Virut yahoo: girltinh.tk

[513minh891]

Thằng bạn em nó bị nhiễm loại virut girltinh.tk này mà symatec không dc. Ai biết thì giúp bạn mình với nhé.

[36hoangcau]

tò mò quá là chít xài firefox di bạn ơi sẽ giạm bị virus đó=> nhấp thử thì firefox sẽ cảnh báo ý ...

[anhnt]

1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\Windows\Curre ntVersion\Policies\System để khoá không cho truy cập vào Regedit.



2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run để nạp virus lúc Windows khởi động.



3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác



4. Thêm giá trị sau vào các khoá khác trong regedit: http://***bots.net/Gift/New/ hoặc



HKEY_CURRENT_USER\Software\Yahoo\pager\



View\YMSGR_Launchcast.

CÁCH DIỆT

Bạn mở NOTEPAD copy dòng này vào save lại với đuôi reg (ví dụ virus.reg)



CODE

//Windows Registry Editor Version 5.00



[HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionPolicies]



[HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionPolicie***plorer]



"NoDriveTypeAutoRun"=dword:00000091



"NoInternetIcon"=dword:00000000



"ClearRecentDocsOnExit"=dword:00000001



"NoLowDiskSpaceChecks"=dword:00000001



"NoSaveSettings"=dword:00000000



"NoFolderOptions"=dword:0000000



[HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionPoliciesSystem]



"DisableRegistryTools"=dword:00000000



"DisableTaskMgr"=dword:00000000



[HKEY_CURRENT_USERSoftwarePolicies



MicrosoftInternet ExplorerRestrictions]



"NoBrowserOptions"=dword:00000000



//



Kích đúp chuột vào file trên để kích hoạt .

Bạn copy dòng code sau vào NOTEPAD rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”



CODE

/



"Enable/Disable Registry Editing tools



"© Vâng Cho Em Spam - 9/2/2008



Option Explicit



"Declare variables



Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers



Dim enab, disab, jobfunc, itemtype



Set WSHShell = WScript.CreateObject("WScript.Shell")



p = "HKCUSoftwareMicrosoftWindowsCurrentVersion



PoliciesSystem"



p = p & "DisableRegistryTools"



itemtype = "REG_DWORD"



mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"



enab = "ENABLED"



disab = "DISABLED"



jobfunc = "Registry Editing Tools are now "



"This section tries to read the registry K.@.y value. If not present an



"error is generated. Normal error return should be 0 if value is



"present



t = "Confirmation"



Err.Clear



On Error Resume Next

n = WSHShell.RegRead (p)



On Error Goto 0



errnum = Err.Number



if errnum <> 0 then



"Create the registry K.@.y value for DisableRegistryTools with value 0



WSHShell.RegWrite p, 0, itemtype



End If



"If the K.@.y is present, or was created, it is toggled



"Confirmations can be disabled by commenting out



"the two MyBox lines below



If n = 0 Then



n = 1



WSHShell.RegWrite p, n, itemtype



Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)



ElseIf n = 1 then



n = 0



WSHShell.RegWrite p, n, itemtype



Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)



End If



//



Sau đó kích đúp chuột vào hai trên để kích hoạt lại công cụ chỉnh sửa regedit.



Vào Start ==> Run ==> gõ REGEDIT==>tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá

HKEY_LOCAL_MACHINESOFTWAREMicrosoft



Windows NTCurrentVersionWinlogon



và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.



Tìm đến khoá



HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionRun



Xoá mục “Yahoo Messenger = RVHOST.exe”.



Tìm đến khoá



HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionExplorer



WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”



Tìm đến khoá



HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionPoliciesSystem





Xoá mục “Disable Registry Tools” = “1”.



Tìm đến khoá



HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersionPolicie***plorer



Xoá m ục “NofoderOption”.



Tìm đến khoá



HKEY_LOCAL_MACHINESYSTEMCurrentControlSet



ServicesSchedule



Xoá mục “AtTaskMaxHours”.



Tìm đến khoá



HKEY_LOCAL_MACHINESoftwareMicrosoft



WindowsCurrentVersion



Xoá mục “Run”= “BkavFw”.



Tìm đến khoá



HKEY_CURRENT_USERSoftwareMicrosoft



WindowsCurrentVersion



Xoá mục “Run”=”IEProtection”.



Đóng Registry lại.



Cách 2 /

Bạn cũng copy dòng Code như trên rồi kick chuột vào đấy cho nó thực thi lệnh .

. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\



CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.



Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.



Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast

và

HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast



Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.



Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi



Khởi động lại máy tính.



Cách 3



Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://***ots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây.



CODE

http://www.*******************/index.php?showtopic=34706





CODE

http://www.*******************/index.php?showtopic=36905





Chúc bạn thành công.



TRONG THỜI GIAN LÂY LAN KINH KHỦNG CỦA LOẠI VIRUS NÀY SPAM KINH MONG CÁC BẠN HỢP TÁC CÙNG NHAU NGĂN CHẶN NÓ BẰNG CÁCH SỬ DỤNG WEB CHAT YAHOO KHI MUỐN LIÊN LẠC VỚI NHAU BẰNG YAHOO - NHƯ VẬY SẼ GIẢM THIỄU SỐ LƯỢNG VIRUS PHÁT TÁN - RẤT MONG SỰ HỢP TÁC CỦA CÁC BẠN ,THẤN !

ĐỊA CHỈ WEB CHAT UY TÍN :



CODE

http://wwwe.meebo.com/

http://vn.webmessenger.yahoo.com/



Nguồn : Vâng Cho Em Spam!

[mcqueen]

cách làm của bác dài dòng quá. Bạn em cũng bị nhiễm virus đó.Em vào ổ đĩa C thấy nó tạo mấy cái file~+số.exe và 1 cái file YSever.txt em xóa hết thế là xong.

[buivanquang.ltv]

@minhquan9909: hay quá vậy bác? Để em thử xem sao.Ma chẳng lẽ nó lại dễ trị đếnt thế ah?

[sonseo9x5s]

Sao lại có 2 viết giống nhau vậy?????????????????[IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/die_die.gif[/IMG][IMG]http://www.*******************/img/smile/44.gif[/IMG][IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/die_die.gif[/IMG][IMG]http://www.*******************/img/smile/44.gif[/IMG]Như vậy là có vi phạm bản quyền ko [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/curse.gif[/IMG][IMG]http://www.*******************/img/smile/12.gif[/IMG][IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/curse.gif[/IMG]

Ngoài ra ban có thể lấy Spyware Doctor hay BIT hoặc KIS ra chơi nó!Nếu ko thích thì down BKAV mới nhất về thử xem! [IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/smile.gif[/IMG][IMG]http://www.*******************/img/03.gif[/IMG][IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/smile.gif[/IMG]

[huongcao]

@Nguyễn Minh Hiếu: bác ơi, khi em tạo cái file regedit.vsb thì nó báo lỗi bác ah, ko tạo được, nó bảo là kí tự đầu tiên của dòng đâu tiên ( cái dấu \ đó) bị sai. Nên nó ko chạy đựoc.

Bác coi lại dùm em nha. Cám ơn bác trứoc

[ken_tt]

hi` hi` cai' đó bác nên nhắn tin trực tiếp cho bác Vâng cho em spam ý ( Viết trên bảng chát ý )

Ah` thôi để tui hỏi cho

[huylevans]

Cách mà bác spam dẫn thì với dân chuyên hack hay lập trình mới hiểu và làm dễ dàng, chứ với dân gà vịt như em thì đầu óc quay mòng mòng eh. Em dùng cách đơn giản thôi: Remove hẳn cái Y!M, sau đó down lại cái khác về dùng

Xong

[minhthu1987]

Nhưng mà virut đã xâm nhập vào chỗ khác rồi

@Nguyễn Minh Hiếu: bác ơi, khi em tạo cái file regedit.vsb thì nó báo lỗi bác ah, ko tạo được, nó bảo là kí tự đầu tiên của dòng đâu tiên ( cái dấu \ đó) bị sai. Nên nó ko chạy đựoc.

Bác coi lại dùm em nha. Cám ơn bác trứoc

Bác Vào đây tham khảo nha