How to remove cfxer.exe (Win32 AutoRun.KS : Detect by NOD32)
cfxer.exe
MD5 : 215B4DAD03AE4E05F6AB5F61F3106284
SHA1 Hash :E23A4547C2FE7B8DE8D98A6FA0A055A45ED9D7C8
========================================================
How to remove vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
Vse432.exe
MD5 : bae4f0d6f9819eddbd2aa8755d39b5f3
SHA1 : 338c247ed534c2aa2ae19ce9dbc42faac61d2879
========================================================
ชื่ออื่นๆ ของแต่ละค่าย
AntiVir > TR/Crypt.XPACK.Gen
Avast > Win32:Trojan-gen {Other}
AVG > Generic12.BIUM
BitDefender > Packer.Krunchy.B
CAT-QuickHeal > Trojan.Pakes.muc
eSafe > Win32.Packed_Krunchy
F-Prot > W32/Heuristic-210!Eldorado
F-Secure > Trojan:W32/Agent.JBO
Kaspersky > Trojan.Win32.Pakes.muc
McAfee > Generic.dx
Microsoft > Trojan:Win32/Ircbrute
NOD32 > Win32 AutoRun.KS
Norman > W32/Packed_Krunchy.A
Panda > Generic TrojanSophos > Mal/Generic-A
Symantec > W32.Spybot.Worm
TrendMicro > TROJ_IRCBRUTE.BT
===================================================================== จากการเก็บตัวอย่าง virus มาทดสอบ เมื่อ Run ไฟล์ cfxer.exe พบว่ามีการสร้างไฟล์อยู่ใน recycle bin
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe
c:\ Autorun.inf
คำสั่งภายใน autorun.inf
"[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeicon=%SystemRoot%\system32\SHELL32.dll,4action=Open folder to view filesshell\open=Openshell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeshell\open\default=1 "
และมีการสร้าง Registry ขึ้นมาอยู่ที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
มีการ remote host ทาง port 49932 ไปยัง IP 211.95.72.84 ในประเทศจีน
ใน RECYCLER ถ้าเปิดเข้าไปดูจะไม่เห็นไฟล์อะไรอยู่ในถังขยะ ต้องลอง Zip ไฟล์ ถึงจะเห็นไฟล์ cfxer.exe และ desktop.ini อยู่ใน RECYCLER ดังภาพ ก่อน zip กับ หลัง zip หรือต้องดูด้วยโปรแกรม ExplorerXP จึงจะเห็นครับ
ถ้าเครื่องที่ติด virus นี้ ต่อ internet อยู่ virus จะdownload script ไว้ที่ C:\Documents and Settings\Name (ชื่อที่ใช้ logon) ดังนี้ (ซึ่งถ้าเปลี่ยนชื่อไฟล์เป็น .txt จะเห็น script download virus อยู่ภายใน)
bv.exe
tvs2.exe
uac.exe
ukmx.exe
vmscon.exe
syscon.exe
เพื่อโหลด virus ตัวอื่นๆ เช่น Download ver.exe (Win32/Small.NFH)
http://bestphotocard.com.p4.hostingprod.com/na.na
http://bestphotocard.com.p4.hostingprod.com/iefn.jx
http://bestphotocard.com.p4.hostingprod.com/ac.cc
http://zonetech.info/ver.exe ( อย่า download มาเล่นนะครับ เดี๋ยวจะหาว่าไม่เตือน)
และเมื่อไฟล์ ver ถูก run จะสร้างไฟล์ vse432.exe อยู่
c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe(Win32/Kryptik.BF)
ส่วนวิธีแก้ click link นี้ครับ vse432.exe(Win32/Kryptik.BF)
ภาพนี้เป็นตัวอย่างที่ NOD32 และ Avira block การ download script
----------------------------------------------------------------------------------------------
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS : Detect by NOD32 )
----------------------------------------------------------------------------------------------
ขอแก้ไขบทความการกำจัด virus ใหม่นะครับเนื่องจากลองทดสอบใหม่อีกครั้งได้ผลไม่เหมือนที่ทดสอบครั้งแรก เนื่องจากพบว่ามีไฟล์ที่ถูก run เพิ่มเติมโดยเจ้า vse432.exe(Win32/Kryptik.BF) คือ winsystem.exe อยู่ที่ C:\windows\
และจะมีข้อความขึ้นดังภาพ
Download Virus Remove Tool
Security Task Manager ExplorerXP Unlocker CPE17
1.ตัดการเชื่อมต่อ internet และ เอา USB drive ออกจาก USB port ก่อน
2. เปิดโปรแกรม Security Task Manager ขึ่นมาแล้ว remove ไฟล์ winsystem.exe และ vse432.exe
โดยเลือกที่ option move file to qaurantine แล้วกดปุ่ม OK
จากนั้น click ที่ปุ่ม qaurantine จะมีไฟล์ที่เรากักไว้ ดังภาพ
ให้ click เลือกที่ไฟล์แล้ว click ที่ปุ่ม Delete โดยทำทั้ง 2 ไฟล์
3. เปิดโปรแกรม ExplorerXP เข้าไปที่ไดว์ C:\RECYCLER\
แล้วเลือกเมนู Unlocker จะขึ้นหน้าต่างดังภาพ ให้ click ที่ explorer แล้ว กดปุ่ม Unlock
4. จากนั้น Delete (การ Delete คือกดปุ่ม Ctrl + Del) ถังขยะหมายเลข
S-1-5-21-1482476501-1644491937-682003330-1013\ (คือเจ้า cfxer)
S-1-5-21-0243336031-4052116379-881863308-0851\ (คือเจ้า vse432.exe)
5. เข้าไปที่ไดว์ C:\ โดยใช้ โปรแกรม ExplorerXP แล้ว Delete autorun.inf
6. เข้าไป delete ไฟล์ uac.exe, vmscon.exe, tvs2.exe, ukmx.exe, bv2.exe, syscon.exe ใน
C:\Documents and Settings\ชื่อที่ใช้ logon\
ถ้ามีไฟล์อื่นจากที่กล่าวมาที่มี นามสกุล .exe ก็ให้ลบให้หมดเลยครับ เพราะตรงตำแหน่งนี้จะไม่มีไฟล์ .exe ครับ
7. click ที่เมนู start > run พิมพ์ regedit เลือกตามนี้ HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} Delete ส่วนของ StubPath: "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
จากนั้น กดปุ่ม Ctrl+f จะขึ้นหน้าต่าง Find ให้ใส่หมายเลข 645FF040-5081-101B-9F08-00AA002F954E แล้วกดปุ่ม Find next เมื่อพบให้ delete ให้หมด
8. ติดตั้งโปรแกรม CPE17 แล้วค่อยเสียบ Flashdrive เพื่อกำจัด autorun.inf และ cfxer.exe ที่อยู่ใน folder RECYCLER
จบแล้วครับ วิธีแก้ virus cfxer.exe (Win32 AutoRun.KS : detect by NOD32)
และ vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
คำแนะนำ : อย่าลืม update antivirus ให้เป็นปัจจุบันด้วยนะครับ
=========================== Test by peetech =========================
จำนวนครั้งที่ทดสอบ = 4 ครั้ง
ระบบปฎิบัติการที่ใช้ทดสอบ Windows XP SP2
แก้ไขบทความเพิ่มเติมเมื่อ 31/07/2009
No comments:
Post a Comment