Tổng hợp các bài viết về diệt Kavo - Không cho đăng nhập Yahoo
-Nhận dạng:
+Điều dễ nhận biết nhất ở virus này là việc không thể chat bằng yahoo
messenger, cứ sau khi ấn login là tự động thoát khỏi chương trình yahoo
messenger.
+Không thể nào đánh dấu điều chỉnh lựa chọn hiển thị file ẩn trong máy.
-Cách đây vài ngày thì Bkav đã thông báo là diệt được virus này và thực tế thì
chương trình bkav bản mới nhất đã có thể diệt được hoàn toàn con virus này,
mọi người nếu ai thấy máy của mình có biểu hiện ở trên thì có thể vào trang chủ
của bkav để download bản mới nhất của bkav về quét.
2.Qui trình :
cách 1:
a ) Download bản bkav mới nhất từ trang chủ của bkav : www.bkav.com.vn về
và cài vào máy.
b ) Tắt chế độ system restore của máy.
c ) Khời động lại máy vào chế độ safe mode để tiến hành quét (nên rút dây mạng
ra khi quét để tránh việc virus tự động download bản khác của nó về ).
d )Sau khi quét xong thì mọi người nên bật khởi động lại chế độ system restore
(trước đấy đã tắt để quét virus).
e )Sau khi quét xong virus thì mọi người đã có thể chat bằng yahoo nhưng khả
năng là một số chuỗi trong regedit vẫn còn và bạn không thể chỉnh lựa chọn khả
năng hiển thị file ẩn của máy, chúng ta tiến hành kiểm tra đường dẫn sau trong
regedit :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
nếu có kava với giá trị là đường dẫn đến một file có tên là kavo.exe thì mọi
người xoá nó đi.
Tiếp sau đó là download file.reg sau về cho chạy, khởi động lại máy và kiểm tra
xem đã có thể chỉnh thuộc tính ẩn và hiện các file ẩn trong máy là đã thành công.
Cách 2
Để diệt con virus này đó là tải bản diệt virus FireLion (Made in Vietnam) về máy
và scan
/>Cách 3:
1. Các bạn vào run --> msconfig --> trong startup bỏ cái thằng kavo (kava) đi
2. Khởi động lại máy
3. Sau khi khởi động đừng có dại dột click đúp vào bất kì phân vùng nào (nếu lỡ
dại thì làm lại bước 1)
4. Vào run --> regedit --> tìm đến HKEY_LOCAL_MACHINE -->
SOFTWARE --> MICROSOFT --> WINDOWS --> Currentversion --> Explorer
--> Advance --> Folder --> Hidden --> SHOWALL --> delete bỏ key
CheckedValue rồi tạo lại với tên như vậy (kiểu DWORD) set value là 1
5. Cho hiển thị hết file ẩn và file hệ thống lên bằng cách vào My Computer -->
Tools --> Folder Options --> View --> Tại mục Hidden files and folders --> đánh
chọn Show hidden files and folders --> Apply --> OK
6. Phải chuột vào từng phân vùng chọn explorer rồi xóa bỏ file autorun.inf,
ntdelect.com <-- chú ý nha ko phải là ntdetect.com
7. Xóa file kavo.exe và kavo0.dll trong system32
Sở dĩ nguyên nhân có bạn nói là Format hoặc Ghost máy lại mà vẫn bị là do mới
làm sạch 1 phân vùng. Virus đã len lỏi vào các phân cùng khác (ổ D,E,F...) và
bạn vô tình kích hoạt lại Virus --> việc Format máy vô ích.
1. Khi sửa trong registry xong phải delete hết những file *.exe (bị nghi ngờ là
virus) trong các phân vùng, các thư mục bị lây nhiễm (thường nằm trong
system32, và thư mục gốc các phân vùng). Sau khi xóa trong registry mà vô tình
kích hoạt lại virus thì những key trong registry đã xóa sẽ được khởi tạo lại
2. Kiểm tra trong registry (thường ở chỗ này, vì sẽ được khởi động cùng win)
- HKEY_CURRENT_USER --> Software --> Microsoft --> Windows -->
Curentversion --> Run
- HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows -->
Curentversion --> Run
khi kiểm tra sẽ thấy luôn file đó đang nằm chỗ nào trên ổ cứng, thấy file nào lạ,
các bạn tìm đến thẳng tay delete luôn
3. Virus lây qua flash disk (USB) rất nhanh vì vậy khi cắm 1 flash disk chưa dám
chắc là sạch sẽ và an toàn các bạn nên giữ phím SHIFT cho tới khi máy báo nhận
xong thiết bị mới (giữ phím shift windows sẽ không thực thi autorun), rồi sau đó
phải chuột chọn explorer, thấy có file autorun.inf và những file là lạ *.exe thì
delete luôn, như vậy sẽ ngăn chặn được Virus muốn xâm nhập vào máy mình và
đỡ mất công ngồi gỡ từng thằng ra khỏi hệ thống.
Hướng Dẫn Cách Diệt Virus Girltinh**** - gaixinh
Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng
hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua
chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của
bạn bè đường link kèm lời mời hấp dẫn như: "Ggai1 quá xinh nè pà kon ", "Hàng
đẹp quá"...
Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông
điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nick name có trong danh
sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn"
trong thời gian rất ngắn.
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi
Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 vào khoá:
HKEY_CURRENT_User\Software\Microsoft\Windows\Curre
ntVersion\Policies\System để khoá không cho truy cập vào Regedit.
2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run để nạp virus lúc Windows khởi động.
3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng
cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet
Explorer\Main\Start Page về một dạng địa chỉ khác
4. Thêm giá trị sau vào các khoá khác trong regedit: />hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast.
CÁCH DIỆT
Bạn mở NOTEPAD copy dòng này vào save lại với đuôi reg (ví dụ virus.reg)
/
//
Kích đúp chuột vào file trên để kích hoạt .
Bạn copy dòng code sau vào NOTEPAD rồi sau đó lưu lại file dưới dạng đuôi là
“.vbs” ví dụ “regedit.vbs”
//
Sau đó kích đúp chuột vào hai trên để kích hoạt lại công cụ chỉnh sửa regedit.
Vào Start ==> Run ==> gõ REGEDIT==>tại khung bên trái cửa sổ Registry
Editor, bạn tìm khoá
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersionWinlogon
và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.
Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
Xoá mục “Yahoo Messenger = RVHOST.exe”.
Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorer
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”
Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Xoá mục “Disable Registry Tools” = “1”.
Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Xoá m ục “NofoderOption”.
Tìm đến khoá
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesSchedule
Xoá mục “AtTaskMaxHours”.
Tìm đến khoá
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersion
Xoá mục “Run”= “BkavFw”.
Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion
Xoá mục “Run”=”IEProtection”.
Đóng Registry lại.
Cách 2 /
Bạn cũng copy dòng Code như trên rồi kick chuột vào đấy cho nó thực thi lệnh .
. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi
động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet
Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn
dùng.
Tìm toàn bộ các giá trị có nội dung như sau và xoá
đi. Các khoá có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast
và
HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-
500\Software\Yahoo\pager\View\YMSGR_Launchcast
Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My
Documents), có thể tìm bằng chức năng Search của Windows.
Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
Khởi động lại máy tính.
Cách 3
Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự
có nội dung là “ để xoá đi. Ngoài ra cũng có thể
dùng HijackThis để xoá các khoá và các process đang chạy của virus.
CODE
Giải pháp tình thế :
Messenger > Privacy options > chọn dòng Messages > chọn insert a new line
in message ở phần pressing the enter in the message window . Lúc này
muốn gởi cái gì đi phải click chuột vào chữ send chứ ko thể nhấn Enter đc .
Các cách đơn giản để phòng tránh virus lây qua USB
Nếu bạn bỏ thói quen bấm đúp chuột hay bấm phải chuột vào biểu tượng ổ USB,
thiết lập cơ chế bỏ chạy tự động (Autorun), cho hiển thị tập tin ẩn và đuôi file...
thì sẽ không bị nhiễm virus lây trên thiết bị phổ thông này
1. Cho hiển thị file ẩn và đuôi file
Trước khi cắm ổ USB bất kỳ vào máy, bạn hãy mở Windows Explorer. Ở menu
Tools > tìm dòng Folder Options. Nếu không có mục này thì nghĩa là máy của
bạn đang hoặc từng bị virus và bạn cần dùng những chương trình diệt virus mới
nhất để diệt cho sạch sẽ, và áp dụng các giải pháp khắc phục tác hại của virus lây
qua USB.
Trong hộp thoại Folder Options vừa mở ra, bạn nhấn vào tab View, tìm các dòng
sau và bấm/ huỷ bấm dấu kiểm của những dòng tương ứng:
Show hidden files and folders (bấm chọn nút radio)
Bỏ dấu kiểm Hide extensions for know file types
Bỏ dấu kiểm Hide protected operating system files (Recommended)
Mục đích của thao tác này là để hiển thị virus cố tình giấu mặt trong ổ USB bằng
cách tự đặt cho nó thuộc tính "ẩn" (Hidden và System), và hiển thị những virus
giả danh (có biểu tượng giống file word hay giống biểu tượng folder, nhưng thực
ra nó là file thực thi *.EXE) để khỏi vô tình bấm nhầm khiến nó hoạt động.
Nếu bạn không cho hiển thị đuôi file thì bạn sẽ không thể phân biệt được đâu là
tài liệu thật, đâu là virus vì chúng đều có tên giống nhau, biểu tượng (icon) giống
nhau, và chỉ khác nhau duy nhất phần đuôi (mở rộng) file (*.EXE và *.DOC
chẳng hạn). Trong khi đó, để "tiện dụng" theo mặc định của Microsoft, phần
đuôi file này không được hiển thị nên người dùng rất dễ nhầm lẫn.
Khi thấy file EXE có biểu tượng giống Word, giống Folder và có tên file giống
tài liệu của bạn thì hãy xoá thẳng tay và không được bấm đúp vào đó để xem.
2. Bỏ thói quen bấm đúp chuột trái và bấm chuột phải
Đa số người dùng đều có thói quen cắm ổ USB vào máy, mở Explorer nhấn đúp
chuột trái vào biểu tượng ổ USB trong My Computer để mở.
Nhưng rất nhiều virus có đặc tính tạo ra một file "Autorun.inf" ở ngay bên ngoài
ổ USB, có thể ẩn hoặc không. File này về bản chất không xấu, nó được Windows
cho tự động chạy một phần mềm quy định trong nội dung của file "Autorun" để
tạo ra sự thuận tiện cho người dùng. Virus lại lợi dụng file đó để tự động kích
hoạt nên nếu thấy sự xuất hiện của file đó trên ổ USB hoặc bên ngoài cùng ổ
cứng (C:\; D:\; E:\) nghĩa là ổ USB hoặc máy tính của bạn đã có virus.
Kể cả bạn đã thận trọng bấm chuột phải vào biểu tượng ổ USB và chọn Explorer
hoặc bất kỳ một mục gì khác để mở ổ USB từ menu bật ra, bạn vẫn bị virus. Bởi
virus đã chỉnh sửa file Autorun.inf, và thông qua đó đã chỉnh sửa luôn cả menu
bật ra khi bạn bấm chuột phải để khi người dùng chọn Explorer, virus vẫn được
kích hoạt.
Do đó, hãy mở cửa sổ My computer bằng cách bấm nút Windows-E, và bấm đơn
(một lần trên chuột trái) vào hình ổ USB ở bên trái trong cây thư mục (Folder
tree). Hoặc bấm vào nút sổ xuống (drop-down) của Address bar, và chọn ổ USB
trong danh sách ổ đĩa xổ xuống đó. Bạn vẫn mở được ổ USB ngay cả khi USB
có virus, còn virus thì không thể vào được máy nếu bạn thận trọng làm như vậy.
3. Vô hiệu hoá tính năng Autorun
Mặc dù đã "cảnh giác" để mở USB như mục 2, nhưng đôi khi người dùng vẫn cứ
nhầm lẫn. Vì vậy, tốt hơn hết là vô hiệu hóa Autorun bằng cách sau:
Tạo một giá trị DWORD với tên “NoDriveTypeAutorun” tại khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\Explorer của registry rồi đặt giá trị theo bảng dưới đây
Hệ 16 Hệ 10 Ý nghĩa
0 x 1 1 Vô hiệu hóa Autorun của các ổ đĩa chưa biết kiểu
0 x 4 4 Vô hiệu hóa Autorun của các ổ đĩa tháo lắp được
0 x 8 8 Vô hiệu hóa Autorun của các ổ đĩa cố định
0 x 10 16 Vô hiệu hóa Autorun của các ổ đĩa mạng
0 x 20 32 Vô hiệu hóa Autorun của các ổ đĩa CD-ROM
0 x 40 64 Vô hiệu hóa Autorun của các đĩa RAM
0 x 80 128 Vô hiệu hóa Autorun của các ổ đĩa chưa biết kiểu
0 x FF 255 Vô hiệu hóa Autorun của các ổ đĩa
Theo đó, nếu muốn vô hiệu hóa tính năng Autorun của tất cả các ổ đĩa trừ đĩa
CD ROM, bạn tính 1+4+8+16+64+128 = 221 (bỏ giá trị 32 cho CD ROM), đổi
ra hệ cơ số 16 được DD (sử dụng Calculator của Windows) rồi nhập giá trị DD
cho “NoDriveTypeAutorun”. Để vô hiệu hóa tính năng Autorun của tất cả mọi
loại đĩa, bạn nhập FF. Sau đó khởi động lại máy để thay đổi có hiệu lực.
4. Dùng menu Open
Điều đơn giản và an toàn nhất là để mở một file tài liệu bất kỳ (Word, Excel,
Access, AutoCAD...) hãy mở phần mềm ra trước, rồi bấm nút menu File/ Open
để mở tài liệu vì mọi phần mềm đều có chế độ lọc bỏ những file không phải là
tài liệu chính thức của nó.
Đừng tiện lợi hoá bằng cách trông thấy tài liệu là ngay lập tức bấm đúp chuột để
mở.
5.
đang cập nhật đọc rồi mà quên mất nó ở đâu rồi :byebye:
Các diệt AntiVirusXP2008
Phân Tích
Phát hiện : 16 tháng 7 năm 2008
Cập nhật : 16 táng 7 năm 2008 2:17:38 PM
Kiểu : Lỗi chương trình ứng dụng
Mức độ: Trung bình
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows
Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Những chỉ dẫn sau đây gắn liền với mọi sản phẩm diệt virut của Symantec hiện
thời và gần đây, bao gồm chương trình diệt virut Symantec và những sản phẩm
dịêt virus của Norton
1 Tắt chế độ System Restore (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Scan toàn bộ hệ thống
4 Xoá các giá trị được ghi vào Registry
II)Cách diệt
1 Click Start > Run
2 Đánh Regedit
3 Click chọn OK
4 Tìm và xoá các giá trị
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Internet Settings\User Agent\Post Platform\"AntivirXP08" =
"AntivirXP08"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\"[RANDOM NAME]" = "C:\Program Files\[RANDOM
NAME]\[RANDOM NAME].exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Uninstall\[RANDOM NAME]
HKEY_LOCAL_MACHINE\SOFTWARE\[RANDOM NAME]
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\
[RANDOM NAME]
5 Thoát khỏi Registry
Diệt tận gốc file Autorun.inf trong các ổ đĩa
-Ngoài chức năng tìm và diệt tận gốc file Autorun.inf trong các ổ đĩa, phần mềm
Autorun Virus Remover còn có các chức năng rất tuyệt vời khác như khóa cổng
USB, fix những file bị lỗi của hệ thống như Folder Options, Task Manager,
Regedit..do virus phá hoại,quản lý Process, chặn Autorun của USB chỉ bằng một