"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Monday

How to remove Win32/AutoRun.VB.SR

Win32/AutoRun.VB.SR (Detect by NOD32)
Worm.Win32.VBNA.amry (Detect by Kaspersky)

Random Name
ZaOaxO.Exe , ZaOaxOx.Exe
tsqeug.exe , tsqeugx.exe
yoavuok.exe , yoavuokx.exe

etc. ...

MD5 : 4156c50ca731abe049a80b7dfa1f96e6
SHA1 : 8f1c9170672f5b2b3c04a697023f076f5644207c

MD5 : e85e88e63a3a5b167fdf31cc039ef06c
SHA1 : cd1d93017ae253ae8fdc819d358ec3efff0ba90b

MD5 : e43c0ddd1df1266da2d4126efa0875c1
SHA1 : 184079b4105393ea2b323fec23145176237a3fa3
...
AntivirusVersionLast UpdateResult
AhnLab-V32010.08.23.062010.08.23Win-Trojan/Agent.167936.KZ
AntiVir8.2.4.382010.08.23-
Antiy-AVL2.0.3.72010.08.23-
Authentium5.2.0.52010.08.23-
Avast4.8.1351.02010.08.22-
Avast55.0.332.02010.08.22-
AVG9.0.0.8512010.08.23SHeur3.AUXH
BitDefender7.22010.08.23-
CAT-QuickHeal11.002010.08.23-
ClamAV0.96.2.0-git2010.08.23Trojan.VB-19676
Comodo58302010.08.23-
DrWeb5.0.2.033002010.08.23-
Emsisoft5.0.0.372010.08.23Worm.Win32.Vobfus!IK
eSafe7.0.17.02010.08.23-
eTrust-Vet36.1.78042010.08.21-
F-Prot4.6.1.1072010.08.22-
F-Secure9.0.15370.02010.08.23-
Fortinet4.1.143.02010.08.23-
GData212010.08.23-
IkarusT3.1.1.88.02010.08.23Worm.Win32.Vobfus
Jiangmin13.0.9002010.08.23-
Kaspersky7.0.0.1252010.08.23Worm.Win32.VBNA.amry
McAfee5.400.0.11582010.08.23-
McAfee-GW-Edition2010.1B2010.08.23-
Microsoft1.61032010.08.23-
NOD3253882010.08.23Win32/AutoRun.VB.SR
Norman6.05.112010.08.23-
nProtect2010-08-23.012010.08.23-
Panda10.0.2.72010.08.22-
PCTools7.0.3.52010.08.23-
Prevx3.02010.08.23Email High Risk Worm
Rising22.62.00.042010.08.23-
Sophos4.56.02010.08.23-
Sunbelt67782010.08.23-
SUPERAntiSpyware4.40.0.10062010.08.23-
Symantec20101.1.1.72010.08.23-
TheHacker6.5.2.1.3552010.08.23-
TrendMicro9.120.0.10042010.08.23Cryp_VBNA
TrendMicro-HouseCall9.120.0.10042010.08.23Cryp_VBNA
VBA323.12.14.02010.08.23-
ViRobot2010.8.23.40032010.08.23-
VirusBuster5.0.27.02010.08.22-
...
Files Added
C:\Documents and Settings\[Username]\yoavuok.exe (Random name)
C:\Documents and Settings\[Username]\tsqeug.exe (Random name)
C:\Documents and Settings\[Username]\giikom.exe
C:\Documents and Settings\[Username]\emmon.exe
C:\Documents and Settings\[Username]\immom.exe
C:\Documents and Settings\[Username]\sbmon.exe
C:\Documents and Settings\[Username]\usmon.exe

C:\Documents and Settings\[Username]\a.bat
C:\Documents and Settings\[Username]\vpnmon\vpnmon.exe
C:\WINDOWS\Temp\wudo.tmp\setup.exe
C:\WINDOWS\system32\drivers\zdyxecpb7.sys
C:\WINDOWS\Temp\ptyrfvmauqyw.bat

Download
C:\Program Files\eMule\emule.exe

Keys added
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Control
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Control
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Control
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Control
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Control

Values added
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Control\ActiveService: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Control\ActiveService: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Control\ActiveService: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Control\ActiveService: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Control\ActiveService: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Class: "MEDIA"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\HardwareID: 'MS_MMVID'
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\DeviceDesc: "Video Codecs"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0001"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Mfg: "(Standard system devices)"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Service: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVID\Capabilities: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Class: "MEDIA"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\HardwareID: 'MS_MMVCD'
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\DeviceDesc: "Legacy Video Capture Devices"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0003"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Mfg: "(Standard system devices)"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Service: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMVCD\Capabilities: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Class: "MEDIA"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\HardwareID: 'MS_MMMCI'
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\DeviceDesc: "Media Control Devices"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Mfg: "(Standard system devices)"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Service: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMMCI\Capabilities: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Class: "MEDIA"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\HardwareID: 'MS_MMDRV'
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\DeviceDesc: "Legacy Audio Drivers"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0004"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Mfg: "(Standard system devices)"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Service: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMDRV\Capabilities: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Class: "MEDIA"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\HardwareID: 'MS_MMACM'
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\DeviceDesc: "Audio Codecs"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0002"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Mfg: "(Standard system devices)"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Service: "audstub"
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\MEDIA\MS_MMACM\Capabilities: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Control\ActiveService: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Control\ActiveService: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Control\ActiveService: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Control\ActiveService: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Control\ActiveService: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Class: "MEDIA"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\HardwareID: 'MS_MMVID'
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\DeviceDesc: "Video Codecs"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0001"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Mfg: "(Standard system devices)"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Service: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVID\Capabilities: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Class: "MEDIA"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\HardwareID: 'MS_MMVCD'
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\DeviceDesc: "Legacy Video Capture Devices"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0003"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Mfg: "(Standard system devices)"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Service: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMVCD\Capabilities: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Class: "MEDIA"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\HardwareID: 'MS_MMMCI'
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\DeviceDesc: "Media Control Devices"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Mfg: "(Standard system devices)"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Service: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMMCI\Capabilities: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Class: "MEDIA"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\HardwareID: 'MS_MMDRV'
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\DeviceDesc: "Legacy Audio Drivers"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0004"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Mfg: "(Standard system devices)"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Service: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMDRV\Capabilities: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\ClassGUID: "{4D36E96C-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Class: "MEDIA"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\HardwareID: 'MS_MMACM'
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\DeviceDesc: "Audio Codecs"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Driver: "{4D36E96C-E325-11CE-BFC1-08002BE10318}\0002"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Mfg: "(Standard system devices)"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Service: "audstub"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\MEDIA\MS_MMACM\Capabilities: 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yoavuok: "%User Profile%\yoavuok.exe /w"
HKCU\\Software\Microsoft\Windows\CurrentVersion\Run\tsqeug: "%User Profile%\\tsqeug.exe /i"

Value modify
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000
-----------------------------------------------------------------------

ไวรัสตัวนี้ได้เพิ่มเทคนิค จากวิธีเดิมที่สร้าง Autorun.inf เพื่อให้ ไวรัสทำงาน
เป็นการ ซ่อน Folder จริงไว้ และสร้าง short cut folder และไฟล์ โดยเมื่อ เิปิดไฟล์ shortcut จะเป็นการเรียกไวรัสขึ้นมาทำงานครับ

ไวรัสสร้าง Shortcut files และ folder โดย icon จะเป็น shortcut เกือบทั้งหมด
แต่เป็นคนละตัวกับ Windows shortcut exploit นะครับ

Photobucket

ไวรัส Hidden fils และ folder ของจริงไว้ไม่ให้เห็น

Photobucket


ถ้าลอง click ขวาที่ shortcut แล้วเลือก properties จะพบว่า shortcut นั้น
มี target อยู่ที่ G:\zaoaxox.exe (Random Name)

Photobucket

สร้าง Autorun.inf และไฟล์ ZaOaxO.Exe , ZaOaxOx.Exe ใน USB Drive

Photobucket

Photobucket


-----------------------------------------------------------------------------
วิธีแก้ไข / กำจัด : Win32/AutoRun.VB.SR (NOD32)
-----------------------------------------------------------------------------
1. เปิดโปแกรม Process Explorer แล้ว Kill Process ของ ไฟล์ ที่มี path อยู่ที่
C:\Documents and Settings\User Name]\[files name].exe
vpnmon.exe

Photobucket

2. เปิดโปรแกรม ExplorerxP เข้าไป delete ไฟล์ำไวรัสที่
C:\Documents and Settings\User Name]\
C:\Documents and Settings\[Username]\vpnmon\
และลบ shortcut ใน USB Drive

Photobucket

3. เิปิดโปรแกรม Hijack this แล้ว Fix checked บรรทัดนี้

O4 - HKCU\..\Run: [yoavuok] %User Profile%\yoavuok.exe /w
O4 - HKCU\..\Run: [tsqeug] %User Profile%\tsqeug.exe /M
(Random value + file name)
O4 - HKCU\..\Run: [vpnmon] %User Profile%\vpnmon\vpnmon.exe

4. Click Start > Run พิมพ์ Regedit.exe แล้วไปลบ key 2 key นี้
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MEDIA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\MEDIA

ดูวิธีการ Set permission เพื่อจะลบ key ที่ lock ไว้ ในข้อ 4.

5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Show hidded file and folder

Photobucket

6. แ้ก้ไข file และ folder ที่ถูกไวรัส Hidden ไว้ และไม่ให้แก้ Attribute ของ hidden

Photobucket

ถ้าไม่ถนัดพิมพ์ใน dos ในแก้ไข Hidden files และ Folder
ลอง copy code นี้ save เป็น ResetAttribute.bat
โดยเปลี่ยนค่า ตรง X:\ ให้ตรงกับ ชื่อ drive ที่เราจะแก้ไข เช่น E:\ , F:\ ,G:\, H:\ เป็นต้น

@echo off
color a
echo #############################################
echo ### Restore Hidden file and Folder ###
echo ### ###
echo #############################################
echo ############ Reset Attribute ###############
echo ############## Please wait ################

cd\
cd X:\
@echo on
Attrib -a -r -s -h X:\*.* /s /d
cd\


(X:\ = ชื่อ drive)

Photobucket

หรือ download โปรแกรม Attribute Changer (free ware) มาแก้ไข ไฟล์ที่ถูก attribute ไว้
เมือ download และ install เรียบร้อยแล้ว เปิดเข้าไปที่ USB Drive
แล้ว click ขวา ที่ไฟล์จะเลือกหลายไฟล์ก็ได้ จากนั้น เลือกที่เมนู Change Attributes
จะขึ้นหน้าต่าง โปรแกรม Attribute Changer
ให้เอาเครื่องหมายถูกออกจาก Hidden และ System
(ถ้าเป็น folder ก็เลือก tab ของ Folder Properties ถ้าเป็น Files ก็เลือก ที่ File Properties)

Photobucket

7. Install โปรแกรม RemoveOnReboot
จากนั้นเข้าไปที่ C:\WINDOWS\system32\drivers\
หาไฟล์ชื่อ zdyxecpb7.sys เมื่อพบแล้ว Click ขวา เลือกที่ Send To RemoveOnReboot.exe
8. Restart คอมพิวเตอร์

No comments:

Post a Comment

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases