Em bị virus girltinh.tk/?=gaixinh !!! -_-"

MONG CÁC BẠN ĐỌC HẾT BÀI RỒI HÃY THỰC HIỆN Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của bạn bè đường link kèm lời mời hấp dẫn như: +Kho phim cho ba con xem dai` han day hxxp://girltinh.tk/ << ( This message was certified by Welcome , no worm ) +Em xinh qua : hxxp://girltinh.tk/?=gaixinh << ( This message was certified by Welcome , no worm ) +Bao Thy dong phim sex ne hxxp://girltinh.tk/ ( This message was certified by Welcome , no worm ) +Pha' trinh em VIet Nam qua xinh : hxxp://girltinh.tk/?=phatrinh << ( This message was certified by Welcome , no worm ) +Hoa hau bikini 2007 hxxp://girltinh.tk/?=bikini2007 << ( This message was certified by Welcome , no worm ) +Em Nhat Xinh Lam` Tinh` Hay hxxp://girltinh.tk/?=nhatxinh be careful !!! << ( This message was certified by Welcome , no worm ) Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽgửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn. - Lợi dụng lỗi MDAC cũ để phát tán virus khi dùng IE chưa cập nhật truy cập vào trang web hxxp://girltinh.tk. - Virus gồm 2 file: SVCHOST.EXE và SVCHOST32.EXE để ở trong thư mục TMP: TMP=C:\DOCUME~1\[usr]\LOCALS~1\Temp - File SVCHOST32.EXE bị BIT-KIS- NOD32 - SPYWARE DOCTOR... phát hiện ra là Trojan-Spy.Win32.SCKeyLog.au. File còn lại chưa bị phát hiện. (Con này ai chơi gameonline coi chừng mất pass 157.gif) Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau: 1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit. 2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động. 3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác 4. Thêm giá trị sau vào các khoá khác trong regedit: hxtp://xxxbots.net/Gift/New/ hoặc HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast. [b]CÁCH DIỆT Bạn download file này về máy [blue]http://www.mediafire.com/?cnrxlyrlm12[/blue] Sau đó kích đúp chuột vào từng file một trên để kích hoạt lại công cụ chỉnh sửa regedit. Vào Start ==> Run ==> gõ REGEDIT==>tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionWinlogon và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái. Tìm đến khoá HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun Xoá mục “Yahoo Messenger = RVHOST.exe”. Tìm đến khoá HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorer WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe” Tìm đến khoá HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem Xoá mục “Disable Registry Tools” = “1”. Tìm đến khoá HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer Xoá m ục “NofoderOption”. Tìm đến khoá HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesSchedule Xoá mục “AtTaskMaxHours”. Tìm đến khoá HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersion Xoá mục “Run”= “BkavFw”. Tìm đến khoá HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersion Xoá mục “Run”=”IEProtection”. Đóng Registry lại.

Cách 2 / Bạn cũng Download dòng Code như trên rồi kick chuột vào đấy cho nó thực thi lệnh . . Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe. Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng. Tìm toàn bộ các giá trị có nội dung như sau http://xxxxots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi Khởi động lại máy tính. Cách 3 Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xxxots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây. [blue]http://www.benhvientinhoc.com/index.php?showtopic=34706 http://www.benhvientinhoc.com/index.php?showtopic=36905[/blue] Cách sử dụng HijackThiss [blue]http://www.mediafire.com/?0yniyzywxyf[/blue]

1. sử dụng 2 cộng cụ này a. VNFix : [blue]http://www.benhvientinhoc.com/index.php?act=attach&type=post&id=9506[/blue] b.FUK : [blue]http://www.benhvientinhoc.com/index.php?act=attach&type=post&id=5777[/blue] để phục hồi lại run và Taskmanager 2. Start->run->msconfig bỏ SVCHOST32 đi. ôk!khoan khởi động lại máy! 3. vào c:\Windows\system tìm file svchost32 xoá nó SHIFT + del nó 4. khởi động lại máy nếu vẫn chưa có run chạy lại Fix va Fuk 1 lần nữa là ok! thử nhé Xem hình cách làm ở đây [blue]http://www.benhvientinhoc.com/uploads/monthly_02_2008/post-22711-1202601272.gif http://www.benhvientinhoc.com/uploads/monthly_02_2008/post-22711-1202601287.gif http://www.benhvientinhoc.com/uploads/monthly_02_2008/post-22711-1202601487.gif http://www.benhvientinhoc.com/uploads/monthly_02_2008/post-22711-1202601573.gif[/blue]

bạn download file sau: Download file diệt virus girltinh.tk : http://www.blogtinhoc.net/images/Diet%20virus%20Y!M.zip Sau khi download về, giải nén, các bạn chạy file Diet virus Y!M. Chương trình sẽ tự động chạy. Sau khi kết thúc, các bạn khởi động lại máy là xong. *** Để thay đổi lại mặc định của Home page Internet Explorer, các bạn download file sau: Ấn vào đây để Download : [blue]http://www.blogtinhoc.net/images/homepage.zip[/blue] Sau khi download về bạn tiến hành giải nén, nháy đúp vào file homepage chọn Yes. Hoặc các bạn có thể làm theo cách sau: Start –> Run –> gpedit.msc –> User Configuration –> Administrative Templates –> Windows components -> Internet explorer –> Disable changing home page settings –> Chọn Disable –> Ok. Sau đó vào Run gõ gpupdate /force Chúc các bạn thành công ! à P/s nếu bạn ko thay đổi đc homepage thì [blue]http://www.blogtinhoc.net/images/homepage.zip[/blue] Giải nén, nháy đúp vào file chọn Yes. Xong !