"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Saturday

How to remove watermark.exe , qtplugin.exe

watermark.exe , qtplugin.exe
(Trojan Zbot +Win32.Ramnit > infection .exe + .dll , htm , html)

MD5 : cb717c90c520627b4b1022538a807f41
SHA1 : 235d9f78138022d92a741e9038c55ede28e8080
...
AntivirusVersionLast UpdateResult
AhnLab-V32010.11.19.002010.11.18-
AntiVir7.10.14.542010.11.19-
Antiy-AVL2.0.3.72010.11.19-
Avast4.8.1351.02010.11.19-
Avast55.0.594.02010.11.19-
AVG9.0.0.8512010.11.19-
BitDefender7.22010.11.19-
CAT-QuickHeal11.002010.11.09-
ClamAV0.96.4.02010.11.19-
Command5.2.11.52010.11.19-
Comodo67722010.11.19-
DrWeb5.0.2.033002010.11.19-
eSafe7.0.17.02010.11.18-
eTrust-Vet36.1.79862010.11.19-
F-Prot4.6.2.1172010.11.19-
F-Secure9.0.16160.02010.11.19-
Fortinet4.2.254.02010.11.18-
GData212010.11.19-
IkarusT3.1.1.90.02010.11.19-
Jiangmin13.0.9002010.11.19-
K7AntiVirus9.68.30302010.11.19-
Kaspersky7.0.0.1252010.11.19-
McAfee5.400.0.11582010.11.19-
McAfee-GW-Edition2010.1C2010.11.19-
Microsoft1.64022010.11.19-
NOD3256342010.11.19-
Norman6.06.102010.11.19-
nProtect2010-11-19.022010.11.19-
Panda10.0.2.72010.11.19Suspicious file
PCTools7.0.3.52010.11.19-
Prevx3.02010.11.19-
Rising22.74.03.082010.11.19-
Sophos4.59.02010.11.19-
SUPERAntiSpyware4.40.0.10062010.11.19-
Symantec20101.2.0.1612010.11.19-
TheHacker6.7.0.1.0862010.11.18-
TrendMicro9.120.0.10042010.11.19-
TrendMicro-HouseCall9.120.0.10042010.11.19-
VBA323.12.14.22010.11.19-
VIPRE73522010.11.19-
ViRobot2010.10.30.41212010.11.19-
VirusBuster13.6.50.02010.11.19-

...
Files added
C:\Program Files\Microsoft\WaterMark.exe
C:\WINDOWS\system32\qtplugin.exe
C:\WINDOWS\Temp\~TMAE.tmp
C:\Documents and Settings\All Users\Documents\Server\hlp.dat
C:\Documents and Settings\All Users\Documents\Server\sphlp.dll
C:\WINDOWS\system32\dmlconf.dat

Random filename (G:\ = USB Drive)
G:\RECYCLER\S-8-3-64-1048448514-4065553481-533076170-7412\AmXrPwdM.exe
G:\RECYCLER\S-8-3-64-1048448514-4065553481-533076170-7412\hOSNkgcG.cpl

G:\Copy of Shortcut to (1).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (2).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (3).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (4).lnk > lnk runner or lnk stater
G:\xxxx.tmp (Running numper) > lnk runner or lnk stater
G:\autorun.inf

http://viruslab.blog.avg.com/2010/07/dangerous-flash-drives.html

Keys added
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\LowRegistry

Values deleted
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR: 0x00000000

Values added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
RegistryMonitor1: "C:\WINDOWS\system32\qtplugin.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\
RegistryMonitor2: "15508748"

Values modified
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Userinit: "userinit.exe,,c:\program files\microsoft\watermark.exe"

HKLM\SYSTEM\CurrentControlSet\Enum\PCI\VEN_8086&DEV_24C2&SUBSYS_013A1028&REV_01\3&172e68dd&0&E8\Device Parameters\”DetectedLegacyBIOS” = “1″

HKLM\SYSTEM\ControlSet001\Services\sr\Parameters\FirstRun: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun: 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Templates: "C:\WINDOWS\system32\config\systemprofile\Templates"
-----------------------------------------------------------------------
ไวรัสลูกผสมตัวนี้ร้ายนะครับ ติดผ่านทาง USB drive โดยไม่ใช้ช่องทาง autorun.inf แต่เป็นการเจาะผ่าน ทาง .lnk shortcut file ซึ่งเมื่อ Windows Explorer แสดง icon ของไฟล์ .lnk นั้น ไวรัสก็จะทำงานและวิ่งเข้าเครื่องทันทีครับ ตามที่เคยมีรายงานมา่ก่อนหน้านี้แล้ว และที่สำคัญ ไฟล์ .exe และ .dll ของโปรแกรม จะติดไวรัสตัวนี้ และไม่สามารถ clean หรือ repair ได้
ต้อง delete ทิ้ง ชื่อที่ Antivirus รู้จักแล้วคือ Win32.Ramnit
โดย virus จะสร้างไฟล์ autorun.inf และ้ไฟล์แบบ random .exe ไว้ใน recycler ใน USB drive
และสร้างไฟล์ Copy of Shortcut to (1 - 4).lnk

ผมก็เพิ่งเคยทดสอบไวรัสแบบใหม่นี้เป็นตัวแรก หาวิธีแก้อยู่นาน ถึงแม้จะลง antivirus และ update แล้ว Scan เรียบร้อยแ้ล้ว สักพักจะกลับมาเหมือนเดิม เพราะ virus ได้ติดไฟล์ .exe ในระบบไปแล้ว ลองติดตั้ง Avast แล้วใช้ boot time scan ก็ยังกลับมาเหมือน
Avast , ESET , AVIRA นั้นไม่สามารถ repair ไฟล์ที่ติดเชื้อได้

ตัวอย่างดังภาพ
Photobucket

ถ้าลำพัง trojan Zbot นั้นกำจัดได้ไม่ยาก โดยใช้ Zbot killer ของ kaspersky
แต่ว่าเ้จ้า zbot ตัวนี้ได้เปิดประตูหลัง ให้ไวรัส ramnit เข้ามาด้วยทำให้ไฟล์ในเครื่องนามสกุล .exe ,.dll ,.html ติดไวรัสไปด้วย โดยเครื่องที่ติดไวรัสนี้ แล้ว antivirus รู้จักหลังจากติดไปแล้วนั้นแก้ไขได้ลำบาก


ตัวอย่างไวรัส ที่ผม capture ไว้
Trojan Zbot (.exe) + Ramnit(.cpl)





===================================================
วิธีแก้ไวรัส Win32.Ramnit + lnk runner
===================================================
ใช้ Recuse CD (กำจัดได้สะดวกที่สุด) Scan Full harddisk
Panda Safe CD

โปรแกรม Antivirus ที่แก้ไขไฟล์ที่ infected ได้คือ
Kaspersky
Dr.WEB
Bitdefender
Panda

ตัวอย่างการทดสอบด้วย Kaspersky Virus Remove Tool

Photobucket


Photobucket

ตัวอย่างการทดสอบด้วย Dr.WEB

Photobucket


ตัวอย่างการทดสอบด้วย Bitdefender

Photobucket

ข้อแนะนำเพิ่มเติม

1.ให้ปิด function autorun และปิด system restore

2. ให้ติดตั้ง path
หรือลงตัวนี้เพิ่ม


ควรติดตั้งโปรแกรม Freeze ระบบ windows ก็จะเป็นการดี เช่น Returnil (freeware)
ใช้สิทธิระดับต่ำคือ Limit user แ่ทนการ log on ด้วยสิทธิ Admin


อันนี้เป็น ramnit version ก่อนหน้านี้

link อื่นๆ


11 comments:

  1. Simply superb blog! this is my first visit and have bookmarked for future..please keep updating


    Security Guard CV

    ReplyDelete
  2. โดน Trojan Zbot +Win32.Ramnit > infection .exe + .dll , htm , html)

    ลง win ใหม่ก็ไม่หายครับทำไงดี

    ReplyDelete
  3. ขออภัยอย่างสูงครับ ที่ตอบล่าช้า เนื่องจาก post ของคุณ idtipon ไปอยู่ใน Spam ผมก็ลืมดู

    การที่ลง windows ใหม่แล้วไม่หาย อาจเกิดจาก ไฟล์ที่นำมาติดตั้ง อาจติด ไวรัส ramnit ไปก่อนหน้านี้แล้วก็ได้ครับ พอเวลา เราเอาไฟล์โปรแกรมที่ติดไวรัส Ramnit มาติดตั้ง เช่น ติดตั้ง driver ซึี่ง Driver อาจจะเก็บไว้ใน drive D และติดไวรัส ramnit อยู่แต่เราไม่รู้ จึงติดตั้ง driver ไป ไวรัส Ramnit ก็จะำทำงานทันที หลังจากนั้นพอเราลง antivirus และ update จึงพบว่ามีไวรัส Ramnit ติดไฟล์ที่อยู่ในเครื่องเป็นจำนวนมาก และทำให้ไม่สามารถลบได้หมด

    วิธีแก้ คือ อย่างที่บอกครับ ใช้ Rescue CD ของ Kaspersky โดย Scan Harddisk ทั้งลูกเลยครับ อย่า Scan เฉพาะ drive C อย่างเดียว
    เมื่อ Scan เรียบร้อยแล้ว ถึงค่อยลง Anti virus ตามลงไป

    หรือถ้า ลง windows ใหม่ ก็ให้ลงจากแผ่น หรือจากไฟล์ที่เราเคย Ghost (ก่อนหน้าที่จะติดไวรัส) พวก Driver ต่างๆก็ควรติดตั้งจากแผ่นเช่นกันครับ

    เวลาติดตั้งโปรแกรมต่างๆ ไม่แนะนำให้เสียบ USB Drive นะครับ เพราะอาจติดไวรัส Ramnit ซ้ำรอยเดิมได้ครับ ถ้าจะเสียบก็ต้องลง antivirus และ updat ใ้ห้เรียบร้อยก่อนครับ

    และเพื่อป้องกันระบบ Windows ของเรา ในระยะยาว ผมแนะนำให้ติดตั้งโปรแกรม Returnil เพิ่มเิติมหลังจาก ลง Windows เพราะจะช่วยให้เราปลอดภัยจากไวรัสประเภทนี้ได้ดีมากๆ

    ReplyDelete
  4. ขอ โทษนะครับ ผม อาจจะ พูด แรงไป
    แต่ขอ พิมพ์ เพื่อ คนที่ โดน ณ ปัญจุบัน
    ก็อย่างเคือง ผมละกันนะ จ๊ะ (ดักไว้ก่อน)

    ทำไมพวกคุณต้อง ทำเรื่องง่ายให้เป็น เรื่องอยากๆ
    ไว้ รัส มันเหมือน กระปิ นั้นแหละครับ บางที่มันเหม็น
    แต่มัน อร่อย (อาจจะสำหรับบางคน)

    วิธีโคตร ง่าย สำหรับ ไวรัส หลายๆตัว (แทบทั้งหมดแต่ไม่หมด)
    (แก้ให้ลูกค้ามาเยอะ แลกเงิน สองสามร้อยในเวลา สองนาที)
    โทษที่ครับอาจจะดูหน้า เลือดไปหน่อย แต่ค่าเช่ามันแพง 555+

    เข้าเรื่อง
    คุณ เคยใช้ hiren boot cd ไหม
    ถ้าไม่เคยไป หาซื้อ หรือ หาอ่านใน google
    แผ่นละ ร้อยกว่าบาท ซื้อ ตามร้าน ขาย software ก๊อปปี้ นะมีขาย
    ถ้ามีความรู้ เขียนแผ่นหรือโหลด ก็หา โหลด เอา แล้วเขียนใสแผ่น
    หรือ แฟสไดร์ฟเอา เร็วและง่าย
    บูตจากแผ่น
    บูตตอนเปิดเครืองนะ เหมือนลงวินโดว์นั่นแหละไม่อยากๆ
    เข้า mini window (คุณต้องมีความรู้ นิด1 มันก็พอๆกับลงwindow นั้นแหละ เพราะ งั้นคุณก็มีได้)
    พอเข้า win mini อาจจะ winmini xp vista win7
    ก็เหมือนกัน อาจจะงง อันนี้ หมาย ถึง
    winmini มีทั้ง แบบ xp vista win7
    พอเข้าไปหน้า winmini ก็ดูพาทิชั่นเรามีไดร์ฟไหนบ้าง
    c d e f หรือ ห่า เหว อะไร ก็ว่า กันไป เข้าไป แล้ว ดูแต่ละ พาทิชั่นเลย
    ว่ามีโฟเดอร์ RECYCLER ไหม เจอก็ลบให้หมด
    อะ ถ้า คุณบอก มันอยู่ใน แฟสไดรฟ์ คุณก็เสียบ แฟส ไดร์ฟไป
    หาโฟเดอร์ RECYCLER ลบ ก็เหมือนกัน (คุณตามลบทุกไดร์ฟที่คุณมีนะ)
    ง่ายๆ รีเครือง เข้า window อีไวรัส ที่คุณว่า แก้ อยาก เย็นอะไรนั่น ก็หมดไปละ ลองกันดูละกัน

    ส่วนไอ้ hirenboot cd นั่น หาซื้อเลยถูกและง่าย ใช้ได้บ่อย ในทุกกรณี
    แผ่นนั้นอันเดียว แก้ได้หมดแหละ อยู่ที่คุณใช้มันเป็นไหม
    เยอะแยะ

    ReplyDelete
  5. อืมม....
    ขอคุณครับ ที่แสดงความคิดเห็น
    แต่การกำจัดไวรัสมันไม่ได้ง่ายขนาดนั้นครับ
    และที่ทำ blog เกี่ยวกับปัญหาไวรัส ก็เพื่อกรณีศึกษาครับ
    ให้ได้ลองศึกษาการทำงานของไวรัส ไวรัสตัวใหม่ๆใช้วิธีอะไร แบบไหน
    สร้างอะไร แก้ไขระบบอะไรไปบ้าง ป้องกันอย่างไร แก้อย่างไร ครับ

    ReplyDelete
  6. thx มากก ๆ เป็นเหมือนกันไวรัสตัวนี้
    ขอบคุณ blog ดีดีแบบนี้จ้าา :))))

    ReplyDelete
  7. ขอบคุณมากครับสำหรับความรู้

    ผมคิดว่าคุณ Kong Kao kao ไปสร้างบล็อกเพื่ออวดเก่งดีกว่าครับ :D

    เขาทำเพื่อให้คนที่ไม่รู้ทำตาม ไม่ใช่ให้คนรู้แล้วมาอวดเก่งแต่ไม่ยอมแบ่งปันครับ

    อ้างอิงจากคุณ Kong kao kao ครับ ผมมอบให้คุณเลย

    "ขอ โทษนะครับ ผม อาจจะ พูด แรงไป
    ก็อย่างเคือง ผมละกันนะ จ๊ะ (ดักไว้ก่อน)"

    ReplyDelete
    Replies
    1. อยากกดไลค์สักสองร้อยไลค์

      Delete
    2. อยากกดไลค์สักสองจุดสองล้านล้านไลค์

      Delete
  8. แก้ได้แล้วครับ ตามวิธีที่คุณ PeeTech บอกครับ ผมใช้ Kaspersky Rescue disk 10 บูตระบบKaspersky ลีนุกซ์ สแกนทั้งลูก และต้องเอา อุปกรณ์อื่นๆที่เคยต่อพวง กำชับนะครับทุกอย่าง มือถือ ทัมไดร์ เมมกล้อง อะไรก็ตาม สเกนให้หมด อย่าให้เหลือ ถ้ามีไฟล์หลงเหลือ สักตัว ก็ต้องเริ่มใหม่ และก็ต้องลงวินโดว์ใหม่ ครับ เพราะมีไฟล์เสียหายอย่างแน่นอน

    ส่วนวิธีที่คุณ Kong Kao kao แจ้งไว้ ไม่เป็นผลสำเร็จครับ เพราะไวรัสตัวนี้จะวิ่งจับ ไฟล์.exe .html .dll ที่มีการรัน โดนเฉพาะ เมื่อเวลาคุณเรียกใช้โปรแกรม อะไรก็ตาม จะติดไวรัสทันที สังเกตุ แม้แต่ไฟล์ระบบของวินโดว์เอง และยิ่ง มีแอนตี้ ยิ่งทำให้ติดกันยกใหญ่ เมื่อติดไวรัสแล้ว แอนตี้ไปสเกน ก็เท่ากับเรียก.exe .html .dll ขึ้นมา จึงทำให้ ติดทันที และนไฟล์ติดตั้งโปรแกรม อะไรก็ตามที่คุณมี และเคยต่อพวงกับคอมที่ติดไวรัส ก็เรียบร้อยหมด ผมสเกน hdd ex ลบเกลี้ยงเลยครับเพราะติดเชื้อหมด เรียกว่า ล้างบาง เริ่มกันใหม่ หากคุณฝืนลงโปรแกรมที่ติดไวรัสแล้ว ก็จะทำให้ระบบทั้งระบบ ติดทันที่ ไวรัสตัวนี้แก้ไม่ยากหากรู้วิธีแล้ว เน้นว่าต้องสะอาด ปลอดเชื้อจริง แม้นแต่ .html ไฟล์เดียวก็ไม่ได้ ...

    ReplyDelete
  9. ขอบคุณ ขอบคุณ ขอบคุณ ที่สุดค่ะ

    ReplyDelete

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases