Sau khi diệt Virut Gai Xinh, may vao mang cham?

  • Thread starter VanChau
  • Ngày gửi
V

VanChau

Thành viên thân thiết
29/10/05
595
1
16
38
Ha Noi
www.prospace.com.vn
#1
Nhờ các anh chị chi giúp: Máy tính của em bị dính virut Gai xinh, vào mạng rất chậm. Em xử lý xong con virut đó, máy vẫn chạy chậm như thế: YM vào 10 phút kô xong, các trang wweb khác cũng phải mở ra mở vô 2,3 lần, vào xong rồi, thi cú khoang 10-15 phút lại out khỏi mạng. Em đang dùng mạng Mega của VNPT. Không hiểu đây là do nhà cugn cấp hay là em phải cài lại Win?? hay....?
 
zeny

zeny

Người mê chơi nhất
3/10/03
114
0
16
37
Biên Hoà
#2
hi chào em
May của em diệt bang cách nào với con vi rút do

em đọc bài o cái link "http://www.xahoithongtin.com.vn/index.asp?subjectID=7284"
để xem em diệt đúng không
thân

Heehehehe
Cảnh giác với virut qua tin nhắn "lạ"




--------------------------------------------------------------------------------

Ngày 11 tháng 4 năm 2006

XHTTWebsite: Sáng thứ 2 đầu tuần, Dương đến cơ quan mở Yahoo Messenger và nhận được tin 1 tin nhắn từ người quen với nội dung:

"Mong moi nguoi co mat tren mang hay gui tin nay den cho moi nguoi ung ho cung toi trong quy~ nguoi ngheo ------------------------http://www.freewebtown.com/cuchuoi135/Musicplayer.exe"

Tôi hay bất cứ ai nhận đc những mẩu tin đại loại ủng hộ người ngh232o, chất độc da cam, hay nạn nhận nọ nạn nhân kia đều phải quan tâm tới nó. Nhưng giật mình nhìn lại thì theo thói quen nghề nghiệp nhận ra link kia có vẻ không đảm bảo (vì trong link có những từ ngữ không bình thường, nhiều khả năng chứa virut).

Quả thực ngay hôm sau nhận thấy một số người bạn trong danh sách bạn chat của tôi thông báo bị gửi những đường link lạ qua tin nhắn Messenger, kích vào những link đó lúc không ra trang gì, lúc dẫn đến những trang vô nghĩa hoặc có nội dung không lành mạnh của nước ngoài. điều đó làm tôi rất bức xúc, vì trong danh sách của Yahoo Messenger ngoài những người bạn ngang bằng tuổi tác còn có những đối tác công việc, cấp trên. Virut lây lan theo đường này có thể gây ra những hiểu lầm không đáng có.

Vì thế tôi phải xác minh lại nó. Bấm vào dòng link kia nó hỏi ta tải xuống máy 1 chương trình có tên là Musicplayer.exe. Sau khi đã chạy chương trình tôi nhận thấy trong thư mục %SYSTEM% của máy xuất hiện thêm 2 file lạ đó là: ntvdscm.exe và ntvdscm.dll Nghĩa là khi ta chạy Musicplayer.exe thì trong máy sẽ bị thêm 2 vị khách không mời kia và còn được kích hoạt ntvdscm.exe hộ mình. Và nó viết thêm vào Registry tại HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices với 1 value là ntvdscm=%SYSTEM%\ntvdscm.exe để mỗi lần mở máy lên nó là ứng dung được kích hoạt

I - Cách phát hiện "thủ phạm":

1. Chạy một chương trình phát hiện và diệt Keylogger như: ở đây sử dụng chương trình Keylogger Killer 1.5 để kiểm tra xem có chương trình nào đang hook keyboard không (ghi lại sự hoạt động của bàn phím). Bạn sẽ thấy ngay trên màn hình thông báo là NTVDSCM.DLL đang "hook" bàn phím, nghĩa là những gì ta bấm trên bàn phím nó sẽ lưu lại mọi hoạt động. Không còn nghi ngờ gì nữa NTVDSCM.DLL là một "vị khách" không mời.





2. Kiểm tra xem ai là người "giới thiệu" vị khách này tới.

Theo kinh nghiệm thì tất cả những spyware (phần mềm gián điệp) này luôn pack để tự giấu bản thân vì thế ta phải debug hoặc đọc nội dung từ Entire Memory.

Hãy sử dụng WinHex giúp ta đọc nội dung trong Entire Memory nhanh chóng.

- Khởi động WinHex.
- Chọn menu Tools rồi chọn lệnh Open RAM





- Tìm đến vị khách kia (đó là Ntvdscm). Bấm vào nó rồi chọn Entire Memory rồi chọn OK.





- Theo kinh nghiệm thì keylog luôn phải gửi về 1 email nào đó qua 1 SMTP. Vì thế ta sẽ tìm trong Entire Memory để thấy đoạn đó.
=> Và cuối cùng các bạn dễ dàng tìm được đoạn email của thủ phạm đó với lệnh tìm kiếm (Nhấn Ctrl+F tìm cụm từ @yahoo hoặc @gmail ... hoặc gì đó tùy theo ý tưởng của bạn)





Trong ví dụ trên tôi đã tìm ra thủ phạm đã dùng SMTP của Google để gửi nội dung về email anhcodonnganlantruocbien@gmail.comanh_codonnganlantruocbien@yahoo.com

Đây là 1 hành động thiếu ý thức cần phải lên án, đặc biệt khi thủ phạm đã sử dụng "mánh" ủng hộ vì người ngh232o gợi lòng nhân đạo của mọi người nhằm phát tán virut.

địa chỉ download phần mềm Keylogger Killer 1.5 tại đây và phần mềm Winhex tại đây

II - Cách xử lý "vị khách" không mời:

Cách xử lý sau đây hết sức đơn giản bạn sử dụng những công cụ sẵn có trong windows.

- Bấm vào nút Start chọn lệnh Run.
- Gõ Notepad rồi nhấn OK để mở chương trình soạn thảo văn bản Notepad của Windows.
- Copy đoạn text sau đây vào notepad:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ntvdscm"=""



- Trong cửa sổ Notepad bấm menu File chọn lệnh Save as...
- Cửa sổ Save As xuất hiện. Bấm vào nút Desktop ở bên trái để lưu nội dung ra màn hình.
- Trong mục File Name ở phía dưới gõ DeleteKl.reg
- Trong mục Save as type ở phía dưới chọn All Files rồi bấm OK
- Đóng cửa sổ Notepad lại. Lúc này bạn sẽ thấy trên nền màn hình xuất hiện thêm 1 biểu tượng DeleteKl
- Kích vào biểu tượng đó, bấm OK 2 lần. Khởi động lại máy là bạn đã tiễn xong vị khách không mời đó.

Mai Hương
 
C

conkhigia654321

Sơ cấp
28/3/06
6
0
0
Bien hoa
#3
Hi em
Hình như vụ này anh biết cách trị nè
đơn giản và hiệu quả nè
làm biếng đọc thì vào link này
http://911.com.vn/news_home.asp
còn nếu khong thích thì dọc o dưới đây anh cũng mới chôm ở đó về nè

bùm bùm


Download chương trình diệt loại sâu này tại đây Xrobots Remover
Sâu mạng mới 911 tạm gọi là W32/GirlXinh-Xrotbots (Viết tắt là W32/GXX worm) là một loại virus mới xuất hiện từ 10/4/2006 và lây nhiễm qua Yahoo Messenger với tốc độ cực nhanh do công cụ chat Yahoo Messenger hiện nay được người dùng sử dụng khá phổ biến. Tiểu xảo để loại virus này lây lan đó là tự động gửi cho người đang chat với máy tính bị nhiễm virus một đường link có nội dung như sau:


Em nay xinh lam, nhin ma fe http://xrobots.net/Gift/?file=Gaixinh.jpg

Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.net/Gift/?file=Embe.jpg

Gai xinh ne, gai xinh http://xrobots.net/Gift/?file=Gaixinh.jpg


Do tâm lý là đường link của bạn bè, đồng nghiệp gửi cho là an toàn và là ảnh một cô gái xinh nên hầu hết mọi người đều bấm vào đường link và máy tính sẽ yêu cầu người dùng download tệp Gaixinh.jpg.exe về (thực chất đây là phiên bản của sâu GirlXinh-Xrotbots vì nó có đuôi exe chứ không phải đuôi jpg). Sau đó script chạy ngầm trên Website Xrobots.net sẽ tự động thay đổi registry để nạp virus lúc Windows khởi động.



Hi vọng em thành công
 
V

VanChau

Thành viên thân thiết
29/10/05
595
1
16
38
Ha Noi
www.prospace.com.vn
#5
conkhigia654321 nói:
Hi em
Hình như vụ này anh biết cách trị nè
đơn giản và hiệu quả nè
làm biếng đọc thì vào link này
http://911.com.vn/news_home.asp
còn nếu khong thích thì dọc o dưới đây anh cũng mới chôm ở đó về nè
[
Em cũng đã vào đó rồi đó chứ, làm đúng chỉ dẫn, tải về được CT Hero... để nghe nhạc, hic ...đang thử cách diệt của anh Khỉ, hi vong la thành công. Thanks
 

Thành viên trực tuyến

  • duongminhtue
  • tuantran203



Xem nhiều