Sau khi diệt Virut Gai Xinh, may vao mang cham?

Thảo luận trong 'Tin học văn phòng' bắt đầu bởi VanChau, 16 Tháng tư 2006.

2,647 lượt xem

  1. VanChau

    VanChau Thành viên thân thiết

    Bài viết:
    595
    Đã được thích:
    1
    Nơi ở:
    Ha Noi
    Nhờ các anh chị chi giúp: Máy tính của em bị dính virut Gai xinh, vào mạng rất chậm. Em xử lý xong con virut đó, máy vẫn chạy chậm như thế: YM vào 10 phút kô xong, các trang wweb khác cũng phải mở ra mở vô 2,3 lần, vào xong rồi, thi cú khoang 10-15 phút lại out khỏi mạng. Em đang dùng mạng Mega của VNPT. Không hiểu đây là do nhà cugn cấp hay là em phải cài lại Win?? hay....?
     
    #1
  2. zeny

    zeny Người mê chơi nhất

    Bài viết:
    114
    Đã được thích:
    0
    Nơi ở:
    Biên Hoà
    hi chào em
    May của em diệt bang cách nào với con vi rút do

    em đọc bài o cái link "http://www.xahoithongtin.com.vn/index.asp?subjectID=7284"
    để xem em diệt đúng không
    thân

    Heehehehe
    Cảnh giác với virut qua tin nhắn "lạ"




    --------------------------------------------------------------------------------

    Ngày 11 tháng 4 năm 2006

    XHTTWebsite: Sáng thứ 2 đầu tuần, Dương đến cơ quan mở Yahoo Messenger và nhận được tin 1 tin nhắn từ người quen với nội dung:

    "Mong moi nguoi co mat tren mang hay gui tin nay den cho moi nguoi ung ho cung toi trong quy~ nguoi ngheo ------------------------http://www.freewebtown.com/cuchuoi135/Musicplayer.exe"

    Tôi hay bất cứ ai nhận đc những mẩu tin đại loại ủng hộ người ngh232o, chất độc da cam, hay nạn nhận nọ nạn nhân kia đều phải quan tâm tới nó. Nhưng giật mình nhìn lại thì theo thói quen nghề nghiệp nhận ra link kia có vẻ không đảm bảo (vì trong link có những từ ngữ không bình thường, nhiều khả năng chứa virut).

    Quả thực ngay hôm sau nhận thấy một số người bạn trong danh sách bạn chat của tôi thông báo bị gửi những đường link lạ qua tin nhắn Messenger, kích vào những link đó lúc không ra trang gì, lúc dẫn đến những trang vô nghĩa hoặc có nội dung không lành mạnh của nước ngoài. điều đó làm tôi rất bức xúc, vì trong danh sách của Yahoo Messenger ngoài những người bạn ngang bằng tuổi tác còn có những đối tác công việc, cấp trên. Virut lây lan theo đường này có thể gây ra những hiểu lầm không đáng có.

    Vì thế tôi phải xác minh lại nó. Bấm vào dòng link kia nó hỏi ta tải xuống máy 1 chương trình có tên là Musicplayer.exe. Sau khi đã chạy chương trình tôi nhận thấy trong thư mục %SYSTEM% của máy xuất hiện thêm 2 file lạ đó là: ntvdscm.exe và ntvdscm.dll Nghĩa là khi ta chạy Musicplayer.exe thì trong máy sẽ bị thêm 2 vị khách không mời kia và còn được kích hoạt ntvdscm.exe hộ mình. Và nó viết thêm vào Registry tại HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices với 1 value là ntvdscm=%SYSTEM%\ntvdscm.exe để mỗi lần mở máy lên nó là ứng dung được kích hoạt

    I - Cách phát hiện "thủ phạm":

    1. Chạy một chương trình phát hiện và diệt Keylogger như: ở đây sử dụng chương trình Keylogger Killer 1.5 để kiểm tra xem có chương trình nào đang hook keyboard không (ghi lại sự hoạt động của bàn phím). Bạn sẽ thấy ngay trên màn hình thông báo là NTVDSCM.DLL đang "hook" bàn phím, nghĩa là những gì ta bấm trên bàn phím nó sẽ lưu lại mọi hoạt động. Không còn nghi ngờ gì nữa NTVDSCM.DLL là một "vị khách" không mời.





    2. Kiểm tra xem ai là người "giới thiệu" vị khách này tới.

    Theo kinh nghiệm thì tất cả những spyware (phần mềm gián điệp) này luôn pack để tự giấu bản thân vì thế ta phải debug hoặc đọc nội dung từ Entire Memory.

    Hãy sử dụng WinHex giúp ta đọc nội dung trong Entire Memory nhanh chóng.

    - Khởi động WinHex.
    - Chọn menu Tools rồi chọn lệnh Open RAM





    - Tìm đến vị khách kia (đó là Ntvdscm). Bấm vào nó rồi chọn Entire Memory rồi chọn OK.





    - Theo kinh nghiệm thì keylog luôn phải gửi về 1 email nào đó qua 1 SMTP. Vì thế ta sẽ tìm trong Entire Memory để thấy đoạn đó.
    => Và cuối cùng các bạn dễ dàng tìm được đoạn email của thủ phạm đó với lệnh tìm kiếm (Nhấn Ctrl+F tìm cụm từ @yahoo hoặc @gmail ... hoặc gì đó tùy theo ý tưởng của bạn)





    Trong ví dụ trên tôi đã tìm ra thủ phạm đã dùng SMTP của Google để gửi nội dung về email anhcodonnganlantruocbien@gmail.comanh_codonnganlantruocbien@yahoo.com

    Đây là 1 hành động thiếu ý thức cần phải lên án, đặc biệt khi thủ phạm đã sử dụng "mánh" ủng hộ vì người ngh232o gợi lòng nhân đạo của mọi người nhằm phát tán virut.

    địa chỉ download phần mềm Keylogger Killer 1.5 tại đây và phần mềm Winhex tại đây

    II - Cách xử lý "vị khách" không mời:

    Cách xử lý sau đây hết sức đơn giản bạn sử dụng những công cụ sẵn có trong windows.

    - Bấm vào nút Start chọn lệnh Run.
    - Gõ Notepad rồi nhấn OK để mở chương trình soạn thảo văn bản Notepad của Windows.
    - Copy đoạn text sau đây vào notepad:

    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "ntvdscm"=""



    - Trong cửa sổ Notepad bấm menu File chọn lệnh Save as...
    - Cửa sổ Save As xuất hiện. Bấm vào nút Desktop ở bên trái để lưu nội dung ra màn hình.
    - Trong mục File Name ở phía dưới gõ DeleteKl.reg
    - Trong mục Save as type ở phía dưới chọn All Files rồi bấm OK
    - Đóng cửa sổ Notepad lại. Lúc này bạn sẽ thấy trên nền màn hình xuất hiện thêm 1 biểu tượng DeleteKl
    - Kích vào biểu tượng đó, bấm OK 2 lần. Khởi động lại máy là bạn đã tiễn xong vị khách không mời đó.

    Mai Hương
     
    #2
  3. conkhigia654321

    conkhigia654321 Thành viên sơ cấp

    Bài viết:
    6
    Đã được thích:
    0
    Nơi ở:
    Bien hoa
    Hi em
    Hình như vụ này anh biết cách trị nè
    đơn giản và hiệu quả nè
    làm biếng đọc thì vào link này
    http://911.com.vn/news_home.asp
    còn nếu khong thích thì dọc o dưới đây anh cũng mới chôm ở đó về nè

    bùm bùm


    Download chương trình diệt loại sâu này tại đây Xrobots Remover
    Sâu mạng mới 911 tạm gọi là W32/GirlXinh-Xrotbots (Viết tắt là W32/GXX worm) là một loại virus mới xuất hiện từ 10/4/2006 và lây nhiễm qua Yahoo Messenger với tốc độ cực nhanh do công cụ chat Yahoo Messenger hiện nay được người dùng sử dụng khá phổ biến. Tiểu xảo để loại virus này lây lan đó là tự động gửi cho người đang chat với máy tính bị nhiễm virus một đường link có nội dung như sau:


    Em nay xinh lam, nhin ma fe http://xrobots.net/Gift/?file=Gaixinh.jpg

    Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.net/Gift/?file=Embe.jpg

    Gai xinh ne, gai xinh http://xrobots.net/Gift/?file=Gaixinh.jpg


    Do tâm lý là đường link của bạn bè, đồng nghiệp gửi cho là an toàn và là ảnh một cô gái xinh nên hầu hết mọi người đều bấm vào đường link và máy tính sẽ yêu cầu người dùng download tệp Gaixinh.jpg.exe về (thực chất đây là phiên bản của sâu GirlXinh-Xrotbots vì nó có đuôi exe chứ không phải đuôi jpg). Sau đó script chạy ngầm trên Website Xrobots.net sẽ tự động thay đổi registry để nạp virus lúc Windows khởi động.



    Hi vọng em thành công
     
    #3
  4. conkhigia654321

    conkhigia654321 Thành viên sơ cấp

    Bài viết:
    6
    Đã được thích:
    0
    Nơi ở:
    Bien hoa
    #4
  5. VanChau

    VanChau Thành viên thân thiết

    Bài viết:
    595
    Đã được thích:
    1
    Nơi ở:
    Ha Noi
    Em cũng đã vào đó rồi đó chứ, làm đúng chỉ dẫn, tải về được CT Hero... để nghe nhạc, hic ...đang thử cách diệt của anh Khỉ, hi vong la thành công. Thanks
     
    #5

Chia sẻ trang này