banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... [Nhờ phân tích] lsass - smss - alg - pagefile.pif - pagefile.exe ...  XML
  [Question]   [Nhờ phân tích] lsass - smss - alg - pagefile.pif - pagefile.exe ... 23/09/2008 08:31:36 (+0700) | #1 | 152547
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
http://files.myopera.com/kamikazeq/files/MamVirus/Mam%20Virus.rar (Pass : infected)


--------------
Mình đã dùng các công cụ thông thường dể Tìm diệt bằng tay mà không tài nào hạ được nó.
Ở đây mình muốn nhờ các bác phân tích giùm, và đưa ra giải pháp hữu hiệu đối với con này.
Mình thực sự mong muốn được học tập thêm kinh nghiệm diệt Virus từ con này.

Lưu ý: Điều kiện đặt ra là :
_Ko được vào SafeMode.
_Ko được boot vào dos hoặc Hiren hoặc nhờ máy khác.
(ở đây mình đưa ra điều kiện bởi vì chủ máy dính virus này không rành để có thể làm thế, mong các bác hiểu cho).
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] 1 chú Virus cực kì lì lợm. :-ss 23/09/2008 11:23:43 (+0700) | #2 | 152565
flobg88
Member

[Minus]    0    [Plus]
Joined: 23/08/2008 18:31:32
Messages: 17
Offline
[Profile] [PM]
Hay quá lại có 1 chú mới cho FLo nghiên cứu rồi để Flo thử độc xem sao nhé! tính năng của nó bạn có thể post lên đc ko chơi cho dễ ^^
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] 1 chú Virus cực kì lì lợm. :-ss 23/09/2008 12:55:36 (+0700) | #3 | 152577
[Avatar]
gdragon
Member

[Minus]    0    [Plus]
Joined: 20/08/2005 18:41:42
Messages: 119
Offline
[Profile] [PM]
hay quá ^^, con này ở đâu ra vậy. Để chép về học tập cách diệt virus. mà tính năng của nó thì sao, nó làm hư gì trong windows.
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] 1 chú Virus cực kì lì lợm. :-ss 23/09/2008 17:10:21 (+0700) | #4 | 152597
[Avatar]
zducdungz
Member

[Minus]    0    [Plus]
Joined: 15/09/2008 12:03:18
Messages: 5
Offline
[Profile] [PM]
hì hì chúc mừng anh bạn đã có 1 chú virus làm chậm các trương trình khi windown khởi động nha
pác thử dùng phần nềm diệt trojdan coi có tác dụng làm nó suy yếu đi hok ,con này nó bám chặt vào file nào rùi thì coi như xong. Nói tóm lại là làm cho no yếu thì dc chứ hok xóa dc smilie
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] 1 chú Virus cực kì lì lợm. :-ss 23/09/2008 22:38:09 (+0700) | #5 | 152622
mumaytinh
Member

[Minus]    0    [Plus]
Joined: 23/08/2008 00:28:44
Messages: 2
Offline
[Profile] [PM]
vay pac thu dung avira antivir coi, cai nay se lam vo hieu hoa file autorun.inf sau do bac dung far manager diet lai coi
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] 1 chú Virus cực kì lì lợm. :-ss 23/09/2008 23:49:01 (+0700) | #6 | 152647
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Symantec lụm sạch.Gửi cho các bác viết trình diệt ở Việt Nam.

Lưu ý: Điều kiện đặt ra là :
_Ko được vào SafeMode.
_Ko được boot vào dos hoặc Hiren hoặc nhờ máy khác.  

Mấy anh admin/helpdesk/it support không phải dân tài tử nghệ thuật đâu, gặp là xử lý ngay, không có nhiều thời gian để chơi nghệ thuật. Cho nên là yêu cầu kỳ lạ trên là không thực tế.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] 1 chú Virus cực kì lì lợm. :-ss 24/09/2008 20:56:45 (+0700) | #7 | 152781
crawling0805
Member

[Minus]    0    [Plus]
Joined: 23/09/2008 18:59:18
Messages: 10
Offline
[Profile] [PM]
Hôm qua cũng mới dính con này xong, con này cũng khá là quái ác. Nó làm máy chậm, khóa Foder Options, ẩn Task Manager, ẩn Run... không khởi động trong Safe Mode được....

Tốt nhất là với con này ta nên diệt nó bằng đĩa Live CD, có thể dùng Mini PE cũng khá hay. Diệt xong nhớ xem lại file userinit.exe trong registry.
Xong xuôi tất cả có thể dùng VNFix để khôi phục lại các tác vụ bị mất như Folder Options, Task Manager.
[Up] [Print Copy]
  [Question]   Re: [Nhờ phân tích] lsass - smss - alg - pagefile.pif - pagefile.exe ... 30/09/2008 10:48:03 (+0700) | #8 | 153390
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Mò mò cuối cùng cũng del tay được. Hình như con này BKAV bảo là Dasfer gì đó.
Kas 2009 có sẵn thì bắt được liền, còn đến sau thì bị nó đè đầu. Nó không cho vô SafeMode.

Tìm vào Dos del mớ dưới là ổn. (không biết cách nào để xử nó trong win smilie )

Code:
C:\*.inf
 C:\*.pif
 C:\*.log
 C:\*.exe

 C:\NetApi000.sys

 %windir%\system32\PageFile.pif
 %windir%\system32\AntiTool.exe
 %windir%\system32\wpcap.dll
 %windir%\system32\pthreadVC.dll
 %windir%\system32\packet.dll
 %windir%\system32\dnsq.dll

 %windir%\system32\drivers\alg.exe
 %windir%\system32\drivers\NPF.sys

 %windir%\system32\com\smss.exe
 %windir%\system32\com\lsass.exe
 %windir%\system32\Com\NetCfg.000
 %windir%\system32\Com\NetCfg.dll
 %windir%\system32\Com\ComEmpty.dat
 %windir%\system32\Com\ComExp.msc
 %windir%\system32\Com\ComRepl.exe
 %windir%\system32\Com\ComAdmin.dll
 %windir%\system32\Com\ComReReg.exe
 %windir%\system32\Com\MtsAdmin.tlb

 %windir%\system32\dllcache\MtsAdmin.tlb
 %windir%\system32\dllcache\ComAdmin.dll
 %windir%\system32\dllcache\ComRepl.exe
 %windir%\system32\dllcache\ComReReg.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
%windir%\system32\config\systemprofile\Start Menu\Programs\Startup
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|