"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Friday

Virus: Win32/AutoRun.FlyStudio.J

How to remove Recycled.exe (Win32 AutoRun.FlyStudio.J : Detect by NOD32 )
Recycled.exe
MD5 : E5CF46AF3702553E3CAE33F7181E0552
SHA1 : 81122D797CE9527E7A504475BD44758361FFA9A1


How to remove recycled.exe (Win32 autoRun.FlyStudio.BF : Detect by NOD32) recycled.exe
MD5 : 82E0CEF0A8B8A1045F8AFBDB96E4D88D
SHA1 : ED27DE63FBF1091F1AB19A77092BB3D90E8F84FB

How to remove recycled.exe (Win32 autoRun.FlyStudio.MD : Detect by NOD32) recycled.exe
MD5 : 58cc4ce0f7f59000007bbc69f3c60448
SHA1 : d9894c4266ee10187867bac51fd6341dc35b94f6

===================================================
Win32 AutoRun.FlyStudio.J

Other name
AntiVir > Worm/Autorun.ehw
AVG > Generic10.BAZC
BitDefender > Worm.Agent.U
ClamAV > W32.Zloyfly
Dr.Web > Win32.HLLW.Autoruner
F-Prot > W32/Trojan.WFZ
F-Secure > Worm.Win32.AutoRun.ehw
GData > Worm.Win32.AutoRun.ehw
Ikarus >Trojan-Dropper.Win32.Flystud
Kaspersky > Worm.Win32.AutoRun
McAfee > W32/Autorun.worm.dp
Microsoft > Worm:Win32/Autorun.DM
ESET NOD32 > Win32 AutoRun.FlyStudio.J
Norman > W32/Lineage.BHIH
Panda > W32/Autorun.ARY
Quick Heal > Worm.AutoRun.ehw
Sophos > W32/Autorun-ABR
Trend Micro > WORM_GOOMHTTP
===================================================
Win32 autoRun.FlyStudio.BF

AntiVir > TR/Dropper.Gen
AVAST > Win32:Trojan-gen
AVG > SHeur.CDKL BitDefender > Trojan.Spy.Agent.NXS
ClamAV > Trojan.Downloader-64749
F-Prot > W32/Nuj.A.gen!Eldorado
F-Secure > Trojan-Downloader.Win32.VB.gvj
GData > Trojan-Downloader.Win32.VB.gvj
Kaspersky > Trojan-Downloader.Win32.VB.gvj
McAfee > W32/Autorun.worm.dq.gen
Microsoft > Worm:Win32/Autorun.DM
NOD32 > Win32.AutoRun.FlyStudio.BF
Norman > W32/DLoader.JUOS
nProtect > Trojan-Downloader/W32.Agent.1514464
Quick Heal > TrojanDownloader.VB.gvj
Sophos > Mal/EncPk-GF 2.196
Sunbelt > Trojan-Downloader.Win32.VB.gvj
Symantec > W32.SillyFDC
Trend Micro >2 TROJ_VB.SM 0.030
VBA32 > Win32.AutoRun.FlyStudio.BF
==================================================
Win32.AutoRun.FlyStudio.MD

a-squared > Worm.Win32.AutoRun!IK
AhnLab > Win-Trojan/Xema.variant
AntiVir > TR/Dropper.Gen
AVAST! > Win32:AutoRun-AYE [Wrm]
BitDefender > Generic.Malware.SFMb
CA (VET) > Win32/Pigeon.BALB trojan
ClamAV > Worm.Autorun-1929
Comodo > TrojWare.Win32.Trojan.StartPage.~ac
Dr.Web > Win32.HLLW.Autoruner
F-Prot > W32/Nuj.A.gen!Eldorado
F-Secure > Worm.Win32.AutoRun.ehw
Fortinet > W32/Autorun.DP!worm
GData > Worm.Win32.AutoRun.ehw
Ikarus > Worm.Win32.AutoRun
JiangMin > Worm/AutoRun.ov
Kaspersky > Worm.Win32.AutoRun.ehw
KingSoft > Win32.Troj.FakeFolder.ix
McAfee > W32/Autorun.worm.dp
Microsoft 1> Worm:Win32/Regul.D
NOD32 > Win32/AutoRun.FlyStudio.MD
Panda > W32/Autorun.AKT
Sophos > Mal/Generic-A
Sunbelt > Trojan.Win32.Generic!BT
Symantec > W32.SillyFDC
VBA32 > Trojan.HLLW.Erun
VirusBuster > Trojan.DL.VB.EJQN
------------------------------------------------------------------------
เมื่อทำการ Run ไฟล์ Recycled.exe ผลปรากฏว่ามีการสร้างไฟล์ลงใน system32 ดังนี้
c:\windows\system32\com.run
c:\windows\system32\dp1.fne
c:\windows\system32\eapi.fne
c:\windows\system32\internet.fne
c:\windows\system32\krnln.fnr
c:\windows\system32\og.dll
c:\windows\system32\og.edt
c:\windows\system32\regex.fnr
c:\windows\system32\shell.fne
c:\windows\system32\spec.fne
c:\windows\system32\ul.dll
c:\windows\system32\XP-xxxxxxxx.exe (random ชื่อไปเรี่อยๆ แต่ขึ้นต้นด้วย XP-)
และมีการสร้างไฟล์ลงใน temp อีกจำนวนหนึ่ง
มีการสร้าง กกกกกก.lnk ไว้ที่ Startup ซึ่งก็ไปเรียกใช้ไฟล์ XP-xxxxxxxx.exe ใน system32 นั้นเอง



หรือถ้าดูใน msconfig จะเห็นดังภาพ



มีการสร้างไฟล์ autorun.inf และ recycled.exe ใน USB Drive


ถ้า Click ขวา ที่ USB Drive จะพบข้อความที่อ่านไม่ออกดังภาพ




มีการซ่อน folder ใน USB drive และสร้าง folder ปลอม ที่เป็น นามสกุล .exe ขึ้นมาแทน
-------------------------------------------------------------------------
วิธีกำจัด virus recycled
(Win32 AutoRun.FlyStudio.F and Win32 autoRun.FlyStudio.BF )
-------------------------------------------------------------------------

Download Virus Remove Tool :
ExplorerXP Hijack This NOD32 Recovery Tool DKDC_Hash

ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้
1.กดปุ่ม Ctrl+Alt+Del ที่ keyboard เลือกที่ไฟล์ XP-xxxxxxxx.exe แล้วกดปุ่ม End process



2.เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ XP-xxxxxxxx.exe ใน system32 รวมถึงไฟล์อื่นที่บอกไว้ด้านบนครับ



3. เปิดโปรแกรม Hijack This ทำการ fix checked ที่ 2 บรรทัดนี้
HKLM\..\Run: [XP-xxxxxxxx] C:\WINDOWS\system32\XP-xxxxxxxx.EXE
Startup: iiiiii.lnk = C:\WINDOWS\system32\XP-xxxxxxxx.EXE



4.เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix now เพื่อ Show hidden file โดยไม่ต้องเลือก Scan& clean with NOD32



5. เปิดโปรแกรม DKDC_Hash Scan USB Drive เพื่อกำจัด Folder ที่มีนามสกุล .exe
5.1 โดยเลือกไฟล์ต้นฉบับ
5.2 เลือก option ระบุ Drive
5.3 Click ปุ่ม ค้นหา+ทำลาย
โปรแกรมจะทำการกำจัด Folder ที่มีนามสกุล .exe ทั้งหมดที่มีค่า MD5 ตรงกับไฟล์ต้นฉบับ
ก็คือเจ้า recycled (MD5 : E5CF46AF3702553E3CAE33F7181E0552) นี้แหละครับ
(ขอขอบคุณโปรแกรมดีๆของคุณ ปิยะวัฒน์ เกลี้ยงขำ แห่ง DKDC -Ultra ครับ)


6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK



แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK


7. ใช้โปรแกรม ATF Cleanner เคลียร์ temp
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorun
และ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ

ปล. อย่าลืมลบไฟล์ ที่อยู่ใน system32 ด้วยด้วยนะครับ

จบแล้วครับ วิธีแก้ Recycled.exe
(Win32 AutoRun.FlyStudio.J : Detect by NOD32)
(Win32 AutoRun.FlyStudio.BF : Detect by NOD32)
in32 AutoRun.FlyStudio.MD : Detect by NOD32)
=================== Test by PeeTech ====================
จำนวนครั้งที่ทดสอบ = 3 +2 + 1 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2

Monday

Virus: Win32/Autoit.AX

How to remove system.exe , Msmsgs.exe (Win32 Autoit.AX : Detect by NOD32)
system.exe , Msmsgs.exe
MD5 : B7A7E7C7F6BA1F89FBDDA06E0701AE7C
SHA1 : 980066D9E93DE19FD8D6EFD3B493BA249B55DB35

===================================================================
ไฟล์ที่ใช้ทดสอบ Newload.exe (รูป folder)
เมื่อ Run ไฟล์ virus ผมปรากฏว่า
Folder Option หายไปจาก Tool
Taskmanager และ Regedit ไม่สามารถใช้งานได้
เมื่อเรียกใช้คำสั่ง Taskmanager และ Regedit เครื่อง จะ Restart ภายในเวลาประมาณ 5 วินาที
มีการสร้างไฟล์ไว้ที่
C:\WINDOWS\system32\Microsoft\Msmsgs.exe
C:\Programfile\ESET\NOD32.exe ดังภาพ



มีการสร้างไฟล์ system.exe ลงใน Flash drive และ Hide folder ใน flash drive แล้วสร้าง Folder ปลอม ที่ชื่อเหมือนกับ folder ที่ซ่อน แต่มีนามสกุล .exe ดังภาพ



==================================================================

วิธีกำจัด virus system.exe , Msmsgs.exe (Win32 Autoit.AX : Detect by NOD32)
แบบ manual
==================================================================
Download Virus Remove Tool :

KillProcess ExplorerXP DKDC_Hash Hijack This NOD32 Recovery Tool

ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้
1.เปิดโปรแกรม Kill process ขึ้นมาแล้วหา รูป folder ที่มีนามสกุล .exe ทุกตัว
โดยถ้ามีหลายตัวให้กดปุ่ม Ctrl ที่ keyboard เพื่อเลือกได้หลายๆตัว จากนั้น กดปุ่ม Terminal เพื่อ kill process ของ virus



2. จากนั้นเปิดโปรแกรม ExplorerXP เข้าไปที่
C:\WINDOWS\system32\Microsoft\ แล้ว delete ไฟล์ชื่อ Msmsgs.exe



3. เข้าไป delete ไฟล์ nod32.exe ใน folder C:\Program Files\ESET



4. เข้าไป delete system.exe และ folder ปลอมใน flashdrive ให้หมด หรือวิธีที่สะดวกกว่า เช่น folder ปลอมมีจำนวน มาก ใช้ โปรแกรม DKDC_Hash ของคุณ ปิยะวัฒน์ เกลี้ยงขำ แห่ง DKDC ครับ
วิธีคือเลือกที่ไฟล์ต้นฉบับของไวรัส เพื่ออ่านค่า MD5 จากนั้น เลือกว่าจะ Scan ทุก Drive หรือระบุ Drive
จากนั้น กดปุ่ม ค้นหา + ทำลาย โปรแกรมจะทำการ Scan folder ปลอมที่มีขนาด MD5 = ไฟล์ต้นฉบับ
ซึ่ง ในที่นี้ ไฟล์ ตัวอย่างคือ NewLoad.exe ที่ใช้ทดสอบ
มีค่า MD5 = B7A7E7C7F6BA1F89FBDDA06E0701AE7C สังเกตว่าจะ Scan พบไฟล์ที่มีค่า MD5 เท่ากัน อยู่หลายที่ทั้งใน Harddisk ( ผมลองวางไฟล์ไว้หลายๆที่เพื่อทดสอบ) และ Flashdrive
ซึ่งโปรแกรม Scan ได้ถูกต้อง



5. เปิดโปรแกรม Hijack This แล้ว fix check ที่ 2 บรรทัด นี้ เพื่อแก้ไข userInit ของ Winlogon และ แก้ไข้ Regedit ถูก lock
REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Microsoft\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

6.เปิดโปรแกรม Nod32 Recovery Tool แล้วทำการ Fix now เพื่อคืนค่า Taskmanager และRegistry สำคัญ อื่นๆ
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk Security เพื่อป้องกัน virus ที่อาศัย autorun และ update ฐานข้อมูล Antivirus ให้ update อยู่เสมอ

จบแล้วครับ วิธีแก้ virus system.exe , Msmsgs.exe (Win32 Autoit.AX : Detect by NOD32)

====================== test by PeeTech ==========================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2

Thursday

virus olhrwef.exe เจ้าปัญหา

รวมไฟล์ virus olhrwef.exe ที่สร้างไฟล์สารพัดชื่อไว้ในเครื่องที่ติด virus
%System%\olhrwef.exe
%Temp%\luk1ylq.com
%Temp%\u.com
%Temp%\w98.com

c:\0bcobed.exe
c:\0xuc.com
c:\1ogf.exe
c:\2a.exe
c:\2aaxaiy.exe
c:\2nuk.com
c:\6phx.com
c:\8.exe
c:\8gig0ofk.com
c:\8paf1d.com
c:\9dlvtiil.exe
c:\a2h2.com

c:\b.exe
c:\boyedt.com
c:\cb.exe
c:\cqxj.exe
c:\dbrxubcw.com

c:\eyt.exe
c:\fbak.exe

c:\g1ljsm.com
c:\gbm6n.exe
c:\gi2ky.exe
c:\gxunr.exe
c:\gy.exe
c:\hl80c6b1.com
c:\husyu8n.exe

c:\hyetn1i.exe
c:\i.com
c:\lc.exe
c:\luk1ylq.com
c:\n68mqcra.exe

c:\npee.com
c:\ntam3n.com
c:\o.exe
c:\o3n9k.com
c:\opgde.exe
c:\pook.com
c:\qphdin.com
c:\qwtb.com

c:\s.exe
c:\sm.exe
c:\u.com
c:\u.exe

c:\ur0.com
c:\ve.exe
c:\vwewav8.com

c:\w.com
c:\w2.com
c:\w98.com
c:\wx8o0bt1.com
c:\x2csvg.exe
c:\xdw.com
c:\ymxf2.exe
c:\ysep1.exe

-------------------------------------------------------------------------
วิธีกำจัด
Download Fix Tool
PeeTechFix-Win32/PSW.OnlineGames
http://hotzone-it.blogspot.com/2009/08/virus-remove-tool.html

รวมไฟล์ Virus ตระกูล OnlineGame

สำหรับเจ้า virus ตระกูล OnlineGame มีออกมาอยู่เรื่อย แก้กันจนงงไปหมด ไม่รู้ตัวไหนเป็นตัวไหน
หลายท่านแก้แล้วทำไม่สำเร็จ เพราะบางที ชื่อไฟล์ตัวเดียวกันแต่ทำงานไม่เหมือนกัน
ตัวอย่างเช่น ไฟล์ olhrwef.exe หรือ nmdfgds0.dll แต่ Antivirus ตรวจจับได้หลายชื่อ
เช่น Win32/PSW.OnlineGame.NNU, Win32/Pacex.Gen เป็นต้น
ต้องเปรียบเทียบด้วยค่า MD5 หรือ SHA1
Download fix tool
http://hotzone-it.blogspot.com/2009/08/virus-remove-tool.html

รายชื่อพวก OnlineGame ที่ฝังอยู่ในระบบ
[%WINDOWS%]\karna.dat
[%SYSTEM%]\System.exe
[%WINDOWS%]\xccdf16_090131a.dll
[%WINDOWS%]\SYSTEM\xccef090131.exe
[%SYSTEM%]\inf\xccdfb16_090131.dll
[%SYSTEM%]\ckvo0.dll
[%SYSTEM%]\nmdfgds0.dll
[%SYSTEM%]\nmdfgds1.dll
[%SYSTEM%]\kav320.dll
[%SYSTEM%]\08223B03.dll
[%SYSTEM%]\ed78ab9.dll
[%SYSTEM%]\skcfujQ5EDN.dll
[%SYSTEM_DRIVE%]\xih9.cmd
[%SYSTEM_DRIVE%]\icxpa.cmd
[%SYSTEM%]\CDuAUVkGy9.dll
[%FONTS%]\uXUsF2RrQy.fon
[%FONTS%]\Qq3qg7RGSp9raxWW.Ttf
[%SYSTEM%]\uret463.exe
[%SYSTEM_DRIVE%]\pjwtv.cmd
[%SYSTEM%]\nmdfgds2.dll
[%SYSTEM%]\JBn2ypqY23vWX.dll
[%SYSTEM%]\dfc8ac3ed7da.dll
[%SYSTEM%]\9CA963CA.cfg
[%SYSTEM%]\e863f72a04b6.dll
[%FONTS%]\eCgMhGRkPUcdutd0.Ttf
[%SYSTEM%]\cRsAQd4hw.dll
[%WINDOWS%]\MKMKrnl.dll
[%WINDOWS%]\MPKrnl.dll
[%WINDOWS%]\MSVB50CHS.dll
[%SYSTEM%]\ndxq9awMc.dll
[%FONTS%]\fyrwJf5Qfhh.fon
[%SYSTEM_DRIVE%]\2nuk.com
[%SYSTEM%]\JPccCJnKygDdp3.dll
[%SYSTEM%]\kSVHjMeWr5ZZY47.dll
[%SYSTEM%]\Va7SpUWgCA5f.dll
[%FONTS%]\bzMtuqTck9.fon
[%FONTS%]\MqppW9KYn.fon
[%FONTS%]\VBw9ZHsJt3M8tVgF.fon
[%PROFILE_TEMP%]\olhrwef.exe
[%SYSTEM_DRIVE%]\3j2h0tf.bat
[%SYSTEM%]\kavo.exe
[%SYSTEM%]\kavo1.dll
[%SYSTEM_DRIVE%]\m0vnonh.bat
[%SYSTEM%]\gasretyw0.dll
[%SYSTEM_DRIVE%]\0bcobed.exe
[%SYSTEM_DRIVE%]\1ogf.exe
[%SYSTEM_DRIVE%]\ej10fkdo.bat
[%SYSTEM_DRIVE%]\vwewav8.com
[%SYSTEM%]\optyhww0.dll
[%SYSTEM%]\urretnd.exe
[%SYSTEM_DRIVE%]\dbrxubcw.com
[%SYSTEM_DRIVE%]\2fiy.bat
[%SYSTEM_DRIVE%]\a1agmur.cmd
[%SYSTEM_DRIVE%]\i6g6x.cmd
[%SYSTEM_DRIVE%]\uhoxajc.cmd
[%SYSTEM%]\mkfght0.dll
[%SYSTEM_DRIVE%]\opgde.exe
[%SYSTEM_DRIVE%]\cqxj.exe
[%SYSTEM%]\mkfght1.dll
[%SYSTEM_DRIVE%]\2fiji.com
[%SYSTEM%]\dncyool64.sys
[%SYSTEM_DRIVE%]\d1vmq.exe
[%SYSTEM%]\avpo.exe
[%SYSTEM_DRIVE%]\gi2ky.exe
[%SYSTEM_DRIVE%]\q9.cmd
[%SYSTEM_DRIVE%]\9dlvtiil.exe
[%SYSTEM_DRIVE%]\jj2.com
[%SYSTEM_DRIVE%]\8gig0ofk.com
[%SYSTEM_DRIVE%]\6phx.com
[%PROFILE_TEMP%]\1185859833mxx.dll
[%SYSTEM_DRIVE%]\ix8bmwx.bat
[%SYSTEM%]\kavo2.dll
[%PROFILE_TEMP%]\662048064355mxx.dll
[%SYSTEM%]\122B901E.dll
[%SYSTEM%]\xg4hAPNygs29.dll
[%SYSTEM%]\704C3595.dll
[%SYSTEM%]\76B9BA7A.dll
[%SYSTEM%]\A0C86020.dll
[%SYSTEM%]\dhDhwS7fFW.dll
[%SYSTEM%]\taNjsFa2tT2Dh.dll
[%FONTS%]\tY5UFS434YYd.fon
[%SYSTEM%]\E4814792.dll
[%FONTS%]\MbsV2QQJe.fon
[%SYSTEM%]\2EF0D734.dll
[%FONTS%]\vwuXtYbhj.fon
[%SYSTEM%]\qB5BKZy7vR5m.dll
[%SYSTEM%]\GU6f5sW42mdc.dll
[%SYSTEM%]\RhdwE8NYdbqQ.dll
[%SYSTEM%]\GsfMwDWD3.dll
[%FONTS%]\zAPWgSjGrSpdsE4.fon
[%FONTS%]\xbpCfXnG6wUVF.fon
[%FONTS%]\d1PmeEeTVx.fon
[%FONTS%]\wQ7KbaNZKMe5G4qZ.fon
[%SYSTEM_DRIVE%]\uvsqfgwd.cmd
[%SYSTEM%]\VnTU2WAqUcZA6.dll
[%FONTS%]\CESPVP8FQd.fon
[%SYSTEM_DRIVE%]\sys32krnl.exe
[%SYSTEM_DRIVE%]\syswin.exe
[%SYSTEM_DRIVE%]\b.com
[%SYSTEM%]\QsbvDcwq7umu.dll

------------------------------------------------------------------------------------------------

Registry ที่พวก OnlineGane ไปแก้ไข เพิ่มค่า ลบค่า ต่างๆ
HKEY_CLASSES_ROOT\AppID\{B5BB60EE-125B-40AB-AAA5-A4E194973C95}HKEY_CLASSES_ROOT\AppID\FirstBHO.DLLHKEY_CLASSES_ROOT\FirstBHO.HelloWorldBHOHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54ebd53a-9bc1-480b-966a-843a333ca162}HKEY_CLASSES_ROOT\CLSID\{54ebd53a-9bc1-480b-966a-843a333ca162}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54ebd53a-9bc1-480b-966a-843a333ca162}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af4da69b-e1d6-469a-855b-6445294857d4}HKEY_CLASSES_ROOT\CLSID\{af4da69b-e1d6-469a-855b-6445294857d4}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{af4da69b-e1d6-469a-855b-6445294857d4}HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnsfHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zftpHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HBKernel32HKEY_CLASSES_ROOT\CLSID\{71A78CD4-E470-4a18-8457-E0E0283DD507}HKEY_CLASSES_ROOT\CLSID\{F0930A2F-D971-4828-8209-B7DFD266ED44}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{489873ce-f3e1-44a3-8e89-04be26be4446}HKEY_CLASSES_ROOT\CLSID\{489873ce-f3e1-44a3-8e89-04be26be4446}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{489873ce-f3e1-44a3-8e89-04be26be4446}HKEY_CLASSES_ROOT\XY2.gzxy2atl.1HKEY_CLASSES_ROOT\XY2.gzxy2atlHKEY_CLASSES_ROOT\CQWZ.ASDCQWZ.1HKEY_CLASSES_ROOT\CQWZ.ASDCQWZHKEY_CLASSES_ROOT\JH.jhatl.1HKEY_CLASSES_ROOT\JH.jhatlHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7c8d1401-a58d-a81c-cd24-a5915c4517c7}HKEY_CLASSES_ROOT\CLSID\{7c8d1401-a58d-a81c-cd24-a5915c4517c7}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c8d1401-a58d-a81c-cd24-a5915c4517c7}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37ac9076-c898-b098-d098-a18319080973}HKEY_CLASSES_ROOT\CLSID\{37ac9076-c898-b098-d098-a18319080973}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37ac9076-c898-b098-d098-a18319080973}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8ad0f1b1-990d-4f52-a33d-2837e43cef58}HKEY_CLASSES_ROOT\CLSID\{8ad0f1b1-990d-4f52-a33d-2837e43cef58}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ad0f1b1-990d-4f52-a33d-2837e43cef58}HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TxplatformHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Txp_sysHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{296ab8c6-fb22-4d17-8834-064e2ba0a6f0}HKEY_CLASSES_ROOT\CLSID\{296ab8c6-fb22-4d17-8834-064e2ba0a6f0}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{296ab8c6-fb22-4d17-8834-064e2ba0a6f0}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d10ba6d-fd37-4cbc-a5e7-95cd4b043399}HKEY_CLASSES_ROOT\CLSID\{3d10ba6d-fd37-4cbc-a5e7-95cd4b043399}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3d10ba6d-fd37-4cbc-a5e7-95cd4b043399}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{dcf49866-8f81-4f5f-8193-7ec75a2ab321}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{dcf49866-8f81-4f5f-8193-7ec75a2ab321}HKEY_CLASSES_ROOT\CQSJ.gzcsatl.1HKEY_CLASSES_ROOT\CQSJ.gzcsatlHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50940f85-f015-14f1-a05f-f69858ac6d05}HKEY_CLASSES_ROOT\CLSID\{50940f85-f015-14f1-a05f-f69858ac6d05}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{50940f85-f015-14f1-a05f-f69858ac6d05}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35671234-7890-abcd-cdef-567801237653}HKEY_CLASSES_ROOT\CLSID\{35671234-7890-abcd-cdef-567801237653}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{35671234-7890-abcd-cdef-567801237653}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7319a1f1-9410-9654-3201-345ffa349137}HKEY_CLASSES_ROOT\CLSID\{7319a1f1-9410-9654-3201-345ffa349137}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7319a1f1-9410-9654-3201-345ffa349137}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{55694105-5108-9405-3695-954187462155}HKEY_CLASSES_ROOT\CLSID\{55694105-5108-9405-3695-954187462155}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{55694105-5108-9405-3695-954187462155}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25fd6584-698f-bcd2-602c-698745210352}HKEY_CLASSES_ROOT\CLSID\{25fd6584-698f-bcd2-602c-698745210352}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25fd6584-698f-bcd2-602c-698745210352}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b490415f-65f8-b5c5-d8ba-9405fb12054b}HKEY_CLASSES_ROOT\CLSID\{b490415f-65f8-b5c5-d8ba-9405fb12054b}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b490415f-65f8-b5c5-d8ba-9405fb12054b}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{aa59145f-315d-bc23-ac1f-145df81a34aa}HKEY_CLASSES_ROOT\CLSID\{aa59145f-315d-bc23-ac1f-145df81a34aa}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{aa59145f-315d-bc23-ac1f-145df81a34aa}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{80af1289-f140-a140-d012-c1458759fc08}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{80af1289-f140-a140-d012-c1458759fc08}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{87fd640a-158f-48ac-fd14-1597f14a9778}HKEY_CLASSES_ROOT\CLSID\{87fd640a-158f-48ac-fd14-1597f14a9778}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{87fd640a-158f-48ac-fd14-1597f14a9778}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5d098345-6785-1098-5413-678067ae03d5}HKEY_CLASSES_ROOT\CLSID\{5d098345-6785-1098-5413-678067ae03d5}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5d098345-6785-1098-5413-678067ae03d5}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{20909876-4567-3908-4056-909834565102}HKEY_CLASSES_ROOT\CLSID\{20909876-4567-3908-4056-909834565102}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{20909876-4567-3908-4056-909834565102}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1a698452-c5d8-c584-c256-c264c987c5a1}HKEY_CLASSES_ROOT\CLSID\{1a698452-c5d8-c584-c256-c264c987c5a1}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a698452-c5d8-c584-c256-c264c987c5a1}HKEY_CLASSES_ROOT\CLSID\{80af1289-f140-a140-d012-c1458759fc08}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2626e66-d21b-e628-c1df-1daccfa36ed2}HKEY_CLASSES_ROOT\CLSID\{c2626e66-d21b-e628-c1df-1daccfa36ed2}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2626e66-d21b-e628-c1df-1daccfa36ed2}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ba45af-faaa-cddd-beee-bcde1234ab38}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ba45af-faaa-cddd-beee-bcde1234ab38}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc8975eb-dd3e-406a-8df9-218848c3b594}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc8975eb-dd3e-406a-8df9-218848c3b594}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08cbfe20-8dc8-4195-b8e2-dd66f860469d}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08cbfe20-8dc8-4195-b8e2-dd66f860469d}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54f6a1f0-18cd-4a8e-b08b-6a5203aade30}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54f6a1f0-18cd-4a8e-b08b-6a5203aade30}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4372FE4D-E2C2-45FE-A893-E2B1691A7DD0}HKEY_CLASSES_ROOT\CLSID\{4372FE4D-E2C2-45FE-A893-E2B1691A7DD0}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4372fe4d-e2c2-45fe-a893-e2b1691a7dd0}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{09eb15fa-17d8-4d60-8598-3f549a848df2}HKEY_CLASSES_ROOT\CLSID\{09eb15fa-17d8-4d60-8598-3f549a848df2}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09eb15fa-17d8-4d60-8598-3f549a848df2}HKEY_CLASSES_ROOT\CLSID\{dcf49866-8f81-4f5f-8193-7ec75a2ab321}HKEY_CLASSES_ROOT\CLSID\{08cbfe20-8dc8-4195-b8e2-dd66f860469d}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2a698452-c5d8-c584-c256-c264c987c5a2}

ที่มา : http://www.exterminate-it.com/malpedia/remove-onlinegames
ใครจะลอง Download โปรแกรมของเขา ไป Scan ดูก็ได้ครับ แต่ลบไม่ได้นะครับ ต้อง Register ถึงจะลบได้
โปรแกรมตรวจสอบได้หลายๆตัวทีเดียว

Wednesday

ส่งไฟล์ Virus ให้ตรวจสอบ

ท่านที่ต้องการให้ทดสอบไวรัส สามารถส่งไฟล์ virus ได้ที่
e-mail : analysis.malware@gmail.com
โดย Zip ไฟล์ ด้วย Winzip และใส่ password เป็น virus
เพราะถ้า ไม่ใส่ password อาจแนบไฟล์ไม่ได้เนื่องจากโดนตรวจสอบจาก Antivirus
นามสกุลไฟล์ใน zip ที่จะส่งมาควรเป็น .exe .bat หรือ .com
-------------------------------------------------------------------------
วิธีส่งไฟล์ virus ให้ตรวจสอบ
Download โปรแกรม explorerxp มาติดตั้ง

เมื่่อติดตั้งเรียบร้อยแล้ว ให้เปิดโปรแกรม ExplorerXP ไปยังตัวแหน่งของ virus
click ขวาที่ไฟล์ virus เลือกที่ winZip > Add to [VirusName]. zip จะได้ไฟล์ zip ขึ้นมา 1 ตัว

Photobucket


2. Click ขวา ที่ไฟล์ [virusName]. Zip แล้วเลือก Encrypt โปรแกรมจะแสดงหน้าต่าง WinZip caution ให้ click ปุ่ม OK

Photobucket



3. ใส่ password คำว่า virus ทั้ง 2 ช่อง



4. แนบไฟล์นี้ส่งให้ทาง e-mail : analysis.malware@gmail.com
===================================================
หมายเหตุ : บางไฟล์ antivirus ตรวจพบ แต่ลบไม่ออก และไม่ยอมให้ zip ให้เราปิด antivirus ก่อนแล้ว ค่อย Zip หรือใช้โปรแกรม unlocker ปลด lock ก่อนครับแล้วค่อย Zip

Monday

Virus: Win32/Fujack.BK

แก้ไข/เพิ่มเติม บทความ : 22/07/2009 เวลา 12.00

How to remove TXP1atform.exe (Win32/Fujack.BK : Detect by NOD32)
TXP1atform.exe
MD5 : 73F0EA27E1FAC44FC514F5A83F232948

AntiVir TR/Crypt.NSPM.Gen
Avast Win32:Trojan-gen {Other}
AVG Generic13.AZWE
BitDefender Trojan.Generic.1920471
CAT-QuickHeal Trojan.Pakes.nkm
DrWeb Win32.HLLP.Whboy.113
eSafe Win32.TRCrypt.Nspm
eTrust-Vet Win32/Emerleox.HA
F-Prot W32/Downloader.AT.gen!Eldorado
F-Secure Trojan.Win32.Pakes.nkm
GData Trojan.Generic.1920471
Kaspersky Trojan.Win32.Pakes.nkm
McAfee W32/Fujacks.aw
Microsoft Backdoor:Win32/Ursap!rts
NOD32 Win32/Fujacks.BK
Norman Packed_Nspack.K
Panda Trj/CI.A
Sophos Mal/Packer
Symantec W32.Spybot.Worm
TrendMicro TROJ_PAKES.ATR
VirusBuster Packed/NSPack
====================================================================
ผมได้ virus ตัวนี้จากที่ที่ผมทำงานอยู่ ที่แรกคิดว่า เป็นไฟล์โปรแกรมของที่ทำงาน เพราะ Icon เหมือนกับโปรแกรมที่ใช้ทำงานของ server
แต่ NOD32 detect เป็น Win32/Fujack.BK ผมเลย Zip ไปทดสอบที่บ้าน ปรากฎว่าเป็นเรื่องครับ ซึ่งจริงๆแล้วผมก็เคยได้อ่านมาบ้างแล้วกับเจ้า fujack แต่ด้วยความประมาท ไม่ได้ Test ใน vitual box ปรากฎว่า ไฟล์ โปรแกรมที่มี นามสกุล .exe ติดไวรัสหมดครับ แต่ยังโชคดีที่ไดว์ C ไม่เป็นไร เนื่องจากติดตั้งโปรแกรม Returnil ไว้
จากที่ผมได้ลองทดสอบ virus นี้ ผลปรากฎว่า มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\drivers\TXP1atform.exe
C:\MyrarWork\


เมื่อ virus ทำงาน
Registry ถูก Modified หลายจุด (Report log file ของ Registry ถูก clear ไปเลยยังบอกไม่ได้ครับ)
โปรแกรม Antivirus หายไปจาก Taskbar ทันที และถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ




ผมสังเกตุว่าไฟ harddisk ทำงานตลอดเวลา และเนื้อที่ harddisk ลดลงเรื่อยๆ



มีการสำเนาไฟล์ลงใน C:\MyRARWork\ เป็นชื่อโปรแกรม แต่เมื่อ เปิด ตัวไฟล์จะเปลี่ยนชื่อเป็น setup.exe (TXP1atform.exe นั่นแหละครับ) จากนั้นนำไฟล์ที่ได้แก้ไข ไปเขียนทับที่เดิม ทำให้ไม่ Antivirus ไม่สามารถ Clean ได้ ต้อง Delete ทิ้ง อย่างเดียว



มีการสร้าง Desktop_1.ini และDesktop_1.ini ในทุก folder ที่มีไฟล์ .exe ที่ติด virus นี้
มี Icon รูป คล้าย WinRAR แสดงขึ้นที่ Taskbar ด้านขวาเป็นระยะๆ



ไฟล์โปแกรมทีมีนามสกุล .exe ติด virus หมดทุกตัว แต่สังเกตุว่าไฟล์ game หลายตัวไม่ติดไวรัส เช่น game พวก Reflexive เป็นต้น

เมื่อไฟล์ติด virus แล้วไม่สามารถที่จะ Clean ได้



มีการเปิด port 139

Run ตอนเข้า Windows
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TXP1atform.exe

-----------------------------------------------------------------------------------------------
วิธีกำจัด virus TXP1atform.exe (Win32/Fujack.BK)
-----------------------------------------------------------------------------------------------

ผมลอง Antivirus หลายตัวแล้ว ไม่สามารถ clean ไฟล์ .exe ที่ติด virus ได้ NOD32 กับ AVIRA ที่ลงไว้ ไม่สามารถเปิดได้

วิธีคือ
1.ถ้า Internet ยังใช้ได้ ให้ Update ฐานข้อมูลไวรัสให้เรียบร้อย (Off line)
เช่น
Avira
http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip


NOD32 (4259) > ส่วน NOD32 Portable นั้นต้องหาเอาเองนะครับ
http://www.mediafire.com/download.php?z2zlnyijhwc

2.ตัดการเชื่อมต่อ Internet และปิดการแชร์ folder หรือตัดการเชื่อมต่อ network
3. กดปุ่ม Ctl+Alt+Del ปิด Process ชื่อ TXP1atform.exe
4. ผมใช้ NOD32 Portable โดยเปลี่ยนชื่อ NOD32 ใหม่แล้วก็ Update Signature ฐานข้อมูล virus ให้ใหมล่าสุด จากนั้นทำการ Scan ทุก Drive หรือ Avira portable Scan

หรือ Download Tool ของ Kaspersky , Dr. Web CureIt กำจัดได้เหมือนกันครับ สะดวกกว่าด้วย
(ไม่ใช่ link โดยตรงของค่าย Antivirus เพราะอาจเข้าไม่ได้เวลาติดไวรัส)

Dr.web CurIt ก็ควรเปลี่ยนนามสกุลเป็น .com ก่อน
ซึ่งผมลอง วางไฟล์ setup.exe ที่ติด virus Fujack.BK ไว้ที่ไดว์ C:\
ผลปรากฎดังภาพ
Kaspersky virus remove tool



Dr.Web CureIt virus remove tool (ให้เปลี่ยนนามสกุลเป็น .com ก่อน)


5. ใช้ Hijack This fix check ที่ 2 บรรทัด
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TXP1atform.exe
HKCU\..\Run: [TXP1atform.exe] C:\WINDOWS\system32\Driver\TXP1atform.exe

6. ใช้ NOD32 Recovery Tool เพื่อคืนค่า registry สำคัญๆ

7. Click ที่ Start เลือก Search > file or folder พิมพ์ชื่อไฟล์ที่ต้องการ โดยเลือกที่ More Advance option เพื่อ Search hidden file หา Desktop_1.ini หรือ Desktop_2.ini

ผมไม่แน่ใจนะครับ เรื่อง Registry เท่าไหร่ครับ (เพราะเพิ่งทดสอบไปครั้งเดียว) ลองเข้าไปดูนะครับ click Start > run พิมพ์ regedit
ลองเข้าไปดู Registry นี้ด้วยนะครับว่าด้านขวามีค่าอะไรเพิ่มมาหรือเปล่า
ถ้ามีให้ delete ด้วยครับ เช่น ค่าเหล่านี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avengine.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvcui.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kislnchr.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe\"Debugger" = "nstd -d

ผมไม่รับรองผลที่ได้ทดสอบนี้ว่าจะแก้ได้กับทุกเครื่องนะครับ

หรืออีกวิธีหนึ่ง คือ Format แล้วลง windows ใหม่ครับ เพราะไฟล์ .exe ของ Windows ก็อาจเป็น virus เรียบร้อยแล้ว

ข้อควรระวัง : เมื่อ format ลง windows ใหม่แล้ว อย่าเพิ่งเอาไฟล์จาก drive อื่นมาลงโปรแกรมนะครับ

และเมื่อลง windows เรียบร้อยร้อยให้ลง antivirus จากแผ่น CD ที่ไม่ติดไวรัส และ Update ให้เรียบร้อย

จากนั้น scan Drive ทุก drive เพื่อกำจัดไฟล์โปรแกรมที่ติด virus fujack.BK ให้หมดไปก่อนที่จะติดตั้งโปรแกรมอื่น

ถ้าไม่กำจัดก่อน เราอาจเผลอไปติดตั้งโปรแกรมที่ติด Fujack.BK ทำให้เครื่องติดไวรัสอีกรอบครับ

จบแล้วครับสำหรับวิธีแก้ virus TXP1atform.exe (Win32/Fujack.BK)

ข้อแนะนำสุดท้าย

วิธีป้องกันที่ได้ผลดีมากๆและป้องกัน virus ได้ทุกชนิด คือ
ให้ท่านติดตั้งโปรแกรม Returnil (โปรแกรมแช่แข็งเครื่องครับ)
หรือพวก DeepFreeze , ShadowUser, Shadow Defen , HDGUARD, Windows Steady State, COMODO DiskShield เป็นต้น
แล้วจะหมดปัญหาเรื่อง windows โดย virus เพราะเมื่อ Restart เครื่องระบบจะกลับไปเป็นสภาพเดิม
โดยเฉพาะอย่างยิ่ง virus ที่กินไฟล์ exe เช่น ตระกูล Sality, Virut และ Fujack เป็นต้น
ส่วนรายละเอียดของโปรแกรม เอาไว้ถ้ามีเวลาจะเขียนไว้ให้ครับ หรือ ลองศึกษาจาก link นี้ดูครับ
http://www.thaisolution.net/component/content/article/12--returnil


ซึ่งก็ใช้ Returnil อยู่ครับ เป็น Freeware ด้วยครับ ยืดหยุ่นดี

ข้อมูลที่เก็บไว้ควร Zip ไฟล์เก็บไว้ด้วยจะได้ไม่โดน virus พวก กินไฟล์ exe

ถ้าจะให้ดีก็ ใส่ password ด้วยครับ

========================== Test by PeeTech ===========================
จำนวนครั้งที่ทดสอบ = 1 ครั้ง
Windows XP SP2

Saturday

Virus: Win32/PSW.OnLineGames.NNU (2)

How to remove kva8wr.exe (Win32/PSW.OnLineGames.NNU) ภาค 2
kva8wr.exe
(Win32/PSW.OnLineGames.NNU : Detect by NOD32)
MD5 : add5ff5dbd87beda460e614a27fb616b

=====================================================================
ผมจะไม่เน้นรูปภาพประกอบนะครับ ต้องขออภัยดัวย มันช้า และจัดรูปภาพกับบรรทัด ไม่ค่อยสะดวก
จากการเก็บตัวอย่าง virus มาทดสอบ โดย
มีไฟล์ Autorun.inf และ iutox.bat
[AutoRun]
;DKdfla22s2LLj2owkrseplAFLd52ar9wAqqfsZ58Lfri2dlk3ck1dJKfiaD0iaSr5DJd8Aoaj7mkD3o8sskiJ3 open=iutox.bat
;AdaLA3jKjDJ
shell\open\Command=iutox.bat

หรือ
[AutoRun]
;Aj72aojiwi2d
open=cdgjlrq.cmd
;2fq3k3Sda2s
shell\open\Command=cdgjlrq.cmd

เมื่อทำการ Run ไฟล์ iutox.bat ได้มีการสร้างไฟล์ 5 ไฟล์ ดังนี้
c:\windows\system32\bgotrtu0.dll
c:\windows\system32\kva8wr.exe ( kvasoft )
c:\windows\system32\uweyiwe0.dll
c:\autorun.inf
c:\iutox.bat หรือ cdgjlrq.cmd หรือ q2c.bat (ทุกๆ root drive -> C:\ ........... Z:\)

ถ้า double click ที่ไฟล์ kva8wr.exe พบว่ามีการสร้างไฟล์ cdgjlrq.cmd ไฟล์ที่ C:\
virus ตัวนี้ ไม่ได้ทำการซ่อน folder Option ,ไม่ disable Task Manager และไม่ Disable Regedit
สามารถทำงานได้ตามปกติ ทำให้ User ไม่ผิดสังเกตว่าเครื่องติดไวรัส แต่ที่สังเกตได้คือ ไม่สามารถเปิด show hidden file ได้
มีการ เพื่อค่าลงใน IE helper module object (bgotrtu0.dll) ซึ่งเมื่อมีการเชื่อมต่อ Internet มันจะเข้าไป download ที่
http://cjdha.com/xhg2/ll1.rar ซึ่งถ้าลองเข้าไปตอนนี้จะขั้นตามภาพนี้ครับ


------------------------------------------------------------------------------------------------
วิธีกำจัด Virus : kva8wr.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
แบบ Manual

------------------------------------------------------------------------------------------------
Download Virus Remove Tool : ExplorerXP Explorestart Hijack This NOD32 Recovery Tool

ไฟล์ที่จะต้อง delete ใน system32 คือ
c:\windows\system32\bgotrtu0.dll
c:\windows\system32\kva8wr.exe ( kvasoft )
c:\windows\system32\uweyiwe0.dll

ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้

วิธีแก้คือ
1. เปิดโปรแกรม ExplorerXP เข้าไป delete ไฟล์ kva8wr.exe ใน c:\windows\system32\kva8wr.exe
2. เปิดโปรแกรม Explorestart จากนั้นใช้โปรแกรม ExplorerXP เข้าไป delete ไฟล์ uweyiwe0.dll และ bgotrtu0.dll
และ delete ไฟล์ใน Root drive ทุกไดว์ ที่มีนามสกุล .cmd , .bat (ถ้ามี) cdgjlrq.cmd หรือ q2c.bat (ไฟล์ .com และ .bat ในไดว์ C:\ ควรมีแค่ไฟล์ AUTOEXEC.BAT และ NTDETECT.COM เท่านั้น)
3. เปิดโปรแกรม Hijeck This แล้ว Fix check ที่ 2 บรรทัดนี้ คือ
BHO: IEHlprObj Class - {F171A450-7AF5-43E1-AFED-EDC826A1B0F5} - C:\WINDOWS\system32\bgotrtu0.dll
HKCU\..\Run: [kvasoft] C:\WINDOWS\system32\kva8wr.exe
4. เปิดโปรแกรม NOD32 Recovery Tool เพื่อทำการคืนค่า Show hidden file และค่าอื่นๆ ใน registry
คำแนะนำ : เมื่อกำจัด virus เรียบร้อยแล้วควรติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย Autorun ในการทำงาน

หรือ Download PeeTechFix_Win32.psw.OnlineGame 2.0.1

จบแล้วครับ วิธีแก้ virus kva8wr.exe (Win32/PSW.OnLineGames.NNU)
ใครเก่งภาษาอังกฤษ ก็เข้าไปดูตาม link นี้ครับ มีรายละเอียดครบ
http://www.threatexpert.com/report.aspx?md5=ef942f1494dd851487714060a2b23454
========================= Test by Peetech =============================
จำนวน ครั้งที่ Test = 5 ครั้ง
Windows XP SP2

Friday

Virus: IRC SdBot *

รอทดสอบ

Virus: Win32 PSW.OnlineGames.G

Download PeeTechFix_Win32.PSW.OnlineGame 2.0
วิธีใช้ : http://hotzone-it.blogspot.com/2009/08/peetechfixwin32pswonlinegame.html
หรือลองดูวิธีแก้ที่เคยเขียนไว้

http://hotzone-it.blogspot.com/2009/08/peetechfixwin32pswonlinegame.html
http://hotzone-it.blogspot.com/2009/08/win32pswonlinegamesnmy.html
http://hotzone-it.blogspot.com/2009/07/virus-win32-pswonlinegamesohl.html
http://hotzone-it.blogspot.com/2009/07/virus-kva8wrexe-win32pswonlinegamesnnu.html
http://hotzone-it.blogspot.com/2009/06/win32pswonlinegamesnnu_30.html

================ Test by PeeTech ======================

Virus: Win32/Packed.Autoit.Gen

How to remove csrcs.exe (Win32 Packed.Autoit.Gen: Detect by NOD32)
csrcs.exe, rhpmyg.exe, opamua.exe
Md5 : 91A86CF0661DD2797F1D25AC1AF053D1
SHA1 : 50192D6F71941820922A12A871B8ACD7C18D0AE0
===================================================================
ไฟล์ virus ที่ใช้ทดสอบ opamua.exe
เมื่อ virus ทำงาน สร้างไฟล์ใน system32 ดังนี้
C:\windows\system32\csrcs.exe (มีการเรียกใช้ไฟล์ cmd.exe และ net.exe)
C:\windows\system32\autorun.i
C:\windows\system32\autorun.in
สร้างไฟล์ kht ใน root drive
สร้างไฟล์ Autorun.inf , USB Drive :
และไฟล์ .exe โดย random ชื่อเปลี่ยนไปเรี่อย เช่น Rhpmyg.exe , tvqige.exe .... ฯ
แต่ MD5 ก็คือ 91A86CF0661DD2797F1D25AC1AF053D1
มีการแก้ไขค่า shell ใน winlogon และแก้ไขค่า Show hidden file
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell: "Explorer.exe csrcs.exe"
มีการเรียกใช้ๆไฟล์ cmd.exe และ net.exe
----------------------------------------------------------------------------------------------
วิธีกำจัด virus csrcs.exe (Win32 Packed.Autoit.Gen: Detect by NOD32) แบบ manual
----------------------------------------------------------------------------------------------
Download Virus Remove Tool
ProcessExplorer ExplorerXP DKDC_HASH Hijack This NOD32 Recovery Tool
หรือ
Download Fix Tool ของผมครับ เพิ่งเขียนเสร็จ
PeeTechFix_Win32.Packed.Autoit.Gen.rar
หน้าตาอาจไม่สวย แต่ใช้งานได้ผล ผมลองทดสอบไป 3 - 4 ครั้งแล้ว ถ้ามีข้อผิดพลาดโปรดแจ้งด้วยครับ

1. เปิดโปแกรม Process Explorer แล้ว click ขวา ที่ ไฟล์ csrcs.exe เลือก Kill Process



2. เปิดโปรแกรม DKDC_Hash เลือกไฟล์ virus ต้นฉบับ คือ csrcs.exe ที่อยู่ใน system32 แล้วทำการ Scan ไฟล์ ใน USB Drive โดยเลือก Option ระบุ drive (ถ้ามี error ให้ click continue)



3. เปิดโปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน system32 และ root drive คือ
C:\windows\system32\csrcs.exe
C:\windows\system32\autorun.in
C:\windows\system32\autorun.in
C:\kht D:\kht ..................... Z:\kht



4. เปิดโปรแกรม Hijack This fix checked ที่ 2 บรรทัดนี้
REG:system.ini: Shell=Explorer.exe csrcs.exe
HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe



5. เปิดโปรแกรม NOD32 Recovery Tool แล้ว Fix now เพื่อคืนค่า Show hidden file



สุดท้ายให้ติดตั้งโปรแกรม CPE17 และ Update ฐานข้อมูลของโปรแกรม Antivirus ให้เป็นปัจจุบัน

จบแล้วครับวิธีแก้ virus csrcs.exe (Win32 Packed.Autoit.Gen: Detect by NOD32)
=================== ===Test by PeeTech =============================
จำนวนครั้งที่ทดสอบ 6 ครั้ง
ระบบปฎิบัติการที่ใช้ทดสอบ Windiws XP SP2

Virus: Win32 Kryptik.FT

How to remove vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
Vse432.exe
MD5 : bae4f0d6f9819eddbd2aa8755d39b5f3
SHA1 : 338c247ed534c2aa2ae19ce9dbc42faac61d2879

===================================================================
ต่อเนื่องมาจาก virus cfxer.exe ( Win32 AutoRun.KS )
เนื่องจาก virus ตัวนี้ได้ download ไฟล์ ver.exe และเมื่อไฟล์ ver.exe ทำงาน ได้สร้างไฟล์ vse432.exe (Win32 Kryptik.FT) ไว้ใน
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe

เพิ่มค่า run ใน registry คือ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
12CFG914-K641-26SF-N32P = "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe"

ซึ่งใน RECYCLER เราจะมองไม่เห็นไฟล์ vse432.exe ต้อง Zip รูป recycle bin หรือต้องใช้โปรแกรม ExplorerXP เปิดดูจึงจะมองเห็นครับ
Virus ตัวนี้ Remote host ไปยัง newss.alwaysproxy.info ทาง port 1199

------------------------------------------------------------------------------------------------
วิธีกำจัด virus vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
------------------------------------------------------------------------------------------------
Download Virus remove Tool : ExplorerXP Hijack This

1. ตัดการเชื่อมต่อ internet ก่อนและเสียบ USB Driveไว้เลยครับ แล้วทำตามขั้นตอนการลบ virus cfxer.exe วิธีลบ และเสียบ
2. เปิดโปรแกรม ExplorerXP เข้าไปที่ C:\RECYCLER แล้ว click รูป Recycle bin หมายเลข
S-1-5-21-0243336031-4052116379-881863308-0851 กดปุ่ม Shift + Del

3. ใช้ ExplorerXP เข้าไปลบไฟล์ ver.exe ที่อยู่ใน C:\Documents and Settings\ชื่อที่ใช้ logon\ver.exe และถ้ามีไฟล์ .exe ตัวอื่นๆอยู่ด้วยให้ลบให้หมดเลยครับ (ลบ = Shift+Del)

4. เปิดโปรแกรม Hijack This ให้ fix check ที่
HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe เพื่อลบค่า Run ใน Registry + Msconfig
5. สุดท้ายอย่าลืม คือ ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน Autorun

ขออภัยที่ไม่มีรูปภาพตัวอย่าง (จะ Up ให้วันหลังครับ)
จบแล้วครับวิธีแก้ virus vse432.exe (Win32 Kryptik.FT)
ดูการแก้ไขโดยรวมทั้งหมด แก้ไขใหม่เมื่อ 31/07/2009

============================ test by PeeTech ==========================
Windows XP SP2

Virus: Win32 Kryptik.FH *

รอทดสอบ

Virus: Win32 Kryptik.EW *

รอทดสอบ

Virus: Win32 Injector.LK *

รอทดสอบ

Virus: Win32 Injection.HD *

รอทดสอบ

Virus: Win32 Kryptik.ES

How to remove MarioForever
( Win32 Kryptik.ES : Detect by NOD32 )
MarioForever.exe
Md5 : BEC704FD9C74A1FA792BCC7F8952A740
SHA1 :9FBBC8BD8B4F7D493B5B8A86CDDB106CB082D02D

==================================================
Other name
a-squared > Worm.Win32.Pinit!IK
AhnLab > Win32/Pinit.worm.180224.B
AntiVir > TR/Drop.Pinit.AQ.1
Antiy-AVL > Worm/Win32.Pinit.gen
Authentium > W32/Worm.AMDZ
Avast >4 Win32:Falder AVG > SHeur2.MJN
BitDefender >4 Trojan.Generic.1806852
CAT-QuickHeal > Worm.Pinit.av
Comodo > Worm.Win32.Pinit.~U
DrWeb > BackDoor.Zapinit.85
eSafe > Win32.Kryptik.es
eTrust > Win32/Pruserinf.AM
F-Prot > W32/Worm.AMDZ
F-Secure > Worm.Win32.Pinit.av
Fortinet > PossibleThreat
GData > Trojan.Generic.1806852
Ikarus > Worm.Win32.Pinit
Jiangmin > Worm/Pinit.fk
Kaspersky > Worm.Win32.Pinit.av
McAfee > Generic.dx
Microsoft > TrojanDropper:Win32/Mariofev.F
NOD32 > Win32/Kryptik.ES
Panda > Trj/Downloader.MDW
Prevx > High Risk Worm
Rising > Trojan.Clicker.Win32.Undef.gj
Sophos > Troj/FakeAle-LE
Sunbelt > Worm.Win32.Pinit.av
Symantec > Trojan Horse
TheHacker > W32/Pinit.av
TrendMicro > WORM_SILLY.BT
VBA32 > Malware-Cryptor.Win32.Stit
ViRobot > Worm.Win32.Pinit.180224.B
VirusBuster > Worm.Pinit.HX
===================================================
ผมได้ไฟล์ virus นี้มาจากที่ทำงาน ซึ่งโดย virus ตัวเล่นงาน เอา server down ไปเลย
และโดย ซ้ำสองด้วย conficker ติดๆกัน มันไปเลย
จากการทดสอบพบว่า มีการสร้างไฟล์ลงใน system32 ดังนี้
C:\windows\system32\aston.mt (Win32.Kryptik.ES)
C:\windows\system32\qvcg
C:\windows\system32\mihne (Win32.Penit)
C:\windows\system32\nvaux32.dll (Win32.Penit.J)
C:\windows\system32\dllcache\user32.dll (Win32.Penit)
C:\windows\system32\user32.dll (Win32.Penit)
C:\windows\system32\ef3p.ee
C:\windows\system32\2rg3.es
C:\windows\system32\gr1.e
C:\windows\system32\zred.pa
C:\windows\system32\4rr.pa
C:\windows\system32\fks.es
C:\windows\system32\atmapi.sys

อีกตัวที่ไม่แน่ใจคือ Gymkgo
(ดูข้อมูลจาก ThreatExpert มีตัวนี้ด้วย ผมไม่ใจว่าเป็นตัวเดียวกันหรือเปล่า)

สร้างไฟล์ ลงใน USB Drive
Game.exe
Auturun.inf


มีการเปิด port 445

Registry Modifications

HKLM\SOFTWARE\Microsoft\WBEM\WMIC\mofcompstatus: "1"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\Cli.mof: "128102708460000000"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\CliEgAliases.mof: "128102708460000000"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\CliEgAliases.mfl: "128102708460000000"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MID: "76FD6854BFAC4B6A8C113536DCF72A4FAF2899E51D524EFC8CF4AD02F795B671"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\hmpInit_Dlls: "nvaux32"HKLM\SOFTWARE\11\31AC70412E939D72A9234CDEBB1AF5867B: "ioeehkfrffeoekefejfqflfjdrdgdpdndhdogdgdekgdcgchhicldn"HKLM\SOFTWARE\11\31897356954C2CD3D41B221E3F24F99BBA: 0x042BCF94HKLM\SOFTWARE\11\31C2E1E4D78E6A11B88DFA803456A1FFA5: 0x00000000HKLM\SOFTWARE\8\31AC70412E939D72A9234CDEBB1AF5867B: "qdmrpjnenknlnrninomfmimmkgkdkmkqlqldoqoomfjmjfijijemjhij"HKLM\SOFTWARE\8\31897356954C2CD3D41B221E3F24F99BBA: 0x020677A3HKLM\SOFTWARE\8\31C2E1E4D78E6A11B88DFA803456A1FFA5: 0x00000000HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core\EnableConcurrentSessions: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Control\ActiveService: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Service: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Legacy: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Class: "LegacyDriver"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\DeviceDesc: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Control\ActiveService: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Service: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Legacy: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Class: "LegacyDriver"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\DeviceDesc: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\0: "Root\LEGACY_RDPWD\0000"HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\Count: 0x00000001HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\0: "Root\LEGACY_TDTCP\0000"HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\Count: 0x00000001HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConcurrentSessions: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Control\ActiveService: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Service: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Legacy: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Class: "LegacyDriver"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\DeviceDesc: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Control\ActiveService: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Service: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Legacy: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Class: "LegacyDriver"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\DeviceDesc: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\0: "Root\LEGACY_RDPWD\0000"HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\Count: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\0: "Root\LEGACY_TDTCP\0000"HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\Count: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\NextInstance: 0x00000001

-----------------------------------------------------------------------
วิธีกำจัด MarioForever ( Win32 Kryptik.ES : Detect by NOD32 )
แบบของผมนะครับ
-----------------------------------------------------------------------
Download Virus Remove Tool
PeeTechFix_MarioForever-Win32.Kryptik

Download Update path : Security Update for Windows XP (KB958644)
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

1. ให้ตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างก่อน เช่น wireless, LAN , bluetooth เป็นต้น
2. ปิดการ Share folder ทุก folder
3. ปิด system Restoreโดย click check box ตรง turn off system restore on all drive


4.เมื่อ Download โปรแกรม มาแล้วให้ Extract ออก เปิดเข้าไปใน folder จะเห็นไฟล์อยู่ 4 ไฟล์
ให้ double click ที่ไฟล์โปรแกรม PeeTechFix_MarioForever-Win32.Kryptik.ES
โปรแกรมจะทำการ Scan ทุก drive เพื่อกำจัด virus (ถ้ามี USB Drive ก็เสียบไว้เลยครับ๗
และเมื่อโปรแกรม Scan เสร็จ โปรแกรมจะให้ Restart เครื่อง แต่ก่อน restart โปรแกรมจะทำ recovery safemode ก่อน



5. ติดตั้ง updat path KB958644 และ KB894391
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

แก้ Generic Host Process error
http://support.microsoft.com/?kbid=894391


หลังจาก restart เครื่องใหม่แล้ว ถ้าเครื่องไหนมี Taskbar สีเพี้ยนไป เหมือน theme ของ windows classic
ให้ click ขวาที่ desktop แก้ไข ตรง theme ครับ





จบแล้วครับ วิธีแก้ virus MarioForever ( Win32 Kryptik.ES : Detect by NOD32 )
หลังจากกำจัด virus เรียบร้อยแล้วแนะนำให้ติดตั้งโปรแกรม CPE17 (free) หรือ USB Disk Security (shareware)
เพื่อป้องกัน virus อาศัย autorun ในการทำงาน และ ให้ update antivirus ให้เป็นปัจจุบัน
================ Test by PeeTech===================
จำนวนครั้งที่ทดสอบ : 3 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2

Virus: Win32/Hakaglan.I

How to remove SCVHSOT.exe, New Folder.exe
( Win32/Hagaglan.I : Detect by NOD32 )
SCVHSOT.exe, New Folder.exe
MD5 : 5AD61E0745069F32807C94EA93987636
SHA1 : 3A8CD8AE5C83677ACAD62D1825838D1224F311E4
==================================================
เมื่อ virus ทำงาน ได้ สร้างไฟล์ดังนี้
C:\windows\system32\SCVHSOT.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCVHSOT.exe
C:\windows\hinhem.scr

สร้างไฟล์ใน USB Drive
SCVHSOT.exe
New Folder.exe
autorun.inf

virus ได้ ซ่อน Folder ใน USB Driveและสร้าง folder ปลอม ที่มีชื่อเหมือน กับ Folder ที่ซ่อนไว้ แต่มีนามกุล .exe
คำสั่งเรียกใช้ Taskmanager, Regedit ไม่สามารถใช้งานได้
Folder Option หายไปจาก เมนู Tool
โปรแกรม Hijack This ใช้งานไม่ได้ โปรแกรมจะถูกปิดลง ภายใน 3 วินาที
ต้องเปลี่ยนชื่อโปรแกรม จึงจะใช้ได้

มีการแก้ไข Registry คือ
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr: 0x00000001HKU\\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger: "C:\WINDOWS\system32\SCVHSOT.exe"
-----------------------------------------------------------------------
วิธีกำจัด virus SCVHSOT.exe, New Folder.exe
( Win32/Hagaglan.I : Detect by NOD32 )
-----------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , Hijack This , DKDC_Hash , NOD32 Recovery Tool

ก่อนอื่นให้ตัดการเชื่อมต่อ internet และ ระบบเครือข่ายต่าง ก่อนครับ

1. เปิดโปรแกรม Kill Process แล้ว ปิด Process รูป folder ที่มีนามสกุล .exe ทุกตัว



2. เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ใน ตาม folder ต่อไปนี้

C:\windows\system32\ SCVHSOT.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCVHSOT.exe
X:\autorun.inf

3. ใช้โปรแกรม Hijack This ทำการ Fix checked บรรทัดต่อไปนี้
REG:system.ini: Shell=Explorer.exe SCVHSOT.exe
HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVHSOT.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



4.เปิดโปรแกรม DKDC_HASH แล้วเลือกไฟล์ ต้นฉบับ virus Win32 Hagaglan.I ซึ่งมีค่า
MD5: = 5AD61E0745069F32807C94EA93987636
ก็คือไฟล์ SCVHSOT.exe
แล้วเลือก option เพื่อ Scan โดยผมเลือก ระบุ Drive เพื่อจะทำการ Scan USB Drive จากนั้น click ปุ่มค้นหา+ทำลาย โปรแกรมจะทำการค้นและและกำจัด Folder ปลอมออกไปครับ



5. เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix Now เพื่อคืนค่า Folder Option และ Show hidden file

หรืออีทางเลือกคือ ใช้ NOD32 Hakaglan Fix

จบแล้วครับวิธีแก้ virus SCVHSOT.exe, New Folder.exe ( Win32/Hagaglan.I : Detect by NOD32 )
================ Test by PeeTech ======================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2

Virus: Win32/Hakaglan.G

How to remove SCVVHSOT.exe, New Folder.exe
( Win32 Hagaglan.G : Detect by NOD32 )

SCVVHSOT.exe, New Folder.exe
MD5 : F30CD03B0A49EE132756A6E8B13E7222
SHA1 : EBA6DDE1169657725A73FD3155F27400733D58B6
==================================================
Other name
a-squared > IM-Worm.Win32.Sohanad.as
AntiVir > Worm/Sohanad.AS
AVAST! > Win32:Sohanad-T
AVG > Worm/Generic.BRU
BitDefender > Win32.Worm.Sohanad.NAT
ClamAV > Worm.Sohanad
Dr.Web > Win32.HLLW.Texmer
F-Secure > IM-Worm.Win32.Sohanad.as
Kaspersky > IM-Worm.Win32.Sohanad.as
McAfee > W32/Hakaglan.worm.gen
Microsoft > Worm:Win32/Sohanad.I
Norman > Sohanad.DY
nProtect > Worm/W32.Brontok.541696
Panda > W32/Sohanat.DZ.worm
Quick Heal > I-Worm.Sohanad.as
Sophos > Mal/Airworm-A
Symantec > W32.Imaut.A
Trend Micro > WORM_SOHANAD.CO
VBA32 > IM-Worm.Win32.Sohanad.as 1.317
VirusBuster > Worm.Sohanad.U
------------------------------------------------------------------------
เมื่อ virus ทำงาน มีการสร้างไฟล์ ดังนี้
C:\windows\system32\ SCVVHSOT.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCCVHSOT.exe

สร้างไฟล์ใน USB Drive ดังนี้
SCVVHSOT.exe
New Folder.exe
autorun.inf

virus ได้ ซ่อน Folder ใน USB Drive และ สร้าง folder ปลอม ที่มีชื่อเหมือน กับ Folder ที่ซ่อนไว้ แต่ มีนามกุล .exe
คำสั่ง เรียกใช้ Taskmanager, Regedit ไม่สามารถใช้งานได้
Folder Option หายไปจาก เมนู Tool
virus ได้แก้ไข registry คือ
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr: 0x00000001HKU\\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger: "C:\WINDOWS\system32\SCVVHSOT.exe"

------------------------------------------------------------------------
วิธีกำจัด virus SCVVHSOT.exe , New Folder.exe
( Win32 Hagaglan.G : Detect by NOD32 )

------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExplorerXP , Hijack This , DKDC_Hash , NOD32 Recover Tool

เมื่อเตรียมเครื่องมือเรียบร้อยแล้ว ให้ทำการตัดการเชื่อมต่อ internet และ ระบบเครื่อข่ายต่างๆ ก่อนนะครับ
และเสียบ USB Drive ไว้ที่เครื่อง เลยครับ
1. เปิดโปรแกรม Kill Process แล้ว ปิด Process รูป folder ที่มีนามสกุล .exe ทุกตัว



2. เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ใน ตาม folder ต่อไปนี้

C:\windows\system32\ SCCVHSOT.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCCVHSOT.exe
X:\autorun.inf

3. ใช้โปรแกรม Hijack This ทำการ Fix checked บรรทัดต่อไปนี้
REG:system.ini: Shell=Explorer.exe SCVVHSOT.exe
HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCCVHSOT.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1




4.เปิดโปรแกรม DKDC_HASH แล้วเลือกไฟล์ ต้นฉบับ virus Win32 Hagaglan.G ซึ่งมีค่า
MD5 = F30CD03B0A49EE132756A6E8B13E7222
ก็คือไฟล์ SCVVHSOT.exe
แล้วเลือก option โดยผมเลือก ระบุ Drive เพื่อจะทำการ Scan USB Drive จากนั้น click ปุ่มค้นหา+ทำลาย โปรแกรมจะทำการค้นและและกำจัด Folder ปลอมออกไปครับ



5. เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix Now เพื่อคืนค่า Folder Option และ Show hidden file

หรือ อีกทางเลือก คือ ใช้ NOD32 Hakaglan Fix ซึ่งใช้กำจัดได้ทั้ง
Win32/Hagaglan.D , Win32/Hagaglan.G , Win32/Hagaglan.I
หรือ Sohanad Remove Tool
สุดท้ายขอแนะนำให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk Security เพื่อป้องกัน virus ที่อาศัย autorun
และควร Update ฐานข้อมูล Antivirus ให้เป็นปัจจุบัน

จบแล้วครับวิธีแก้ virus SCVHOST.exe, New Folder.exe (Win32/Hagaglan.G : Detect by NOD32)==================== Test by Peetech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases