"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Tuesday

Black Screen with mouse virus

Win32/Daonal.L (Detect by NOD32)
Trojan-PSW.Win32.Kates.j (Detect by Kaspersky Lab)
==============================================
cwcsi.old
File size18,432 bytes
MD5: 89F34BE523093E7AF4FD0C4D4FF10B6E

SHA-1: 6FDCBA3C13899D43A205DDF058D1CF4C526DDE4F
==============================================
ffxtt.bak
File size 74,240 bytes
MD5: 1B8A09C403DB8C09CA85A4A3014103E3
SHA-1: 1D8739ECD27D5FF664ECCE13E1BB71FB23CF6136
==============================================
akplbxj.old
MD5: 5BD6DF42DF6F43745F98CFEAF76C1ABD
SHA-1: 9B0E5163ECB1B3F8F3061B029CB0E74F9328D67B
========================================================
exjb.bak
MD5: 60142096DE91560CF0BA7D5096CAC70E
SHA-1: CD92B24B0597321DDB5403154635DB05B883572F
========================================================
~.exe
File size: 16384 bytes
MD5 : 91cd1690546857dbadec1353dd9baf99
SHA1 : f926e07272a8bcfe070eb7044a3e238de49c74a3
==============================================
hmlfayb.dat
MD5: 8D149D4E2098D39AF2320AB9BC4C8749
SHA-1: A4EE1F4DD2CEA2FF34B613ECEDD48811B2D7DB0F
========================================================

Files created
C:\WINDOWS\xxxxx.old
C:\WINDOWS\xxxxx.bak
C:\WINDOWS\xxxxx.dat
C:\Windows\system32\~.exe
C:\Windows\system32\xxxxx.bak
%temp%\xxxxx.tmp
Registry Modifications
Values Added
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
midi9 = "%System%\..\exjb.bak 0yAAAAAAAA"
midi9 = "%System%\..\ffxtt.bak 0yAAAAAAAA"
midi9 = "%System%\..\cwcsi.old 0yAAAAAAAA"
midi9 = "%System%\..\hmlfayb.dat 0yAAAAAAAA"
path และ ชื่อไฟล์อาจเปลี่ยนชื่อเป็นชื่ออื่นๆได้ครับ
(Random name path and file)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = 0x00000001

------------------------------------------------------------------------
* path อาจอยู่ในตำแหน่ง อื่นๆ หรือชื่ออื่นๆ เช่น
C:\Documents and Settings\[UserName]\Local Settings\Temp\[Random]\bibcfbk.tmp
C:\Windows\rocfnx.bak
C:\Windows\WRPOP.OLD
C:\Windows\ectsyil.bak
C:\Windows\qkpf.old
C:\Windows\fmnvk.old
C:\Windows\ffxtt.bak
C:\Windows\akplbxj.old
C:\Windows\exjb.bak
C:\Windows\system32\~.exe
C:\Windows\system32\emqmu.bak

------------------------------------------------------------------------
อาการที่พบ
หน้าจอมืด มองเห็นแต่เมาส์ หรือ Black Screen with mouse
ไม่สามารถ แสดงหน้าต่าง windows ได้
เข้า safemode แล้วก็มีอาการเดียวกัน คือ ไม่สามารถ เข้า หน้าจอ windows ไ้ด้
-----------------------------------------------------------------------
Anti virus ที่ตรวจพบ
a-squared 4.5.0.41 2009.10.23 Trojan.Win32.Daonol!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 TR/PSW.Kates.K.2
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.24 -
AVG 8.5.0.423 2009.10.23 -
BitDefender 7.2 2009.10.24 Trojan.PWS.Kates.F
CAT-QuickHeal 10.00 2009.10.23 -
ClamAV 0.94.1 2009.10.24 -
Comodo 2710 2009.10.24 Heur.Packed.Unknown
DrWeb 5.0.0.12182 2009.10.24 Trojan.MulDrop.39218
eSafe 7.0.17.0 2009.10.22 Win32.Infostealer.Da
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.23 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.24 -
GData 19 2009.10.24 Trojan.PWS.Kates.F
Ikarus T3.1.1.72.0 2009.10.23 Trojan.Win32.Daonol
Jiangmin None 2009.10.23 -
K7AntiVirus 7.10.878 2009.10.23 -
Kaspersky 7.0.0.125 2009.10.24 Trojan-PSW.Win32.Kates.k
McAfee 5780 2009.10.23 -
McAfee+Artemis 5780 2009.10.23 Artemis!91CD16905468
McAfee-GW-Edition 6.8.5 2009.10.24 Trojan.PSW.Kates.K.2
Microsoft 1.5202 2009.10.23 Trojan:Win32/Daonol.H
NOD32 4537 2009.10.23 a variant of Win32/Daonol.L
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.24 -
Panda 10.0.2.2 2009.10.23 Trj/CI.A
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.24 High Risk System Back Door
Rising 21.52.50.00 2009.10.24 -
Sophos 4.46.0 2009.10.24 -
Sunbelt 3.2.1858.2 2009.10.24 -
Symantec 1.4.4.12 2009.10.24 Infostealer.Daonol
TheHacker 6.5.0.2.051 2009.10.22 -
TrendMicro 8.950.0.1094 2009.10.24 PAK_Generic.001
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.23 -
-----------------------------------------------------------------------
วิธีกำจัด virus : Win32/Daonal.L
-----------------------------------------------------------------------
วิธีที่ 1 :
1. ถอด Haddisk ที่ติด virus นี้ไป Scan เครื่องที่มี Antivirus update
เนื่องจาก virus ได้ random ที่ไปเรื่อย ไม่เจาะจง โดยจะเลือกใช้ NOD32 , Kaspersky หรือ Avira ก็ได้ครับ
2. เมื่อเข้า Windows ได้แล้วให้ไปตรวจสอบ Registry ด้วยครับว่า Key Driver32 ยังมี midi9 อยู่หรือไม่
ถ้ามีให้ Delete ทิ้งด้วยครับ
"HKLM\Sofeware\Microsoft\Windows NT\CurrentVersion\Drivers32 \
midi9"
##################################################
วิธีที่ 2 :
1. หาแผ่น Hiren boot CD มา boot โดยเลือก boot ที่ Mini PE หรือ Mini XP
หรือ Download จาก Web นี้ครับ
http://www.hirensbootcd.net/ (185.80 MB)
http://d2.hirensbootcd.net/Hirens.BootCD.10.0.zip

2. เข้าไปที่ start > run พิมพ์ regedit เข้าไปที่ HKEY_LOCAL_MACHINE (HKLM)
3. เลือกที่เมนู File เลือกที่ load hive
4.ไปที่ c:\windows\system32\config แล้วเลือกไฟล์ ชื่อ software แล้วตั้งชื่อไฟล์เป็นชื่ออะไรก็ได้ครับ เช่น Fix
5. จากนั้นเข้าไปที่ HKLM\
Fix\Microsoft\Windows NT\CurrentVersion\Drivers32
หา ค่า value ที่ชื่อ
midi9 เมื่อเจอแล้วให้ delete value นี้ทิ้งไป
ตัวอย่าง "C:\DOCUME~1\user\LOCALS~1\Temp\..\bibcfbk.tmp 0yAAAAAAAA"

Photobucket
6. Restart เครื่อง 1 ครั้ง ดูว่าเข้า windows ได้หรือไม่
7. ใช้ ATF cleanner ลบ Temp ต่าง และUpdate Antivirus แล้ว Scan ทั้งระบบ
###################################################
วิธีที่ 3 : (ผมใช้วิธีนี้ ของ free ครับ ซึ่งขนาดไฟล์ เพียงประมาณ 58 MB เท่านั้น)
1. Dowmload
Avira AntiVir Rescue System Date: 26 Oct 2009 - Version : 20091026191731
http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.exe
หรือ
Avira AntiVir Rescue SystemDate: 26 Oct 2009 - Version : 20091026191731
http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso

2. ผมใช้ตัวที่ เป็น exe โดย ใส่แผ่น CD เปล่า แล้ว double click ไฟล์ rescue_system-common-en.exe
จากนั้นclick ปุ่ม Burn CD

Photobucket

3. เมื่อฺ Burn CD เรียบร้อยแล้วให้ Restart โดยให้ boot จาก CD จะขึ้นหน้าต่างดังภาพ
โดยเลือก Boot :1 (1 Boot Avira AntiVir Rescue System)

Photobucket
4.จะขึ้นหน้าต่างดังภาพ ให้ เลือก Virus Scanner แล้ว Click ปุ่ม Start Scanner

Photobucket

5. เมื่อ Scan เรียบร้อยแล้วกดปุ่ม Restart เครื่อง

*เมื่อเข้า windows ได้แล้ว ให้ update Antivirus ให้เป็นปัจจุบัน

##################################################
วิธีที่ 4 :
1. Download Dr.Web Live CD (69.8 MB) ไม่ใหญ่มาก พอๆกับ Avira และ Free เหมือนกัน
ftp://ftp.drweb.com/pub/drweb/livecd/20091028042001/minDrWebLiveCD-5.0.0.iso

2. Burn ใส่แผ่น CD แล้วนำไป Boot

Photobucket

Photobucket

3. Click Start ตรงปุ่มด้านซ้ายล่างสีเขียว เลือก Dr.Web Scanner แล้ว เลือก Drive แล้วทำการ Scan

Photobucket

4. เมื่อ Scan เรียบร้อยแล้วให้ Restart เครื่อง และเมื่อเข้า Windows ได้แล้วให้ Update ฐานข้อมูล virus ให้เป็นปัจจุบันด้วยครับ

###################################################

วิธีที่ 5 : วิธีนี้จะเหมือนๆกับวิธีที่ใช้กับ Hiren Boot
Download Active@ Boot Disk (Win Edition) Demo 4.1.8 (126 MB)
http://software.lsoft.net/BootDiskDemo-Setup.exe
http://download2.lsoft.net/BootDiskDemo-Setup.exe

1. เมื่อ Download และ Set up โปรแกรม เรียบร้อยแล้ว และ Register ด้วยชื่อด้านล่างนี้ครับ
Registered Name:
PeeTech thailand
Registration Key:
0NBBBJ-DWZ1DM-VUNRCJ-UZPUJZ-JMY6TX
หรือใครจะเลือก Register ผ่าน Website ก็ได้โดยเลือก Get key for free

2. เมื่อเปิดหน้าต่าง Active@ Boot Disk Creator เลือกที่ menu
Boot Disk Win Edition

Photobucket

3. เลือกที่ Win CD/DVD Boot Disk โดยใส่แผ่น CD/DVD แล้วเลือก Create !

Photobucket

จะขึ้นหน้าต่างดังภาพ จากนั้นให้กดป่ม Burn ISO
Photobucket

4. เมื่อได้แผ่น Active@ Boot Disk แล้วให้ restart เครื่องโดยเลือก Boot จาก CD/DVD จะขึ้นหน้าต่าง
Windows is loading files ให้รอสักครู่จะขึ้นหน้าต่างดังภาพ แล้วกดปุ่ม OK หรือใครจะ Set ค่าก็ได้ครับ
Photobucket

เมื่อ OK แล้วจะเข้าสู่หน้าจอ Windows ของ Active@ Boot Disk
Photobucket

5. ให้เลือก ที่ เมนู Start (@ ) ซ้ายมือด้านล่าง เลือกไปที่ Utilities > Registry Editor จะขึ้นหน้าต่างดังภาพด้านล่าง Click
ที่ HKEY_LACAL_MACHINE เลือกที่ Menu File เลือก Load Hive
Photobucket

เลือกไปที่ C:\windows\system32\
config แล้วเลือกไฟล์ ชื่อ software แล้วตั้งชื่อไฟล์ Fix_BlackScreen_Virus
5. จากนั้นเข้าไปที่ HKLM\Fix_BlackScreen_Virus\Microsoft\Windows NT\CurrentVersion\
Drivers32 Delete ค่า Value ที่ชื่อ
midi9 นี้ทิ้งไป

ี* Update new 05/11/2009
เพิ่มเติมนะครับ ให้ดู aux ด้วยครับว่าเปลี่ยนไปจาก wdmaud.drv หรือเปล่า เช่น
aux = "%System%\..\vauhrg.gfp"
aux = "%System%\..\nbshlbv.exb"
aux = "%System%\..\rvpd.bha"
aux = "%System%\..\sysxxxx.sys"
ให้แก้เป็น wdmaud.drv (ค่าเดิม) ด้วยครับ > aux = wdmaud.drv

Photobucket

6. Restart และเมื่อเข้า Windows ได้แล้วให้ Update antivirus แล้ว Scan อีกครั้ง

วิธีที่ 6 (update 19/11/2009)
เป็นวิธีจากทาง microsoft ครับ
ตาม link นี้ครับ
http://www.microsoft.com/Security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FDaonol.I


Fix Tool from Kaspersky
KatesKiller

1 comment:

  1. ข้าน้อย ขอคารวะ ผู้เยี่ยมยุทธ

    ReplyDelete

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases