Cách tiêu diệt Virus gaixinh và...

[KIENCANGHP]

Cách tiêu diệt virus gaixinh và các biến thể của nó.

Trong mấy ngày Tết vừa qua, girltinh và gaixinh lại có lời mời chào hấp dẫn tới các anh chị em qua Yahoo!Messenger hoặc các diễn đàn như: "Gái quá xinh nè pà kon...", "Hàng đẹp quá...", "Em xinh qua...", "Kho phim cho ba con xem dai` han day", "Em xinh qua", "Bao Thy dong phim sex ne", "Pha' trinh em Viet Nam qua xinh", "Hoa hau bikini 2007", "Em Nhat Xinh Lam` Tinh` Hay",... rồi kèm theo link có dạng: http://girltinh.tk/?=xxx << ( This message was certified by xxx, no worm ).

Virus gaixinh, virus girltinh xuất hiện cách đây khá lâu nhưng dịp Tết Mậu Tý vừa rồi mới phát tán và lây lan với tốc độ mạnh... đã làm tình... làm tội nhiều chatter khiến họ lâm vào tình trạng hoang mang, lo sợ... Quan trọng nhất là nó lây lan qua chương trình chat phổ biến nhất Việt Nam - Yahoo!Messenger. Không những thế, những người bạn của người bị nhiễm cũng không hạnh phúc gì, nếu không nói là phát cáu vì những tin nhắn liên tục bị spam.

Nói chung virus này đánh trực tiếp vào các bạn có máu dê (như đã nhắc đến ban nãy ) ... hoặc vô tình click vào link đã nói trên. Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nickname có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.

Sau một hồi tham khảo một số diễn đàn như :... tổng hợp cách diệt từ phức tạp đến đơn giản, cụ thể như sau:

CÁCH DIỆT

BƯỚC 1

Bạn mở NOTEPAD copy dòng này vào save lại với đuôi reg (ví dụ virus.reg)

Code:

//Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USERSoftwareMicrosoft
 
WindowsCurrentVersionPolicies]
 
[HKEY_CURRENT_USERSoftwareMicrosoft
 
WindowsCurrentVersionPoliciesExplorer]
 
"NoDriveTypeAutoRun"=dword:00000091
 
"NoInternetIcon"=dword:00000000
 
"ClearRecentDocsOnExit"=dword:00000001
 
"NoLowDiskSpaceChecks"=dword:00000001
 
"NoSaveSettings"=dword:00000000
 
"NoFolderOptions"=dword:0000000
 
[HKEY_CURRENT_USERSoftwareMicrosoft
 
WindowsCurrentVersionPoliciesSystem]
 
"DisableRegistryTools"=dword:00000000
 
"DisableTaskMgr"=dword:00000000
 
[HKEY_CURRENT_USERSoftwarePolicies
 
MicrosoftInternet ExplorerRestrictions]
 
"NoBrowserOptions"=dword:00000000
 
//

Kích đúp chuột vào file trên để kích hoạt .

BƯỚC 2

Bạn copy dòng code sau vào NOTEPAD rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”

Code:

/
 
"Enable/Disable Registry Editing tools
 
"© Vâng Cho Em Spam -  9/2/2008
 
Option Explicit
 
"Declare variables
 
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
 
Dim enab, disab, jobfunc, itemtype
 
Set WSHShell = WScript.CreateObject("WScript.Shell")
 
p = "HKCUSoftwareMicrosoftWindowsCurrentVersion
 
PoliciesSystem"
 
p = p & "DisableRegistryTools"
 
itemtype = "REG_DWORD"
 
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
 
enab = "ENABLED"
 
disab = "DISABLED"
 
jobfunc = "Registry Editing Tools are now "
 
"This section tries to read the registry key value. If not present an
 
"error is generated. Normal error return should be 0 if value is
 
"present
 
t = "Confirmation"
 
Err.Clear
 
On Error Resume Next
n = WSHShell.RegRead (p)
 
On Error Goto 0
 
errnum = Err.Number
 
if errnum <> 0 then
 
"Create the registry key value for DisableRegistryTools with value 0
 
WSHShell.RegWrite p, 0, itemtype
 
End If
 
"If the key is present, or was created, it is toggled
 
"Confirmations can be disabled by commenting out
 
"the two MyBox lines below
 
If n = 0 Then
 
n = 1
 
WSHShell.RegWrite p, n, itemtype
 
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
 
ElseIf n = 1 then
 
n = 0
 
WSHShell.RegWrite p, n, itemtype
 
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
 
End If
 
//

BƯỚC 3

Cách 1

1. Vào Start -> Run -> gõ Regedit rồi Enter
2. Tại khung bên trái cửa sổ Registry Editor, bạn tìm khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\
Xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.
3. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Xoá mục “Yahoo Messenger = RVHOST.exe”.
4. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”
5. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
Xoá mục “Disable Registry Tools” = “1”.
6. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
Xoá m ục “NofoderOption”.
7. Tìm đến khóa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Services\Schedule
Xoá mục “AtTaskMaxHours”.
8. Tìm đến khóa
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
Xoá mục “Run”= “BkavFw”.
9. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
Xoá mục “Run”=”IEProtection”.
10. Đóng Registry lại. Và khởi động lại máy tính

Cách 2:


Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động).
2. Vào Start -> Run -> gõ Regedit rồi Enter.
3. Hãy tìm khóa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
4. Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page
Xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng. Ví dụ: http://xxx.tk
5. Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi.
Các khóa có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast và
HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
6. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
7. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
8. Khởi động lại máy tính.

Cách 3


Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Vào Start -> Run rồi gõ Regedit rồi Enter.
2. Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xxxots.net/Gift/New/” để xoá đi.

Cách 4


Dùng HijackThis để xoá các khóa và các process đang chạy của virus. Có thể download HijackThiss tại www.trendsecure.com

Cách 5


Download và diệt bằng phần mềm diệt virus mới nhất như là :
- Bitdefender, Kaspersky Anti - Virus, Bkav...

Chúc các bạn thành công!

[Thanhbinh123]

Cám ơn TỶ KC cho biết thông tin này:)

[fanofdell]

Tỷ Kiến càng cũng bị dính Virus này hay sao mà rành thế!!!
Huynh nào dính virus này hãy quét tạm bằng BKAV thôi. Chứ làm theo cách của tỷ Kiến càng phải có chút kinh nghiệm.
Tải BKAV tại www.bkav.com.vn
WinXP thì tắt System Restore đi.
Vào Safe Mode (khi khởi động bấm F8)
Sau đó quét bằng BKAV trong Safe Mode. Xong khởi động lại là sạch sẽ.
Đệ chẳng bao giờ dính loại virus tèm nhèm này. Vì đơn giản là k để ý mấy đuờng link kiểu này bao giờ

[Thanhbinh123]

Tỷ Kiến càng cũng bị dính Virus này hay sao mà rành thế!!!
Huynh nào dính virus này hãy quét tạm bằng BKAV thôi. Chứ làm theo cách của tỷ Kiến càng phải có chút kinh nghiệm.
Tải BKAV tại www.bkav.com.vn
WinXP thì tắt System Restore đi.
Vào Safe Mode (khi khởi động bấm F8)
Sau đó quét bằng BKAV trong Safe Mode. Xong khởi động lại là sạch sẽ.
Đệ chẳng bao giờ dính loại virus tèm nhèm này. Vì đơn giản là k để ý mấy đuờng link kiểu này bao giờ

*ý kiến của huynh hay lắm. máy TB rất may là không có bịnh, nhưng có thông tin của bạn để phòng thân hoặc giúp cho bạn bè tốt lắm ,cám ơn bạn nhiều:)

[KIENCANGHP]

Tỷ Kiến càng cũng bị dính Virus này hay sao mà rành thế!!!
Đệ chẳng bao giờ dính loại virus tèm nhèm này. Vì đơn giản là k để ý mấy đuờng link kiểu này bao giờ

Hà hà, chỉ là do thời gian vừa qua, có một số tin nhắn từ người thân quen của Kiencang gửi đến bằng offline Messenger, khi thấy tin nhắn đó, Kiencang tưởng tin nhắn sạch mở ra xem. Thì máy tính hiện lên cửa sổ thông báo: Có cho phép chạy đường link này hok? (vì máy có cài chương trình diệt virus: Kaspersky Anti-Virus-6.0.2.621). Biết ngay đó là đường link có virus, nên Kiencang đã hok cho nó hoạt động.

Sau đó thì ngày nào cũng có tin nhắn dạng đó gửi đến, và mỗi hôm lại một dạng tin khác nhau.
Kiencang đã hỏi một số người và được biết họ cũng bị nhiễm virus theo kiểu như thế(do máy của họ hok cài chương trình diệt virus).

Khi vào một số diễn đàn khác thì thấy bên đó các thành viên của họ cũng bị dính loại virus này. Admin đã hướng dẫn cụ thể cách diệt.
Nên Kiencang nghĩ biết đâu các thành viên của mình cũng có người bị dính thì sao? nên đã copy cách diệt đó để mang về cho GIA ĐÌNH VÔ HÌNH. Nếu có ai đã bị cũng biết cách diệt, ai hok hoặc chưa bị thì cũng biết để đề phòng.

Theo Kiencang nghĩ thì tốt hết mỗi máy nên cài sẵn một chương trình diệt virus (và cập nhật bản mới nhất) để phòng trường hợp này. Bởi khi bị nhiễm thì ngay từ máy của mình cũng vô tình phát tán tới các máy khác mà mình hok biết...(bởi nó gửi ngầm)

* - Nếu đã bị dính, dùng BKAV quét cũng được nhưng phải là phiên bản mới nhất. Bởi những con virus này nó cập nhật phiên bản mới liên tục, mà BKAV thì hok linh hoạt như thế.

Vài dòng gửi tới bạn fanofdell, Thanhbinh và các Mem.
KIENCANGHP.

[fanofdell]

Hà hà, chỉ là do thời gian vừa qua, có một số tin nhắn từ người thân quen của Kiencang gửi đến bằng offline Messenger, khi thấy tin nhắn đó, Kiencang tưởng tin nhắn sạch mở ra xem.

Kiencang tưởng tin nhắn sạch!!!! Ha ha . Link nghe hấp dẫn quá đấy mà. Cầm lòng không được nên click xem nó là cái gì mà hot vậy. May là kiencang có anti Virus mạnh. Nếu không thì tha hồ mà phát tán. Ha ha.

[KIENCANGHP]

Kiencang tưởng tin nhắn sạch!!!! Ha ha . Link nghe hấp dẫn quá đấy mà. Cầm lòng không được nên click xem nó là cái gì mà hot vậy. May là kiencang có anti Virus mạnh. Nếu không thì tha hồ mà phát tán. Ha ha.

Trùi ui ! đừng có nghĩ sai cho Tui àh nha, ngày nào Tui cũng có đứa cháu nó gửi cho Tui một dòng tin nhắn, những dòng tin có khi hok muốn đọc, nhưng cũng có khi đọc xúc động lém áh. Bởi vậy nên Tui hok có để ý dòng chữ của đường link đó. Hôm đó bỗng dưng click vào tin nhắn của cháu thì chương trình diệt virus lại xuất hiện và Tui hiểu ngay vấn đề...

Đây nè bạn, cháu Tui gửi những tin đại loại như thế này:

Yêu mo^t người là chấp nhận bước đi khi người ấy ko cần mình nữa..:.♥.:.Yêu một người là chấp nhận buông tay người ấy ra khi người ấy muốn nắm chặt lấy một bàn tay khác..:.♥.:..Yêu một người là chấp nhận lừa dối người ấy rằng Tình yêu của mình đã chấm dứt để cho người ấy ko phải bận tâm suy nghĩ..:.♥.:..Và yêu một người là chấp nhận thay thế những giọt nước mắt bằng tất cả nụ cười của mình cho dù con tim mình có đau đến bao nhiêu....

Vậy nhé bạn.
KIENCANGHP.

[timbangai]

Link nghe hấp dẫn quá đấy mà. Cầm lòng không được nên click xem nó là cái gì mà hot vậy. ...

May quá, cám ơn các huynh tỷ hướng dẫn chi tiết !
tiểu đệ bị y như trên, nên nay nhờ vào topic này gởi ké thông báo đến các bạn bè hay CHAT của tiểu đệ biết cái lý do mà đệ đóng tất cả nick chat...

Xin cám ơn.

[vampire2001vn]

Cảm ơn tỷ Kiến nhiều, nhưng bây giờ có rất nhiều biến thể, cách này cũng không áp dụng lên những biến thể đó được. Em khi diệt những virus của VN em thường dùng Hijack để phán đoán và diệt bằng tay thì vừa an toàn và tận gốc.

[BUI_TRAN]

Giờ Chio3 Có đăng Ký Mua Bản Quyền để Diệc Thôi , Chứ Còn Diệc K Có Bản Quyền Thôi Thua

[hacdoclong]

cai tôi ko cái bảo mật dính là phải mình bị bé kia nó dụ nhấp 1 chục lần vào nó mà có bị đâu đơn giản mình chay 2 phần mền chống virut ngọai và nội upp thường xuyên sao dính nổi

[classicman]

cai tôi ko cái bảo mật dính là phải mình bị bé kia nó dụ nhấp 1 chục lần vào nó mà có bị đâu đơn giản mình chay 2 phần mền chống virut ngọai và nội upp thường xuyên sao dính nổi

Bạn này cẩn thận quá hen :yb663: Bạn mà dùng 2 chương trình mạnh thật, thì tự chúng nó kiểm soát tiến trình lẫn nhau, máy bạn không đơ thì cũng bị chậm như rùa. Còn nếu nó không đủ mạnh, không làm máy bạn chậm thì hehehe, có khi làm thêm vài cái nữa cho nó hoành tráng.
Xin lỗi, trời nóng quá, vào trọc ngoáy chút chơi, có j hok phải mong bạn bỏ quá hen :D

[WodenFreya]

bác hacdoclong nói sai rồi :D Nên nhớ là virus hay trojan luôn luôn ra đời trước, trước khi mà antivirus kịp cập nhật thông tin về nó ;) .

Còn nữa, virus gaixinh và những loại virus "hàng việt nam chất lượng cao" khác, hầu hết chỉ nhắm thẳng vào thị trường người Việt cho nên, những antivirus or spyware hàng đầu như: BIT, KIS, Norton, ... làm gì cập nhật : )) . Còn anti nội thì :-j bác phải chờ 1 thời gian đấy :-j

Virus dc phát tán mới nhất còn block luôn cả vào website bkav nữa kìa, disable luôn bkav. disable task manager, regedit etc... Đến lúc đó bác trông cậy vào antivirus thì cũng bó tay thôi. Buộc lòng phải sửa bằng tay. Đó là lý do Hijack This za đời 8->