"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Tuesday

Virus: Win32/AutoIt.AX

http://hotzone-it.blogspot.com/2009/07/virus-systemexemsmsgsexe-win32-autoitax.html

Virus: Win32/PSW.OnLineGames.NNU (1)

How to remove olhrwef.exe (Win32/PSW.OnLineGames.NNU)
olhrwef.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
nmdfgds0.dll (Win32/Pacex.Gen :Detect by NOD32)
olhrwef.exe ค่า MD5 : 7112746b97fe64c040f51570fa416aa4
===================================================
จากการเก็บตัวอย่าง virus มาทดสอบ โดย
มีไฟล์ Autorun.inf และxh319r9b.bat
[AutoRun]
open=xh319r9b.bat
shell\open\Command=xh319r9b.bat
เมื่อทำ Run ไฟล์ xh319r9b.bat พบว่าได้มีการสร้างไฟล์ olhrwef.exe และnmdfgds0.dll
อยู่ใน C:\windows\system32 และ สร้างไฟล์ Autorun.inf และ ไฟล์ xh319r9b.bat ที่ root ของทุกๆ drive
virus ตัวนี้ ไม่ได้ทำการซ่อน folder Option ,ไม่ disable Task Manager และไม่ Disable Regedit
สามารถทำงานได้ตามปกติ ทำให้ User ไม่ผิดสังเกตว่าเครื่องติดไวรัส แต่ที่สังเกตได้คือ ไม่สามารถเปิด show hidden file ได้

วิธีกำจัด Virus : olhrwef.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
แบบ Manual

มีไฟล์ที่ต้องหยุดการทำงาน 2 ตัวคือ olhrwef.exe และ nmdfgds0.dll (win32/pacex.Gen)
1.ใช้ Hijack this Fix ที่ olhrwef.exe เพื่อ ลบค่า startup ใน msconfig และ Registry


3. เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ olhrwef.exe ใน C:\windows\system32

4. เปิดโปรแกรม Explorestart เพื่อแก้ lock ของไฟล์ nmdfgds0.dll เนื่องจากลองใช้ unlocker แล้วโปรแกรมถูกปิดตามไปด้วย ทำให้เมื่อปิด Pcoress ของ explorer.exe หน้าจอจะไม่แสดงหน้าต่างอะไรให้เลย

5. ใช้ โปรแกรม ExplorerXP ตัวเดิม ลบไฟล์ nmdfgds0.dll ใน C:\windows\system32 จากนั้นเข้าไปลบ Autorun.inf และxh319r9b.bat ใน Root drive ของทุกๆ drive ( C:\, d:\ ..........Z:\) เวลาลบ อย่าลืม กด Shiif + ปุ่ม Delete ด้วยนะครับ

แก้ไขเพิ่มเติม : เนื่องจากพบว่า virus มีการสร้างไฟล์หลายชื่อ ซึ่งผมมีตัวอย่าง แค่ 1-2 ไฟล์ แต่ลักษณะเหมือนๆ กันกับ เจ้า Win32/PSW.OnLineGames.NMY

ใช้โปรแกรม ExplorerXP เข้าไป delete ไฟล์ root drive คือ autorun.inf , *.bat, *.com, *.cmd, *.exe ยกเว้น

AUTOEXEC.BAT ห้ามลบ

boot.ini ห้ามลบ

CONFIG.SYS ห้ามลบ

IO.SYS ห้ามลบ

MSDOS.SYS ห้ามลบ

NTDETECT.COM ห้ามลบ

ntldr ห้ามลบ

pagefile.sys ห้ามลบ

6. ใช้โปรแกรม Nod32 Recovery tool เพื่อคืนค่า Show hidden files

หรือลอง Download PeeTechFix_Win32.PSW.OlineGame 2.0 , วิธีใช้งาน
หรืออยากลองแบบ manual ก็ศึกษาจาก link พวกนี้ครับ
http://hotzone-it.blogspot.com/2009/08/peetechfixwin32pswonlinegame.html
http://hotzone-it.blogspot.com/2009/08/win32pswonlinegamesnmy.html
http://hotzone-it.blogspot.com/2009/07/virus-win32-pswonlinegamesohl.html http://hotzone-it.blogspot.com/2009/07/virus-kva8wrexe-win32pswonlinegamesnnu.html http://hotzone-it.blogspot.com/2009/06/win32pswonlinegamesnnu_30.html

จบแล้วครับ วิธีแก้ไข virus olhrwef.exe (Win32/PSW.OnLineGames.NNU)

คำแนะนำ : หลังจากกำจัด virus แล้วควร ติดตั้งโปรแกรม CPE17 หรือตัวอื่นก็ได้ที่ป้องกัน auturun และ Update Antivirus ด้วยครับ

หมายเหตุ : NOD32 Recovery Tool ที่ run ใน Vitualbox จะ Error แต่กลับเครื่องที่ติดจริงจะไม่มีปัญหาครับ

=========================== Test by PeeTech =====================

Windows XP SP2

Virus: Win32/Autoit.EP.Gen

How to remove SCVHOST.exe
( Win32/Autoit.EP.Gen : Detect by NOD32)
SCVHOST.exe
MD5: 48D4B2DE96BDEE80E4B03CE3B1C2CBF7
====================================================================
จากการเก็บตัวอย่าง virus มาทดสอบ โดย
มีไฟล์ Autorun.inf และSCVHOST.exe
[Autorun]
Open=SCVHOST.exe
Shellexe cute=SCVHOST.exe
Shell\Open\command=SCVHOST.exe


เมื่อทำการ Run ไฟล์ SCVHOST.exe พบว่าได้มีการสร้างไฟล์ไว้ดังนี้
c:\windows\scvhost.exe
c:\windows\system32\autorun.ini
c:\windows\system32\blastclnnn.exe
c:\windows\system32\scvhost.exe
c:\windows\system32\setting.ini
c:\windows\tasks\at1.job

Task manager, Regedit ใช้งานไม่ได้
Msconfig จะถูกปิดหน้าต่างทุกครั้งที่เรียกใช้
Folder Option หายไป
มีการสร้าง Folder ปลอม ซึ่งเป็นชื่อเดียวกัน Folder จริง ทุกๆ Folder
เมื่อทดสอบเสียบ Flashdrive เจ้า virus ได้สร้างไฟล์ autorun.inf, SCVHOST.exe, New Folder.exe
และสร้าง Folder ปลอม ซึ่งเป็นชื่อเดียวกัน Folder จริง ทุกๆ Folder ใน Flash drive
มีการติดต่อ Port 44080 เชื่อมต่อ Internet
และจะสังเกตได้ว่า Flash drive มีไฟกระพริบอยู่เกือบตลอดเวลา

วิธีกำจัด virus : SCVHOST.exe ( Win32/Autoit.EP.Gen) แบบ Manual
Download Virus Remove Tool :
Security Task Manager ExplorerXP Hijack This NOD32 Recovery Tool DKDC_Hash


ก่อนอื่นให้ตัดการเชื่อมต่อ internet และระบบเครื่อข่ายก่อน ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม security Task manager จากนั้น ปิด Process ของ SCVHOST.exe และรูป Foder ตัวอื่น ที่มีนามกสุล .exe



2. เปิดโปแกรม ExplorerXP เข้าไป Delete ไฟล์ ตามที่อยู่นี้ครับ
c:\windows\system32\SCVHOST.exe (yahoo messenger)
c:\windows\system32\blastclnnn.exe ( At1.job)
c:\windows\system32\autorun.ini
c:\windows\system32\setting.ini
c:\windows\scvhost.exe
c:\windows\tasks\At1.job




ถ้าเปิดด้วยโปรแกรม Autorun (sysinternal) ในส่วนของ Task Scheduler จะเห็น At1.job (ให้ดูเฉยครับ ไม่ต้องทำอะไร)




3. เปิดโปรแกรม Hijack This Fix 3 บรรทัดนี้


REG:System.ini shell = Explorer.exe SCVHOST.exe
HKCU\..\run :[Yahoo Messenger] C:\windows\system32\SCVHOST.exe
HKCU\Sofware\Micrisoft\windows\CurrentVersion\Policy\System, DisableRegedit = 1




4. เปิดโปรแกรม NOD32 Recovery Tool เพื่อคืนค่า Folder Option และ Task Manager

แก้ไขเพิ่มเติม
5. เปิดโปรแกรม DKDC_Hash โดยเลือกไฟล์ virus ต้นฉบับ แล้ว Scan drive ทุก drive เพื่อกำจัด folder ปลอม



จบแล้วครับ วิธีแก้ Virus SCVHOST.exe ( Win32/Autoit.EP.Gen)

เพิ่มเติมอีกนิดครับ ไฟล์ Setting.ini ที่อยู่ system32 ถ้าลองเปลี่ยนเป็นนามสกุล HTML แล้วลองเปิดดูครับ จะเห็นดังภาพด้านล่างครับ




======================== Test by PeeTech =============================
Windows XP SP2

Worm : Conficker

หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ที่ MS08 - 067 ติดต่อผ่านไดร์ฟภายนอก (Removable Drive > อยู่ในถังขยะ มีนามสกุล.vmx) ที่นำมาต่อ และการแชร์ไฟล์ที่ใช้รหัสผ่านที่ง่ายเกินไป หนอนชนิดนี้จะทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและโปรแกรมพวกรักษาความปลอดภัยด้วย
ถ้าติดเครื่อง Server เครื่อง server จะ down และ services ต่างๆจะถูกปิด และระบบจะล่มในที่สุด

วิธีแก้
1. ปิด system restore
2. ตัวการเชื่อมต่อของระบบ network เช่น สาย Lan หรือ wireless lan เป็นต้น
3. Clear temp ไฟล์ทั้งหมด โดยจะใช้ CClean หรือ ATF Cleaner ก็ได้
3. ติดตั้ง update path WindowsXP-KB958644-x86-ENU.exe (MS08-067) ปิดช่องโหว่ของ windows ที่ Conficker ใช้โจมตี โดยDownload ได้จาก link นี้ครับ
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en

4. เข้า safemode แล้ว ใช้ Conficker Remove Tool scan เลือกเอาครับ ตาม link ด้านล่างนี้

Conficker Remove Tool

ESET(NOD32)
http://download.eset.com/special/EConfickerRemover.exe

symantec
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe


Enigma

AVG

Kaspersky
http://support.kaspersky.com/viruses/solutions?qid=208279973

บางเครื่องที่โดน Conficker โจมตี อาจขึ้นหน้าต่าง ดังภาพ


ให้ Download path จาก microsoft ตาม link ด้านล่างนี้ครับ




วิธีทดสอบว่า computer ถูก worm conficker คุมคามหรือเปล่า

เข้าไปตรวจสอบได้จาก link ด้านล่างนี้ครับ
ภาพตัวอย่าง

Virus: Sality

หลายคนคงประสบปัญหาการแก้ไวรัส Sality เนื่องจากเครื่องที่ติดไวรัสนี้แล้ว ไวรัสแทรกเข้าในไฟล์นามสกุล .exe ทุกตัว
รวมถึงโปรแกรม Antivirus ที่จะ install เพื่อกำจัดไวรัสด้วย ซึ่งตอนนี้ ทาง Kaspersky ได้ออก tool เพื่อช่วย
ในการกำจัดไวรัส Sality คือ Sality off
Sality off เป็นตัวกัน Salityเกาะไฟล์นามสกุล .exe
http://support.kaspersky.com/downloads/utils/sality_off.rar
Sality regkeys จะมีตัวปิด autorun และตัวแก้เข้า safemode ไม่ได้
http://support.kaspersky.com/downloads/utils/sality_regkeys.zip
วิธีแก้ของทาง Kaspersky
http://support.kaspersky.com/viruses/solutions?print=true&qid=208279889

จะใช้ tool ของ Kaspersky ของ 2 ตัวแรก ร่วมกับ NOD32 ก็ได้นะครับ แก้ได้เหมือนกัน
ส่วนถ้าใครที่จะใช้ Avira นั้น ใช้กับเครื่องที่ติดSalityไปแล้วไม่ได้นะครับ เพราะมันไม่ Clean ไฟล์ให้ครับ ขอเตือน
ถ้าติดมานานแล้ว แนะนำว่าให้ format แล้วลง windows ใหม่ดีกว่า เพราะwindows อาจทำงานไม่เสถียร
ส่วนวิธีการที่เป็นภาษาไทยของผม จะมา update ให้วันหลังนะครับ

update (2009-09-09)

AVG Sality Remove Tool 1.2.0.504

==============================================
Update 30/12/2010 (ปรับปรุงข้อมูลใหม่)
Photobucket
Photobucket
==============================================
Download SalityKiller จาก link นี้


1. ถอดสาย Lan ออกก่อน
2. ปิด system restore ก่อน โดย Click ขวา ที่ My Computer > Properties > System Restore
ติ๊กเครื่องหมายถูก ที่ Tern off system Restore on all drives

Photobucket

3. Run SalityKiller

Photobucket

4. Repair Safeboot (Safemode) โดย Download ได้จาก Link นี้ เลือก ตาม OS ที่ใช้ครับ
http://support.kaspersky.com/downloads/utils/sality_regkeys.zip

Photobucket

Antivirus ที่สามารถ Clean ไฟล์ ที่ติดเชื้อของ Sality ได้ คือ (เท่าที่ได้ทดสอบ)
1. Kaspersky
2. ESET NOD32
3. Dr.Web
4. Panda Cloud Antivirus
5. PC Tool Antivirus
6. AVG
7. VIPRE (Sunbelt)
8. Comodo
9. Bitdefender


ส่วน Avast Antivirus นั้นไม่สามารถ Clean ไฟล์ที่ติดเืชื้อ Sality ได้


ตัวอย่างที่ทดสอบได้
Kaspersky (ลองใช้แค่ Kaspersky Virus Remove Tool)

Photobucket


ESET NOD32

Photobucket


Dr.WEB CurIt

Photobucket


Pada Cloud Antivirus

Photobucket

Photobucket


PC Tool Antivirus

Photobucket

Photobucket


Bitdefender

Photobucket

ข้อสำัคัญ ของการแก้ด้วย Antivirus เหล่านี้ ต้อง Run Sality off ก่อน
ไม่เช่นนั้นแล้ว Antivirus ที่ Install จะติดเชื้อ Sality ทันทีครับ
-----------------------------------------------------------------------------------


Avast Antivirus

Photobucket



Photobucket


หมายเหตุ : ถ้ามีการทดสอบ Antivirus เพิ่มเติม จะมา Update ใ้ห้ใหม่ครับ
กำลังจะทดสอบ Comodo , Bitdefener , AVG เพิ่มเติมครับ


Monday

วิธีสร้าง NOD32 offline




วิธีสร้าง NOD32 offline
หลายๆท่านคงสงสัยว่าเขาทำกันอย่างไร จริงๆก็ไม่มีอะไรมาก เพียงหาโปรแกรม NOD32viewer มาใช้เท่านั้นครับ
เวลาติดตั้งก็เลือก ติดตั้งไว้ที่ drive ไหนก็ได้ แล้ว copy folder เอาไว้เพื่อเป็นแบบ Portable ใส่ไว้ใน Flashdrive
ในตัวอย่างผมเปลี่ยนชื่อ folder เป็น NOD32_Offline ซึ่งข้างในมีโปรแกรม NOD32viewer อยู่
เมื่อเปิดโปรแกรม NOD32viewer ให้ click ที่ ปุ่ม สามเหลี่ยม สีเขียว รอสักครู่โปรแกรมจะทำการ Update ฐานข้อมูลไม่ virus
มาเก็บไว้ใน folder est_upd ซึ่งเราก็สามารถเอา folder นี้ ไป update เครื่องอื่นๆที่ไม่ได้ต่อ internet ได้ครับ
ส่วนการตั้งค่า NOD32 ให้ update แบบ offline นั้น วันหลังจะมา up รูปให้ครับ


วิธีแก้ NOD32 ขึ้นข้อความ operating system is not up to date


จากที่สังเกตุ พบว่ามักจะเกิดกับ Windows XP SP3 กับ SP2 ยังไม่พบว่าขึ้นแบบนี้
1. เปิดหน้าต่างของ NOD32 แล้ว กดปุ่ม F5 ที่ keyboard
2. ดูที่เมนู Tools แล้ว click ที่ system updates
3.จะเห็น notify about missing updates from level : อยู่ด้านขวา
4. ให้เปลี่ยนจาก Critical updates เป็น No updates แล้วกดปุ่ม OK
5. Restart เครื่อง 1 ครั้ง

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases