Xem Thống Kê Mới Virus [Giả dạng Folder.exe (trùng tên Folder)]. & Fix các thư mục bị làm ẩn.

Bước 1: "Tắt process của Virus"

Tải và chạy Process Approach.

Sau đó làm theo 2 hình dưới.

This image has been resized. Click this bar to view the full image. The original image is sized 823x371.

----------

Bước 2: Tìm xóa các mầm virus cùng file autorun.inf ở tất cả các ổ đĩa và Fix lỗi autorun để tránh nhiễm lại ngay khi ta truy cập các ổ đĩa.

Chạy XYplorer
Chọn từng ổ đĩa bên trái, ngó qua bên phải để xóa các file autorun.inf (xem hình)



Tiếp theo, vào Start, Run, gõ "Regedit" rồi enter

Trong chtrình Regedit, tìm tới khóa:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2

Xóa khóa MountPoint2 ở bên trái đi (bằng cách chọn khóa đó rồi nhấn Delete).



----------

Bước 3: Tìm xóa 2 file chạy của Virus. (Userinit.exe và System.exe)
Chú ý: phải đọc thật kĩ đường dẫn để tránh nhầm với file của hệ thống.

Vào C:\Windows\ , tìm xóa file Userinit.exe
Vào C:\Windows\System32\ , tìm xóa file System.exe

----------

Bước 4: Sửa lại giá trị của khóa Userinit trong Registry để đảm bảo cho lần vào Win sau không bị Logoff.
(bước này cực quan trọng không thể thiếu).

Vào C:\Windows\System32\ , kiểm tra xem còn file Userinit.exe không. (phải đảm bảo còn file này ở đây).

Vào Start, Run , gõ "Regedit" rồi enter.

Trong chtrình quản lý Registry, tìm tới khóa sau:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Rồi ngó qua bên phải, double click vào value Userinit, sửa giá trị thành C:\Windows\System32\Userinit.exe, (nếu ổ C: là ổ chứa Windows)

This image has been resized. Click this bar to view the full image. The original image is sized 824x589.

Để chắc chắn, bạn nên tải Autoruns này. Chạy nó. Xem giống như hình sau thì ổn.

This image has been resized. Click this bar to view the full image. The original image is sized 815x277.

----------

Bước 5: "Tìm xóa các mầm exe giả dạng Folder trùng tên" và "Phục hồi những Folders bị Virus giấu đi (làm ẩn)"

a) Tìm xóa mầm giả dạng Folder.exe:

Chạy XYplorer , mở bung chtrình ra toàn màn hình (Maximize), rồi thiết lập như hình dưới.

This image has been resized. Click this bar to view the full image. The original image is sized 908x549.

Sau khi Search ra tất cả các file .exe của của 1 ổ đĩa nào đó (ví dụ ổ E: như hình dưới), click vào tiêu đề cột SIZE để xếp các file giả dạng theo Size, và đương nhiên là chúng sẽ có cùng icon là hình Folder.

Chú ý 2 điểm này, xóa hết chúng đi.

This image has been resized. Click this bar to view the full image. The original image is sized 1060x804.

Thao tác tương tự cho các ổ đĩa khác (luôn cả USB) để xóa triệt để các mầm giả dạng.

b) Phục hồi lại các Folders bị Virus làm ẩn:

Dùng tool này để phục hồi . Phuc hoi Hidden File Folder.bat.



------------------

Lời cuối:

Hiện tại có rất nhiều loại Malware gây ra chuyện ẩn thư mục và giả dạng, nhưng tôi chỉ tạm đưa ra giải pháp cho riêng các biến thể thường gặp (system.exe & userinit.exe) để các bạn phần nào có cái nhìn bao quát hơn về vấn đề này.

Có 1 loại cũng giả dạng exe trùng tên thư mục nhưng không có Icon.

Nếu bạn cũng gặp trường hợp mất thư mục và có folder.exe giả dạng như trên nhưng lại không tìm thấy các file hoặc process như hướng dẫn trên, hãy báo cáo chính xác lên đây :
_ Thao tác không giống ở bước nào.
_ Tình trạng có gì khác không.
_ Có những process nào nghi ngờ.

Mình sẽ hướng dẫn , đồng thời cập nhật thêm vào bài hướng dẫn trên.

Ngoài ra, đọc thêm bài này để thiết lập cho máy tính và bổ sung 1 ít kiến thức tránh Virus.

Project Nhỏ ( Editor Online )

Công dụng

Chỉnh sửa file và tạo file trên host . Không cần phải đăng nhập vào Host

Upload tất cả lên host
Sửa Pass và link trong file config.php

Download

http://www.mediafire.com/download.php?gtljeyt2xz2

Danh Bạ ( Hàng Độc )

Demo

http://www.diachidoanhnghieponline.com/

Download

http://www.mediafire.com/download.php?zqnz5zeowjl Pass : kusanghi

Bản Full ngày 20-10

Powered by VietNextCo . Plugin And Skin by Kusanghi

Ngày buồn nhất !

Thời gian trôi đi thật là nhanh thấm thoát anh và em yêu nhau đã 1 năm rồi , vượt qua bao nhiêu thăng trầm để có được như ngày hôm nay cũng như đã có với nhau bao nhiêu kỷ niệm . Tuy 1 năm chưa nhiều nhưng nó cũng đủ làm bao nhiêu đôi lứa yêu và hiểu nhau hơn > nhưng sao em lại ko hiểu anh vậy ? . Lần trước anh đã tha lỗi cho em rồi nhưng sao lần này em lại tái diễn ?
Em có biết anh phải suy nghĩ nhiều thế nào ko ? > chuyện của huynh anh + gia đình + công việc đổ lên đầu anh rồi em tự nhiên kêu chán với nản > hỏi thì em kêu tự nhiên chán ?

Đã thế em lại nhắn tin cho anh là em chán gia đình + chán người yêu ! > câu này anh nghe xong mà anh quá thất vọng vì em

Thôi anh ko còn tâm trạng gì để viết tiếp nữa > anh suy nghĩ nhiều quá mệt mỏi rồi
Anh tặng em vài câu này mà anh thấy hay nhất

Bạn chưa cần đến 3 giây để nói "I love you", chưa đến 3 phút để giải thích câu nói ấy, chưa đến 3 ngày để cảm nhận được ý nghĩa của nó , nhưng để chứng minh câu nói đơn giản ấy thì cả cuộc đời vẫn là chưa đủ.
Cũng như vậy: Chỉ cần thời gian một phút thì bạn đã có thể cảm thấy thích một người. Một giờ để mà thương một người. Một ngày để mà yêu một người. Nhưng mà bạn sẽ mất cả đời để quên một người . > Cũng như 1 câu nói phải xa nhau cả đời ?

Good bye my love !

Biệt Khúc Ngàn Thu

Bài hát này thân tặng anh strongbear , hanos > nghe bài này lại nhớ đến thấy giống hoàn cảnh của anh banmebynight với anh strongbear quá > nhưng bài này chỉ khác là chỗ ko cùng 1 hướng còn bọn anh là đi cùng hướng thôi > hãy cùng thưởng thức các bạn nhé !

Biệt Khúc Ngàn Thu

Trình bày: Duy Khánh ft Phi Trường

Link : http://mp3.zing.vn/mp3/nghe-bai-hat/Biet-Khuc-Ngan-Thu-Duy-Khanh-ft-Phi-Truong.IW6W7CCI.html

Lyrics: Biệt Khúc Ngàn Thu - Duy Khánh ft Phi Trường

Hoàng hôn đã buông dần , về phía cuối chân trời.
Tôi đưa tiễn anh lên đường.
Về nơi ấy xa xôi , tìm ánh sáng tương lai.
Hai ta cách xa nhau từ đây.

Đoàn tàu đã đi xa, về phía cuối sân ga.
Trông theo vẫy tay từ biệt.
Cầu chúc ở nơi kia, thật nhiều may mắn cho anh.
Mong sao chúng ta còn gặp nhau.

Ngày anh đã cất bước ra đi, trái tim tôi ôi sao nghẹn lời.
Cầu mong anh sẽ luôn yên bình.
Rồi sóng gió cũng sẽ qua đi , bước chân tôi mang theo hy vọng.
Về nơi tươi sáng trong màn đêm.

( Khi câu hát này ... được cất lên.
Anh và tôi đã ở hai con đường ... không cùng một hướng.
Nhưng tôi luôn mong vào 1 ngày nào đó .
Chúng ta sẽ cất lên lời ca...
...Biệt Khúc Tương Phùng... )

Bình minh đã lên rồi , ngàn tia nắng chen nhau.
Mong sao thấy anh quay trở về.
Tìm được thấy vinh quang và tìm được thấy tương lai.
Tôi luôn ước mong anh thành công.

Và tôi đã quay về , mọi gian khó qua rồi.
Sao tôi nói không lên lời.
Thật tôi cũng vui thay vì mọi gian khó đắng cay.
Hai ta vẫn luôn vai kề vai.

Ngày anh đã cất bước ra đi, trái tim tôi ôi sao nghẹn lời.
Cầu mong anh sẽ luôn yên bình.
Rồi sóng gió cũng sẽ qua đi , bước chân anh mang theo hy vọng.
Về nơi tươi sáng trong màn đêm.

Con đường ngày xưa vẫn đây
Nhưng lời ca
...Biệt Khúc Tương Phùng...
Vẫn giữ mãi trong tim kỷ niệm của tôi và anh

[Hướng dẫn] Gửi FULL LOG để tìm diệt Malware kĩ hơn !!! (NEW) (có kèm Log HijackThis)

Giới thiệu:

Ngày nay, nhiều dòng Malware mới dễ dàng qua mặt những Antivirus mạnh bằng cách dùng kĩ thuật Rootkit.
Một số AntiVirus nổi tiếng có kèm chức năng tìm diệt Rootkit nhưng cũng chỉ ở mức vừa. Bởi thế, gặp những Malware dùng Rootkit mạnh sẽ gây khó khăn cho Antivirus. Antivirus lúc ấy chỉ bắt được đàn em lâu la của Malware (không được bảo vệ bởi rootkit).

Tôi mở topic này để hướng dẫn các bạn cách lấy được nhiều Log (thông tin) trong máy hơn, và chú trọng ở mảng Rootkit.
Từ bộ Log đồ sộ đó, nhiều khả năng sẽ thấy được Rootkit để trừ khử nó "bằng tay", làm nhẹ gánh cho Antivirus trong việc trừ khử Malware.

Tôi mạn phép xóa Topic "Lấy log HijackThis" bên kia, gộp chung qua bên này. Ai có nhã hứng với HijackThis.Log thì nó có ở file "log.txt" nằm trong thư mục Rsit của bộ log.

Thời gian để lấy Full Log này hơi lâu (khoảng gần nửa tiếng, nhưng thao tác ít, chỉ cần ngồi chờ thôi).
Bù lại sẽ có được bộ Log khá chi tiết.
Nếu ai thực sự quan tâm đến việc trừ khử triệt để Malware trong máy mình thì nên có bộ Log này.

-----------

Lưu ý: Trong suốt quá trình từ lúc bắt đầu lấy Full Log cho tới khi diệt Malware xong, yêu cầu các bạn không tự ý cài thêm Removal Tool hoặc Antivirus để cố gắng diệt Malware, vì có thể sẽ làm sai lệch thông tin một cách mà chúng tôi khó giải thích. Điều đó gây bất lợi cho việc tìm diệt chính xác và triệt để Malware trong máy bạn.

-----------

Dọn rác trước:

Tắt tất cả các chương trình trên các cửa sổ màn hình

1) Tải ATF Cleaner vào desktop
Chạy ATF-Cleaner.exe, chọn Select All, click Empty Selected.

2) Cài đặt Ccleaner
Chạy Ccleaner và click "Run Cleaner".

-----------

Bắt đầu lấy Full Log:

1) Tải MGtools.exe và save vào thư mục gốc của ổ đĩa cài hệ điều hành (thông thường là C:\ ) rồi chạy nó.
Khi chạy, nó hỏi gì thì cứ Yes - OK - Continue ...
Chạy xong (Finish), bạn upload file MGLogs.zip ở cùng ổ đĩa và đưa link lên đây.

2) Tải GetSystemInfo
Tắt tất cả các chương trình mà bạn đang dùng, chỉ chừa lại các chương trình về security (Antivirus,Firewall..)
Chạy file GetSystemInfo.exe, chọn Settings, chọn Maximum => OK => Create report.
Sau khi hoàn tất bạn upload file GetSystemInfo_*.zip ngay trên desktop của bạn lên host nào đó và đưa link lên đây.

3) Tải AVZ
Giải nén và chạy avz.exe, click chọn menu "File" => Database Update => Start.
Sau khi Update xong, trở lại màn hình chính của AVZ, click chọn tất cả các ổ đĩa trong máy bạn, click chọn "Copy suspicious files to Quarantine" và "Copy deleted files to 'Infected' folder" => click Start.
Ở folder AVZ4, bạn nén folder Quarantine và Infected (nếu có) , upload và gửi link lên đây .

4) Tải và chạy GMER.exe
Khi chạy, nếu Gmer hỏi bạn chọn NO. Sau đó thiết lập và làm theo như hình (ở hình chỉ chọn ổ C:\ vì ổ C:\ là ổ cài Win).

Scan xong thì click Save và đặt tên là "gmer.txt".
Upload file này và đưa link lên đây.

5) Tải vào Desktop và chạy RootRepeal.exe
Chọn tab Files, chọn Scan , chọn tiếp tất cả các ổ trong máy rồi OK.
Chạy xong,click Save report , save với tên RootRepeal.txt , upload và đưa link file này lên đây.

6) Tải vào Desktop và chạy DDS
Nén, Upload và đưa link 2 file DDS.txt , Attach.txt lên đây.

7) Tải vào Desktop và chạy RSIT
Chạy xong, nén 2 file info.txt và log.txt, upload và đưa link lên đây.

8) Tải vào Desktop và chạy SystemScan.exe
Chọn Scan Now.
Scan xong, upload và đưa link file *report.zip vừa được tạo ra lên đây.

---------

Nếu bạn nào cảm thấy máy ổn và chỉ muốn kiểm tra sơ thôi, thì chỉ cần làm bước 7 (trong ấy có kèm HijackThis.log).

10 loại malware điển hình

Hiện nay, ngày càng có nhiều loại malware mới tinh vi hơn, độc hại hơn xuất hiện. Ai cũng có thể biết đến những tác hại mà malware gây ra, nhưng không phải ai cũng biết đến cách thức hoạt động của chúng. Bài viết này sẽ điểm ra 10 loại malware được cho là nguy hiểm nhất từ trước tới nay. Dưới đây là một số thuật ngữ được sử dung jtrong bài viết: Malware: là một phần mềm độc hại được viết ra chuyên để xâm nhập và phá hủy hệ thống máy tính mà người dùngkhông hề hay biết. Malcode: là một mã lập trình độc hại được giới thiệu trong suốt giai đoạn phát triển của một ứng dụng phần mềm và thường liên quan tới số lượng malware. Anti-malware: Bao gồm những chương trình chống lại malware, giúp bảo vệ, phát hiện và gở bỏ malware. Ứng dụng antivirus, anti-spyware và ứng dụng phát hiện malware là những ví dụ của anti-malware. 1. Virus Virus máy tính là một malware có thể lây nhiễm nhưng phải dựa vào những phương tiện khác để phát tán. Một loại virus thật sự có thể lan tràn từ những máy tính bị nhiễm tới một máy tính chưa nhiễm bằng cách đính một mã vào file thực thi được truyền qua nhau. Ví dụ, một virus có thể ẩn trong một file PDF được đính vào một email. Hầu hết virus đều gồm có 3 thành phần sau: Replicator: Khi kích hoạt chương trình chủ thì đồng thời virus cũng được kích hoạt, và ngay lập tức chúng sẽ phát tán malcode. Concealer: Biện pháp virus sử dụng để lẩn tránh anti-malware. Payload: Lượng malcode của một virus có thể được sử dụng để hủy chức năng của máy tính và phá hủy dữ liệu. Một số mẫu virus máy tính gần đây gồm W32.Sens.A, W32.Sality.AM, và W32.Dizan.F. Hầu hết những phần mềm chống virus tốt sẽ gỡ bỏ virus khi chúng được đăng ký. 2. Sâu (Worm) Sâu máy tính tinh vi hơn nhiều so với virus. Chúng có thể tự tái tạo mà không cần tới can thiệp của người dùng. Malware sẽ giống sâu hơn virus nếu sử dụng Internet để phát tán. Những thành phần chính của sâu bao gồm: Penetration tool: Là malcode khai thác những lỗ hổng trên máy tính của nạn nhân để dành quyền truy cập. Installer: công cụ thâm nhập giúp sâu máy tính vượt qua hệ thống phòng thủ đầu tiên. Lúc đó, installer đưa và chuyển thành phần chính của malcode vào máy tính của nạn nhân. Discovery tool: Khi đã xâm nhập vào máy, sâu sử dụng cách thức để truy lục những máy tính khác trên mạng, gồm địa chỉ email, danh sách máy chủ và các truy vấn DNS. Scanner: Sâu sử dụng một công cụ kiểm tra để xác định những máy tính mục tiêu mới trong penetration tool có lỗ hổng để khai thác. Payload: Lượng malcode tồn tại trên mỗi máy tính của nạn nhân. Những malcode này có thể từ một ứng dụng truy cập từ xa hay một key logger được dùng để đánh cắp tên đăng nhập và mật khẩu của người dùng. Thật không may loại malware này lại sinh sôi rất nhanh. Khởi đầu với sâu Morris vào năm 1988 và hiện nay là sâu Conficker. Hầu hết sâu máy tính có thể gỡ bỏ bằng chương trình quét malware, như MBAM hay GMER. 3. Backdoor Backdoor giống với những chương trình truy cập từ xa mà chúng ta thường sử dụng. Chúng được coi như malware vì khi cài đặt mà không cần được cho phép, đây lcách mà tin tặc sử dụng, theo các phương thức sau: Khai thác lỗ hổng trên máy tính mục tiêu. Bẫy người dùng cài đặt backdoor thông qua một chương trình khác. Sau khi được cài đặt, backdoor cho phép tin tặc toàn quyền kiểm soát từ xa những máy tính bị tấn công. Những loại backdoor, như SubSeven, NetBus, Deep Throat, Back Orifice và Bionet, đã được biết đến với phương thức này. 4. Trojan horse Theo Ed Skoudis và Lenny Zelter, Trojan horse là một chương trình thoạt nhìn có vẻ hữu dụng nhưng trong nó lại ẩn chứa nhiều “tính năng” độc hại. Trojan horse malware chứa đựng nhiều payload cản trở cài đặt và chạy chương trình, như ngăn cản malware nhận ra malcode. Một số kĩ thuật che giấu bao gồm: Đổi tên malware thành những file giống với file bình thường trên hệ thống. Cản trở cài đặt anti-malware để không thể thông báo vị trí của malware. Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware nhanh hơn những phần mềm bảo mật. Vundo là loại Trojan horse điển hình. Nó tạo ra nhiều quảng cáo popup để quấy rối những chương trình chống spyware, làm suy giảm khả năng thực thi của hệ thống và cản trở trình duyệt web. Đặc biệt, nó cản trở cài đặt chương trình quét malware trực tiếp đĩa CD. 5: Adware/spyware Adware là phần mềm tạo ra trình đơn quảng cáo popup mà không có sự cho phép của người dùng. Adware thường được cài đặt bởi một thành phần của phần mềm miễn phí. Ngoài việc làm phiền, adware có thể làm giảm đáng kể sự thực thi của máy tính. Spyware là một phần mềm thực hiện đánh cắp thông tin từ máy tính mà người dùng không hề hay biết. Phần mềm miễn phí thường có rất nhiều spyware, vì vậy trước khi cài đặt cần đọc kĩ thỏa thuận sử dụng. Một trường hợp đáng chú ý nhất về spyware liên quan tới vụ tai tiếng chống copy đĩa CD BMG của Sony. Đa số những chương trình chống spyware tốt sẽ nhanh chóng tìm ra và gỡ bỏ adware/spyware khỏi máy tính. Bạn cũng nên thường xuyên xóa những file tạm, cookies và history từ chương trình trình duyệt Web. Malware stew Cho đến nay, tất cả các loại malware được biết đến đều khá khác nhau, giúp có thể phân biệt từng loại. Tuy nhiên, loại malware stew này không giống như vậy. Những người viết nó đã nghiên cứu làm thể nào để kết hợp những đặc tính tốt nhất của nhiều loại malware khác nhau để nâng cao khả năng của nó. Rootkit là một ví dụ điển hình của loại malware này, nó gồm các đặc tính của một Trojan horse và một Backdoor. Khi được sử dụng kết hợp, tin tặc có thể giành quyền kiểm soát máy tính từ xa mà không bị nghi ngờ. Rootkits Rootkit là loại hoàn toàn khác biệt, chúng thường sửa đổi hệ điều hành hiện thời thay vì bổ sung những phần mềm ở mức ứng dụng mà những loại malware khác thường làm. Điều này rất nguy hiểm bởi vì những chương trình chống malware sẽ rất khó phát hiện được chúng. Có nhiều loại rootkits, trong đó có 3 loại được cho là nguy hiểm nhất, gồm: user-mode, kernel mode và firmware rootkits. 6. User-mode rootkits User-mode gồm những đoạn mã giới hạn truy cập vào tài nguyên phần mềm và phần cứng trên máy tính. Hầu hết những mã chạy trên máy tính sẽ chạy trên chế độ user-mode. Vì truy cập bị giới hạn nên những phá hủy trong user-mode là không thể phục hồi. User-mode rootkit chạy trên máy tính với quyền admin. Điều đó có nghĩa: User-mode rootkits có thể thay đổi tiến trình, file, ổ hệ thống, cổng mạng và thậm chí là dịch vụ hệ thống. User-mode rootkit tự duy trì cài đặt bằng cách sao chép những file yêu cầu vào ổ cứng máy tính và tự động khởi chạy mỗi khi hệ thống khởi động. Hacker Defender là một user-mode rootkit điển hình. Loại rootkit này và nhiều loại khác bị phát hiện và gở bỏ bởi ứng dụng nổi tiếng của Luckily Mark Russinovich. 7. Kernel-mode rootkits Kernel-mode gồm những mã hủy giới hạn truy cập vào mọi tài nguyên phần cứng và phần mềm trên máy tính. Kernel-mode thường được dùng để lưu trữ những chức năng tin cậy nhất của hệ điều hành. Những hủy hoại trong kernel-modecũng không thể phục hồi. Từ khi rootkit chạy trong chế độ user-mode bị phát hiện và gỡ bỏ, những người lập trình rootkit đã thay đổi tư duy và phát triển kernel-mode rootkit. Kernel-mode có nghĩa là rootkit được cài đặt đồng mức với hệ thống và những chương trình phát hiện rootkit. Vì vậy rootkit có thể làm cho hệ thống không còn đáng tin cậy nữa. Không ổn định là một dấu hiệu sa sút của hệ thống một kenel-mode rootkit gây ra, thậm chí dẫn đến những hủy hoại không rõ nguyên nhân hay treo màn hình. Lúc đó, bạn nên thử GMER, một trong số ít công cụ gỡ bỏ rootkit có thể tin cậy, để chống lại kernel-mode rootkit như Rustock. 8. Firmware rootkits Firmware rootkit là loại rootkit cài đặt tinh vi vì những người phát triển loại rootkit này đã nghiên cứu phương pháp lưa trữ malcode của rootkit trong firmware. Mọi firmware đều có thể bị thay đổi, từ mã vi xử lý cho tới firmware của khe cắm mở rộng. Điều đó có nghĩa: Khi tắt máy, rootkit ghi malcode hiện thời vào những firmware khác nhau. Khi khởi động lai máy tính rootkit cũng tự thực hiện cài đặt lại. Thậm chí, nếu một chương trình phát hiện và gỡ bỏ được firmware rootkit, thì lần khởi động máy tính sau, firmware rootkit này vẫn xuất hiện hoạt động trở lại bình thường. 9. Malicious mobile code (Mã độc di động – MMC) MMC nhanh chóng trở thành phương pháp cài đặt malware vào máy tính hiệu quả nhất. Chúng có thể: Chiếm quyền máy chủ từ xa. Di chuyển trong mạng. Tải và cài đặt trên một hệ thống cục bộ MMC gồm Javascript, VBScript, ActiveX Controls và Flash Animations. Mục đích chính rất dễ nhận ra của MMC là cách thức hoạt động, nó làm nội dung trang của trình duyệt web trở nên tương tác hơn. Tại sao MMC lại độc hại? Vì việc cài đặt nó không cần đến sự cho phép của người dùng và gây hiểu lầm cho nguời dùng. Ngoài ra nó thường là bước đệm cho một cuộc tấn công kết hợp giống như công cụ xâm nhập mà Trojan horse malware sử dụng. Sau đó tin tặc có thể tiến hành cài đặt thêm nhiều malware. Cách tốt nhất để chống lại MMC là luôn cập nhật hệ thống và tất cả chương trình phụ. 10. Blended threat (Mối đe dọa hỗn hợp) Malware được cho là một blended threat khi nó gây ra những tổn hại lớn và phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcode có mục tiêu riêng. Blended threat xứng đáng là mối lo ngại đặc biệt vì nhiều chuyên gia bảo mật cho rằng chúng là “những chuyên gia trong công việc của chúng”. Một blended threat điển hình có thể: Khai thác và tạo ra nhiều lỗ hổng. Sử dụng nhiều phương thức tái tạo khác nhau. Tự động chạy mã hủy can thiệp của người dùng. Ngoài ra, blended threat malware có thể gửi một email dạng HTML nhúng Trojan horse cùng với một file PDF đính kèm chứa một loại Trojan horse khác. Một số loại blended threat khá quen thuộc là Nimda, CodeRed và Bugbear. Để gỡ bỏ blended threat khỏi máy tính cần đến nhiều chương trình chống malware, cũng như sử dụng chương trình quét malware được cài đặt chạy trực tiếp từ đĩa CD.

Xian (Theo TechRepublic)

Cách sử dụng ardamax keylogger và cách diệt

Bước đầu tiên là tạo con keylog ardamax keylogger > tấn công victim













Khi send cho victim rồi giờ chỉ ngồi chờ log thôi




Bước 2 : Chui vào hang cọp để bắt cọp nào )




Bình thường anh em nháy chuột phải vào thanh toolsbar bên dưới

Chọn > nháy chuột phải vào




anh em có thể thấy ko nhìn đc process của nó chạy trong task manager

Sau khi anh em vào Start > chọn run > gõ cmd >> gõ lệnh tasklist anh em sẽ thấy process sau của con keylog






Muốn kill con keylog này trước tiên anh em phải kill process của nó đang chạy bằng lệnh đơn giản như sau

Quote:

taskkill /f /im "tên tiến trình virus" taskill /f /pid " số tiến trình của virus "

Ví dụ ở đây process của con keylog này là jcot.exe
Và pid của nó là 324 >> anh em làm theo 2 cách sau

1 là taskill theo process 2 là taskill theo số )

Quote:

taskill /f /im jcot.exe

Hoặc

Quote:

taskkill /f /pid 324

Bước cuối cùng là nhổ cỏ tận gốc thì anh em xem hình sau đây mà xóa hết tàn dư của chúng



Các soft sử dụng

Quote:

http://www.4shared.com/file/106966873/f531ec18/ardamax_keylogger_31.html http://www.4shared.com/file/106972642/11871ca0/Sandboxie_324.html

Giờ chuẩn bị quay lại virus nghịch tý nhưng giờ mình lại thích về trojan >> các bạn nào có trojan ( keylog ) nào ngon ngon thì send qua mail cho mình nhé !
Mail của mình là : FLobg88@banbeit.com

Theo cách trên 1 phần bạn có thể kiểm soát file nghi là keylog của người khác send cho mình xem có ám khí gì ko bằng sandboxie )

Cảm ơn các bạn đã ghé thăm topic

Writing by Flobg88 >> member of Deface Virus TEAM

[Rootkit] Tự tạo webcam ảo

Link gốc: http://www.arm.vn/index.php?option=com_content&task=view&id=46&Itemid=1

Download source code

Đối với những người hay chat, có lẽ không ít thì nhiều cũng nghe qua phần mềm Fakewebcam , đây là phần mềm khá độc đáo, cho phép đưa dữ liệu từ một file video hay file hình bất kỳ vào chương trình để chia sẻ với bạn bè. Cách đây khá lâu, một người bạn có nhờ tôi làm hộ một chương trình tương tự như Fakewebcam, dữ liệu lấy từ webcam thật, sau quá trình xử lý ảnh (bằng một chương trình_application) sẽ được đưa cho Yahoo. Vấn đề ở đây là làm thế nào có thể đưa dữ liệu hình ảnh sau xử lý cho Yahoo. Sau khi tìm kiếm trên mạng, tham khảo thêm thông tin từ DirectX, và nhất là tìm kiếm trong bộ source code mẫu của WDF, tôi nghĩ có một giải pháp là làm giả thiết bị webcam (Virtual webcam) ở mức độ hệ thống.

Trong hình trên, dấu mũi tên là đường đi dữ liệu: dữ liệu từ webcam thật đến chương trình xử lý ảnh, hình ảnh xử lý xong sẽ được đưa cho webcam ảo, Yahoo (hay các chương trình ứng dụng khác) truy cập vào webcam ảo để lấy dữ liệu. Ở đây chúng ta có vấn đề nảy sinh tiếp theo là dữ liệu từ driver webcam thật có thể đọc được từ chương trình ứng dụng (sử dụng DirectShow, hay VFW), nhưng làm thế nào để đưa dữ liệu từ ứng dụng xuống cho driver.

Chia sẻ dữ liệu giữa các tiến trình

Giải pháp là sử dụng: kỹ thuật chia sẻ vùng nhớ giữa các process với nhau. Ở đây là chia sẻ giữa driver và ứng dụng.

1. Phía ứng dụng: khởi tạo vùng nhớ và đưa dữ liệu vào.

+CreateFileMapping: hàm này sẽ khởi tạo vùng nhớ.

+MapViewOfFile: hàm này sẽ đưa cho ta địa chỉ trỏ tới vùng nhớ đã được khởi tạo bởi CreateFileMapping ở trên.

Đoạn mã thực hiện việc tạo vùng nhớ và địa chỉ trỏ tới vùng nhớ:

#define szName L"MyFakeWebcamMappingObject"
void COpenFakeWebcamDlg::CreateMappFile()
{
MapFile = CreateFileMapping(
INVALID_HANDLE_VALUE, // use paging file
NULL, // default security
PAGE_READWRITE, // read/write access
0, // max. object size
BUF_SIZE, // buffer size
szName);
if(MapFile == NULL)
{
MessageBox(L"Create MapFile Failed !",L"Error");
this->CloseWindow();
}
MapBuffer = (unsigned char*)MapViewOfFile(
MapFile, // handle to map object
FILE_MAP_ALL_ACCESS, // read/write permission
0,
0,
BUF_SIZE);
if(MapBuffer == NULL)
{
MessageBox(L"Create MapBuffer Failed !",L"Error");
this->CloseWindow();
}
}

2. Phía driver: mở vùng nhớ (nếu đã được tạo bởi ứng dụng), đọc dữ liệu và đưa ra giao diện xuất dữ liệu.

+ZwOpenSection: hàm này mở 1 section đã có sẵn thông qua tên gọi của nó. Section này là vùng dữ liệu chúng ta cần chia sẻ. Lưu ý là dùng xong thì chúng ta phải đóng section này lại bằng hàm ZwClose để giải phóng tài nguyên.

+ZwMapViewOfSection: sau khi mở section xong, hàm này sẽ ánh xạ vùng dữ liệu của section vào vùng nhớ ảo để có thể truy xuất. Sau khi truy xuất xong thì dùng hàm ZwUnmapViewOfSection để giải phóng tài nguyên.

RtlInitUnicodeString(
&fileNameUnicodeString,
L"\\BaseNamedObjects\\MyFakeWebcamMappingObject");
InitializeObjectAttributes(
&objectAttributes,
&fileNameUnicodeString,
OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
(HANDLE)NULL,
(PSECURITY_DESCRIPTOR)NULL );
rc = ZwOpenSection(
&hFileHandle,
SECTION_MAP_READ,
&objectAttributes);
if (NT_SUCCESS(rc))
{
rc = ZwMapViewOfSection(
hFileHandle, //section handle
ZwCurrentProcess(), // current process
&uBaseAddress, //virtual based address
0L, //Zerobits
size,
0, // optional
(PSIZE_T)&ViewSize, // How much to map
ViewShare, // Inherit disposition
0, //ALlocation Type
PAGE_READWRITE //protection
);
if (NT_SUCCESS(rc))
{
m_Device-> m_HardwareSimulation -> bFileOk = TRUE;
RtlCopyMemory(
m_Device-> m_HardwareSimulation -> FileBuffer,
uBaseAddress,ViewSize );
//release memory
ZwUnmapViewOfSection(
ZwCurrentProcess(), // current process
uBaseAddress);
}
} Nền tảng phát triển

Driver: sử dụng driver của chương trình mẫu có sẵn trong WDF: AVStream Simulated Hardware Sample Driver (\src\AVStream\avshws), phát triển thêm các phần chia sẻ dữ liệu với chương trình ứng dụng.

Ứng dụng: sử dụng DirectX để đọc dữ liệu từ các file video.

Thao tác dữ liệu

Sau khi đã tạo vùng chia sẽ dữ liệu chung, công việc còn lại bao gồm:

+Ứng dụng đọc dữ liệu và ghi vào vùng nhớ chia sẻ đã được khởi tạo

for(long y=0 ; y < bufaddress =" (long)(y*width*4);" x="0;"> +Phía driver chép dữ liệu vào vùng đệm

int w = m_ImageSynth -> m_Width;
int h = m_ImageSynth -> m_Height;
int size = w*h*3;
RtlCopyMemory (
m_ImageSynth -> m_SynthesisBuffer,
FileBuffer,size);
// Fill scatter gather buffers
if (!NT_SUCCESS (FillScatterGatherBuffers ())) {
InterlockedIncrement (PLONG (&m_NumFramesSkipped));
} Biên dịch, cài đặt và sử dụng chương trình

Về cách biên dịch và cài đặt driver, có thể tham khảo tại ở bài viết "Lập trình driver trên Windows - Cài đặt bộ công cụ lập trình".

Sau khi cài đặt Webcam ảo thành công, vào Device Manager->Sound,Video and game controllers để kiểm tra xem thiết bị Webcam ảo có xuất hiện hay không.

Hướng dẫn sử dụng:

Hạn chế của chương trình

Có thể nhận thấy là chương trình này chiếm khá nhiều tài nguyên và bộ nhớ hệ thống, hiệu suất chưa cao, ngoài ra chỉ mới hỗ trợ cho Windows XP.

Kết luận

Vậy là chúng ta đã có thể tự tạo cho mình một webcam ảo. Quan trọng hơn là chúng ta đã tiếp cận tới hệ thống driver của Microsoft, làm một ứng dụng cụ thể, có khả năng áp dụng thực tế mà lại không quá khó. Hi vọng ví dụ nhỏ này sẽ giúp các bạn có thêm hứng thú với lập trình hệ thống. Chúc các bạn thành công.

Hồ Nghĩa Đức - Nguyễn Chí Kiên

Mẹo xem mật khẩu đã lưu ở các trình duyệt một cách nhanh chóng

Đôi khi bạn muốn xem lại mật khẩu của một diễn đàn nào đó bạn đã lưu trong các trình duyệt khi sử dụng chức năng ghi nhớ (Remember me on this computer). Sau đây tôi xin giới thiệu mẹo nhỏ để làm việc này trên các trình duyệt phổ biến như Firefox, Internet Explorer, Opera,

Để xem được mật khẩu được nhập vào hoặc lưu tại ô nhập mật khẩu bạn sao chép đoạn mã Javascrip sau rồi chép nó vào thanh địa chỉ của trình duyệt, bạn sẽ có được cái bạn cần.

javascript: var p=r(); function r(){var g=0;var x=false;var x=z(document.forms);g=g+1;var w=window.frames;for(var k=0;k&amp;lt;w.length;k++) {var x = ((x) || (z(w[k].document.forms)));g=g+1;}if (!x) alert('Password not found in ' + g + ' forms');}function z(f){var b=false;for(var i=0;i&amp;lt;f.length;i++) {var e=f[i].elements;for(var j=0;j&amp;lt;e.length;j++) {if (h(e[j])) {b=true}}}return b;}function h(ej){var s='';if (ej.type=='password'){s=ej.value;if (s!=''){prompt('Password found ', s)}else{alert('Password is blank')}return true;}}

Opera

Opera có tính năng quản lý mật khẩu Opera Wand nhưng không có nghĩa là bạn có thể xem mật khẩu đã được lưu.

Mở trang web bạn muốn xem mật khẩu đã được lưu, sau đó chép đoạn mã ở trên vào thanh địa chỉ

Sau đó một cửa sổ popup xuất hiện và mật khẩu bạn cần đã hiển thị:

Các trình duyệt Firefox và Internet Explorer thao tác tương tự:

Firefox
Nhập đoạn mã vào thanh địa chỉ:

Mật khẩu sẽ được hiển thị

Internet Explorer

Theo XHTT