"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Tuesday

How to remove ReadMe.exe,services.exe

ReadMe.exe , services.exe, aaa.exe, bbb.exe
Files size 53,248 bytes
MD5: 1689740F6786531C554229ADE8AC599F
SHA-1: 364C4C097D53908575A12AB56C30CDE2C8BDFDD9
==================================================
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.01.17Trojan.Win32.VB!IK
AhnLab-V35.0.0.22010.01.16Win-Trojan/Xema.variant
AntiVir7.9.1.1422010.01.16TR/VB.bce.6
Antiy-AVL2.0.3.72010.01.12Trojan/Win32.VB.gen
Authentium5.2.0.52010.01.16W32/Trojan.CBAX
Avast4.8.1351.02010.01.17Win32:Trojan-gen
AVG9.0.0.7302010.01.17Generic6.AANX
BitDefender7.22010.01.17Trojan.VB.NJI
CAT-QuickHeal10.002010.01.16Trojan.VB.bce
ClamAV0.94.12010.01.17Trojan.Nanit
Comodo36112010.01.17Worm.Win32.VB.NMZ
DrWeb5.0.1.122222010.01.16Trojan.Siggen.38798
eSafe7.0.17.02010.01.14-
eTrust-Vet35.2.72402010.01.15Win32/VBWormGen!generic
F-Prot4.5.1.852010.01.16W32/Trojan.CBAX
F-Secure9.0.15370.02010.01.17-
Fortinet4.0.14.02010.01.16-
GData192010.01.17Trojan.VB.NJI
IkarusT3.1.1.80.02010.01.17Trojan.Win32.VB
Jiangmin13.0.9002010.01.17Trojan/VB.cjx
K7AntiVirus7.10.9492010.01.16Trojan.Win32.VB
Kaspersky7.0.0.1252010.01.17Trojan.Win32.VB.bce
McAfee58632010.01.16Generic VB.b
McAfee+Artemis58632010.01.16Generic VB.b
McAfee-GW-Edition6.8.52010.01.16Trojan.VB.bce.6
Microsoft1.53022010.01.17Trojan:Win32/VB
NOD3247782010.01.16Win32/VB.NMZ
Norman6.04.032010.01.16W32/VBTroj.NIV
nProtect2009.1.8.02010.01.17Trojan/W32.Agent.53248.YH
Panda10.0.2.22010.01.16Trj/VB.ACE
PCTools7.0.3.52010.01.17Trojan.KillAV
Prevx3.02010.01.17-
Rising22.30.06.042010.01.17Trojan.Win32.VB.bce
Sophos4.49.02010.01.17Mal/VBDoc-A
Sunbelt3.2.1858.22010.01.16Trojan.Win32.Generic!BT
Symantec20091.2.0.412010.01.17Trojan.KillAV
TheHacker6.5.0.6.1542010.01.17Trojan/VB.bce
TrendMicro9.120.0.10042010.01.17TROJ_VB.BLO
VBA323.12.12.12010.01.15Trojan.Win32.VB.bce
ViRobot2010.1.16.21402010.01.16-
VirusBuster5.0.21.02010.01.16Trojan.VB.EIJK
-------------------------------------------------------------------------------
เมื่่อ virus เริ่มทำงานโปรแกรม อาการคือ Antivirus จะถูกปิดลง
โปรแกรมหลายตัวหลายตัวใช้งานไม่ไ้ด้ เช่นโปรแกรมพวก Kill process
ถึงแม้ว่า จะ rename เปลี่ยนชื่อก็ไม่มีผล เช่น

ProcessExporer
KillProcess
Security Task Mamnager
Process Viewer
Killbox
ExplorerXP
HijackThis
Regedit
cmd

เมื่อเข้าไปยัง folder ที่เก็บโปรแกรม หน้าต่าง windows จะถูกปิดลง
และมีการสร้าง ไฟล์ที่มีชื่อเดียวกับ Folder ใน USB drive ทุก folder

โปรแกรมที่ผมลองทดสอบแล้ว สามารถเปิดใช้งานได้ คือ
SystemExplorer
IBProcessManager
DTaskManager
Autoruns
-----------------------------------------------------------------------
File Created
%System%\export\services.exe
%System%\normal.dot
%WinDir%\aaa.exe
%WinDir%\bbb.exe
X:\ReadMe.exe
X:\[FolderName]\[FolderName].exe

%WinDir% = C:\\Windows
%System% = C:\Windows\System32
X:\ = USB Drive

Values added
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
vbwg cute = "C:\WINDOWS\aaa.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
this free = "C:\WINDOWS\bbb.exe"

Values modified
HKLM\SOFTWARE\Classes\.inf\ = "txtfile"

HKLM\SOFTWARE\Classes\.reg\ = "txtfile"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
SuperHidden\Type = ""

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
shell = "Explorer.exe C:\WINDOWS\aaa.exe"

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\
AlternateShell = "C:\WINDOWS\bbb.exe"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
AlternateShell ="C:\WINDOWS\bbb.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden = 0x00000002

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt = 0x00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
SuperHidden = 0x00000001

==================================================
วิธีกำจัด/แก้ Virus : ReadMe.exe,services.exe , aaa.exe, bbb.exe
==================================================

ก่อนอื่่นให้เสียบ USB Drive ที่ติด virus ไว้กับเครื่อง

1. เปิดโปแกรม System Explorer แล้ว kill process ไฟล์ services.exe
(ดู path file ที่ตำแหน่งของ C:\Windows\System32\Export\services.exe)

Photobucket

2. Run Fix Tool PeeTechFix-Win32/VB.NMZ เพื่อกำจัดไฟล์ virus และ Repair Registry

หมายเ้หตุ :
ใช้ PeeTechFix-Win32/VB.NMZ อย่างเดียวก็ได้ครับ แต่ต้อง Run ใน Safemode


No comments:

Post a Comment

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases