QGS.exe , wuauolts.exe
ไวรัสตัวนี้จะซ่อน Icon Internet explorer และสร้าง shortcut ขึ้นมาที่ desktop ,Quick Launch และ เปลี่ยน target ไปที่ http://i.163vv.com/
เมื่อเปิด IE link ไปที่ web นี้ดังภาพ
การแก้ไขส่วนนี้ให้ คือ ให้ Click ตัว IE ที่ส่วนของ Quick Launch เลือก Properties
ช่อง Taget ใส่เป็น "C:\Program Files\Internet Explorer\iexplore.exe"
ช่อง Start in ใส่เป็น %HOMEDRIVE%%HOMEPATH%
ส่วน shortcut ที่อยู่หน้า desktop ให้ลบทิ้งไปเลยครับ
ถ้า click ขวา ที่ desktop แล้วเลือก poperties แล้ว เลือกที่ tab desktop แล้วกดปุ่ม Customize desktop ส่วนของ Desktop icons จะพบว่าช่องที่จะเลือกให้แสดง Internet Explorer หายไป ทำให้ไม่สามารถตั้งค่า IE ได้ เนื่องจากไวรัสได้ไปแก้ไขค่าใน Registry ไว้
ไวรัสได้ทำการ ซ่อน system32 ไว้ ต้องเปิดด้วยโปรแกรม ExplorerXP จึงจะมองเห็น system32
และ ได้ debug ไฟล์ .exe เกี่ยวกับโปรแกรม security ต่างๆหลายตัว ทำให้โปรแกรมที่ถูก dedug ไว้ ไม่สามารถ เปิดได้ มีการแก้ไข Hosts และ ลบ key safeboot ทำให้เ้ข้า safemode ไม่ได้
======================================================
วิธีกำจัดไวรัส / แก้ไข : QGS.exe , wuauolts.exe (Manual delete)
======================================================
|Windows XP | WindowsVista | Windows 2000 |WindowsServer 2003|SafeBootKeyRepair |PeeTech_SafeModeRecovery (XP)
วิธีที่ 1
ก่อนอื่นให้ติดตั้่งโปรแกรม unlocker ก่อน ถ้ายังไม่มีโปรแกรมในเครื่อง
1. ใช้โปรแกรม ProcessExplorer แล้ว kill process ไฟล์ wuauolts.exe
2. ไปที่ C:\Documents and Settings\All Users\Start Menu\Programs\Startup แล้ว click ที่ไฟล์ iajsd.lnk เลือก Unlocker เมื่อขึ้นหน้าต่างแล้วเลือก option delete เลือกที่ไฟล์ แล้วกด unlock
3. เปิดโปรแกรม ExplorerXP แล้วเข้าไปที่ C:\Windows\System32 หาไฟล์ชื่อ iajsd.dll
เมื่อพบแล้วให้ Click ขวา เลือก Unlocker แล้วทำแบบในข้อ 2.
4. ไปที่ตำแหน่ง C:\Program Files แล้ว delete ไฟล์ mosss.exe
5. ไปที่ตำแหน่ง C:\ , D:\ แล้ว delete ไฟล์ QGS.exe , autorun.inf
6. เปิดโปรแกรม Autoruns ไปที่ tab ของ Logon แล้วหาตำแหน่ง
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
แล้ว delete ไฟล์ iajsd.lnk
7. ไปที่ tab ของ driver หาตำแหน่ง Image file path
C:\WINDOWS\system32\drivers\BGS.sys แล้ว Delete ทิ้งไป
8. ไปที่ tab ของ Image Hijacks แล้ว delete ไฟล์ในส่วนนี้ออกให้หมด เพราะตรงส่วนนี้คือส่วนที่ไวรัสเขียน registry เพื่อ debugโปรแกรม Antivirus และ Security ต่างๆ ไม่ให้สามารถใช้งานได้
9. เปิดโปรแกรม HostsExpert แล้ว Click ที่ Restore MS Hosts file
หรืออาจจะใช้ Hijack แก้ไขก็ได้ โดยเมื่อเปิดโปรแกรม Hijack This แล้ว click ที่ปุ่ม Open the Misc Tools section จากนั้น click ที่ปุ่ม Open Hosts file Manager แล้วกดปุ่ม Delete lines
10. ไปที่ Start > Run พิมพ์ regedit.exe > Enter แล้วเข้าไป delete key ตามนี้
Key
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AEC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AEC
วิธี delete 2 key นี้ ยุ่งยากหน่อยครับ ต้อง set permission ดูวิธีที่ link ครับ
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
Value
HKLM\SOFTWARE\Classes\exefile\NeverShowExt: "1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\QDS: "ofhrb"
และแก้ไข value data ของ key นี้เป็น
HKLM\SYSTEM\CurrentControlSet\Services\aec\
ImagePath : system32\drivers\aec.sys
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
11. Run โปรแกรม Explorstart 1 ครั้ง
12. ใช้โปรแกรม Explorer เปิดเข้าไปที่ Flash drive แล้ว delete folder ที่มีนามสกุล .exe
([Folder Name].exe) ทิ้งให้หมดทุกตัว หรือจะใช้โปรแกรม DKDC Hash ช่วยในการลบ
folder ปลอมก็ได้ครับ
13. repair safe boot แล้ว restart
ส่วนวิธีเข้า safemode ดูที่นี่ครับ
จบแล้วครับ วิธีกำจัดไวรัส แบบ manual
.............................................................................................................................
คำแนะนำ
หลังจากกำจัด virus ได้แล้ว แนะนำให้ติดตั้งโปรแกรมเพิ่มเติม เพื่อป้องกันการเรียกใช้ autorun
เช่น
Program Advice (Stop AutoRun function/autorun.inf)
NoAutoRun (.REG)
http://www.mediafire.com/?ammmxwhqmnm
or
Panda USB Vaccine
http://www.mediafire.com/download.php?qig0nmnm4ld
or
KB971029, KB967715
http://hotzone-it.blogspot.com/2009/08/kb971029-fix-autorun-microsoft.html
: ขอบคุณ คุณมนตรี สำหรับไฟล์ไวรัส
No comments:
Post a Comment