Diệt Virus foto... image.php bằng tay?

Dạo này thấy nick yahoo mình Spam toàn tin nhắn kiểu thế này

Photo http://miggiphotos.com/image.php
Photo http://funwiththisguy.com/image.php
Photo http://ariafotos.com/image.php
Photo http://zhelefun.com/image.php
Photo http://tviceimg.com/image.php
Photo http://tusfbfotos.com/image.php
Photo http://twittersphoto.com/image.php
Photo http://tuesimages.com/image.php
Photo http://red-myspace.com/image.php

trước hết bạn đừng click vào link trên, và hãy áp dụng thủ thuật dưới đây để diệt chúng bằng tay. nếu có phần mềm diệt virus thì vẫn tốt hơn

Đầu tiên bạn xóa các file sau:

C:Windowsmds.sys

C:Windowsmdt.sys

C:Windowswinbrd.jpg

C:Windows et.exe

C:Windowsinfocard.exe

Sau đó bạn xóa các key sau:
Vào Run(Win + R) gõ regedit rồi Enter

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun]
“Firewall Administrating”=”C:\WINDOWS\infocard.exe” “Administrating Firewall” = “C:WINDOWS\ infocard.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun]
“Firewall Administrating”=”C:\WINDOWS\infocard.exe” “Administrating Firewall” = “C:WINDOWS\ infocard.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentV ersionRun] “Administrating Firewall” = “C:WINDOWS\ infocard.exe”

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesS haredAccessParametersFirewallPolicyStandardProf ileAuthorizedApplicationsList]
“C:\Documents and Settings\\Desktop\IM56245.JPG-www.myspace.com.exe”=”C:\WINDOWS\infocard.ex e:*:Enabled:Firewall Administrating” “C:Documents and Settings\ [b] [/ b]\ Desktop\ IM56245.JPG-www.myspace.com.exe” = “C:WINDOWS\ infocard.exe: *: Enabled: Firewall Administrating ”

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esSharedAccessParametersFirewallPolicyStandard ProfileAuthorizedApplicationsList]
“C:\Documents and Settings\\Desktop\IM56245.JPG-www.myspace.com.exe”=”C:\WINDOWS\infocard.ex e:*:Enabled:Firewall Administrating” “C:Documents and Settings\ [b] [/ b]\ Desktop\ IM56245.JPG-www.myspace.com.exe” = “C:WINDOWS\ infocard.exe: *: Enabled: Firewall Administrating ”

[HKEY_USERSS-1-5-21-117609710-764733703-1957994488-1003SoftwareMicrosoftWindowsCurrentVersionRun]
“Firewall Administrating”=”C:\WINDOWS\infocard.exe” “Administrating Firewall” = “C:WINDOWS\ infocard.exe”

Cách 2: Tải file này về, chạy là xong

http://www.mediafire.com/?ggym4zjo3h5

Nếu bị nhiệm quá nặng, thì bạn vào chế độ SafeMode của máy để làm nhé. Chúc thành công

Nhiều ngày nay, một loại virus phát tán qua Yahoo! Messenger bằng cách dụ người dùng nhấp chuột vào một đường link hình ảnh.

Dưới đây là 5 cách loại bỏ loại virus trên (gồm 2 cách thủ công và 3 cách dùng phần mềm):

Cách thủ công

Cách 1: Mở trình duyệt Internet Explorer > Folder Option > View > Show hidden file, bỏ các dấu tích ở các mục có chữ đầu là Hide...

Vào StarRun > gõ msconfig > nhấn Enter. Chọn thẻ Start up rồi bỏ tất cả các dấu tích trước các dòng có tên Firewall Administrating.

Tắt máy khởi động lại.

Vào C:Windows > chọn file có tên infocard.exe rồi xóa.

Cách 2: Tham khảo cách làm thông dụng trên cộng đồng mạng

Tự xóa những tập tin:

C: Windows mds.sys

C: Windows mdt.sys

C: Windows winbrd.jpg

C: Windows infocard.exe (có thể có một vài tên),

C: Program Files infocard.exe (có thể có một vài tên)

C: Program Files mds.sys

C: Program Files mdt.sys

C: Program Files winbrd.jpg

C: Users Public mds.sys

C: Users Public mdt.sys

C: Users Public infocard.exe (có thể có một vài tên)

C: Users Public winbrd.jpg

C: Documents and Settings Administrator mds.sys

C: Documents and Settings Administrator mdt.sys

C: Documents and Settings Administrator infocard.exe (tên nhiều)

C: Documents and Settings Administrator winbrd.jpg

C: Documents and Settings <user> mds.sys

C: Documents and Settings <user> mdt.sys

C: Documents and Settings <user> infocard.exe (nhiều tên)

C: Documents and Settings <user> winbrd.jpg

* <user> Là tên người dùng.

Tự xóa các khóa registry:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]“Firewall Administrating”=”C:\WINDOWS\infocard.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Firewall Administrating”=”C:\WINDOWS\infocard.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun]“Firewall Administrating”=”C:\WINDOWS\infocard.exe”

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesS haredAccessParametersFirewallPolicyStandardProf ileAuthorizedApplicationsList]“C:\Documents and Settings\<USER>\Desktop\IM56245.JPG-www.myspace.com.exe”=”C:\WINDOWS\infocard.ex e:*:Enabled:Firewall Administrating”

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esSharedAccessParametersFirewallPolicyStandard ProfileAuthorizedApplicationsList]“C:\Documentsand Settings\<USER>\Desktop\IM56245.JPGwww.myspace. com.exe”=”C:\WINDOWS\infocard.exe:*:Enabled: Firewall Administrating”

[HKEY_USERSS-1-5-21-117609710-764733703-1957994488-1003SoftwareMicrosoftWindowsCurrentVersionRun]“Firewall Administrating”=”C:\WINDOWS\infocard.exe”

Sau đó, bạn “chịu khó” cài lại hệ thống cho máy tính: Đây là cách tốt nhất để tránh virus trên. Tuy nhiên, trước khi cài lại hệ thống, bạn nên xóa tận gốc file virus nói trên.

Sử dụng phần mềm

Cách 1: Bit Defender của Microsoft (version 9.0 Professional trở lên) là một trong những phần mềm được đánh giá cao trong việc phát hiện và khống chế virus vô cùng hiệu quả.

Download phiên bản dùng thử tại website: http://www.bitdefender.com/site/Downloads/

Cách 2: Cài đặt phầm mềm Malwarebytes Anti-Malware. Sau đó chọn: Perform full scan --> click Scan.

Sau khi hoàn thành click OK và tiếp theo đó là Show Results. Chọn tất cả sau đó nhấn Remove Selected. Download phần mềm tại địa chỉ : http://www.malwarebytes.org/mbam.php

Cách 3: Virus Removal Tool 2010, phần mềm chuyên cung cấp các công cụ loại bỏ virus, các cơ sở dữ liệu bảo mật. Tải bản dùng thử tại địa chỉ: http://www.kaspersky.com/downloads.

Trước khi tiến hành quét virus hãy: ngắt các kết nối internet; vô hiệu hóa (Disable) các phần mềm diệt virus và tường lửa khác; chọn các chức năng: hidden startup objects, system memory, dirk boot sectors và computer như trong hình. Quét virus xong khởi động lại máy.

Bạn cần tránh click những đường link dạng:

http://lmb-space.com/image.php

http://facebook-lmages.com/image.php

http://facebook-imb.com/image.ph...

Khi bấm vào đường liên kết này thì trình duyệt web sẽ tải một tập tin chương trình (đuôi .exe) về máy tính chứ không phải hình ảnh.

Nếu bạn mở tập tin này, virus sẽ được kích hoạt và lây nhiễm trong máy tính. Tiếp đó, virus tự động dùng chương trình chat Yahoo! Messenger để phát tán virus vào danh sách bạn chat của nạn nhân.

Những máy tính bị nhiễm virus này sẽ trở thành mạng máy tính robot (botnet) chịu sự điều khiển từ xa của hacker. Chúng có thể phá hoại dữ liệu máy tính, thu thập thông tin cá nhân của bạn.

Lời cuối cùng:

Bạn đừng quá tò mò click vào những link lạ, không rõ xuất xứ. Nếu ai đó gửi đến cho bạn, hãy hỏi lại họ. Đó là cách phòng chống virus hữu hiệu nhất.

Cái này dùng Process Explorer tắt process infocard.exe,sau đó dùng Autoruns xoá key khởi động của infocard.exe đi(biến thể mình gặp tạo key Administrating dẫn tới infocard.exe ở thư mục %Windows%-nó viết là Administrating không phải mình sai nhé).

Tiếp theo dùng Remove Restrict Tool phục hồi các chức năng ẩn file…..

Mở tính năng ẩn file trong Tool>Folder Option rồi vào %Windows% xoá file infocard.exe đi và file virus ẩn trên desktop.

Dùng Autoruns xoá nốt khoá khởi động của RRT sót lại :D

Còn mấy key regedit dẫn đường nữa nhưng không quan trọng lắm có thể bỏ qua,mình quên rồi :))

Done!

Nếu bạn nào cẩn thận hơn có thể xoá thư mục TEMP và Prefetch.

Cảnh báo nguy hiểm

Virus "photo website/image.php" trên Yahoo Messenger! Nếu bị nhiễm thì Yahoo người bị nhiễm sẽ tự động gửi link down virus này tới friendlist, nếu tải về và hiếu kì kích vào thì bạn lại trở thành người bị nhiễm và... tiếp tục lây lan.



Cảnh báo mọi người không click vào các đường link có đuôi image.php như một trong các link sau:

foto htp://miggiphotos.com/image.php
foto htp://funwiththisguy.com/image.php
foto htp://ariafotos.com/image.php
foto htp://zhelefun.com/image.php
foto htp://tviceimg.com/image.php
foto htp://tusfbfotos.com/image.php
foto htp://twittersphoto.com/image.php
foto htp://tuesimages.com/image.php
foto htp://red-myspace.com/image.php

Tìm và diệt:

1. Malwarebytes Anti-Malware 1.46

2. Thường xuyên Update cho chương trình diệt virus của bạn.

3. Download Kaspersky Virus Removal Tool 2010 về (miễn phí) http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ quét toàn bộ hệ thống theo các bước sau:


Ngắt các kết nối internet
Disable các phần mềm diệt virus và tường lửa khác
Chọn các chức năng giống trong hình







4. Tự phòng tránh bằng cách không click vào các link lạ và các link nằm trong diện nghi vấn ở trên.

5.Dùng thử phần mềm diệt virus cho yahoo:http://www.vn-zoom.com/f100/diet-vir...2-a-43485.html




Update cách diệt (từ #20 của Monochrome):

Nếu hệ thống của bạn đã bị nhiễm virus trên, có thể tự diệt nó bằng một trong 2 cách sau:



Cách 1: Tự diệt bằng tay:



1. Xóa các file sau:

C:Windowsmds.sys

C:Windowsmdt.sys

C:Windowswinbrd.jpg

C:Windows et.exe

C:Windowsinfocard.exe


2. Mở Windows Registry Editor bằng cách vào Start > Run, gõ regedit, ấn Enter (hoặc ấn tổ hợp phím tắt Win + R). Tìm đến các khóa sau và xóa chúng đi:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun]

“Firewall Administrating”=”C:\WINDOWS\infocard.exe” “Administrating Firewall” = “C:WINDOWS\ infocard.exe”



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun]

“Firewall Administrating”=”C:\WINDOWS\infocard.exe” “Administrating Firewall” = “C:WINDOWS\ infocard.exe”



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentV ersionRun] “Administrating Firewall” = “C:WINDOWS\ infocard.exe”



[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesS haredAccessParametersFirewallPolicyStandardProf ileAuthorizedApplicationsList]

“C:\Documents and Settings\\Desktop\IM56245.JPG-www.myspace.com.exe”=”C:\WINDOWS\infocard.exe : *:Enabled:Firewall Administrating” “C:Documents and Settings\ [/ b]\ Desktop\ IM56245.JPG-www.myspace.com.exe” = “C:WINDOWS\ infocard.exe: *: Enabled: Firewall Administrating ”



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esSharedAccessParametersFirewallPolicyStandard ProfileAuthorizedApplicationsList]

[b] “C:\Documents and Settings\\Desktop\IM56245.JPG-www.myspace.com.exe”=”C:\WINDOWS\infocard.exe: *:Enabled:Firewall Administrating” “C:Documents and Settings\ [/ b]\ Desktop\ IM56245.JPG-www.myspace.com.exe” = “C:WINDOWS\ infocard.exe: *: Enabled: Firewall Administrating ”



[HKEY_USERSS-1-5-21-117609710-764733703-1957994488-1003SoftwareMicrosoftWindowsCurrentVersionRun]

“Firewall Administrating”=”C:\WINDOWS\infocard.exe” “Administrating Firewall” = “C:WINDOWS\ infocard.exe



Cách 2: Download file dưới đây và chạy nó là xong:http://www.mediafire.com/?g32lt2mmhoo

Trang web cho biết các anti-virus diệt được:

http://www.virustotal.com/analisis/0...6ac-1272815656

Note: Bkav và Kaspersky đã có thể chặn con virus này.

Đối với những máy ko có KAS hoặc KIS, bạn có thể sử dụng công cụ quét và diệt virus miễn phí của Kaspersky Kaspersky Virus Removal Tool và thiết lập như sau :

• Tháo bỏ cáp và các kết nối internet
• Disable các phần mềm diệt virus và tường lửa khác
• Chọn các chức năng giống trong hình