Hướng dẫn cách diệt VIRUS Yahoo girltinh.tk/?=gaixinh

MONG CÁC BẠN ĐỌC HẾT BÀI RỒI HÃY THỰC HIỆN
Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của bạn bè đường link kèm lời mời hấp dẫn như:
+Kho phim cho ba con xem dai` han day hxxp://girltinh.tk/ << ( This message was certified by Welcome , no worm )

+Em xinh qua : hxxp://girltinh.tk/?=gaixinh << ( This message was certified by Welcome , no worm )

+Bao Thy dong phim sex ne hxxp://girltinh.tk/ ( This message was certified by Welcome , no worm )

+Pha’ trinh em VIet Nam qua xinh : hxxp://girltinh.tk/?=phatrinh << ( This message was certified by Welcome , no worm )

+Hoa hau bikini 2007 hxxp://girltinh.tk/?=bikini2007 << ( This message was certified by Welcome , no worm )

+Em Nhat Xinh Lam` Tinh` Hay hxxp://girltinh.tk/?=nhatxinh be careful !!! << ( This message was certified by Welcome , no worm )

Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽgửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã “dính đòn” trong thời gian rất ngắn.
– Lợi dụng lỗi MDAC cũ để phát tán virus khi dùng IE chưa cập nhật truy cập vào trang web hxxp://girltinh.tk.
– Virus gồm 2 file: SVCHOST.EXE và SVCHOST32.EXE để ở trong thư mục TMP:
TMP=C:\DOCUME~1\[usr]\LOCALS~1\Temp
– File SVCHOST32.EXE bị BIT-KIS- NOD32 – SPYWARE DOCTOR… phát hiện ra là Trojan-Spy.Win32.SCKeyLog.au. File còn lại chưa bị phát hiện. (Con này ai chơi gameonline coi chừng mất pass 157.gif)
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:

1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác

4. Thêm giá trị sau vào các khoá khác trong regedit: hxtp://xxxbots.net/Gift/New/ hoặc

HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast.

[b]CÁCH DIỆT

Bạn download file này về máy

File đnh kèm  girltinh.tk.rar ( 1.33k ) Tổng số lượt tải về: 2686

LINK DOWN MEDIAFIRE

CODE


Sau đó kích đúp chuột vào từng file một trên để kích hoạt lại công cụ chỉnh sửa regedit.

Vào Start ==> Run ==> gõ REGEDIT==>tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá
HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Windows NTCurrentVersionWinlogon

và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.

Tìm đến khoá

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionRun

Xoá mục “Yahoo Messenger = RVHOST.exe”.

Tìm đến khoá

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionExplorer

WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”

Tìm đến khoá

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesSystem

Xoá mục “Disable Registry Tools” = “1”.

Tìm đến khoá

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesExplorer

Xoá m ục “NofoderOption”.

Tìm đến khoá

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesSchedule

Xoá mục “AtTaskMaxHours”.

Tìm đến khoá

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersion

Xoá mục “Run”= “BkavFw”.

Tìm đến khoá

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersion

Xoá mục “Run”=”IEProtection”.

Đóng Registry lại.

Cách 2 /
Bạn cũng Download dòng Code như trên rồi kick chuột vào đấy cho nó thực thi lệnh .
. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.

Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.

Tìm toàn bộ các giá trị có nội dung như sau http://xxxxots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast

HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast

Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.

Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi

Khởi động lại máy tính.

Cách 3

Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung làhttp://xxxots.net/Gift/New/để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây.

CODE


CODE


Cách sử dụng HijackThiss

File đnh kèm  S__d_ng_Hijackthis.rar ( 16.39k ) Tổng số lượt tải về: 678

LINK MEDIAFIRE

CODE


Cách 4 của bạn vedautrongdemtoi
[/color][/b]
1. sử dụng 2 cộng cụ này
a. VNFix
b.FUK
để phục hồi lại run và Taskmanager
2. Start->run->msconfig bỏ SVCHOST32 đi. ôk!khoan khởi động lại máy!
3. vào c:\Windows\system tìm file svchost32 xoá nó SHIFT + del nó
4. khởi động lại máy nếu vẫn chưa có run chạy lại Fix va Fuk 1 lần nữa là ok! thử nhé

 Reduced: 91% of original size [ 560 x 483 ] – Click to view full image


 Reduced: 88% of original size [ 577 x 389 ] – Click to view full image



Chúc bạn thành công.

TRONG THỜI GIAN LÂY LAN KINH KHỦNG CỦA LOẠI VIRUS NÀY SPAM KINH MONG CÁC BẠN HỢP TÁC CÙNG NHAU NGĂN CHẶN NÓ BẰNG CÁCH SỬ DỤNG WEB CHAT YAHOO KHI MUỐN LIÊN LẠC VỚI NHAU BẰNG YAHOO – NHƯ VẬY SẼ GIẢM THIỄU SỐ LƯỢNG VIRUS PHÁT TÁN – RẤT MONG SỰ HỢP TÁC CỦA CÁC BẠN ,THẤN !
ĐỊA CHỈ WEB CHAT UY TÍN :

CODE

Giải pháp tình thế :

Messenger > Privacy options > chọn dòng Messages > chọn insert a new line in message ở phần pressing the enter in the message window . Lúc này muốn gởi cái gì đi phải click chuột vào chữ send chứ ko thể nhấn Enter đc .

VÀ ĐÂY LÀ MÃ NGUỒN CỦA CON VIRUS – KHUYẾN CÁO CÁC BẠN NÀO KHÔNG BIẾT THÌ ĐỪNG ĐỤNG VÀO . THANKS !

CODE


PASS : virus

KHÔNG VÀO ĐƯỢC RUN THÌ LÀM NHƯ SAU :

CODE
Bạn nào ko có mục Run thì làm như sau:
– Vào C:\Windows\System32 tìm file gpedit.msc để chạy Group Policy
– Trong chương trình Group Policy mở mục này : User Configuration \ Administrative Templates \ Start Menu and Task Bar
Bên cửa sổ bên phải tìm khóa Remove Run menu from Start menu, bấm đôi vào rồi chọn Disable

Khởi động lại máy là xong


KHÔNG MỞ ĐƯƠC HOME PAGE THÌ BẠN DÙNG FILE NÀY ( ĐÃ CÓ HƯỚNG DẪN BÊN TRONG )
File đnh kèm  FixHome.rar ( 5.65k ) Tổng số lượt tải về: 121

LINK MEDIAFIRE

CODE


HOẶC LÀM THEO CÁCH SAU

CODE
Run –> gpedit.msc
– User Configuration
– Administrative template
– Window components
– Internet explorer
Nhìn qua Textbox bên phải tìm key “disable changing home page settings” chọn disable –> apply Ok –> exit
run –> gpupdate /force


CÁC BẠN CÓ THỂ THAM KHẢO THÊM PHẦN MỀM DIỆT VIRUS GIRLTINH.TK CÙNG TÁC GIẢ Ở ĐÂY

CODE
About these ads

6 phản hồi

  1. Cảm ơn vì những bài viết của bạn, tôi đã diệt được cơ bản một số loại VR bằng phương pháp mà bạn trình bày.

    Thanks you verry much

    http://thanhai.wordpress.com/

  2. http://64.185.237.101/~thriftym/EmXinhQua/?=bikini2008

    xon virut nè nó phá máy mình quá các bạn ơi!có cách nào diệt nó hông,mình thử dùng đủ cách rùi mà hông có được.
    cảm ơn các bạn nhé ,

  3. Biet tin gi chua, vao day coi di http://thiepnoel.xlphp.net
    đó là vỉrús của mình h sao đây

  4. caj’ cach’ cua ban kho’ hjeu wa lang nha` lang nhang

  5. Blog minh` bi vius phai lam sao day ban – hu hu kiu minh` voi – minh` khong biet la` minh` tai~ anh~ len roi nhiem hay la` save bai` ve` post roi bi nua huhu
    thank truoc nha

  6. Ha ha hay quá.Mình đang cố gắng diệt nhưng mà chưa thành công

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

Theo dõi

Get every new post delivered to your Inbox.

Join 94 other followers

%d bloggers like this: