Cách tiêu diệt Virus gaixinh và...

[KIENCANGHP]

Cách tiêu diệt virus gaixinh và các biến thể của nó.

Trong mấy ngày Tết vừa qua, girltinh và gaixinh lại có lời mời chào hấp dẫn tới các anh chị em qua Yahoo!Messenger hoặc các diễn đàn như: "Gái quá xinh nè pà kon...", "Hàng đẹp quá...", "Em xinh qua...", "Kho phim cho ba con xem dai` han day", "Em xinh qua", "Bao Thy dong phim sex ne", "Pha' trinh em Viet Nam qua xinh", "Hoa hau bikini 2007", "Em Nhat Xinh Lam` Tinh` Hay",... rồi kèm theo link có dạng: http://girltinh.tk/?=xxx << ( This message was certified by xxx, no worm ).

Virus gaixinh, virus girltinh xuất hiện cách đây khá lâu nhưng dịp Tết Mậu Tý vừa rồi mới phát tán và lây lan với tốc độ mạnh... đã làm tình... làm tội nhiều chatter khiến họ lâm vào tình trạng hoang mang, lo sợ... Quan trọng nhất là nó lây lan qua chương trình chat phổ biến nhất Việt Nam - Yahoo!Messenger. Không những thế, những người bạn của người bị nhiễm cũng không hạnh phúc gì, nếu không nói là phát cáu vì những tin nhắn liên tục bị spam.

Nói chung virus này đánh trực tiếp vào các bạn có máu dê (như đã nhắc đến ban nãy ) ... hoặc vô tình click vào link đã nói trên. Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nickname có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.

Sau một hồi tham khảo một số diễn đàn như :... tổng hợp cách diệt từ phức tạp đến đơn giản, cụ thể như sau:

CÁCH DIỆT

BƯỚC 1

Bạn mở NOTEPAD copy dòng này vào save lại với đuôi reg (ví dụ virus.reg)

Code:

//Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USERSoftwareMicrosoft
 
WindowsCurrentVersionPolicies]
 
[HKEY_CURRENT_USERSoftwareMicrosoft
 
WindowsCurrentVersionPoliciesExplorer]
 
"NoDriveTypeAutoRun"=dword:00000091
 
"NoInternetIcon"=dword:00000000
 
"ClearRecentDocsOnExit"=dword:00000001
 
"NoLowDiskSpaceChecks"=dword:00000001
 
"NoSaveSettings"=dword:00000000
 
"NoFolderOptions"=dword:0000000
 
[HKEY_CURRENT_USERSoftwareMicrosoft
 
WindowsCurrentVersionPoliciesSystem]
 
"DisableRegistryTools"=dword:00000000
 
"DisableTaskMgr"=dword:00000000
 
[HKEY_CURRENT_USERSoftwarePolicies
 
MicrosoftInternet ExplorerRestrictions]
 
"NoBrowserOptions"=dword:00000000
 
//

Kích đúp chuột vào file trên để kích hoạt .

BƯỚC 2

Bạn copy dòng code sau vào NOTEPAD rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”

Code:

/
 
"Enable/Disable Registry Editing tools
 
"© Vâng Cho Em Spam -  9/2/2008
 
Option Explicit
 
"Declare variables
 
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
 
Dim enab, disab, jobfunc, itemtype
 
Set WSHShell = WScript.CreateObject("WScript.Shell")
 
p = "HKCUSoftwareMicrosoftWindowsCurrentVersion
 
PoliciesSystem"
 
p = p & "DisableRegistryTools"
 
itemtype = "REG_DWORD"
 
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
 
enab = "ENABLED"
 
disab = "DISABLED"
 
jobfunc = "Registry Editing Tools are now "
 
"This section tries to read the registry key value. If not present an
 
"error is generated. Normal error return should be 0 if value is
 
"present
 
t = "Confirmation"
 
Err.Clear
 
On Error Resume Next
n = WSHShell.RegRead (p)
 
On Error Goto 0
 
errnum = Err.Number
 
if errnum <> 0 then
 
"Create the registry key value for DisableRegistryTools with value 0
 
WSHShell.RegWrite p, 0, itemtype
 
End If
 
"If the key is present, or was created, it is toggled
 
"Confirmations can be disabled by commenting out
 
"the two MyBox lines below
 
If n = 0 Then
 
n = 1
 
WSHShell.RegWrite p, n, itemtype
 
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
 
ElseIf n = 1 then
 
n = 0
 
WSHShell.RegWrite p, n, itemtype
 
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
 
End If
 
//

BƯỚC 3

Cách 1

1. Vào Start -> Run -> gõ Regedit rồi Enter
2. Tại khung bên trái cửa sổ Registry Editor, bạn tìm khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\
Xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.
3. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Xoá mục “Yahoo Messenger = RVHOST.exe”.
4. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”
5. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
Xoá mục “Disable Registry Tools” = “1”.
6. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
Xoá m ục “NofoderOption”.
7. Tìm đến khóa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Services\Schedule
Xoá mục “AtTaskMaxHours”.
8. Tìm đến khóa
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
Xoá mục “Run”= “BkavFw”.
9. Tìm đến khóa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
Xoá mục “Run”=”IEProtection”.
10. Đóng Registry lại. Và khởi động lại máy tính

Cách 2:


Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động).
2. Vào Start -> Run -> gõ Regedit rồi Enter.
3. Hãy tìm khóa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
4. Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page
Xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng. Ví dụ: http://xxx.tk
5. Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi.
Các khóa có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast và
HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
6. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
7. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
8. Khởi động lại máy tính.

Cách 3


Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Vào Start -> Run rồi gõ Regedit rồi Enter.
2. Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xxxots.net/Gift/New/” để xoá đi.

Cách 4


Dùng HijackThis để xoá các khóa và các process đang chạy của virus. Có thể download HijackThiss tại www.trendsecure.com

Cách 5


Download và diệt bằng phần mềm diệt virus mới nhất như là :
- Bitdefender, Kaspersky Anti - Virus, Bkav...

Chúc các bạn thành công!