Giúp diệt con virus ở website eyejuice.net với T_T

[Kid14122971991]

Ai chỉ cách diệt con virus tự động dẫn tới trang eyejuice.net với, quét = Kas với Bit cũng chẳng được, bkav cũng chẳng xong, thanh task manager với folder option cũng biến mất, vô phần tool để thay đổi mặc định trang chủ cũng ko được T_T

 

[~Pawn~]

Chắc chắn là con này, thuộc loại "hàng Việt Nam chất lượng cao" đấy, bạn đọc kỹ và làm theo chỉ dẫn hé! Cuối bài có cách diệt đấy

SÂU W32.Yalove.D

Phát hiện : 21/09/2007
Kích cỡ : khoảng 109,568 bytes
Hệ thống có thể lây nhiễm : Windows 2000, Windows 95, Windows 98, Windows Me,

Windows NT, Windows Server 2003, Windows Vista, Windows XP


Sâu W32.Yalove.D là một loại sâu Việt có khả năng lây nhiễm qua phần mềm

Yahoo Messenger,
copy chính nó vào tất cả ổ cứng trên máy tính.Sâu này có thể download những

file trên mạng
vào máy tính và disable Windows Task Manager va Registry Tools
Khi sâu W32.Yalove.D nhiễm vào máy tính nó sẽ tạo những file sau:


* %Windir%lsass.exe
* %Windir%systemlsass.exe
* %SystemDrive%Documents and SettingsAll UsersStart

MenuProgramsStartupMSconfig.exe
* [ALL DRIVES]:New Folder.exe
* [ALL DRIVES]:boot.exe
* [ALL DRIVES]:autorun.inf


Sau đó nó sẽ xóa những file sau
* %Windir%regedit.exe (tập tin để gọi registry editor)
* %SystemDrive%WINDOWSpchealthhelpctrbinariesmsconfig.exe (tập tin để gọi

system configuration utility)
* %Windir%system32restorerstrui.exe (lệnh để gọi chương trình system restore

của windows)
* %Windir%system32taskmgr.exe (lệnh để gọi windows task manager)
* %SystemDrive%Program FilesMozilla Firefoxfirefox.exe (lệnh để gọi trình

duyệt mozilla firefox)
Sâu W32.Yalove.D tạo những khóa sau đây trong registry để chạy cùng hệ thống

khi Windows
khởi động
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

"Userinit" = "userinit.exe,%Windir%systemlsass.exe"
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon"Shell" = "explorer.exe %Windir%systemlsass.exe"
Sau đó nó sẽ khai báo những giá trị registry tiếp theo để dùng chèn link vào

chương trình Yahoo
Messenger khi chat đến host : eyejuice.net
* HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_buzz"content url" ="[http://]eyejuice.net"
* HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_Launchcast"content
url" = "[http://]eyejuice.net"
Sau đó nó sẽ sửa giá trị trong registry lại để disable system restore và

task manager *HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesSystem"DisableTaskMgr" = "1"
*HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorer

ControlPanel"Homepage" = "1"
* HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNT

SystemRestore"DisableConfig" = "1"
Sâu này sẽ xóa giá trị trong registry của chương trình bkav theo khóa sau

để không cho bkav khởi động cùng Windows nữa
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"BkavFw"


Sau đó tạo giá trị trong registry để chạy khi máy tính khởi động ở chế độ Safe Mode
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot"AlternateShell" = "%Windir%systemcmd.exe"


Đổi giá trị trong registry để thay đổi trang nền của Internet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Start Page" ="[http://]eyejuice.net"


Thay đổi các khoá trong windows để đưa các giá trị security của máy tính về

mức thấp hơn *HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvanced"Hidden" = "2"
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvanced"HideFileExt" = "1"
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorer"NoFolderOptions" = "1"
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"
NoRun" = "1"
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorer"NoFolderOptions" = "1"


Kế tiếp thêm giá trị để link tới những host chứa virus này nếu người dùng

truy cập những trang
web như AVG antivirus,mcaffee antivirus,kaspersky,avast,comodo v.v...
* #worm2007
* 0.0.0.0 free.grisoft.com
* 0.0.0.0 www.mcafee.com
* 0.0.0.0 mcafee.com
* 0.0.0.0 www.kaspersky.com
* 0.0.0.0 kaspersky.com
* 0.0.0.0 www.avast.com
* 0.0.0.0 avast.com
* 0.0.0.0 www.grisoft.com
* 0.0.0.0 grisoft.com
* 0.0.0.0 mcafee.com
* 0.0.0.0 www.antivirus.comodo.com
* 0.0.0.0 antivirus.comodo.com
* 0.0.0.0 www.ZoneAlarm.com
* 0.0.0.0 ZoneAlarm.com
* 0.0.0.0 lobal.ahnlab.com
* 0.0.0.0 www.esafe.com
* 0.0.0.0 esafe.com
* 0.0.0.0 www.bkav.com.vn
* 0.0.0.0 bkav.com.vn
* 0.0.0.0 quickheal.co.in
* 0.0.0.0 www.quickheal.co.in
* 0.0.0.0 www.f-secure.com
* 0.0.0.0 www.www.f-secure.com
* 0.0.0.0 www.hacksoft.com.pe
* 0.0.0.0 hacksoft.com.pe
* 0.0.0.0 www.pandasecurity.com
* 0.0.0.0 pandasecurity.com
* 0.0.0.0 www.pandasoftware.com
* 0.0.0.0 pandasoftware.com
* 0.0.0.0 www.bitdefender.com
* 0.0.0.0 bitdefender.com
* 0.0.0.0 www.sophos.com
* 0.0.0.0 sophos.com
* 0.0.0.0 www.symantec.com
* 0.0.0.0 symantec.com
* 0.0.0.0 anti-virus.by
* 0.0.0.0 www.anti-virus.by
* 0.0.0.0 www.norman.com
* 0.0.0.0 norman.com
* 0.0.0.0 f-prot.com
* 0.0.0.0 www.f-prot.com
* 0.0.0.0 www.eset.com
* 0.0.0.0 eset.com
* 0.0.0.0 windowsupdate.microsoft.com
* 0.0.0.0 download.microsoft.com
* 0.0.0.0 www.update.microsoft.com
* 0.0.0.0 update.microsoft.com
* 0.0.0.0 support.microsoft.com
* 0.0.0.0 v4.windowsupdate.microsoft.com
* 0.0.0.0 microsoft.com
* 0.0.0.0 sonhai.info
* 0.0.0.0 tuantrinh.info
* 0.0.0.0 nghenhac.name
* 0.0.0.0 yeuamnhac.com
* 0.0.0.0 nhacso.net
* 0.0.0.0 zing.vn
* 0.0.0.0 mp3.zing.vn
* 0.0.0.0 manhhai.vn
* 0.0.0.0 nghenhac.info
* 0.0.0.0 nhac.vui.vn
* 0.0.0.0 nhac.caigi.com
* 0.0.0.0 www.nhaccuatui.com
* 0.0.0.0 nhaccuatui.com
* 0.0.0.0 www.vietnhim.com
* 0.0.0.0 vietnhim.com
* 0.0.0.0 musicdanang.tv
* 0.0.0.0 sonic.vn
* 0.0.0.0 yeunhac.org
* 0.0.0.0 nhacvangonline.info
* 0.0.0.0 nhac.top1.vn
* 0.0.0.0 www.nghenhac9x.biz
* 0.0.0.0 nghenhac9x.biz
* 0.0.0.0 canhac.com
* 0.0.0.0 www.nghenhac9x.biz
* 0.0.0.0 amnhac.timnhanh.com
* 0.0.0.0 www.nghenhac.tv
* 0.0.0.0 www.mtvlove.com
* 0.0.0.0 vietmusic.net
* 0.0.0.0 vietgiaitri.com.vn
* 0.0.0.0 www.mtvpage.com
* 0.0.0.0 phuonghong.com
* 0.0.0.0 www.xem.com.vn
* 0.0.0.0 khucnhac.biz
* 0.0.0.0 www.vietboom.com
* 0.0.0.0 vietboom.com
* 0.0.0.0 www.music9x.org
* 0.0.0.0 www.khonhacso.com
* 0.0.0.0 bennhac.com
* 0.0.0.0 nhachot.info
* 0.0.0.0 bonghongxanh.vn
* 0.0.0.0 music.bonghongxanh.vn
* 0.0.0.0 www.nhacviet.com
* 0.0.0.0 nhacviet.com
* 0.0.0.0 nhacmienphi.com
* 0.0.0.0 yeucahat.com
* 0.0.0.0 hayso1.com
* 0.0.0.0 truongton.net
* 0.0.0.0 diendanlequydon.com
* 0.0.0.0 giaitrituoitre.net
* 0.0.0.0 hihihehe.com
* 0.0.0.0 hoangclub.vn
* 0.0.0.0 thehe8x.net
* 0.0.0.0 socvui.com
* 0.0.0.0 mtvhalong.com


Và sau đó đóng những processes sau :
* firefox.exe
* regedit.exe
* taskmgr.exe
* hijackthis.exe
Tự động update chính nó bằng cách link download file từ địa chỉ :

[http://]eyejuice.net/YMwor vào %Windir%systemsvchost.exe
Sau đó nó sẽ lây nhiễm thông qua phần mềm Yahoo Messenger và

copy chính nó vào tất cả các ổ cứng

Cách diệt :


1. Disable System Restore (Windows Me/XP).
2. Xoá bỏ tất cả những giá trị có thể kết nối tới hosts file.
3. Update chương trình diệt virus của bạn.
4. Run full system scan chương trình diệt virus của bạn.
5. Delete tất cả các giá trị mà sâu W32.Yalove.D đã thêm vào registry.

Khởi động máy với chức năng Windows Recovery Console

1- Cho đĩa Windows Xp vào CD-Rom
2- Khởi động máy tính bằng ổ CD-Rom
3- Bấm Phím R để bắt đầu chức năng Windows Recovery Console khi màn hình

"Welcome to Setup" xuất hiện
4-Điền vào password của tài khoản administrator và bấm Enter
5-Gõ vào như sau :
cd windows
del systemIssass.exe
exit
Gõ enter và bây giờ máy tính sẽ khởi động lại

Để remove tất cả các host file
c:WindowsSystem32driversetc
Mở file host.exe windows sẽ hỏi bạn muốn mở file này bằng chương trình nào

bạn chọn Notepad để mở
Xoá tất cả những mục mà sâu W32.Yalove.D đã đưa vào(list bên trên),đóng

Notepad lại
chương trình sẽ hỏi bạn save thay đổi hay không bạn chọn save
Khởi động lại máy tính ở chế độ Safe Mode và dùng chương trình diệt virus

quét ở chế độ Fullscan
Quét xong khởi động lại máy tính và thử đánh lệnh regedit bằng cách vào
Start > Runregedit chọn OK
Nếu vẫn không mở được trình registry editor có thể máy của bạn vẫn còn

những giá trị thay đổi của sâu W32.Yalove.D nếu vậy bạn có thể download

tool này về save lại trên desktop để reset
lại registry của bạn :
http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99

Tìm và xoá những giá trị sau đây :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Winlogon"Userinit" = "userinit.exe,%Windir%systemlsass.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Winlogon"Shell" = "explorer.exe %Windir%systemlsass.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot

"AlternateShell" = "%Windir%systemcmd.exe"

Trả về giá trị cũ cho registry
HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_buzz"content url" = "[http://]eyejuice.net[REMOVED]"
HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_Launchcast"content url" = "[http://]eyejuice.net"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Start Page" = "[http://]eyejuice.net"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesSystem"DisableTaskMgr" = "1"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer

Control Panel"Homepage" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NT

SystemRestore"DisableConfig" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvanced"Hidden" = "2"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvanced"HideFileExt" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorer"NoFolderOptions" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorer"NoRun" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorer"NoFolderOptions" = "1"
Thoát registry và khởi động lại máy tính

Huỳnh Tuấn Ngọc
Nguồn : www.symantec.com