[RAINBOW]Trên Yahoo dạo nọ có những tin nhắn quảng cáo web có nội dung ko lành mạnh. Tuy đã bị tiêu diệt nhưng tôi vẫn post bài này bởi có thể nó sẽ ra phiên bản mới dựa trên nền tảng phiên bản cũ. Dưới đây là toàn bộ về con Virus này:
gaixinh và girltinh lại mời chào các anh chị em qua Yahoo!Messenger hoặc các diễn đàn với lời mời chào hấp dẫn như: "Gái quá xinh nè pà kon...", "Hàng đẹp quá...", "Em xinh qua..."... rồi kèm theo nội dung:
http://girltinh.tk/?=gaixinh (http://onlyu.tk/) << ( This message was certified by Welcome , no worm ). Ví dụ như sau:

http://i222.photobucket.com/albums/dd142/OnlyU004/virus/virus.jpg?t=1202649567 (http://i222.photobucket.com/albums/dd142/OnlyU004/virus/virus.jpg?t=1202649567)


Cũng may là thời điểm này chưa có virus thông báo: "Link download sex clip 32 phút Chung Hân Đồng và Trần Quán Hy http://edison.tk/?=clip (http://onlyu.tk/) << ( This message was certified by Kira (http://blog.360.yahoo.com/blog-QioO_DQwda43rYfhk3mrGf81wrxd3z4-?cq=1&p=8660), no worm)." Do đó, trong thời gian tới, không loại trừ gái xinh sẽ có phiên bản mới. Các bạn cần hết sức cảnh giác. Tuyệt đối không nên click, download, chạy những file không rõ nguồn gốc...
Tuy nhiên, trong thời gian qua virus gaixinh, virus girltinh đã làm tình... làm tội nhiều chatter khiến họ lâm vào tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ. Mà quan trọng nhất là nó lây lan qua chương trình chat phổ biến nhất Việt Nam - Yahoo!Messenger.

Nói chung virus này đánh trực tiếp vào các bạn có máu dê (http://blog.360.yahoo.com/blog-QioO_DQwda43rYfhk3mrGf81wrxd3z4-?cq=1&p=7447)... đã xuất hiện cách đây khá lâu nhưng dịp Tết Mậu Tý vừa rồi với phát tán và lây lan với tốc độ mạnh... Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nickname có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn. Sau một hồi tham khảo một số diễn đàn như benhvientinhoc.com (http://benhvientinhoc.com/), vnsharing.net (http://vnsharing.net/), raptk.net (http://raptk.net/)...,đã tổng hợp lại như sau:

Cơ chế hoạt động của virus (dành cho dân IT):
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 vào khoá:
HKEY_CURRENT_User\Software\Microsoft\Windows\Curre ntVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer (IE) về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác, ví dụ: http://onlyu.tk (http://onlyu.tk/)

4. Thêm giá trị sau vào các khoá khác trong regedit: http://xxxbots.net/Gift/New/ hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast.

Cách diệt (dành cho nạn nhân)
- Cách 1
Bước 1:Bạn mở Notepad, Wordpad... để copy đoạn mã sau. Lưu (save as) file với đuôi là ".reg" (Ví dụ gaixinh.reg). Sau đó kích đúp chuột vào file đó để kích hoạt.
CODE:
//Windows Registry Editor Version 5.00 - OnlyU
[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPolicies]

[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesExplorer]

"NoDriveTypeAutoRun"=dword:00000091

"NoInternetIcon"=dword:00000000

"ClearRecentDocsOnExit"=dword:00000001

"NoLowDiskSpaceChecks"=dword:00000001

"NoSaveSettings"=dword:00000000

"NoFolderOptions"=dword:0000000

[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USERSoftwarePolicies

MicrosoftInternet ExplorerRestrictions]

"NoBrowserOptions"=dword:00000000

//

Bước 2: Copy đoạn mã sau vào Notepad, Wordpad,... rồi sau đó lưu lại file dưới dạng đuôi là ".vbs” (Ví dụ: regedit.vbs). Sau đó kích đúp chuột vào file đó để kích hoạt.
CODE:
/

"Enable/Disable Registry Editing tools

"OnlyU - 09/02/2008

Option Explicit

"Declare variables

Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers

Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")

p = "HKCUSoftwareMicrosoftWindowsCurrentVersion

PoliciesSystem"

p = p & "DisableRegistryTools"

itemtype = "REG_DWORD"

mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"

enab = "ENABLED"

disab = "DISABLED"

jobfunc = "Registry Editing Tools are now "

"This section tries to read the registry key value. If not present an

"error is generated. Normal error return should be 0 if value is

"present

t = "Confirmation"

Err.Clear

On Error Resume Next
n = WSHShell.RegRead (p)

On Error Goto 0

errnum = Err.Number

if errnum <> 0 then

"Create the registry key value for DisableRegistryTools with value 0

WSHShell.RegWrite p, 0, itemtype

End If

"If the key is present, or was created, it is toggled

"Confirmations can be disabled by commenting out

"the two MyBox lines below

If n = 0 Then

n = 1

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)

ElseIf n = 1 then

n = 0

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)

End If

//

Bước 3:
1. Vào Start -> Run -> gõ Regedit rồi Enter
2. Tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersionWinlogon
Xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.
3. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
Xoá mục “Yahoo Messenger = RVHOST.exe”.
4. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorer
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”
5. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Xoá mục “Disable Registry Tools” = “1”.
6. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Xoá m ục “NofoderOption”.
7. Tìm đến khoá
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesSchedule
Xoá mục “AtTaskMaxHours”.
8. Tìm đến khoá
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersion
Xoá mục “Run”= “BkavFw”.
9. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion
Xoá mục “Run”=”IEProtection”.
10. Đóng Registry lại.

- Cách 2:
Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động).
2. Vào Start -> Run -> gõ Regedit rồi Enter.
3. Hãy tìm khoá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
4. Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.
5. Tìm toàn bộ các giá trị có nội dung như sau
http://xrobots.net/Gift/New/ và xoá đi.
Các khoá có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast
và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
6. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
7. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
8. Khởi động lại máy tính.

- Cách 3
Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Vào Start -> Run rồi gõ Regedit rồi Enter.
2. Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xxxots.net/Gift/New/” (http://xxxots.net/Gift/New/%E2%80%9D) để xoá đi.

- Cách 4:
Dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại www.trendsecure.com (http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe) hoặc tại đây (http://www.mediafire.com/?dddi5h53mgt).

- Cách 5
Download và diệt bằng phần mềm diệt virus
1. Link download các bản Bit Defender 10:
BitDefender 10 Antivirus (http://download.bitdefender.com/windows/desktop/antivirus/final/en/bitdefender_av_v10.exe)
BitDefender 10 Antivirus Plus (http://download.bitdefender.com/windows/desktop/antivirus_plus/final/en/bitdefender_avplus_v10.exe)
BitDefender 10 Internet Security (http://download.bitdefender.com/windows/desktop/internet_security/final/en/bitdefender_isecurity_v10.exe)
BitDefender 10 Free Edition (http://download.bitdefender.com/resources/files/Download/en/bitdefender_free_v10.exe)
Patch and Keygen, download một trong các link sau 1 (http://tinyurl.com/2ur6ws) 2 (http://public.box.net/index.php?rm=box_v2_download_file&uniq_name=ePiVHNhat74243&file_id=f_118582573) 3 (http://files.myopera.com/ePifunSI/dd/Patch%20%2B%20Keygen%20%5BBitDefender%209.0-10.0%5D.rar) 4 (http://download-v5.streamload.com/aC9-duAV%7EdeUB%7Eq7zj%7E9Ed7%7E-em_gkAZGdli/epivhnhat/FileManager/Patch%20%2b%20Keygen%20%5bBitDefender%209.0-10.0%5d.rar)
Khi update lần đầu nhớ: kết nối lại internet, sau khi update nhớ ngắt kết nối.
Bạn đã crack thành công nhưng nhìn thấy mục email thì chưa thấy giống bản quyền. Lúc đó bạn hãy vào đây (https://myaccount.bitdefender.com/site/MyAccount/newAccount/Create_a_new_account.html) và dùng key: 19E4243E56FFCADCC83C (có bản quyền đã hết hạn) để đăng ký cho mình một account sau đó nhập email mình vào trước khi nhập key "lậu" vào máy.
2. Link download các bản BitDefender 11.x 2008:
BitDefender AntiVirus 2008 v11 32bit (http://download.bitdefender.com/windows/desktop/antivirus/final/en/bitdefender_antivirus_2008_32b.exe)
BitDefender AntiVirus 2008 v11 64bit (http://download.bitdefender.com/windows/desktop/antivirus/final/en/x64/bitdefender_antivirus_2008_64b.exe)
BitDefender Internet Security 2008 v11 32bit (http://download.bitdefender.com/windows/desktop/internet_security/final/en/bitdefender_internetsecurity_2008_32b.exe)
BitDefender Internet Security 2008 v11 64bit (http://download.bitdefender.com/windows/desktop/internet_security/final/en/x64/bitdefender_internetsecurity_2008_64b.exe)
BitDefender Total Security 2008 v11 32bit (http://download.bitdefender.com/windows/desktop/total_security/final/en/bitdefender_totalsecurity_2008_32b.exe)
BitDefender Total Security 2008 v11 64bit (http://download.bitdefender.com/windows/desktop/total_security/final/en/x64/bitdefender_totalsecurity_2008_64b.exe)
Download keygen here (http://public.box.net/index.php?rm=box_v2_download_file&uniq_name=ePiVHNhat74243&file_id=f_118585745)
Các file update offline here (http://www.bitdefender.com/site/view/Desktop-Products-Updates.html)
3. Các bạn cũng có thể sử dụng BKAV để diệt. Download BKAV bản mới nhất tại đây (http://www.bkav.com.vn/home/Download.aspx). Tuy nhiên, không phải là chê bai hàng Việt Nam chất lượng cao nhưng phải nói thật là do đội ngũ nhân viên chưa đông, chưa chuyên nghiệp và toàn cầu hóa... (do vấn đề tiền bạc) nên các thường update khá chậm và khả năng phòng chống không cao. Do đó, BKAV chỉ nên đứng ở lựa chọn thứ hai.

Chúc bạn thành công.

Trong thời gian lây lan kinh khủng của loại virus này, nếu chưa xử lý được cách thức nêu trên (do cảm thấy khó khăn khi thao tác), các bạn hãy hợp tác cùng nhau ngăn chặn nó bằng cách:
1. Sử dụng Web chat yahoo (đặc biệt với một số bạn đã bị lây nhiễm) khi muốn liên lạc với nhau bằng yahoo để giảm thiểu số lượng virus phát tán. Một số địa chỉ web chat uy tín:
http://webmessenger.yahoo.com/
http://vn.webmessenger.yahoo.com/
http://wwwe.meebo.com/
2. Gửi link cho nhau cách khắc phục.
3. Phòng bệnh hơn chữa bệnh. Hãy sử dụng chương trình diệt virus như Kaspersky, Bitdefender...
Tuy hoi dai nhung rat' de~ moi nguoi` cu' lam theo tung buoc' nhu the' nhe' http://us.i1.yimg.com/us.yimg.com/i/mesg/emoticons7/4.gif (http://us.i1.yimg.com/us.yimg.com/i/mesg/emoticons7/4.gif)

Em nên sửa lại bài viết và chỉnh màu cho đừng dùng màu sáng trùng với màu background của diễn đàn. Xem lại bài viết xem. Các bạn sẽ không đọc đc bài của em nếu ko bôi đen.

ặc...chẳng hiểu rỳ kả.... mấy lần bị virus em out Ym... ri sét lại máy là hết ngay

Híc, mấy cái này em hay "đc" hưởng lắm :runaway:

hồi mới mua máy thì thi thoảng bị virus phải cài lại máy,chứ bây giờ máy dùng 2 năm chưa dính con virus nào :whistle:

Lúc nãy vừa hưởng 1 loạt, do chú 3cơ gửi, híc

giới trẻ thường ham hố mấy thứ đó mà >:) máy tớ toàn thông tin qoan trọng,lớ ngớ để dính virus hay spy là tiền mất tật mang như chơi :-"

Lúc nãy vừa hưởng 1 loạt, do chú 3cơ gửi, híc

hớ hớ... bon nó làm vi rút tinh vi lắm chị ạ >.< nóa đặt tên là bất ngờ chấm com ai biết bất ngờ kái rỳ... click vào chết luôn:chuckle:

giới trẻ thường ham hố mấy thứ đó mà >:) máy tớ toàn thông tin qoan trọng,lớ ngớ để dính virus hay spy là tiền mất tật mang như chơi :-"

ham hố cái gì hả anh?.............
khổ thân em quá đi

giới trẻ thường ham hố mấy thứ đó mà >:) máy tớ toàn thông tin qoan trọng,lớ ngớ để dính virus hay spy là tiền mất tật mang như chơi :-"
:phew: thông tin quan trọng là mấy cái thứ đó đúng không bác.
Tốt nhất là đừng có click vào mấy cái link trên Y!M, lợi bất cập hại. Cài Kav - Kis vào cho yên tâm, máy nào chả có Virus, quan trọng là những thứ nó phá hoại mắt mình có thấy được không thôi :duno: