kva8wr.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
MD5 : add5ff5dbd87beda460e614a27fb616b
=====================================================================
ผมจะไม่เน้นรูปภาพประกอบนะครับ ต้องขออภัยดัวย มันช้า และจัดรูปภาพกับบรรทัด ไม่ค่อยสะดวก
จากการเก็บตัวอย่าง virus มาทดสอบ โดย
มีไฟล์ Autorun.inf และ iutox.bat
[AutoRun]
;DKdfla22s2LLj2owkrseplAFLd52ar9wAqqfsZ58Lfri2dlk3ck1dJKfiaD0iaSr5DJd8Aoaj7mkD3o8sskiJ3 open=iutox.bat
;AdaLA3jKjDJ
shell\open\Command=iutox.bat
หรือ
[AutoRun]
;Aj72aojiwi2d
open=cdgjlrq.cmd
;2fq3k3Sda2s
shell\open\Command=cdgjlrq.cmd
เมื่อทำการ Run ไฟล์ iutox.bat ได้มีการสร้างไฟล์ 5 ไฟล์ ดังนี้
c:\windows\system32\bgotrtu0.dll
c:\windows\system32\kva8wr.exe ( kvasoft )
c:\windows\system32\uweyiwe0.dll
c:\autorun.inf
c:\iutox.bat หรือ cdgjlrq.cmd หรือ q2c.bat (ทุกๆ root drive -> C:\ ........... Z:\)
ถ้า double click ที่ไฟล์ kva8wr.exe พบว่ามีการสร้างไฟล์ cdgjlrq.cmd ไฟล์ที่ C:\
virus ตัวนี้ ไม่ได้ทำการซ่อน folder Option ,ไม่ disable Task Manager และไม่ Disable Regedit
สามารถทำงานได้ตามปกติ ทำให้ User ไม่ผิดสังเกตว่าเครื่องติดไวรัส แต่ที่สังเกตได้คือ ไม่สามารถเปิด show hidden file ได้
มีการ เพื่อค่าลงใน IE helper module object (bgotrtu0.dll) ซึ่งเมื่อมีการเชื่อมต่อ Internet มันจะเข้าไป download ที่
http://cjdha.com/xhg2/ll1.rar ซึ่งถ้าลองเข้าไปตอนนี้จะขั้นตามภาพนี้ครับ
------------------------------------------------------------------------------------------------
วิธีกำจัด Virus : kva8wr.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------------------------------
Download Virus Remove Tool : ExplorerXP Explorestart Hijack This NOD32 Recovery Tool
ไฟล์ที่จะต้อง delete ใน system32 คือ
c:\windows\system32\bgotrtu0.dll
c:\windows\system32\kva8wr.exe ( kvasoft )
c:\windows\system32\uweyiwe0.dll
ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้
วิธีแก้คือ
1. เปิดโปรแกรม ExplorerXP เข้าไป delete ไฟล์ kva8wr.exe ใน c:\windows\system32\kva8wr.exe
2. เปิดโปรแกรม Explorestart จากนั้นใช้โปรแกรม ExplorerXP เข้าไป delete ไฟล์ uweyiwe0.dll และ bgotrtu0.dll
และ delete ไฟล์ใน Root drive ทุกไดว์ ที่มีนามสกุล .cmd , .bat (ถ้ามี) cdgjlrq.cmd หรือ q2c.bat (ไฟล์ .com และ .bat ในไดว์ C:\ ควรมีแค่ไฟล์ AUTOEXEC.BAT และ NTDETECT.COM เท่านั้น)
3. เปิดโปรแกรม Hijeck This แล้ว Fix check ที่ 2 บรรทัดนี้ คือ
BHO: IEHlprObj Class - {F171A450-7AF5-43E1-AFED-EDC826A1B0F5} - C:\WINDOWS\system32\bgotrtu0.dll
HKCU\..\Run: [kvasoft] C:\WINDOWS\system32\kva8wr.exe
4. เปิดโปรแกรม NOD32 Recovery Tool เพื่อทำการคืนค่า Show hidden file และค่าอื่นๆ ใน registry
คำแนะนำ : เมื่อกำจัด virus เรียบร้อยแล้วควรติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย Autorun ในการทำงาน
หรือ Download PeeTechFix_Win32.psw.OnlineGame 2.0.1
จบแล้วครับ วิธีแก้ virus kva8wr.exe (Win32/PSW.OnLineGames.NNU)
ใครเก่งภาษาอังกฤษ ก็เข้าไปดูตาม link นี้ครับ มีรายละเอียดครบ
http://www.threatexpert.com/report.aspx?md5=ef942f1494dd851487714060a2b23454
========================= Test by Peetech =============================
จำนวน ครั้งที่ Test = 5 ครั้ง
Windows XP SP2
No comments:
Post a Comment