"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Monday

Virus:Win32/Mebroot (old)

Win32/Mebroot : Detect by NOD32

Aliases:
Backdoor.Win32.Sinowal (Kaspersky), Trojan.Mebroot (Symantec), StealthMBR!mbr trojan (McAfee), BackDoor.MaosBoot (Dr. Web)
Type of infiltration: Trojan
Size: Variable
Affected platforms: Microsoft Windows
Signature database version: 2793 (20080115)

-------------------------------------------------------------------------
virus ตัวนี้ ก็นานแล้ว แต่ปรากฎว่ายังมีคนที่ โดน Mebroot เล่นงานอยู่
ซึ่งถ้าเป็นเมื่อก่อน คงต้องพึ่งการ Fomat Harddisk เพราะ virus ได้ฝังตัวที่ master boot record
-------------------------------------------------------------------------
วิธีแก้ Win32/Mebroot

Download Tool ของ ค่าย Antivirus ที่ทำออกมา
EMebRemove จาก NOD32
FixMebroot จาก Symantec

ข้อมูลจาก TrustdefenderLab
http://www.trustdefender.com/movies/mebroot-jan-2009/index.html

ข้อมูลจาก F-secure
http://www.f-secure.com/weblog/archives/00001393.html

Saturday

Win32/TrojanDownloader.VB.OCQ

scssrr.exe
(Win32/TrojanDownloader.VB.OCQ : Detect by NOD32)

File size: 49152 bytes
MD5 : 71ef2e1d95e70ba007653e44eb35a8c9
SHA1 : e46a613a6f33cbf9d6755a05f7308a3407963106
-----------------------------------------------------------------------
ข้อมูลอาจจะเก่าไปหลายวัน
virus ตัวนี้ผมไม่มีตัวอย่างไฟล์
ได้ข้อมูลมาจาก NOD32 เลยเอาให้ดูกันครับ

Aliases:
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.21 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.21 -
BitDefender 7.2 2009.08.21 -
CAT-QuickHeal 10.00 2009.08.21 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2047 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 -
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 -
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.824 2009.08.21 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5716 2009.08.21 -
McAfee+Artemis 5716 2009.08.21 -
McAfee-GW-Edition 6.8.5 2009.08.21 -
Microsoft 1.4903 2009.08.21 -
NOD32 4356 2009.08.21 Win32/TrojanDownloader.VB.OCQ
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.21 -
PCTools 4.4.2.0 2009.08.21 -
Prevx 3.0 2009.08.21 -
Rising 21.43.44.00 2009.08.21 -
Sophos 4.44.0 2009.08.21 -
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 -
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1895 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.21 -

ข้อมูลที่ได้จาก VirusTotal
ข้อมูลที่ได้จาก Threatexpert

Friday

Virus: Win32/Induc.A

How to remove Win32/Induc.A (Detect by NOD32)

Aliases:
Virus.Win32.Induc.a (Kaspersky), W32/Induc (McAfee), Virus:Win32/Induc.A (Microsoft)
Trojan.Downloader.JMGZ (Bitdefender)
Type of infiltration: Virus
Size: Approximately 5 KB
Affected platforms: Microsoft Windows
Signature database version: 4346 (20090818)
------------------------------------------------------------------------
ผู้ใช้ Delphi คอยตรวจสอบ โปรแกรมดูบ้างนะครับ เพราะอาจโดนเจ้า virus
Win32/Induc.A
Version ของ Delphi ที่ผลกระทบ คือ 4 , 5, 6 และ 7

อ้างอิงจาก NOD32

http://www.eset.eu/encyclopaedia/win32-induc-a-virus?lng=en

ภาพตัวอย่าง


------------------------------------------------------------------------
วิธีแก้ Virus : Win32/Induc.A
------------------------------------------------------------------------
Download Remove Tool

Avira AntiVir Removal Tool Delphi-Virus W32Induc.A

หรือ จาก Website ของ Avira โดยตรง
http://dlpro.antivir.com/package/removaltool3/win32/en/removaltool-win32-en.exe



หรือ Download Tool นี้

GSA Delphi Induc Cleaner 1.00

Thursday

Win32/Adware.Antivirus2009

Alert ! : Win32/Adware.Antivirus2009
-------------------------------------------------------------------------
ช่วงนี้ ถ้าใคร search หาข้อมูล เกี่ยวกับ ไฟไหม้ ที่ประเทศ Greece ต้องระวังด้วย
เพราะมี link ข่าวปลอม หากผู้ใช้เข้าสู่เว็บไซต์เหล่านี้จะถูกเปลี่ยนเส้นทางไปยังโดเมนหลายโดเมน (http://removeallthreat xxxxxx .Com) เพื่อ Download Malware : Win32/Adware.Antivirus2009

ตัวอย่าง



อ้างอิงจาก NOD32
....................................................................................................

Fake : Antivirus 2009

-----------------------------------------------------------------------
วิธีแก้ Win32/Adware.Antivirus2009
-----------------------------------------------------------------------
Download : Malwarebytes' Anti-Malware or a-squared Free 4.5 , SpyHunter (shareware)
Update ฐานข้อมูลแล้ว Scan
-----------------------------------------------------------------------

KB971029 , KB967715 : Fix Autorun จาก Microsoft

Update path : KB971029

For Windows XP
For Windows Vista
For Windows Vista 64 bit
For Windows Server 2003
For Windows Server 2003 64 bit
For Windows Server 2003 Itaniun
For Windows Server 2008
For Windows Server 2008 64 bit
For Windows Server 2008 Itanium

Update path : KB967715

Update for Windows XP
Update for Windows Server 2003 for Itanium-based Systems
Update for Windows Server 2003 x64 Edition
Update for Windows Server 2003
Update for Windows XP x64 Edition
Update for Windows 2000

Virus: Win32/LockScreen.AJ

How to remove Win32/LockScreen.AJ : Detect by NOD32
Aliases:
Trojan-Ransom.Win32.Blocker.ca (Kaspersky), Ransom!m (McAfee), Trojan.Winlock.144 (Dr.Web)
Type of infiltration: Trojan
Size: 23552 B
Affected platforms: Microsoft Windows
Signature database version: 4212 (20090703)
===================================================
เมื่อ virus ทำงานได้สร้างไฟล์ ใน %appdata%
C:\Documents and Settings\[User]\Application Data

dizjf.exe
pqkzm.exe
qawkj.exe
rnhai.exe
vxwcc.exe
yvvvd.exe



มีการแก้ไขค่า Registry ดังนี้
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"windll" = %appdata%\%filename%.exe


ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut)
> Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)

--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AJ
--------------------------------------------------------------------------
ใส่ Password ที่หน้าจอ lock screen
2950203 (+79202950203)
9484748 (+79209484748)
1234567 (+79201234567)
6372874 (+79206372874)





ใช้โปรแกรม Hijack This Fix checked ตำแหน่ง ค่า Run
HKCU\..\Run:[windll] C:\Documents and Settings\Administrator\Application Data\...exe
หรือ
ใช้โปรแกรม PeeTechFix-Win32.LockScreen.AJ แก้ไข Registry และ ลบไฟล์ virus
Download : PeeTechFix-Win32.LockScreen.AJ * กำลังแก้ไข Program

Virus: Win32/LockScreen.AI

How to remove Win32/LockScreen.AI : Detect by NOD32

Aliases:
Trojan-Ransom.Win32.Agent.as (Kaspersky), Trojan.Winlock.76 (Dr.Web), Trojan.Generic.1938868 (BitDefender)
Type of infiltration:
Trojan
Size: 598528 B
Affected platforms: Microsoft Windows
Signature database version: 4212 (20090703)
===================================================
Virus ไม่ได้สร้างไฟล์ไว้
แต่มีการแก้ไข Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTimer" = "%filename%.exe"

-------------------------------------------------------------------------
วิธีแก้ Win32/LockScreen.AI
-------------------------------------------------------------------------
ใส่ Password : 021370
เมื่อเข้า windows ได้แล้ว เข้าไปแก้ Registry หรือ ใช้โปแกรม Hijack This Fix checked ค่า Run
HKLM \..\Run : [QuickTimer]

Update ฐานข้อมูล virus ให้เป็นปัจจุบัน
-------------------------------------------------------------------------
อ้างอิงจาก : NOD32

Virus: Win32/LockScreen.AH

How to remove Win32/LockScreen.AH : Detect by NOD32

Aliases:
Trojan-Ransom.Win32.Delf.h (Kaspersky), Ransom!e (McAfee), Trojan.Winlock.142 (Dr.Web)
Type of infiltration: Trojan
Size: 387584 B
Affected platforms: Microsoft Windows
Signature database version: 4201 (20090630)
===================================================
เมื่อ virus ทำงาน ได้สร้างไฟล์ ไว้ดังนี้
%windir%\Media\sound.exe

แก้ไขค่า Registry
[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\RunOnce]
"sound" = "%windir%\Media\sound.exe"

ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut)
> Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AH
--------------------------------------------------------------------------
ใส่ Password ที่หน้าจอ lock screen : 69b453
แล้วใช้โปรแกรม PeeTechFix-Win32.LockScreen.AH แก้ไข Registry และ ลบไฟล์ virus
Download : PeeTechFix-Win32.LockScreen.AH

อ้างอิงข้อมูลจาก : NOD32

Virus: Win32/LockScreen.AG

How to remove Win32/LockScreen.AG : Detect by NOD32
Aliases:
Trojan-Ransom.Win32.SMSer.cn (Kaspersky), Ransom!p (McAfee), Trojan.Winlock.105 (Dr.Web)
Type of infiltration: Trojan
Size: 18432 B
Affected platforms: Microsoft Windows
Signature database version: 4194 (20090628) ===============================================
ผมลอง search หาดูว่าในเมืองไทย มีใครโดน virus พวก Win32/LockScreen บ้าง
แต่ก็ยังไม่พบว่ามีใครติด Win32/LockScreen ซึ่งออกมาหลาย version ใน 2 เดือน ที่ผ่านมา

เมื่อ virus ทำงาน ได้สร้างไฟล์ใน %appdata%
C:\Documents and Settings\[User]\Application Data ดังนี้
axjvk.exe
csbto.exe
iunmj.exe
lpyyi.exe
mpjwz.exe


แก้ไข้ค่า Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wsock" = "%appdata%\%filename%.exe"
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut) > Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AG
--------------------------------------------------------------------------

ให้ download ESETLockScreenAGKeygen
ใส่ตัวเลข 4 หลัก ที่ได้จากหน้าจอ Lockscreen แล้วกดปุ่ม generate จะได้ Password เพื่อ unlock
Photobucket

จากนั้นใช้ โปรแกรม PeeTecFix-Win32.LockScreen.AO กำจัดไฟล์ virus และแก้ไข Registry

Download : ESETLockScreenAGKeygen
Download : PeeTechFix-Win32 LockScreen.AG เพื่อ กำจัด virus และแก้ไข Registry

Tuesday

Virus: Win32 FlyStudio.NFA

How to remove Notepad.exe
(Win32 FlyStudio.NFA : Detect by NOD32)
Notepad.exe
CRC32: 80E33AF2
MD5: 11583A25C3A1CFA8CECB922037981EC6
SHA-1: 1DD6060D63C808531619B2097920F2DF5EC12A2F

===================================================
Other name
a-squared 4.5.0.24 2009.08.25 Trojan-Downloader.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.08.24 Win-Trojan/Xema.variant
AntiVir 7.9.1.3 2009.08.24 TR/Agent.wzb
Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.VB
Authentium 5.1.2.4 2009.08.25 W32/Nuj.A.gen!Eldorado
Avast 4.8.1335.0 2009.08.24 Win32:Trojan-gen {Other}
AVG 8.5.0.406 2009.08.24 SHeur.CHRK
BitDefender 7.2 2009.08.25 Trojan.Spy.Agent.NXS
CAT-QuickHeal 10.00 2009.08.24 TrojanDropper.Regul.a
ClamAV 0.94.1 2009.08.25 -
Comodo 2083 2009.08.25 TrojWare.Win32.TrojanDownloader.VB.hnm
DrWeb 5.0.0.12182 2009.08.25 Win32.HLLW.Autoruner.6234
eSafe 7.0.17.0 2009.08.24 Win32.Downloader
eTrust-Vet 31.6.6698 2009.08.24 Win32/SillyAutorun.AIA
F-Prot 4.4.4.56 2009.08.24 W32/Nuj.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.25 Trojan-Downloader.Win32.VB.hnm
Fortinet 3.120.0.0 2009.08.24 W32/VB.HNM!tr.dldr
GData 19 2009.08.25 Trojan.Spy.Agent.NXS
Ikarus T3.1.1.68.0 2009.08.25 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.08.23 Worm/AutoRun.xl
K7AntiVirus 7.10.826 2009.08.24 Worm.Win32.AutoRun.rbx
Kaspersky 7.0.0.125 2009.08.25 Trojan-Downloader.Win32.VB.hnm
McAfee 5719 2009.08.24 Generic Dropper.i
McAfee+Artemis 5719 2009.08.24 Generic Dropper.i
McAfee-GW-Edition 6.8.5 2009.08.25 Trojan.Agent.wzb
Microsoft 1.4903 2009.08.24 Worm:Win32/Regul.B
NOD32 4364 2009.08.24 Win32/FlyStudio.NFA
Norman 2009.08.24 W32/Lineage.BLDC
nProtect 2009.1.8.0 2009.08.24 Trojan-Downloader/W32.Agent.1512065
Panda 10.0.0.14 2009.08.24 Adware/AccesMembre
PCTools 4.4.2.0 2009.08.24 -
Prevx 3.0 2009.08.25 High Risk Worm
Rising 21.44.10.00 2009.08.25 Worm.Win32.Autorun.euk
Sophos 4.44.0 2009.08.25 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.08.25 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.25 Trojan Horse
TheHacker 6.3.4.3.387 2009.08.25 W32/AutoRun.xxq
TrendMicro 8.950.0.1094 2009.08.25 WORM_AUTORUN.KAI
VBA32 3.12.10.10 2009.08.25 Worm.Win32.AutoRun.tbb
ViRobot 2009.8.24.1899 2009.08.24 Trojan.Win32.Downloader.1512065
VirusBuster 4.6.5.0 2009.08.24 Worm.Regul.EI
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างดังนี้ (Random)
ตัวอย่างที่ผมทดสอบ 2 ครั้ง ได้ไม่เหมือนกัน virus ได้ random ชื่อ folder และไฟล์ไปเรื่อยๆ
C:\WINDOWS\system32\[ramdom folder]\[random mame]

Test ครั้งที่ 1
C:\WINDOWS\system32\420423\D2329D.EXE

C:\WINDOWS\system32\3B1B8A\com.run
C:\WINDOWS\system32\3B1B8A\dp1.fne
C:\WINDOWS\system32\3B1B8A\eAPI.fne
C:\WINDOWS\system32\3B1B8A\internet.fne
C:\WINDOWS\system32\3B1B8A\krnln.fnr
C:\WINDOWS\system32\3B1B8A\RegEx.fnr
C:\WINDOWS\system32\3B1B8A\shell.fne
C:\WINDOWS\system32\3B1B8A\spec.fne

C:\WINDOWS\system32\EF617B\423b.inf
C:\WINDOWS\system32\EF617B\8ace.EDT
C:\WINDOWS\system32\EF617B\8ace.inf
....................................................................................................................
Test ครั้งที่ 2
C:\WINDOWS\system32\3AD897\0A4C66.EXE

C:\WINDOWS\system32\7DECB1\com.run
C:\WINDOWS\system32\7DECB1\dp1.fne
C:\WINDOWS\system32\7DECB1\eAPI.fne
C:\WINDOWS\system32\7DECB1\internet.fne
C:\WINDOWS\system32\7DECB1\krnln.fnr
C:\WINDOWS\system32\7DECB1\RegEx.fnr
C:\WINDOWS\system32\7DECB1\shell.fne
C:\WINDOWS\system32\7DECB1\spec.fne

C:\WINDOWS\system32\077562\897d.inf
C:\WINDOWS\system32\077562\ b190.EDT
C:\WINDOWS\system32\077562\b190.inf
....................................................................................................................
สร้างไฟล์ลงใน %temp% อยู่ใน E_4
C:\DOCUME~1\[User Logon]\LOCALS~1\temp\E_4\krnln.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\shell.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\eAPI.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\internet.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\spec.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\RegEx.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\dp1.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\com.run

สร้างไฟล์ใน USB Drive
X:\Autorun.inf
X:\Notepad.exe

ซ่อน Folder จริง และสร้าง folder ปลอม ที่มีนามสกุล .exe ขึ้นมาแทน ดังภาพ



ตัวอย่าง Foder และไฟล์ ที่ virus สร้างขึ้น


มีการเชื่อมต่อไปยังประเทศจีน
http://www3.866-86.cn/a/a4.htm
http://www2.866-86.cn/a/a1.htm
โดยเปิดหน้า web page อยู่เป็นระยะๆ
ตัวอย่าง


------------------------------------------------------------------------
วิธีกำจัด virus : Notepad.exe
(Win32 FlyStudio.NFA : Detect by NOD32)

แบบ manual
-----------------------------------------------------------------------
Download Virus Remove Tool

Kill Process , ExplorerXP, Hijack This , DKDC_Hash , NOD32 Recovery Tool

ต้องขออภัย ที่ใช้ Tool หลายตัว คือผมทำเผื่อคนที่ไม่ถนัดในการเข้าไปแก้ไขแบบ Advance เช่น registry
ก่อนอื่นให้ตัดการเชื่อมต่อ Internet ก่อนครับ

1. เปิดโปรแกรม Kill process หา Folder ที่เป็นนามสกุล .exe แล้วเลือก Terminal ให้หมดทุกตัว


2. เปิดโปรแกรม ExplorerXP เข้าไปหา folder ที่อยู่ใน system32 ดู folder ที่มีตัวเลขตัวอักษร 6 ตัว
มีอยู่ 3 folder และข้างใน folder มีไฟล์ที่บอกไว้ด้านบน (test1,test2) ก็ใช่เลย delete ออกได้เลยครับ
ผมก็บอกไม่ได้ว่า virus จะสร้าง ชื่อ folder อะไรไว้บ้างเนื่องจาก มัน random เปลี่ยนชื่อไปเรื่อย

3.ใช้โปรแกรม DKDC_Hash เลือกไฟล์ virus ต้นฉบับ และเลือกระบุ Drive เพื่อ Scan USB Drive

4.ใช้โปรแกรม Hijack This fix checked ที่ 2 บรรทัด
(ดูค่า run ที่มี folder ต่อจาก systen32)
HKLM\..\Run: [xxx] C:\WINDOWS\system32\[random foder]\[random filename]
Startup: กกกกกก.lnk = C:\WINDOWS\system32\[random foder]\[random filename]
Exam 1
HKLM\..\Run: [0A4C66] C:\WINDOWS\system32\3AD897\0A4C66.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\3AD897\0A4C66.EXE
Exam 2
HKLM\..\Run: [D2329D] C:\WINDOWS\system32\420423\D2329D.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\420423\D2329D.EXE

5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Showhidden และกำจัดไฟล์ autorun.inf
ใน USB Drive
6. ใช้โปรแกรม ATF cleanner clear ไฟล์ใน temp หรือไปที่เมนู start เลืก Run พิมพ์ %temp% และ Delete ข้อมูลใน temp ให้หมด
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
================= Test by PeeTech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2

Monday

Virus:Win32/Autorun.FackAlert.CQ

autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB

===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe

ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen

HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

-------------------------------------------------------------------------
วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)

แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool

Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery


1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker


จากนั้น delete ไฟล์ msupdate.exe

2. ใช้โปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน USB Drive คือไฟล์
autorun.inf
autorun.exe

3.ใช้โปรแกรม Hijack This ficked ที่ 2 บรรทัดนี้
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe

4. Run โปรแกรม PeeTech_SafemodeRecovery เมื่อเสร็จแล้วเครื่องจะ restart
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
================== Test by PeeTech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2

Thursday

วิธีใช้โปรแกรม JupiterFix Win32.PSW.OnlineGame

ช่วงวันหยุดปีใหม่ ผมทำได้ทำเป็น version ใหม่แล้วครับ เป็น version 3.0
ซึ่งเปลี่ยนชื่อจาก PeeTechFix Win32.PSW.OnlineGame เป็น
JupiterFix Win32.PSW.OnlineGame
================================================
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames 2011

เมื่อ Download ไฟล์มาแล้ว ให้ Extract ไฟล์ออกเป็นชื่อเดียวกับ Zip จะได้ folder ชื่อ
JupiterFix Win32.PSW.OnlineGames 2011

Photobucket


เปิดเข้าไปใน folder จะเห็นไฟล์ต่างๆดังภาพ
ให้ Double click ที่ไฟล์ JupiterFix-Win32.PSW.OnlineGames

Photobucket

โปรแกรมจะขอให้ท่านเสียบ USB Drive ถ้าท่านมีไวรัสตัวที่้ต้องการกำจัด เพื่อเตรียม Scan USB Drive ด้วย ดังภาพ (เพราะถ้าเสียบ USB Drive หลังจากการใช้ Tool นี้แล้วท่านอาจกลับมาติดไวรัสตัวเดิมที่อยู่ใน USB Driveได้ ถ้า Antivirus ของท่านยังไม่รู้จักไฟล์ไวรัส จึงแนะนำ้ให้เสียบก่อนใช้ Fix Tool)

Photobucket

เมื่อกดปุ่ม OK Desktop จะหายไปชั่วขณะ หลังจากนั้นจะขึ้น splash loading ให้รอสักครู่

Photobucket

หลังจาก Splash loading หายไปแล้ว จะแสดงหน้าโปรแกรมดังภาพ

Photobucket

วิธีใช้ก็ง่ายๆ ครับ
1. Click ที่ปุ่ม Kill Process แล้วรอจนโปรแกรมทำงานเสร็จ
2. Click ที่ปุ่ม Remove Malware แล้วรอจนโปรแกรมทำงานเสร็จ
3. Click ที่่ปุ่ม Repair Registry แล้วรอจนโปรแกรมทำงานเสร็จ
4. ถ้าต้องการ Check AVDB ล่าสุดก็ click ที่ Update New AVDB


ท่านที่ประสบปัญหาโดน virus ตระกูล OnlineGame ลอง Download ไปใช้กันดูนะครับ
(ตรวจสอบรายชื่อ virus ตระกูล OnlineGames ได้ใน VirusList.txt)


คำแนะนำ : หลังจากกำจัดไวรัสไ้ด้แล้ว ให้ติดตั้งโปรแกรม หรือ Fix เพิ่มเติม เช่น
Program Advice (Stop AutoRun)


NoAutoRun (.REG)
http://www.mediafire.com/?ammmxwhqmnm
or

Panda USB Vaccine
http://www.mediafire.com/download.php?qig0nmnm4ld

or
KB971029, KB967715
http://hotzone-it.blogspot.com/2009/08/kb971029-fix-autorun-microsoft.html

or
CPE17 AutoRun Killer
http://www.mediafire.com/download.php?hxoyjj0hyfh

Good luck :)

หมายเหตุ :
ที่ผมเน้นตัวนี้เป็นหลัก เนื่องจาก virus ตระกูลนี้ ออกมาแทบทุกวัน ครับ
และมีผู้ใช้คอมพิวเตอร์ติดกันจำนวนมาก

============== Developer by PeeTech ===============

Tuesday

Virus: Win32/Autoit.DK

How to remove system.exe , msmsgs.exe
( Win32/Autoit.DK : Detect by NOD32)

system.exe , msmsgs.exe
MD5: C63505ABA99215E3918F973404EC9EF6

SHA-1: 36FB3809CB9560C4640E76E8B0847C00C402383E
CRC32: EFD09B86
==============================================
Other name
a-squared > Worm.Win32.AutoIt!IK
AhnLab > Win-Trojan/Autorun.215456
AntiVir > TR/Dldr.agent.WZ
Antiy > Worm/Win32.AutoIt.gen
Avast > Win32:AutoIt-U
AVG > Worm/Autoit.PM
BitDefender > Win32.Worm.Autoit.Q
CAT-QuickHeal > Worm.AutoIt.i
ClamAV > Trojan.Autoit-14
Comodo > Worm.Win32.AutoIt.i
DrWeb > Win32.HLLW.Autohit.9510
eSafe > Win32.Sality.Y
F-Secure > Worm.Win32.AutoIt.i
Fortinet > W32/AutoIt.I!worm
GData > Win32.Worm.Autoit.Q
Ikarus > Worm.Win32.AutoIt
Jiangmin > Worm/Autoit.a
Kaspersky >Worm.Win32.AutoIt.i
McAfee > W32/Autorun.worm.gen.za
Microsoft > Worm:Win32/Autorun.GY
NOD32 > Win32/Autoit.DK
Norman > AutoIt.R
Panda > Trj/CI.A
PCTools > Worm.AutoIT.V
Prevx > High Risk Fraudulent Security Program
Rising > Worm.Win32.Autorun.dkp
Sophos > W32/SillyFDC-AP
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > Mal_SHND-4
VBA32 > Worm.Win32.AutoIt.i
ViRobot > Worm.Win32.Autorun.215552.B
VirusBuster > Worm.AutoIT.V
------------------------------------------------------------------------
ไฟล์ที่ใช้ทดสอบ : system.exe
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe

Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC, Win32/Patched.AG
--------------------------------------------------------------------------
วิธีกำจัด virus : system.exe , msmsgs.exe ( Win32/Autoit.DK : Detect by NOD32)
แบบ Manual
--------------------------------------------------------------------------
จากที่ได้ทดสอบ virus ตัวนี้ ลักษณะคล้ายกับ Win32/Patched.AG ที่ได้ทดสอบไปก่อนหน้านี้
ผมจึงขอไม่เขียนซ้ำนะครับให้ดูที่ link วิธีกำจัด virus Win32/Patched.AG

Virus: Win32/Patched.AG

How to remove System.exe , msmsgs.exe
( Win32/Patched.AG)
System.exe , msmsgs.exe
MD5 : CF79F82AA29A807E1EEA4A637960972F
SHA1 : 4858082AB4A563C62D6750013F527FF9EB587F75
CRC32 : 3843957D

==============================================
Other name
ArcaVir > Downloader.Agent.Apey
A-squared > Worm.Win32.AutoIt!IK
Avast > Win32:Patched-GS
AVG > Win32/Patched
AntiVir > TR/Dldr.Agent.WZ
Bitdefender > Win32.Worm.Autoit.O
ClamAV > Trojan.Autoit-14
Comodo > TrojWare.Win32.Patched.G
Dr.WEB > Win32.HLLW.Autoruner.6157
eTrust-Vet > Win32/Eldycow.HS
F-PROT > W32/Downldr2.AICJ
F-Secure > Worm.Win32.AutoIt.i
G-DATA > Win32.Worm.Autoit.O
Ikarus > Worm.Win32.AutoIt
Jiangmin > Win32/Loadll.b
Kaspersky > Worm.Win32.AutoIt.i
McAfee > W32/Kibik.c
Microsoft >Win32/Wixud.A
NOD32 > Win32/Patched.AG
Norman > W32/Obfuscated.H11!genr
Panda > W32/PatchLog.P
PCTools > Worm.AutoIT.V
Quick heal > Trojan.Patched.BZ
Rising > Win32.Agent.xql
Sophos > W32/LibHack-A
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > PE_KIBIK.B
VirusBuster > Worm.AutoIT.V
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างๆดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe

สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe

Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้
virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC
ถ้าลองเปิดด้วยโปรแกรม System Explorer จะเห็นดังภาพ ว่าค่า Startups มี bad1,bad2,bad3



ถ้าดูด้วยโปรแกรม Autoruns Tab ของ Logon



มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS1: "C:\WINDOWS\system32\system.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS2: "C:\WINDOWS\system32\bad1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS3: "C:\WINDOWS\system32\bad2.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS4: "C:\WINDOWS\system32\bad3.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmsgs: "C:\WINDOWS\system32\Msmsgs.exe"
------------------------------------------------------------------------
วิธีกำจัด virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
แบบ Manual
------------------------------------------------------------------------
Download Virus Remove Tool

Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool

ก่อนอื่นตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างๆ
ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม Kill Process แล้วเลือก Terminal folder ปลอมที่มีนามสกุล .exe ให้หมดทุกตัว




2. เปิดโปรแกรม ExplorerXP เข้าไป Delete file ตามนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe



3. ใช้โปรแกรม DKDC_HASH scan หาไฟล์ virus ใน USB Drive



4. เปิดโปรแกรม Hijack this แล้ว Fix checked ที่ 6 บรรทัดนี้ครับ
HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
HKLM\..\Run: [Msmsgs] C:\WINDOWS\system32\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่าRegitry สำคัญๆ
6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
จบแล้วครับวิธีแก้ virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
================== Test by PeeTech ====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฎิบัติการที่ใช้ทดสอบ : Windows XP SP2

Monday

Virus: Win32 Spy.Ambler

How to remove chess.exe
(Win32 Spy.Ambler : Detect by NOD32)
chess.exe
MD5 : 4586667D8D5D82A93CB37D0A37876AB5
SHA1 : 831C3D706E1F7E6CFE37E9FA0F04EDC55366A5DA


Xlk.dll
MD5: 67AF34EBB9316287F6F4735BE72F825A
SHA1 : 502933FFF9965D1F084946F4EF2EC0B55D1FAE5E ===================================================
Other name
AntiVir > TR/Dropper.Gen
Authentium > W32/Worm.AKUA
AVAST> Win32:Ambler-B
AVG > BHO.HRA.dropper
BitDefender > Dropped:Trojan.Generic.1405901
CA (VET) > Win32/Ambler!generic trojan
Comodo > TrojWare.Win32.TrojanDownloader.BHO.~BO
F-Prot > W32/Worm.AKUA
F-Secure > Trojan-Spy:W32/Ambler.gen!B
Fortinet > W32/AutoRun.ADWJ!worm
GData > Worm.Win32.AutoRun.adwj
Ikarus > Trojan-Dropper.Win32.Ambler
JiangMin > Worm/AutoRun.gpg
Kaspersky > Worm.Win32.AutoRun.adwj
KingSoft > Worm.AutoRun
McAfee > W32/Autorun.worm!n
Microsoft > TrojanSpy:Win32/Ambler.D
NOD32 > Win32/Spy.Ambler
Norman > W32/Malware.FLZU
nProtect > Dropped:Trojan.Generic.1405901
Quick > Worm.AutoRun.aqez
Sophos > W32/Autorun-AON
Sunbelt > Trojan.Win32.Generic!BT
Symantec > Infostealer.Banker.E
The Hacker > W32/AutoRun.adwj
Trend Micro > TROJ_AGENT.ALQW
VBA32 > Worm.Win32.AutoRun.adwj
VirusBuster > Worm.AutoRun.LHW

===================================================

ไฟล์ที่ใช้ทดสอบ chess.exe
เมื่อ virus ทำงาน ได้มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\rs
C:\WINDOWS\system32\xlk.dll

มีการแก้ไข Registry ดังนี้
Key added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgIDHKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLibHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}

Value Added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLib\: "{44210CD6-B610-4b87-A24E-D317C2C22385}"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgID\: "Jmc"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\: "xlk.dll"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\: "Google plugin"HKLM\SOFTWARE\Google\MJ1: 63 77 60 20
HKLM\SOFTWARE\Google\MJ2: 63 77 60 22
HKLM\SOFTWARE\Google\MJ3: 63 77 60 22
HKLM\SOFTWARE\Google\Add: 28 23 3D 23 23 22 3F 24 26 3F 23 23 20 3D 79 7E 70 3C 79 73 7D 75
HKLM\SOFTWARE\Google\LN: SG@OGG
HKLM\SOFTWARE\Google\COD: "l/.Q%T&%V:'% V:#sr$://Q!:.Q$&V&T'Q& Tj"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\: "DCOM service"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Locale: "EN"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\StubPath: "rundll32 xlk.dll,InitO"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\IsInstalled: 0x00000001
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Version: "4,3,6,3"

-------------------------------------------------------------------------
ถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ


-------------------------------------------------------------------------
วิธีกำจั virus : chess.exe (Win32 Spy.Ambler : Detect by NOD32)
-------------------------------------------------------------------------
Download Virus Remove Tool
Unlocker , Hijack This , NOD32 Recovery Tool

1. เข้าไปที่ C:\WINDOWS\system32\ click ขวาที่ไฟล์ xlk.dll เลือก Unlocker
จะขึ้นหน้าต่างๆดังภาพ ให้ click ที่ rundll32.exe แล้วกดปุ่ม unlock



2. delete ไฟล์ใน system32 ตามนี้ครับ
C:\WINDOWS\system32\xlk.dll
C:\WINDOWS\system32\rs

3. ใช้โปแกรม Hijack This fix checked ที่ 2 บรรทัดนี้
BHO: Google plugin - {89F2C12A-027A-4de3-88F6-9F31A1C0F17C} - xlk.dll (file missing)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1



4. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Registry ของ Task Manager

5. Click Start > run พิมพ์ Regedit เข้าไปแก้ไขค่า Registry โดย click ที่ menu Edit เลือกที่ Find
ค้นหาค่า 2 ค่านี้ แล้ว delete ให้หมดครับ
{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}

และ Delete Key "Google" ออกด้วยครับ ตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Google

จบแล้วครับ วิธีแก้ virus chess.exe (Win32 Spy.Ambler : Detect by NOD32)
แต่ที่ผมแปลกใจคือ ไม่เห็นมีการสร้างไฟล์ chess.exe ลงในเครื่องเลย
=================== Test by PeeTech ===================
จำนวนครั้งที่ทดสอบ 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2

Virus: Win32/AutoIt.AI

How to remove IEXPLOREi.exe (Win32.AutoIt.AI : Detect by NOD32)

ไวรัสตัวนี้ผมไม่มีตัวอย่างไฟล์นะครับ ได้แต่อ่านข้อมูลจาก Web site ต่างๆ
ไวรัส IEXPLOREi.exe (Win32.AutoIt.ai)
อาการที่เเสดงเมื่อติดเชื่อไวรัส IEXPLOREi.exe (Win32.AutoIt.AI)
1. เข้า Regedit ไม่ได้
2. ใช้ Task Manager ไม่ได้
3. Folder Option หายไป
4. มันจะสร้างโฟลเดอร์ IEXPLOREi.exe,Bi Mat.exe,เเละไฟล์ Autorun.inf เเละโฟลเดอร์นามสกุล .EXE ไว้ในเเฟล๊ชไดร์ฟทุกโฟลเดอร์
วิธีเเก้ทำตามขั้นตอนดังต่อไปนี้
1. ดับเบิ้ลคลิกที่ไฟล์ Kill IEXPLOREi.bat เครื่องจะรีสตาร์ทใหม่
2. เมื่อเข้าวินดดร์เรียบร้อย กดปุ่มรูปวินดดร์ที่คีย์บอร์ด + F จะมีหน้าต่าง Search ขึ้นมา
3. คลิกที่ All File and folders
4. คลิกที่ Drop Down เลือกเเฟลชไดร์ฟที่ใช้อยู่
5. คลิกที่ More advanced option
6. คลิกเลือก Search system folders, Search hidden files and folders, Search subfolders ทั้ง 3 ช่อง
7. พิมพ์ .exe ในช่อง All or part of the file name: เเล้วคลิกปุ่ม Search
8. คลิกขวาที่ช่องหน้าต่างขวามือ เเล้วเลือก Arrange Icon By --> เเล้วเลือกคลิกที่ Modified
9. ลบรูปโฟลเดอร์นามสกุล .exe ไฟล์ขนาด 246 KB ทิ้งทั้งหมด (ยหเว้นไฟล์ขนาด 247 KB ที่ไม่ใช่รูปโฟลเดอร์)
-------------------------------------------------------------------------
ส่วนวิธีกำจัดของผมคือ
Download PeeTechFix_Win32.Autoit.AI.zip
ซึ่งผมไม่ทราบว่า MD5 ของไฟล์ IEXPLOREi.exe มีค่าเท่าไหร่ ผมจึงใส่ไว้ 6 ค่าด้วยกัน
--------------------------------------------------------------------------

ด้านล่างคือ bate file
code Kill IEXPLOREi.bat
--------------------------------------------------------------------------
@echo offcolor 0aTaskkill /f /im IEXPLOREi.exeREG delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Yahoo Messengger" /fREG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /fREG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /fFOR %%i IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO attrib -r -h -s -a %%i\IEXPLOREi.exe & del /f /q /a -r -h -s -a %%i\IEXPLOREi.exe attrib -r -h -s -a %%i\"Bi mat.exe" & del /f /q /a -r -h -s -a %%i\"Bi mat.exe" & attrib -r -h -s -a %%i\AutoRun.inf & del /f /q /a -r -h -s -a %%i\AutoRun.infcd %windir%\system32 & attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exe & attrib -s -r -a -h word.exe & del /f /q /a -r -h -s -a word.exe & attrib -s -r -a -h Autorun.ini & del /f /q /a -r -h -s -a Autorun.inicd..attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exedel /a /s /q /f C:\Windows\Prefetch .*shutdown -r -t 0

copy code นี้ ใส notepad แล้ว save เป็นนามสกุล .bat แล้วนำไป run

Virus : Win32/Autoit.AC

virus ตัวนี้ผมไม่มีไฟล์ ตัวอย่างนะครับ แต่เคยแก้ไป 2 เครื่อง ประมาณสั่ง 2 ปีที่แล้ว
และไม่เก็บตัวอย่าง virus ไว้ ซึ่งก็มีหลาย web บอกวิธีแก้ไว้แล้ว และ NOD32 ก็ได้ออก Tool แก้ไว้แล้ว
ผมก็จะไม่เขียนอะไรมากมายเพราะไม่มีข้อมูล ที่เขียนเรื่องนี้เพราะจะรวมรวมวิธีแก้ไว้เท่านั้นเองครับ
ซึ่งตอนนั้นพอจำได้ว่าเครื่องที่ ลง NOD32 ไว้ ไม่สามารถใช้งานได้ คำสั่งสำคัญ เช่น Task Manager, Regedit ใช้งานไม่ได้
-------------------------------------------------------------------------
วิธีกำจัด virus : Bad1 bad2 bad3
(Win32/Autoit.AC : Detect by NOD32)
-------------------------------------------------------------------------
NOD32 Bad1,2,3[Autoit.AC]-Fix
Remove Bad 1,2,3 Manual Fix
หรือลองดูตัวอย่างที่ Web ช่างป่าน
http://www.webphand.com/BaD/


ข้อมูลจาก Blog thai windows Administrator
http://thaiwinadmin.blogspot.com/2007/11/kb-112007-02.html

ข้อมูลอ้างอิง จาก threatExpert
http://www.threatexpert.com/report.aspx?md5=05c9d8224a81ee66736d44e92f464353

Thursday

Virus Remove Tool

Tool สำหรับ กำจัด virus ต่างๆ
-------------------------------------------------------------------------
PeeTech Fix Tool + Other Virus Remove Tool
-------------------------------------------------------------------------
วิธีใช้งาน : ให้เสียบ USB Drive ไว้ที่กับ computer ก่อน
extract zip ไฟล์ ออก ให้อยู่ folder เดียวกันแล้วค่อย Run โปรแกรม
ถ้ายังมีไฟล์หลงเหลืออยู่ให้ลอง run อีกครั้ง หรือ Run ใน safemode
และควรปิด Antivirus (ถ้าปิดได้) ก่อน Run Fix Tool
-------------------------------------------------------------------------
PeeTechFix >> JupiterFix (New)

14/02/2011 Photobucket


AVDB-146
(Virus signature database update)

- Update new malware (OnlineGames families)


===========================================================
PeeTechFix-MultipleRogue 1.1 + TDSSKiller
(ave.exe,av.exe)

TDSS Rootkit files and TDSS Rootkit registry
.........................................................

PeetechFix-Security Central

PeeTechFix-Control Center

PeeTechFix-Adware.Search Setting 1.2

PeeTechFix-Total PC Defender 2010

PeeTechFix-SSHNAS21

http://hotzone-it.blogspot.com/2009/08/virus-win32lockscreenah.html

PeeTecFix-Win32.LockScreen.AL 1.0.0.zip
http://hotzone-it.blogspot.com/2009/09/win32lockscreenal.html

PeeTecFix-Win32.LockScreen.AK 1.0.0.zip
http://hotzone-it.blogspot.com/2009/09/win32lockscreenak.html

PeeTecFix-Win32.LockScreen.AO.zip
http://www.mediafire.com/download.php?k1fyt1ydnjz

PeeTecFix-Win32.LockScreen.AN.zip
http://www.mediafire.com/download.php?yznfom3llzz

PeeTecFix-Win32.LockScreen.AG.zip
http://www.mediafire.com/download.php?ymvmt0nng5n

PeeTechFix-Advanced Virus Remover

PeeTech-FixDsad11

PeeTechFix-8dXaM.zip

PeeTechFix-AH1N1.zip

PeeTechFix-InternetSecurity2010 1.0.rar

PeeTechFix-Loikaw 1.2.zip (last update 05/06/2010)

PeeTechFix-MarcMaynard 1.0.zip

PeeTechFix-Phim nguoi lon 1.0.zip

PeeTechFix-Pikachu 1.0.zip

PeeTechFix-Restric Policies 1.2.zip

PeeTechFix-RogueSecurityAntivirus 1.1.zip

PeeTechFix-Smart Protector 1.1.zip

PeeTechFix-Thayet Myo Hacking Day 1.1.zip

PeeTechFix-TrojanDownloader.FakeAlert.ATQ 1.0.zip

PeeTechFix-Win32.FraudPack.zcq 1.0.zip

PeeTechFix-Win32.Oficla 1.0.zip

PeeTechFix-Win32.VB.NMZ.zip

----------------------------------------------------------------------------
NOD32 Virus Remove Tool
----------------------------------------------------------------------------
NOD32 EConficker Remove
NOD32 Winxp_32[Autorun.NAA]-Fix

NOD32 VirusMSN-IRCBOT-Fix
NOD32 VBS[Butsur.D]-Fix
NOD32 VBS[Butsur.A,B]-Fix
NOD32 VBS[Small.K]-Fix
NOD32 Toy-Fix
NOD32 Stration-Fix
NOD32 RJump.A-Fix
NOD32 MyGril-Fix
NOD32 Monalisa-Fix
NOD32 Hakaglan-Fix
NOD32 Flashy-Fix
NOD32 Endless-Fix
Brontok.B Fix
NOD32 Bad1,2,3[Autoit.AC]-Fix
NOD32 Autorun-Fix

-----------------------------------------------
Symantec Virus Remove Tool
-----------------------------------------------
Symantec Trojan.Ransomlock Key Generator Tool
Trojan.Initbar Removal Tool
Trojan.Xrupter Removal Tool
W32.Virut Removal Tool
Trojan.Bankpatch Removal Tool
W32.Downadup Removal Tool
Trojan.Brisv.A!inf Removal Tool
-----------------------------------------------
Bitdefender Virus Remove Tool
-----------------------------------------------
Backdoor.IRC.Sticy.A (.exe)download
Backdoor.K0wbot.1.2 / 1.3.A / 1.3.B (.exe)download
BackDoor.Rebbew (A,B,C,D) (.exe)download
Backdoor.Sticy.B (.exe) download
I-Worm.Sircam (.exe) download
Trojan.VB.AE (.exe) download
Win32.Antiman.A@mm (.exe) download
Win32.Auric.A@mm (.exe) download
Win32.Badtrans.B@mm (.exe) download
Win32.Bagle.A@mm (.exe) download
Win32.Bagle.AU@mm (.exe) download
Win32.Bagle.{C-E}@mm (.exe) download
Win32.Bagle.FO@mm (.exe) download
Win32.Bagz.B@mm (.exe) download
Win32.Bride.A@mm (.exe) download
Win32.Bride.B@mm (.exe) download
Win32.Bride.C@mm (.exe) download
Win32.Brontok.A@mm (.exe) download
Win32.BugBear.A@mm (.exe) download
Win32.BugBear.B@mm (.exe) download
Win32.BugBear.C@mm (.exe) download
Win32.Dumaru.A@mm (.exe) download
Win32.Dumaru.B/C@mm (.exe) download
Win32.Dumaru.Y@mm (.exe) download
Win32.Elkern.A (.exe) download
Win32.Evaman.A@mm (.exe) download
Win32.Fizzer.A@mm (.exe) download
Win32.Frethem.F@mm (.exe) download
Win32.Funlove (.exe) download
Win32.Ganda.A@mm (.exe) download
Win32.Gibe.A@mm (.exe) download
Win32.Gone.A@mm (.exe) download
Win32.Holar.H@mm (.exe) download
Win32.IISWorm.CodeRed.F (.zip) download
Win32.Ivrol.A@mm (.exe) download
Win32.Jeefo.A (.exe) download
Win32.Klez.A@mm (.exe) download
Win32.Klez.D@mm (.exe) download
Win32.Klez.E@mm (.exe) download
Win32.Klez.H@mm (.exe) download
Win32.Lirva.B@mm (.exe) download

Win32.LovGate.C@mm
antilovgate-en.exe download
antilovgate-en.exe download
Win32.LovGate.G/H/J/K@mm (.exe) download

Win32.Mabutu.A@mm (.exe) download
Win32.Magistr.B@mm (.exe) download
Win32.Melare.A@mm (.exe) download
Win32.Mimail.A@mm (.exe) download
Win32.Mimail.C@mm (.exe) download
Win32.Mimail.D,E,F,H@mm (.exe) download
Win32.Mimail.I@mm (.exe) download
Win32.Msblast.A (.exe) download
Win32.Msblast.B (.exe) download
Win32.Msblast.C (.exe) download
Win32.Msblast.F (.exe) download
Win32.Muce.A (.exe) download
Win32.Mydoom.B@mm (Win32.Novarg.B@mm) (.exe) download
Win32.Myparty.A@mm (.exe) download
Win32.Neroma.A@mm (.exe) download
Win32.Neroma.B@mm (.exe) download
Win32.Netsky.B@mm (.exe) download
Win32.Netsky.Q@mm (.exe) download
Win32.Nimda.A@mm (.exe) download
Win32.Nimda.E@mm (.exe) download
Win32.Novarg.A@mm (.exe) download
Win32.Nyxem.E@mm (.exe) download
Win32.Parite.A/B/C (.exe) download
Win32.Polip.A (.exe) download
Win32.Sober.AD@mm (.exe) download
Win32.Sober.A@mm (.exe) download
Win32.Sober.B@mm (.exe) download
Win32.Sober.C@mm (.exe) download
Win32.Sober.D@mm (.exe) download
Win32.Sober.F@mm (.exe) download
Win32.Sober.O@mm (.exe) download
Win32.Sobig.A@mm (.exe) download
Win32.Sobig.B@mm (Palyh) (.exe) download
Win32.Sobig.C@mm (.exe) download

Win32.SoBig.E@mm
antisobig-en.exe download
antisobig-en.exe download
Win32.Sobig.F@mm (.exe) download

Win32.Valhalla.2048 (.exe) download
Win32.Worm.Benjamin (.exe) download

Win32.Worm.Bobax.A/C
antibobax-en.exe download

antitest-en.exe download
Win32.Worm.Dabber.A (.exe) download
Win32.Worm.Delf.NCZ (.exe) download

Win32.Worm.Downadup.Gen
anti-Downadup-EN.zip download
anti-Downadup-EN.zip download
dcleaner.zip download

Win32.Worm.Korgo.A,B (.exe) download
Win32.Worm.Korgo.C (.exe) download
Win32.Worm.Korgo.P (.exe) download
Win32.Worm.Korgo.R (.exe) download
Win32.Worm.Mexer.E (.exe) download
Win32.Worm.Mytob.BY (.exe) download
Win32.Worm.Opaserv (.exe) download
Win32.Worm.SQLExp.Slammer.A (.zip) download
Win32.Worm.Welchia.A (.exe) download
Win32.Worm.Welchia.B (.exe) download
Win32.Yahaa.D@mm (.exe) download
Win32.Yahaa.E@mm (.exe) download
Win32.Yahaa.J@mm (.exe) download
Win32.Yahaa.K@mm (.exe) download
Win32.Yahaa.P@mm/Q@mm (.exe) download
Win32.Zafi.A@mm (.exe) download
Win32.Zafi.B@mm (.exe) download
Win32.Zafi.D@mm (.exe) download
Worm.Kibuv.A (.exe) download

-----------------------------------------------
TrendMicro Virus Remove Tool
-----------------------------------------------
Sysclean download sysclean.com , download Spyware Pattern , download Antivirus Pattern
BKDR_ZAPINIT.A
HTML_IFRAME.HT
HTML_IFRAME.KQ
JS_AFIR.A
PE_SALITY.EK
PE_SALITY.M
PE_TRATS.A-O
PE_TRATS.A
PE_WARMUP.A
RTKT_RUSTOCK.C
TSPY_KOLLAH.F
WORM_MARIOFEV.B
WORM_SKIPI.A

CRYP_TAP
INF_AUTORUN.A
-----------------------------------------------
Kaspersky Virus Remove Tool
-----------------------------------------------
Kaspersky-Virus-Removal-Tool
Worm.Win32.Kido Kaspersky Administration Kit , KK_v3.4.7.zip
Worm.Win32.AutoRun.hr
Net-Worm.Win32.Rovud.a-c
Worm.Win32.AutoRun.dfx
Worm.Win32.AutoRun.dhq
Worm.Win32.AutoRun.czz
Worm.Win32.AutoRun.daa
Trojan-Downloader.Win32.Losabel.ap
Trojan-Downloader.Win32.Todon.an
Trojan.Win32.Agent.aec
Worm.Win32.AutoRun.cby

-----------------------------------------
AVG Virus Remove Tool
-----------------------------------------
Vcleaner
I-Worm/Stration, Worm/Generic.FX, Agent.A-AN, BackDoor.Agent.A-Z, BackDoor.Agent.AA-BG, Downloader.Agent.AS, I-Worm/Atak.A-I, Bagle.DA-IU, I-Worm/Bagle.A-Z, I-Worm/Bagle.AA-JD, I-Worm/Bugbear.D, I-Worm/Mytob.A-GC, I-Worm/Netsky.A-Z, Worm/Netsky.AA-AD, I-Worm/Sasser.A-F, I-Worm/Zafi.A-E, PSW.Bispy.A-E, Win32/Gaelicum, Win32/Hidrag
Worm/Downadup (Worm/Conficker)
Win32/Downadup, Win32/Conficker
Downloader.Stubby.A
I-Worm/Bugbear.C
I-Worm/Ganda
I-Worm/Happy99
I-Worm/Lovgate.C
I-Worm/Luder
I-Worm/Mydoom.A and I-Worm/Mydoom.B
I-Worm/Mydoom.A, I-Worm/Mydoom.B
I-Worm/Mydoom.F
I-Worm/Navidad
I-Worm/Nimda
I-Worm/Pretty_Park
I-Worm/Sircam.A
I-Worm/Sober.A
I-Worm/Swen
I-Worm/Verona.B
LOP.AH/Backdoor.Generic3.SVX
VBS/Iloveyou
W95/Space.1445
Win32/Alman
Win32/Delf.2.B
Win32/Dupator
Win32/Elkern, variants A, B and C
Win32/Elkern.A, Win32/Elkern.B, Win32/Elkern.C
Win32/Gaelicum
Win32/Gaelicum.A
Win32/Kriz
Win32/Mabezat
Win32/Mabezat
Win32/Magistr, variants A and B
Win32/Magistr.A, Win32/Magistr.B
Win32/Parite
Win32/Prepender
Win32/Sality
Win32/Valla.2048
Win32/Vampiro
Win32/Virut
Worm/Lovsan

----------------------------------------------
F-Secure Virus Remove Tool
----------------------------------------------
ftp://ftp.f-secure.com/anti-virus/tools/
http://download.f-secure.com/estore/fseasyclean.exe

-----------------------------------------------
Avast Virus Remove Tool
-----------------------------------------------
Avast Virus Cleaner
Win32:Badtrans [Wrm]

Win32:Beagle [Wrm] (aka Bagle), variants A-Z, AA-AH
Win32:Blaster [Wrm] (aka Lovsan), variants A-I
Win32:BugBear [Wrm], including B-I variants
Win32:Ganda [Wrm]
Win32:Klez [Wrm], all variants (including variants of Win32:Elkern)
Win32:MiMail [Wrm], variants A, C, E, I-N, Q, S-V
Win32:Mydoom [Wrm] (variants A, B, D, F-N - including the trojan horse)
Win32:Nachi [Wrm] (aka Welchia, variants A-L)
Win32:NetSky [Wrm] (aka Moodown, variants A-Z, AA-AD)
Win32:Nimda [Wrm]
Win32:Opas [Wrm] (aka Opasoft, Opaserv)
Win32:Parite (aka Pinfi), variants A-C
Win32:Sasser [Wrm] (variants A-G)
Win32:Scold [Wrm]
Win32:Sinowal [Trj] - variants AA, AB
Win32:Sircam [Wrm]
Win32:Sober [Wrm], variants A-I, J-K
Win32:Sobig [Wrm], including variants B-F
Win32:Swen [Wrm], including UPX-packed variants
Win32:Tenga
Win32:Yaha [Wrm] (aka Lentin), all variants
Win32:Zafi [Wrm] (variants A-D)

-----------------------------------------------
Microsoft Windows
-----------------------------------------------
Malicious Software Removal Tool

-----------------------------------------------
Mcafee
-----------------------------------------------
McAfee Avert Stinger

---------------------------------
Avira AntiVir
---------------------------------
Avira AntiVir Removal Tool

---------------------------------
Dr.Web
---------------------------------
Dr.Web CureIt

---------------------------------
Norman
---------------------------------
Norman Malware Cleaner

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases