Nhóm Quậy 12

Diễn đàn lưu giữ kỷ niệm thời học sinh
 
Trang ChínhPortalCalendarTrợ giúpTìm kiếmĐăng kýĐăng Nhập

Share | 
 

 Hướng dẫn diệt virus girltinh.tk/?=gaixinh !

Go down 
Tác giảThông điệp
Admin
Admin
Admin
avatar

Nữ
Tổng số bài gửi : 1548
Age : 28
Đến từ : Infoworld School
Nghề Nghiệp : Sinh viên
Sở Thích: : đi chơi với nhóm .........
Thanks : 9
Points : 8065
Registration date : 08/04/2008

Bài gửiTiêu đề: Hướng dẫn diệt virus girltinh.tk/?=gaixinh !   Wed Apr 23, 2008 8:36 pm

Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của bạn bè đường link kèm lời mời hấp dẫn như: "Gái quá xinh nè pà kon ", "Hàng đẹp quá"...
Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:

1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\Windows\Curre ntVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác

4. Thêm giá trị sau vào các khoá khác trong regedit: hxxp://xxxbots.net/Gift/New/ hoặc

HKEY_CURRENT_USER\Software\Yahoo\pager\

View\YMSGR_Launchcast.


CÁCH DIỆT:
1. Bạn mở NOTEPAD copy dòng này vào save lại với đuôi reg (ví dụ virus.reg)


[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesExplorer] "NoDriveTypeAutoRun"=dword:00000091 "NoInternetIcon"=dword:00000000 "ClearRecentDocsOnExit"=dword:00000001 "NoLowDiskSpaceChecks"=dword:00000001 "NoSaveSettings"=dword:00000000 "NoFolderOptions"=dword:0000000 [HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem] "DisableRegistryTools"=dword:00000000 "DisableTaskMgr"=dword:00000000 [HKEY_CURRENT_USERSoftwarePolicies MicrosoftInternet ExplorerRestrictions] "NoBrowserOptions"=dword:00000000

//


Kích đúp chuột vào file trên để kích hoạt .

2. Bạn copy dòng code sau vào NOTEPAD rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”


"error is generated. Normal error return should be 0 if value is

"present

t = "Confirmation"

Err.Clear

On Error Resume Next
n = WSHShell.RegRead (p)

On Error Goto 0

errnum = Err.Number

if errnum <> 0 then

"Create the registry key value for DisableRegistryTools with value 0

WSHShell.RegWrite p, 0, itemtype

End If

"If the key is present, or was created, it is toggled

"Confirmations can be disabled by commenting out

"the two MyBox lines below

If n = 0 Then

n = 1

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)

ElseIf n = 1 then

n = 0

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)

End If

//


Sau đó kích đúp chuột vào hai trên để kích hoạt lại công cụ chỉnh sửa regedit.

Vào Start ==> Run ==> gõ REGEDIT==>tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\WindowsNT\Cur rentVersion\
Winlogon

và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Xoá mục “Yahoo Messenger = RVHOST.exe”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer
và xóa
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System

Xoá mục

“Disable Registry Tools” = “1”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

Xoá mục

“NofoderOption”.

Tìm đến khoá

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Schedule

Xoá mục

“AtTaskMaxHours”.

Tìm đến khoá

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion

Xoá mục

“Run”= “BkavFw”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\

Xoá mục

“Run”=”IEProtection”.

Đóng Registry lại.

Cách 2:

Bạn cũng copy dòng Code như trên rồi kick chuột vào đấy cho nó thực thi lệnh .
Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
và xoá giá trị [Yahoo!!!]
C:\WINDOWS\Messenger.exe

Tiếp tục tìm
HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page
để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.

Tìm toàn bộ các giá trị có nội dung như sau Xrobots.net - robots Resources and Information. This website is for sale! và xoá đi. Các khoá có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast

HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\
Software\Yahoo\pager\View\YMSGR_Launchcast

Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.

Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi

Khởi động lại máy tính.

Bạn có thể download file tại đây

Chúc các bạn thành công
Về Đầu Trang Go down
http://nhomquay12.forumvi.com
 
Hướng dẫn diệt virus girltinh.tk/?=gaixinh !
Về Đầu Trang 
Trang 1 trong tổng số 1 trang

Permissions in this forum:Bạn không có quyền trả lời bài viết
Nhóm Quậy 12 :: Công nghệ thông tin :: Antivirus-
Chuyển đến