Cách Diệt virus nhut.be , minhnhut.be , daokhuc.be đang hoành hành trên YM !

[Super FM]

Nếu nhận được msg từ nick khác với nội dung có nhut.be , minhnhut.be , Daokhuc.be thì đừng vào.

Còn nếu ai lỡ vào rồi mà bị nhiễm thì cứ theo hướng dẫn dưới đây mà diệt nhé. Chúc các bạn okie

Đây không phải là virus. Nó không có tính năng lây nhiễm vào các file, mà chỉ đơn thuần là một loại worm phát tán thông qua trình Yahoo! Messenger.

I. Phân tích hành vi lây nhiễm:

1. Thay đổi key:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\Cache] thành giá trị C:\Documents and Settings\[tên_Windows_user]\Local Settings\Temporary Internet Files với thư mục Windows cài trên ổ C

Mục đích: thay đối thư mục mặc định chứa file cập nhật sau khi lây nhiễm

2. Chuyển thư mục Cookies, History, Common AppData bằng cách thay đổi các Registry key sau:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\Cookies] [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\History][HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\Common AppData][HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\AppData]

3. Tắt tính năng duyệt offline, bắt buộc user fải duyệt online bằng cách thay registry key:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Internet Settings\GlobalUserOffline] thành 0x0.

4. Thay đổi và ép buộc sử dụng cấu hình do worm tạo ra, chứ không sử dụng cấu hình mặc định cho kết nối bằng cách thay đổi registry key:

[HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntVersion\Internet ettings\Connections\SavedLegacySettings]

5. Tạo file Messenger.exe tự động chạy khi Win khởi động bằng cách tạo registry key:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Yahoo!!!]

Có giá trị:

"C:\WINDOWS\Messenger.exe"

6. Thay đổi trang Startpage của Internet Explorer:

[HKEY_CURRENT_USER\SOFTWARE\microsoft\Internet Explorer\Main\Start Page] thành "http://minhnhut.be/”

Thông tin có được từ quá trình giải phẫu sâu XRobot.

7. Thay đổi nội dung các registry của Yahoo! Messenger, để khi user bị nhiễm worm, YM sẽ tự động duyệt trang được cài cắm sẵn trên mạng:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast\content url] thành “http://minhnhut.be”

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ buzz\content url]

8. Vô hiệu hóa các công cụ edit Registry bằng cách thêm registry key sau:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools] Có giá trị 0x1

9. Liên tục update worm, tự nâng cấp bằng cách download bản update

File sau khi được download về sẽ được worm tự động update, ghi lại vào file :\Windows\Messenger.exe. Như đã nói ở trên, file Messenger.exe sẽ tự động chạy khi khởi động Windows.

10. Xóa file %windir%\pchealth\helpctr\binaries\msconfig.exe và sửa đổi file này, chuyển vào thành %windir%\msconfig.exe. Do đó, khi người sử dụng chạy msconfig sẽ không thấy file messenger.exe của worm trong tùy chọn Startup nữa.


II. Cách diệt

* Diệt bằng tay:

1 - Kích hoạt trở lại registry: Download file http://securityresponse.symantec.com...UnHookExec.inf. Click chuột phải vào file, chọn Install

2 - Vào Start > Run. Chạy regedit.

3 – Xóa khả năng tự động chạy khi khởi động máy [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Yahoo!!!]

4 – Xóa file chính %windir%\Messenger.exe

5 – Xóa thư mục chứa file update

C:\Documents and Settings\[tên_Windows_user]\Local Settings\Temporary Internet Files\

6 - Copy file msconfig.exe từ máy chưa bị nhiễm vào thư mục:

%windir%\pchealth\helpctr\binaries\

* Dùng công cụ Xrobots Remover:

1 – Download chương trình Xrobots Remover về máy tính của bạn và chạy để chương trình tự động tìm và diệt worm Xrobots, chỉnh lại các registry đã bị sâu máy tính này sửa đổi.

2 – Chạy chương trình và làm theo các hướng dẫn

Link download Xrobots Remover
st

Chủ đề tương tự:

• 5 Bước diệt VIRUS cho USB ( sưu tầm )
• Bảo vệ và khôi phục dữ liệu trên bộ nhớ Flash

[xiahou_dun]

Sao khi tôi clik chuột vào đường link tải Xrobots Remover thì BitDefender của tôi báo là có virus, Ông check lại xem nào...

[SilentSteps]

Vào http://www.bkav.com.vn/ down cái soft Antivirus ghẻ lở BKAV về mà diệt mấy con virus nội.
Còn tools để diệt virus kiểu này thì nhiều lắm. Bạn có thể vào http://updatesofts.com/forums/ trong mục Sercurity cũng có mấy cái.
Muốn ko bị dính mấy con này thì nếu xài IE tắt ActiveX và VB Script đi (khuyến cáo của Microsoft), còn nếu xài Firefox hoặc Opera (chỉnh thành default Web Browser ) thì sẽ yên tâm hơn vì nếu download về trình duyệt sẽ hỏi.
Good luck to you !

[xiahou_dun]

TỚ đang xài BitDefender 10 antivirus và INternet security....
Liệu có cần cài thêm cái gì nữa không...:

[mymylove]

Bitdefender theo em bác ko nên dùng , chả tốt đâu nếu máy bác mạnh thì xài cái Norton Antivirus là ngon nhất , hoặc PC Tool Antivirus cũng được (tích hợp đủ các thứ cần thiết)

[xiahou_dun]

Tớ tìm được cái Norton Antivus và cả Internet Security 2007...Có nên dùng không nhỉ?

[SilentSteps]

Bitdefender theo em bác ko nên dùng , chả tốt đâu nếu máy bác mạnh thì xài cái Norton Antivirus là ngon nhất , hoặc PC Tool Antivirus cũng được (tích hợp đủ các thứ cần thiết)

Bit Defender không tốt mà nó được đánh giá là hàng đầu thế giới (theo PC World của Mỹ ), trên cả KasperSky ????
Norton Antivirus chỉ xếp thứ 6, với lại setup nó vào thường sẽ gây ì máy.
Tôi thì xài KasperSky của Nga ...

[FM5]

tóm lại là dùng cái quái gì để xử mấy cái rác rưởi đó. Hu hu máy tui sao mấy thứ rác rưởi đó nhìu qué

[T^_^T]

đừng dùng hàng ngoại , virus của Việt Nam viết thì chỉ có BKAV là ngon nhất , chịu khó update thường xuyên vào... :now:
Ngoài ra về các chương trình Security thì chỉ nên cài 1 cái thôi l-) , nếu có cài nhiều thì đừng để chạy tất cả cùng start up :chuy: , vừa nặng máy mà lại còn đánh nhau :dapcpu:

[xiahou_dun]

Cái gì quá cũng không tốt..kể cả là nhiều quá...
Cứ trung thành với cái Bitdefender 10 vậy...DÙng được phết...^^