |
|
|
Joined: 09/01/2007 19:57:36
Messages: 16
Offline
|
|
hơ hơ....các bác tranh luận ghê quá, em đọc mà hoa cả mắt...
Con này theo các AV thì tến cúa nó là Xorer hay là Dashfer gì đấy. Nói chung là lây file nên thiết nghĩ dùng AV là hay nhứt. Còn bác nào bít Debug thì viết tool mà quét cũng được.
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
29/12/2007 02:25:01 (+0700) | #88 | 106647 |
mailhn
Member
|
0 |
|
|
Joined: 24/07/2004 15:08:22
Messages: 7
Offline
|
|
Con Dashfer này kill phần worm ko khó, lây file chừa ổ cài win -> đỡ quá. Còn các ổ khác, nó không chừa ra -> Diệt bằng tay chắc chỉ có cách find *.exe -> re le te là ổn
Cách đây 5 hôm khi dính con này em cũng hoang mang lắm vì chưa bao giờ phải đối phó với loại như thế. Vận dụng hết kiến thức ra mà không kill được .
May mà nó không khóa nốt IE với Windows Explorer cho nên em search Google thấy bài viết trên HVA của bác GS và bác NGVANTEO, VUHOANG đúng là loại virus em đang dính .
Sau khi download file a.rar làm theo hứng dẫn thì diệt xong. Ai ngờ nó còn chơi kiểu lây vào các file .EXE, tiêm cả mã vào file HTML nữa. hqua em down bản BKAV mới nhất ver 1418 quét thì thấy bao nhiêu file EXE bị dính loại virus W32.Dashfer.Worm . Thấy BKAV diệt các file EXE bị lây nhiễm tưởng nó xóa tuy nhiên nó chỉ FIX thôi cho nên các file EXE vẫn còn nguyên.
Các bác nên down bản BKAV mới nhất về FIX cho chắc ăn đừng xóa file EXE nhé. |
|
|
|