Hiện nay loại virus này đang lan tràn khắp nơi. Máy tính bị nhiễm loại virus này mỗi khi đăng nhập vào Yahoo Chat sẽ tự động gửi các tin nhắn trong danh sách bạn bè. Để diệt được con virus này bạn làm các bước sau đây:
Đặc điểm của loại virus này là tự động gửi các liên kết (link) qua tin nhắn Yahoo:
foto
http://miggiphotos.com/image.php foto
http://funwiththisguy.com/image.php foto
http://ariafotos.com/image.php foto
http://zhelefun.com/image.php foto
http://tviceimg.com/image.php foto
http://tusfbfotos.com/image.php foto
http://twittersphoto.com/image.php foto
http://tuesimages.com/image.php foto
http://red-myspace.com/image.php Loại virus này sẽ tự động gửi toàn list yahoo của bạn 1 tin nhắn có dạng như trên.
Người nhận được hầu như không nhận biết được mà thường dễ tin đó như 1 lời mời từ bạn bè vào xem ảnh trên các mạng xã hội hay các trang chia sẻ ảnh nổi tiếng.
Bởi vì các domain chứa liên kết này đc đặt gần giống các mạng xã hội. Ví dụ như: facebook-lmg.com gần giống facebook.com, yunphotos.net gần giống funphotor...
Bên cạnh đó các phần mở rộng .exe của file chạy thường được ẩn giấu bên trong 1 file khác có kiểu như image.php làm người nhận được nhầm tưởng đó là 1 file ảnh..
Khi người dùng click vào link trên, 1 file chạy đã được ẩn dấu bên trong kiểu IM56245.JPG-
www.myspace.com.exe sẽ qua mặt các phần mềm diệt viru và cài đặt ngầm vào máy tính của bạn..
Cách diệt như sau:
1. Diệt bằng tay:
Bạn vào: Ổ C vào thư mục Windows và xóa các file sau:
mds.sys
mdt.sys
winbrd.jpg
net.exe
infocard.exe
Bạn vào Ổ C vào thư mục Windows vào thư mục System32 xóa thêm file có tên: ssms.exe
Nếu không tìm thấy các file đó bạn vào My Computer, chọn Tool, chọn Folder Options, chọn View và bấm vào Shown hidden file & folder. Sau đó tìm lại các file .exe trên để xóa.
Nếu không xóa được một trong số các file trên tức là nó đang chạy (run) trong hệ thống. vào Task Manager để Kill các file trên. Nếu không vào được Task Manager thì bạn tải chương trình Process Explorer do Microsoft phát hành để Kill Tree (download tại đây). Sau đó xóa lại một lần nữa.
Bước tiếp theo bạn vào Start --> Run (hoặc bấm phím Cửa sổ + R) gõ chữ regedit rồi bấm Enter. Tìm và xóa các Key sau:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun]
“Firewall Administrating”=”C:WINDOWSinfocard.exe” “Administrating Firewall” = “C:WINDOWS infocard.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun]
“Firewall Administrating”=”C:WINDOWSinfocard.exe” “Administrating Firewall” = “C:WINDOWS infocard.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentV ersionRun] “Administrating Firewall” = “C:WINDOWS infocard.exe”
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesS haredAccessParametersFirewallPolicyStandardProf ileAuthorizedApplicationsList]
“C:Documents and SettingsDesktopIM56245.JPG-
www.myspace.com.exe”=”C:WINDOWSinfocard.ex e:*:Enabled:Firewall Administrating” “C:Documents and Settings [b] [/ b] Desktop IM56245.JPG-
www.myspace.com.exe” = “C:WINDOWS infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esSharedAccessParametersFirewallPolicyStandard ProfileAuthorizedApplicationsList]
“C:Documents and SettingsDesktopIM56245.JPG-
www.myspace.com.exe”=”C:WINDOWSinfocard.ex e:*:Enabled:Firewall Administrating” “C:Documents and Settings [b] [/ b] Desktop IM56245.JPG-
www.myspace.com.exe” = “C:WINDOWS infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_USERSS-1-5-21-117609710-764733703-1957994488-1003SoftwareMicrosoftWindowsCurrentVersionRun]
“Firewall Administrating”=”C:WINDOWSinfocard.exe” “Administrating Firewall” = “C:WINDOWS infocard.exe”
Nếu không làm được, bạn khởi động lại máy và vào chế độ safe mode để làm.
2. Cách 2: Diệt bằng phần mềm.
Bạn có thể tải phần mềm msnvirusremoval để diệt.
Tai file nay ve, chay xong rùi reset may lai
http://www.mediafire.com/?xt2mtzujgd5hoặc:
http://www.mediafire.com/?xt2mtzujgd5
Wed Jul 21, 2010 9:34 pm
