"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Sunday

How to remove 1hqup.exe

1hqup.exe , herss.exe
Files size 92.0 KB (94,208 bytes)
MD5: A764BBC0693F548FBB71BF4887397BB6
SHA-1: F10825DC0864E102892578D57534015D5664B8E5
=======================================================
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.01.30-
AhnLab-V35.0.0.22010.01.30-
AntiVir7.9.1.1542010.01.29-
Antiy-AVL2.0.3.72010.01.28-
Authentium5.2.0.52010.01.30-
Avast4.8.1351.02010.01.30-
AVG9.0.0.7302010.01.30-
BitDefender7.22010.01.30-
CAT-QuickHeal10.002010.01.30-
ClamAV0.96.0.0-git2010.01.30-
Comodo37652010.01.30TrojWare.Win32.Valklik.~BB
DrWeb5.0.1.122222010.01.30-
eSafe7.0.17.02010.01.28-
eTrust-Vet35.2.72712010.01.29-
F-Prot4.5.1.852010.01.30-
F-Secure9.0.15370.02010.01.30Suspicious:W32/Malware!Gemini
Fortinet4.0.14.02010.01.30-
GData192010.01.30-
IkarusT3.1.1.80.02010.01.30-
Jiangmin13.0.9002010.01.28-
K7AntiVirus7.10.9602010.01.29-
Kaspersky7.0.0.1252010.01.30-
McAfee58772010.01.30-
McAfee+Artemis58772010.01.30Suspect-D!C0B63428A250
McAfee-GW-Edition6.8.52010.01.30Heuristic.BehavesLike.Win32.Packed.B
Microsoft1.54062010.01.30PWS:Win32/Frethog.gen!H
NOD3248212010.01.30-
Norman6.04.032010.01.30-
nProtect2009.1.8.02010.01.30-
Panda10.0.2.22010.01.30Suspicious file
PCTools7.0.3.52010.01.30-
Prevx3.02010.01.30Medium Risk Malware
Rising22.32.05.042010.01.30-
Sophos4.50.02010.01.30-
Sunbelt3.2.1858.22010.01.30Worm.Win32.AutoRun
Symantec20091.2.0.412010.01.30Suspicious.Cloud
TheHacker6.5.1.0.1722010.01.30-
TrendMicro9.120.0.10042010.01.30Possible_Mlwr-13
VBA323.12.12.12010.01.29-
ViRobot2010.1.30.21642010.01.30-
VirusBuster5.0.21.02010.01.30-
------------------------------------------------------------------------------
Files Created
%Temp%\herss.exe
%Temp%\cvasds0.dll (0-9)
X:\1hqup.exe
X:\autorun.inf

%Temp% = C:\Documents and Settings\[UserName]\Local Settings\Temp\
X:\ = C:\- Z:\

Registry Modifications
Keys added
HKLM\SOFTWARE\Classes\CLSID\MADOWN

Values added
HKLM\SOFTWARE\Classes\CLSID\MADOWN\urlinfo: "dsdxsxd.m"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
cdoosoft = %Temp%\herss.exe"

Values modified
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ Folder\Hidden\SHOWALL\CheckedValue = 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Hidden = 0x00000002

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ShowSuperHidden = 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoDriveTypeAutoRun = 0x00000091

Remote Host
202.111.175.157 port 80

Data identified/URLs to be download
http://www.yahoozsw.com/1mg/am.rar
http://www.baidu2y4.com/1mg/am1.rar

See all so
http://www.robtex.com/ip/202.111.175.157.html

=======================================================
วิธีกำจัด/แก้ virus : 1hqup.exe , herss.exe
=======================================================


หลังจากกำจัด virus ได้แล้ว แนะนำให้ติดตั้งโปรแกรมเพิ่มเติม เพื่อป้องกันการเรียกใช้ autorun
เช่น

Panda USB Vaccine
http://www.pandasecurity.com/homeusers/downloads/usbvaccine/

or
KB971029, KB967715 (Disable AutoRun)
http://hotzone-it.blogspot.com/2009/08/kb971029-fix-autorun-microsoft.html

Friday

How to remove y.exe

y.exe , herss.exe
98.5 KB (100,864 bytes)
MD5: 94A620D5B4C703231264B54F2500E0CF
SHA-1: E48604596C4C7E9BDA170295DD2F5340F64D0607
=======================================================
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.01.29Worm.Win32.Taterf!IK
AhnLab-V35.0.0.22010.01.29-
AntiVir7.9.1.1542010.01.29TR/Dropper.Gen
Antiy-AVL2.0.3.72010.01.28-
Authentium5.2.0.52010.01.29-
Avast4.8.1351.02010.01.29-
AVG9.0.0.7302010.01.28-
BitDefender7.22010.01.29-
CAT-QuickHeal10.002010.01.29-
ClamAVdevel-r5076-703-g0222ee62010.01.29-
Comodo37492010.01.29TrojWare.Win32.Valklik.~BB
DrWeb5.0.1.122222010.01.29-
eSafe7.0.17.02010.01.28-
eTrust-Vet35.2.72702010.01.29-
F-Prot4.5.1.852010.01.29-
F-Secure9.0.15370.02010.01.29-
Fortinet4.0.14.02010.01.28-
GData192010.01.29-
IkarusT3.1.1.80.02010.01.29Worm.Win32.Taterf
Jiangmin13.0.9002010.01.28-
K7AntiVirus7.10.9592010.01.28-
Kaspersky7.0.0.1252010.01.29-
McAfee58752010.01.28-
McAfee+Artemis58752010.01.28Artemis!94A620D5B4C7
McAfee-GW-Edition6.8.52010.01.29Heuristic.BehavesLike.Win32.Packed.B
Microsoft1.54062010.01.29PWS:Win32/Frethog.gen!H
NOD3248172010.01.29-
Norman6.04.032010.01.28-
nProtect2009.1.8.02010.01.29-
Panda10.0.2.22010.01.29-
PCTools7.0.3.52010.01.29-
Rising22.32.04.032010.01.29Trojan.Win32.Generic.51F88079
Sophos4.50.02010.01.29Mal/Generic-A
Sunbelt3.2.1858.22010.01.29Worm.Win32.AutoRun
Symantec20091.2.0.412010.01.29Suspicious.Cloud
TheHacker6.5.1.0.1702010.01.29-
TrendMicro9.120.0.10042010.01.29Possible_Mlwr-13
VBA323.12.12.12010.01.29-
ViRobot2010.1.29.21622010.01.29-
VirusBuster5.0.21.02010.01.28-

-------------------------------------------------------------------------------
Files Created
%Temp%\herss.exe
%Temp%\cvasds0.dll (0-9)
X:\y.exe
X:\autorun.inf

%Temp% = C:\Documents and Settings\[UserName]\Local Settings\Temp\
X:\ = C:\- Z:\

Registry Modifications
Keys added
HKLM\SOFTWARE\Classes\CLSID\MADOWN

Values added
HKLM\SOFTWARE\Classes\CLSID\MADOWN\urlinfo: "dsdxsxd.l"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
cdoosoft = %Temp%\herss.exe"

Values modified
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ Folder\Hidden\SHOWALL\CheckedValue = 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Hidden = 0x00000002

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ShowSuperHidden = 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoDriveTypeAutoRun = 0x00000091

Remote Host
202.111.175.157 port 80

Data identified/URLs to be download
hxxp://www.yahooxa0.com/1mg/am.rar
hxxp://www.baidu2y4.com/1mg/am1.rar

http://www.robtex.com/ip/202.111.175.157.html

=======================================================
วิธีกำจัด/แก้ virus : y.exe , herss.exe
=======================================================



หลังจากกำจัด virus ได้แล้ว แนะนำให้ติดตั้งโปรแกรมเพิ่มเติม เพื่อป้องกันการเรียกใช้ autorun
เช่น

Panda USB Vaccine
http://www.pandasecurity.com/homeusers/downloads/usbvaccine/

or
KB971029, KB967715 (Disable AutoRun)
http://hotzone-it.blogspot.com/2009/08/kb971029-fix-autorun-microsoft.html

Thursday

How to remove Win32/Zimuse.A

Win32/Zimuse.A ,Win32/Zimuse.B (Severe level)
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.01.28Trojan.Win32.SuspectCRC!IK
AhnLab-V35.0.0.22010.01.28Win32/Zimuse.worm.228352
AntiVir7.9.1.1542010.01.28Worm/Zimuse.A
Antiy-AVL2.0.3.72010.01.28Worm/Win32.Mseus.gen
Authentium5.2.0.52010.01.28W32/Zimuse.D
Avast4.8.1351.02010.01.28Win32:Zimuse-B
AVG9.0.0.7302010.01.28SHeur2.CGGM
BitDefender7.22010.01.28Dropped:Worm.Zimuse.A
CAT-QuickHeal10.002010.01.28(Suspicious) - DNAScan
ClamAV0.94.12010.01.28-
Comodo37372010.01.28Heur.Suspicious
DrWeb5.0.1.122222010.01.28Win32.HLLW.Mseus.1
eSafe7.0.17.02010.01.27Win32.Zimuse.B
eTrust-Vet35.2.72642010.01.27Win32/Zimuse.A
F-Prot4.5.1.852010.01.28W32/Zimuse.D
F-Secure9.0.15370.02010.01.28Dropped:Worm.Zimuse.A
Fortinet4.0.14.02010.01.28-
GData192010.01.28Dropped:Worm.Zimuse.A
IkarusT3.1.1.80.02010.01.28Trojan.Win32.SuspectCRC
Jiangmin13.0.9002010.01.28-
K7AntiVirus7.10.9572010.01.26Trojan.Win32.Malware.1
Kaspersky7.0.0.1252010.01.28Worm.Win32.Mseus.a
McAfee58742010.01.27Generic.dx!lpy
McAfee+Artemis58742010.01.27Generic.dx!lpy
McAfee-GW-Edition6.8.52010.01.27Worm.Zimuse.A
Microsoft1.54062010.01.28Worm:Win32/Zumes.A!sys
NOD3248132010.01.28Win32/Zimuse.B
Norman6.04.032010.01.27-
nProtect2009.1.8.02010.01.28Worm/W32.Mseus.228352
Panda10.0.2.22010.01.28W32/Mseus.A
PCTools7.0.3.52010.01.28Malware.Zimuse
Prevx3.02010.01.28Medium Risk Malware
Rising22.32.03.042010.01.28Trojan.Win32.Generic.51F84B19
Sophos4.50.02010.01.28W32/Mseus-A
Sunbelt3.2.1858.22010.01.28Win32.Malware!Drop
Symantec20091.2.0.412010.01.28W32.Zimuse
TheHacker6.5.0.9.1672010.01.28-
TrendMicro9.120.0.10042010.01.28WORM_ZIMUS.B
VBA323.12.12.12010.01.28-
ViRobot2010.1.28.21602010.01.28Worm.Win32.S.Zimuse.228352
VirusBuster5.0.21.02010.01.27Worm.Mseus.A

-------------------------------------------------------------------------------


Photobucket


Photobucket


Threat Encyclopaedia (ESET)
http://www.eset.eu/encyclopaedia/win32-zimuse-a-trojan-startpage-g-generic-1729691-threat-sysvenfakp-based-maximus


Bitdefender
http://www.malwarecity.com/blog/malware-alert-win32wormzimusea-the-hard-disk-wrecker-736.html
http://www.malwarecity.com/blog/zimuse-removal-tool-739.html


Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2010-012301-1138-99&tabid=2


TrendMicro
http://150.70.93.10/vinfo/virusencyclo/default5.asp?VName=WORM_ZIMUS.B&VSect=P


-----------------------------------------------------------------------
ผลกระทบ
Win32.Worm.Zimuse.A นั้นจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้

วิธีการแพร่ระบาด
Win32.Worm.Zimuse.A สามารถแพร่ระบาดได้ทางการดาวน์โหลดจากอินเทอร์เน็ตและผ่านสื่อเก็บข้อมูลแบบพกพา โดยมันจะแฝงตัวอยู่ในไฟล์บีบอัดที่สามารถรันได้ด้วยตัวเอง (PECompact) โดยจะหลอกผู้ใช้ว่าเป็นในโปรแกรมทดสอบไอคิว (IQ Test) ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มก็จะทำการสำเนาตัวเองในชื่อไฟล์ zipsetup.exe มีขนาด 195072 B ลงใรรูทโฟลเดอร์ของไดรฟ์

----------------------------------------------------------------------




นักวิจัยจากบริษัทผู้ผลิตซอฟต์แวร์แอนตี้มัลแวร์เปิดเผยว่า พบหนอนไวรัสสายพันธุ์ใหม่ที่สามารถเขียนทับ (overwirte) ข้อมูลส่วนทีเรียกว่า master boot records (MBRs) ของทุกไดรฟ์ในฮาร์ดดิสก์ด้วยข้อมูลของมันเอง ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้

นักวิจัยยังให้ข้อมูลเพิ่มเติมอีกด้วยว่า การกู้ข้อมูลให้คอมพิวเตอร์ที่โดนหนอนไวรัสตัวนี้โจมตีจะมีขั้นตอนที่ค่อนข้างซับซ้อน และต้องใช้ซอฟต์แวร์เฉพาะ ตลอดจนอาจถึงกับต้องเรียกใช้ผู้ให้บริการที่มีความเขี่ยวชาญ สำหรับหนอนไวรัสดังกล่าวจะมี 2 สายพันธุ์ด้วยกันคือ Win32/Zimuse A และ Win32/Zmuse B โดยทาง ESET บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยระบุว่า หนอนไวรัสทั้งสองกำลังแพร่ระบาดในกลุ่มผู้ใช้คอมพิวเตอร์ในสโลวาเกีย ซึ่งคิดเป็นอัตราส่วนมากกว่า 90% ของผู้ที่ตกเป็นเหยื่อ นอกจากนี้ ยังพบอีกด้วยว่า คอมพิวเตอร์ที่กำลังโดนโจมตีจากหนอนไวรัสตัวนี้ได้เพิ่มจำนวนอย่างรวดเร็ว ไม่ว่าจะเป็นในสหรัฐ ตามมาด้วยสโลวาเกีย "ประเทศไทย" และสเปน



สำหรับการแพร่กระจายของหนอนทั้งสองสายพันธุ์จะมี 2 วิธีด้วยกัน วิธีแรกพวกมันจะฝังตัวอยู่ในเว็บไซต์ทั่วไป โดยจะอยู่ในรูปของไฟล์บีบอัด ZIP ที่สามารถคลายไฟล์ได้ในตัว หรือโปรแกรมทดสอบ IQ กับสื่อบันทึกข้อมูลพกพาอย่างเช่น USB Drive ซึ่งความสามารถในการแพร่กระจายผ่านสื่อพกพาได้ จะทำให้หนอนไวรัสพันธุ์นี้แพร่กระจายตัวเองได้เร็วยิ่งขึ้น

นอกจากคุณสมบัติในการแพร่กระจายแล้ว หนอนทั้งสองตัวยังมีความแตกต่างกันในเรื่องของช่วงเวลาฟักตัวก่อนการแพร่กระจายอีกด้วย โดย Win32/Zimuse.A จะต้องใช้เวลา 10 วันก่อนที่จะเริ่มแพร่กระจายจากไดร์ฟ USB ในขณะที Win32/Zimuse.B จะใช้เวลาแค่ 7 วันเท่านั้น หลังจากที่พวกเมันเข้าไปอยู่ในแฟลชไดรฟ์ นอกจากนี้ มันยังมีการตั้งเวลาทำงานอีกด้วย โดยส่วนของโปรแกรมเขียนทับ MBR ของสายพันธุ์ B จะเร็วกว่าจาก 40 วันเป็น 20 วันหลังจากที่มันติดเข้าไปในเครื่องคอมพิวเตอร์ของเหยื่อแล้ว

หากไม่ได้รับการกำจัดอย่างถูกต้อง หนอนจะยกระดับการทำลายที่รุนแรงขึ้นไปอีก จนอาจจะทำให้ใช้งานคอมพิวเตอร์ไม่ได้เลย ผู้สังเกตการณ์เชื่อว่า หนอนตัวนี้มีวัตถุประสงค์ต้องการแพร่กระจายตัวเองไปยังคอมพิวเตอร์ของกลุ่มแฟนคลับมอเตอร์ไบค์ในสโลวาเกีย แต่เมื่อมันหลุดเข้าไปในเครือข่ายคอมพิวเตอร์ของบริษัท การโจมตีจึงแผ่ขยายวงกว้างออกไป

อย่างไรก็ตาม ทาง ESET ได้แจกจ่ายชุดซอฟต์แวร์กำจัดหนอน Zimuse ไว้บนเว็บไซต์แล้ว ผู้สนใจสามารถดาวน์โหลดได้แล้ว (คลิปข้างล่างนี้แสดงให้พิษสงของหนอนดังกล่าว หลังจากที่ทดลองให้ติดตั้ง และแก้ไขวันทีให้มันทำงาน)



ข้อมูลจาก: ARiP, pr-inside

-----------------------------------------------------------------------

Files Created
C:\IQTEST\Iqtest.exe
C:\IQTEST\Readme.txt
%ProgramFiles%\Dump\Dump.exe
%System%\ainf.inf
%System%\drivers\Mseu.sys
%System%\drivers\Mstart.sys
%System%\mseus.exe
%System%\tokset.dll

%System% = C:\Windows\System32

Registry Modifications
Keys Added
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000\Control
HKLM\SYSTEM\ControlSet001\Services\Mseu
HKLM\SYSTEM\ControlSet001\Services\MSTART
HKLM\SYSTEM\ControlSet001\Services\MSTART\Security
HKLM\SYSTEM\ControlSet001\Services\MSTART\Enum
HKLM\SYSTEM\ControlSet001\Services\UnzipService
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control
HKLM\SYSTEM\CurrentControlSet\Services\Mseu
HKLM\SYSTEM\CurrentControlSet\Services\MSTART
HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Security
HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Enum
HKLM\SYSTEM\CurrentControlSet\Services\UnzipService

Values Added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Dump = "%ProgramFiles%\Dump\Dump.exe"


HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000\Control\
*NewlyCreated* = 0x00000000
ActiveService = "MSTART"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000\
Service = "MSTART"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "MSTART"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\
NextInstance = 0x00000001
HKLM\SYSTEM\ControlSet001\Services\Mseu\
Type = 0x00000001
Start = 0x00000002
ErrorControl = 0x00000001
Tag = 0x00000001
Group = "Extended base"

HKLM\SYSTEM\ControlSet001\Services\MSTART\Enum\
0 = "Root\LEGACY_MSTART\0000"
Count = 0x00000001
NextInstance = 0x00000001

HKLM\SYSTEM\ControlSet001\Services\MSTART\Security\
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
HKLM\SYSTEM\ControlSet001\Services\MSTART\
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "%System%\Drivers\MSTART.SYS"
DisplayName = "MSTART"

HKLM\SYSTEM\ControlSet001\Services\UnzipService\
Type = 0x00000110
Start = 0x00000002
ImagePath = "System32\Mseus.exe"
ErrorControl = 0x00000000
DisplayName = "Self extract service"
ObjectName = "LocalSystem"
Description = "Self extract archive decrypt"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control\
*NewlyCreated* = 0x00000000
ActiveService = "MSTART"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\
Service = "MSTART"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "MSTART"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\
NextInstance = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\Mseu\
Type = 0x00000001
Start = 0x00000002
ErrorControl = 0x00000001
Tag = 0x00000001
Group = "Extended base"

HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Enum\
0 = "Root\LEGACY_MSTART\0000"
Count = 0x00000001
NextInstance = 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "%System%\Drivers\MSTART.SYS"
DisplayName = "MSTART"

HKLM\SYSTEM\CurrentControlSet\Services\UnzipService\
Type = 0x00000110
Start = 0x00000002
ImagePath = "System32\Mseus.exe"
ErrorControl = 0x00000000
DisplayName = "Self extract service"
ObjectName = "LocalSystem"
Description = "Self extract archive decrypt"

แหล่งข้อมูลอ้างอิง : ThreatExpert ,ESET Theat enclycropedia

=================================================
วิธีกำจ้ด Worm : Win32/Zimuse.A
=================================================
Download Fix Tool

ESET Ezimuse Remover
http://www.eset.eu/download/ezimuse-remover
or
http://www.mediafire.com/?adzmjonjnyx


Zimuse Remove Tool (Bidefender)
http://www.zimuse.com/download/zimuse-removal-tool.exe

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases