banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... pagefile.pif, LSASS.EXE, SMSS.EXE  XML
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 01/04/2008 16:43:54 (+0700) | #151 | 122458
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

bluearrow wrote:
Không phải là không biết GS à,
Con này lây vào hai loại file là htm và exe. Bkav xóa được những file htm bị lây nhiễm, nhưng page.pif và các file ~*.exe, lsass.exe, smss.exe và nhữnng file exe bị lây nhiễm lại không phát hiện được.
Còn KAS thì không diệt được những file htm bị lây nhiễm.
Thế chẳng phải không diệt được triệt để là gì?
Chính vì việc không diệt được những file tiềm tàng đó nên máy mới bị "tái nhiễm".
Lúc trước dùng đến 4 thằng quét cùng lúc Bit, Nor, Bkav, Zone, sau đó chưa chắc ăn chui vô dos xóa thủ công luôn thằng page.pif, lsass.exe và smss.exe. Xin hỏi có ai biết tại sao tụi nó không diệt luôn mấy thằng này không? nếu không phân tích kỹ thì tui đâu có biết mà chui vô diệt thủ công mấy file đó sau khi quét xong!?! sở dĩ máy bị tái nhiễm vì tui không ngờ nó nhiễm vào cả những file exe trong máy.
Bạn bảo tui thiếu kiến thức căn bản thì quả là khinh người quá đáng. 


Chài, Xin lỗi vì đã làm bạn phật ý! Nhưng mình nói vậy chỉ vì mình thấy bức xúc khi nhiều người cứ bị nhiễm đi nhiễm lại mấy con kiểu này ròi lại đổi cho AV kô diệt được trong khi mình dung KAV thì phat hiện và diệt cả đống mãi chả thấy bị nhiễm lại. Mình chỉ bị nhiễm con này mọt lần khi người khác ngồi vào máy và KAV thì tắt.

Bạn có thể nói rõ bạn dùng BKAV và KAV quét trong tình trạng như thế nào kô?(Tháo ổ cứng lắp sang máy sạch để quét hay là BKAV và KAV đang chạy trên chính HDH đang bị nhiễm để quét?)

Nếu các AV quét trogn tình trạng con virus này vẫn đang hoạt động cùng với win thì việc các AV kô xóa được mấy file kô có j khó hiểu. Muốn quét hiệu quả bằng các AV thì trước tiên phải làm virus ngừng hoạt động. Tháo ổ cúng lắp sang máy sạch là một cách đơn giản và hiệu quả.

Còn nếu quét khi virus đã ngừng hoạt động mà vẫn kô diệt được mấy file kia thì có thể do các file ~.exe, page.pif, lsass.exe và smss.exe được để ẩn mức hệ thống nên các AV đôi khi ko phát hiện ra (Nhiều lân khi mình cắm USB có file virus ẩn và chưa mở ẩn KAV cũng kô báo nhưng sau khi mở ẩn hệ thống thì KAV cũng réo ầm ĩ và phát hiện ra)

Cho dù con virus này có lây vào các file .exe nhưng nếu máy bạn cài KAV đã update con này và luôn luôn để chạy canh phòng thì máy bạn cũng kô thẻ nhiễm lại do bạn mở file .exe đã bị nhiễm vì chỉ cần mở vào thư mục chứ file bị nhiễm là KAV đã réo lên báo có file nhiễm và đòi disinfect. Mình kô hiểu bạn bị nhiễm lại do các file .exe đã bị nhiễm như thé nào? KAV của bạn có chắc là mới được update kô?
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 01/04/2008 20:08:21 (+0700) | #152 | 122470
clericuzio
Member

[Minus]    0    [Plus]
Joined: 30/03/2008 01:09:56
Messages: 2
Offline
[Profile] [PM]
Việc kis phát hiện ra virus và diệt nó nhưng lại bị tái nhiễm lại là chuyện bình thường thôi nhưng
.bạn nên kết hợp cả việc update lại win xp ,chứ nếu chỉ sửa chữa regedit thôi thì kô đủ (bởi con trojan này đã sửa regedit rồi thì bạn có diệt nó vẫn lây nhiễm lại . tôi đã làm và thấy hiệu quả lắm
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 03/04/2008 07:06:06 (+0700) | #153 | 122888
tungcx
Member

[Minus]    0    [Plus]
Joined: 29/03/2005 16:11:18
Messages: 1
Offline
[Profile] [PM]
Mình mới cài lại win, tưởng máy không bị virus, khi đọc bài này của bạn, mình mở task manager ra thấy có 2 thằng lsass.exe và smss.exe đang chạy và ko end được. Khi mình dùng processxp thì end được nhưng mà máy tính báo lỗi và ra thông báo shutdown máy tinh luôn sau mấy chục giây. Dùng các loại chương trình diệt víu mà ko thấy gì, dùng cả Fire Lion bản mới nhất quét cũng không thấy báo gì. Chẳng biết máy mình có phải bị virus không nữa mong các bạn cho ý kiến
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 03/04/2008 11:10:41 (+0700) | #154 | 122917
[Avatar]
maithangbs
Elite Member

[Minus]    0    [Plus]
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
[Profile] [PM] [Email] [Yahoo!]

tungcx wrote:
Mình mới cài lại win, tưởng máy không bị virus, khi đọc bài này của bạn, mình mở task manager ra thấy có 2 thằng lsass.exe và smss.exe đang chạy và ko end được. Khi mình dùng processxp thì end được nhưng mà máy tính báo lỗi và ra thông báo shutdown máy tinh luôn sau mấy chục giây. Dùng các loại chương trình diệt víu mà ko thấy gì, dùng cả Fire Lion bản mới nhất quét cũng không thấy báo gì. Chẳng biết máy mình có phải bị virus không nữa mong các bạn cho ý kiến 

Chịu khó đọc từ đầu đến cuối đi bạn. Bình thường đó là 02 file của Windows và đặt ở thư mục ..\Windows\system32, nếu có em virus này nó sẽ tạo 2 file ở thư mục ..\Windows\system32\com và thêm ít nhất 1 file autorun.inf ở thư mục gốc các ổ đĩa. Theo mình thì 2 file của bạn là của Windows chứ không phải virus gì đâu.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 10/05/2008 13:33:05 (+0700) | #155 | 129894
hacktood
Member

[Minus]    0    [Plus]
Joined: 14/01/2007 22:39:06
Messages: 20
Location: sài gòn
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cho em đóng góp đôi lời và muốn hỏi thêm nhờ các anh HOÀNG VÀ MOD tư vấn . Em chỉ có đề ngi thế này . em hay đặt câu hỏi thế này tại sao nhửng virus luông được nâng cấp ver mà trong khi đó các anti dù của hảng lớn hay nhỏ đều bó tay là bở vì thông tin về virus được nhửng ngừi truyền miện nhau và nói chung thông tin được công bố trên tất cả các web sile lớn bé . Còn đối với các vị chế ra virus thì họ rất ham chăm nom cho đứa con của mình vì vậy họ phải đi tìm thông tin trên tất cả các diển đàn , mọi thứ như 1 người mẹ chăm lo cho đứa con mình vậy . Vì 2 lý do đó cho em em rút ra 1 điểm là Nếu các bác đả có ý và đả diệt được thì tốt nhất chỉ đưa lên 1 diển đàn mà thôi , thứ 2 riêng về HVAONLINE phải có cách chặn mọi ip của nước ngoài vào web sile của ta dù họ có sử dụng bất cứ shock5 và ip của tất cả các nước trên thế zoi kể trong khối asian thì đều ko cho phép vào sile của . Vì có thể người mẹ của đứa con virus này họ dựa vào nhửng thông tin và cách thức ta tiêu diệt đứa con của họ nên chuyện họ chạy đi tìm cách thức ta diệt như thế nào hằng ngày và bít mà về dặn dò con mình né tránh . Bởi vậy lời đề ngi của em ko khó đối với BQT nhất là anh admin đúng ko ạ .
Còn việc thứ 2 em muốn nhờ anh em đóng góp là hiện nay có 1 loại virus rất lạ mà đến em hỏi mấy thằng bên bkav tư vấn đều botay.com đó là việc máy em đang chơi MUSG . Lúc ban đầu em tải về chơi rất bình thường ko có việc zi xảy ra cả , nhưng gần đây thằng em của em nó chơi phongthan nên zo sile www.luongsonbac.com và tải 1 bản auto hay đại loại dúp đở trong việc luyện phongthan . Vì thế bây zo máy em bị 1 virus rất lạ là khi mở MUSG lên ngay từ khung đầu tiên hệ thống đếm ngược xuất hiện . Em củng biết rằng loại virus này có từ lâu rồi và bkav cùng với các anti trên thế zoi đả có cập nhật nên đả vô safe mode quét nhưng hoàn toàn ko thấy có con nào cả . Tìm thông tin trên mạng và hỏi cả gmail bkav qua đường dây nóng tất cả đều lắc đầu . Em củng em ngi chắc chỉ là lổi nên xóa game cài lại nhưng nào ngờ hiện tượng đó vẩn còn ( em đang dùng xp pack 2 pro ) Cả 1 đêm em mò mẩm mải mà ko ra . Cái đáng tức là các ứng dụng và game khác hoàn toàn ko bị trường hợp này em vô win bình thường chát chít vô tư ko sao cả nhưng mở MUSG lên là bị tức điên đầu với nó đành phải cài lại win và cài tải lại bản khác của MUSG thì vô chơi bình thường nhưng niềm zui chưa được bao lâu thì thằng em lại zo cái sile chó đó và tải cái auto đó tiếp tục thế lại chuyên củ lại trở về . Cho nên bây zo em đành chặn ko cho nó zo sile đó nửa . nhưng liệu có thoát được lòng đam mê cày game của nó ko các anh nó lại lên sile khác và dùng từ khóa của cái auto đó trên google thì em củng bó tay luông nên mong rằng các anh phân tích và giải thích hộ em chuyện lạ đời đó . Em thì luông luông xài hàng xịn của các anti có trong danh sách cao thủ của thế zoi ke ca anti cua bac HOANG đều vô vọng .
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 16/05/2008 04:07:20 (+0700) | #156 | 130727
[Avatar]
chicken_IT
Member

[Minus]    0    [Plus]
Joined: 17/04/2007 11:49:55
Messages: 53
Offline
[Profile] [PM] [Email] [Yahoo!]
Nhân tiện bàn về virus, hiện máy em đang chạy rất chậm, mặc dù em luôn update kaspersky thường xuyên nhưng em có cảm giác như là nó bị virus hay sao ấy, em thì ko rành về các file thực thi của windows cho lắm nên em xin mạn phép post lên hình ảnh các process đang thực thi trong máy em, mong các pác nào pro tư vấn giúp em nên bỏ các process nào (bỏ tận gốc càng tốt )để máy em có thể chạy tốt hơn, xin cảm ơn các pác!

[Up] [Print Copy]
  [Question]   pagefile.pif, LSASS.EXE, SMSS.EXE 20/06/2008 16:18:58 (+0700) | #157 | 136556
[Avatar]
truong_itc
Member

[Minus]    0    [Plus]
Joined: 12/05/2008 01:47:34
Messages: 3
Offline
[Profile] [PM] [Yahoo!] [MSN]

Ghost Ship wrote:
Dowload pagefile.pif và LSASS.EXE http://superupload.fire-lion.com/download.php?file=de5213dd80079d4d284aeb3122372102
Kô biết FH của pác Hoàng update con này chưa.

Hôm qua có thằng gà mang USB đến khoe ảnh, mình kô có nhà, mấy tên kia bảo:" quét virus đi!", thằng đó bảo:"Làm gì có virus!", thế là chúng nó kô quét ! Mình về mở task manager thấy có 2 cái LSASS.EXE và SMSS.EXE đang đứng cùng với ông Explore.exe smilie. Bực mình với mấy thằng gà nhưng cũng sau đó thấy con này hay hay nên cũng nguôi nguôi đi tí smilie Nhờ nó mà mình thu thêm ít điểm kinh nghiệm và có thêm một skill mới smilie

Các biểu hiện của nó:
- Chưa thấy có biểu hiện gì lạ, nếu kô có thói quen kiểm tra process thì chắc là còn chưa biết có sự ghé thăm của nó smilie

- À mà hinh như nó làm nghẽn mạng. tự nhiên thấy thằng chủ mạng gọi bảo: "máy anh làm gì mà cứ cắm dây mạng anh vào là ping báo tới 2000ms mà rút dây anh ra thì mạng "time out" luôn smilie". Mình liền ping thử thì thấy vẫn 38ms đều đều smilie --> chẳng lẽ con này làm được như vậy? smilie(đó là lúc mình chưa kiểm tra process, máy lúc đó thằng khác đang dùng.) Lên chỗ thăng chủ mạng xem thử. Nhưng lúc này thì mạng lại ngon rồi kô thấy 2000ms nữa nhưng đúng là rút dây mình ra thì mạng time out thật smilie. nó bảo:"kô biết đâu là dây modem đâu là dây của anh nữa smilie" smilie Một lúc sau thì hết cái hiện tượng ấy. có lẽ con kia đã dùng xong mạng (kô biết nó dụng mạng làm gì smilie) và buông tha bà kon smilie Lúc sau về dùng máy và kiẻm tra process mới thấy nó. có thằng bảo :"chắc là từ USB thằng X rồi" smilie .kô đỡ được mấy ông, chẳng nhẽ rời máy là out admin luôn. smilie

Bắt đầu chiến với nó:
- Vì nó hiện lù lù 2 cái Process kia nên dùng Procexp thấy ngay con nó cùng nằm trong C:\Windows\System32\Com. Nhưng vào đến nơi thì kô thấy đâu.

- Hóa ra nó đã đóng ẩn system của mình (mình toàn để mở) đóng xong nó làm mất luôn cái dòng:"Hide protected operating system file (Recommanded)" trong Folder Option. (Mình chưa biết key nào làm việc này)

- Dùng atrrib để -s -h 2 cái của nợ ấy nhưng nó cũng kô hiện ra --> chắc là nó liên tục kiểm tra thuọc tính s h của 2 cái đó, nếu thấy bị - thfi nó lại + lại luôn. Dùng Filemon thì thấy đúng là cái LSASS.EXE liên tục chăm sóc chính nó và thằng SMSS.EXE thật.

- Dùng Procexp kill bon nó nhưng kô được, kill 1 thì nó hiện thêm 2 3 chính nó. mà Procexp ko có (hay có mà mình chưa biết nhỉ?) chức năng kill liền nhiều Process nên bó tay với lại này.

- Quyết định rút Kiếm băng (IceSword) ra xài smilie lần này thì máy chết với ông smilie Hix nhưng cứ click mãi mà chả thấy kiếm băng hiện ra --> kinh thật nó khóa cả kiếm băng của mình smilie. Thử đổi tên kiếm băng xem sao? --> à đã hiện ra! nhưng đáng tiếc chỉ trụ được chưa đầy 3s thì lại biến mất smilie hix mày làm tao sợ rồi đấy, sợ pha lẫn cảm hứng dâng trào he he.

-Sau đó thử dùng taskkill nhưng cũng kô được. Thôi bó tay chuyển hướng vậy, tí nữa ông ra dos ông xóa thì mày chỉ có khóc he he.

- Thử kiểm tra Auturun ở các ỏ xem sao --> chà, ổ nào cũng có, thậm chí ở ổ C nó còn hiện lù lù ra chứ ko thèm +s +h (kô nhớ là nó hiện như vạy từ đầu hay là mình attrib nó từ lúc nào.smilie) --> xem tiếp mày kick hoạt thằng nào nào --> Hix nhưng mà kô Open được nó. notepad hiện ra trắng xóa và kèm theo cái bảng báo là "access is denied" nhưng kô giống của windows. Hic ác thật.

- Định dùng hijackthis và Autoruns đẻ xem nó dùng key nào để kich hoạt cugnf máy nhưng kô thấy gì smilie sau khi diệt được nó mới thấy được bằng Autoruns.

- Định vào safe mode nhưng kô hiểu nó làm kiểu gì mà kô vào nổi. chọn safe mode rồi nhưng chạy một loạt dòng xong là máy bị restart smilie

- Đành vào mạng tìm thông tin về mày vậy, nhưng 2 cái process kia trùng tên với 2 process của OS nên sẽ khó đây. à kô sao paste cả cái đường dẫn vào google là ok smilie. Nhưng ôi thôi một cái gạch chéo đỏ đã hiện ra từ lúc nào chỗ khay đồng hồ, thằng chủ mạng nó đã rút dây mạng của từ lúc nào mình rồi smilie hic 11:30 PM rồi phone lên mịa nó lại tế cho. Hic vậy là mình đã bị kô lập với thế giới smilie thôi kố nốt vài skill nữa, kô được thì để mai vậy smilie

- Hôm trước về quê kiếm được cái đĩa cứu hộ hay phết. trong nó có cái win từ đĩa hay phết smilie giống cái ngày xưa pác Hoàng bảo( tên gì quên bó nó roài). nhưng mà nó kô chỉng được registry đâu pác Hoàng à. cũng và được registry nhưng mà là registry của nó, có mỗi tí tẹo chứ kô phải registry của win trong HDD. hay là phải vào kiểu gì nhỉ?

- Với cái win trên đĩa CD này thì mình đã vào và thịt ngon cả lũ kia (liệt kê tất cả các file trong C:\Windows rồi xếp chúng theo thứ tự date creat --> cut hết những thằng mới được tạo ra trong trong ngày hôm nay ra một cái folder đẻ up lên cho pác Hoàng và bà kon nghiên cú chơi smilie) Hóa ra cái file mà autorun.inf của nó kích hoạt là file pagefile.pif. Thôi bây giờ restart là ok smilie

- Nhưng kô phải vậy. vào đến nơi vẫn thấy 2 thằng đó lù lù trong task manger smilie hic vậy là nó vẫn còn một file để kích hoạt lúc vào win ở đâu đó. đúng là nó đã hiện ra như thế thì nó cũng chả ngu mà dùng chính cái file đó để kích hoạt lúc vào win.

Vậy làm sao bây giờ đây. à còn một skill nữa, mình biết từ hồi mới vào đọc HVA smilie nhưng chưa có cơ hội thử. có dùng vài lần nhưng kô phải để diệt virus :d có lần còn thấy có người bảo nó kô hiệu quả, nhưng lần này thì nó lại hiệu quả smilie có lẽ thằng tác giả con này chưa nghĩ ra skill này của mình, nó mà đọc được bài này thì Ver sau chắc là kô dùng được smilie mà kô biết nó có biết tiếng việt ko smilie cái autorun chứ loàng ngoàng chắc nó lại là Tàu roài. smilie đố ai biết đó là chiêu gì? :d Nếu là bạn thì bạn sẽ xử lý tiếp thế nào? kô chơi dùng các AV để quét nhá. KAV cũng phát hiện ra nhưng nó vẫn được kích hoạt ngay cả khi KAV đang chạy đấy và từ lần khởi động sau thì kô thấy KAV ở khay đồng hồ nữa smilie làm sao để biết nó kích hoạt khi vào win như thế nào đây? smilie xin mời các chuyên gia khoái quai tay smilie

P/S: hơi cao hứng nên iem dùng hơi nhiều smile. nếu các pác thấy kô được thì nhắc để em xóa đi chứ đừng warn iem thêm nhát nữa nhá smilie sao của iêm max roài. Hay các pác cho iêm nợ 3 tháng nữa nhỉ ? smilie  


Không đỡ được, như phim chưởng hồng kông. Em nhớ mấy file này có cài kèm win xp mà. cài xòn là có nó liền. Làm gì mà vật vã , khổ sở thế. máy vẫn chạy tằng tằng.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú 19/07/2008 04:48:28 (+0700) | #158 | 142199
hackingvietnam
Member

[Minus]    0    [Plus]
Joined: 18/07/2008 14:23:00
Messages: 26
Location: ..netlux..org..
Offline
[Profile] [PM] [Email] [Yahoo!]

Ghost Ship wrote:
Con này tự kích hoạt khi vào win bằng cách để một file ~.exe (100kb) trong startup.

Cách diệt:
1.1: Vào DOS del cái file ~.exe, autorun.inf và các file pagefile.pif trong các ổ ròi khởi động lại máy là ok.

1.2: Vào tới win rồi thì tìm tất cả các file được tạo ra trong ngày trong C:\WINDOWS rồi del hết hoặc dùng KAV mới update quét để dọn nốt mấy file của nó trong. Nghe nói nó còn lây cả file nhưng máy của mình kô thấy. chắc là do mình diệt nó hơi sớm nên nó chưa kip phá smilie

2. Nếu kô muốn vào DOS thì dùng Local Security Policy của Window để khóa cái file pagefile.pif rồi restart lại máy --> tìm đến các ổ xóa autorun.inf, pagefile.pif, và startup xóa ~.exe. --> quay lại bước 1.2

Đơn giản thế thôi smilie. chán, chả có ai chơi trò này cùng mình thiệt là mất hứng.

Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C smilie)
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này smilie

2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.

2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).

2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa smilie)
- Nhấn OK.
- Restart lại máy. (Xong) 

cho hỏi file pagefile là file hệ thống khi dùng chức năng ngủ đông mà ?
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
7 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|