olhrwef.exe , q9.com
MD5 : 0A1FFBE86C5F6571BD7AD0DAA1DD316F
SHA1 : 6041B1E03B75C7AC6174F46ECC0DF97BF4FDA288
Nmdfgds0.dll
MD5 : 0A1FFBE86C5F6571BD7AD0DAA1DD316F
SHA1 :19A70CF4B91031243643F853273C600EBCABDE4C
ชื่ออื่นๆ
AntiVir > TR/Drop.Agent.ahdz
AVAST > Win32:Trojan-gen
AVG > Injector.EF
BitDefender > Trojan.Generic.1928777
Dr.Web > Trojan.MulDrop.31605
F-Secure >Trojan-Dropper.Win32.Agent.asaw
GData > Trojan-Dropper.Win32.Agent.asaw
Kaspersky > Trojan-Dropper.Win32.Agent.asaw
Microsoft > Worm:Win32/Taterf.B
NOD32 > Win32 Pacex.Gen
Norman > OnLineGames.IAPV
Panda > W32/Lineage.KWJ
Quick Heal > TrojanDropper.Agent.asaw
Sophos > Mal/Generic-A
===================================================================
จากที่เก็บตัวอย่างไฟล์มาทดสอบ (olhrwef.exe ,q9.com)ได้ผลดังนี้
เมื่อ Run ไฟล์ olhrwef.exe ปรากฎว่ามีการสร้างไฟล์ที่
c:\autorun.inf ทุกๆ root drive > C:\.........Z:\
[AutoRun]
open= q9.cmd
shell\open\Command=q9.cmd
c:\q9.com (olhrwef.exe) ทุกๆ root drive C:\.........Z:\
c:\windows\system32\nmdfgds0.dll ( อาจมีไฟล์เพิ่มอีก 1-2 ตัว nmdfgds1.dll,nmdfgds.dll )
c:\windows\system32\olhrwef.exe
Task manager และ regedit ใช้งานได้ตามปรกติ
Folder option ไม่ถูกซ่อน แต่ ไม่สามารถ show hidden file ได้
เมื่อมีการเชื่อมต่อ internet virus จะไป download ไฟล์ที่ http://35465543.com/xmfx/help1.rar (ข้อมูลจาก threatexpert) เก็บไว้ใน temp
-> C:\Documents and Settings\[ชื่อ user ที่ logon]\Local Settings\Temp
หลังจากนั้นจะมีไฟล์ help.exe 1 ตัว
มีการเพิ่มค่า Run ใน registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
cdoosoft = "%System%\olhrwef.exe"
แก้ไข registry ไม่ให้ show hidden file
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0x00000000
เพิ่มค่า ใน Registry อื่นๆ
HKEY_CLASSES_ROOT\CLSID\MADOWN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Enum
-----------------------------------------------------------------------------------------------
วิธีกำจัด virus olhrwef.exe ,q9.com (Win32 Pacex.Gen : Detect by NOD32)
-----------------------------------------------------------------------------------------------
Downloaod Fix Tool :
1.Auto Cleaning
PeeTechFix-Win32/PSW.OnlineGames
------------------------------------------------------------------------
or
2. Manual Delete
: ExplorerXP Explorestart Hijack This Nod32 Recovery Tool
*การ delete ไฟล์ให้ทำผ่านโปรแกรม explorerXP ทั้งหมด
* การ delete ให้ กดปุ่ม Shift + Del
1. ตัดการเชื่อมต่อ Internet
2. เปิดโปรแรม ExplorerXP เข้าไป delete ไฟล์ olhrwef.exe ที่ c:\windows\system32\
3.เปิดโปรแกรม Explorestart แล้วใช้โปรแกรม ExplorerXP ลบไฟล์ nmdfgds0.dll, nmdfgds1.dll หรือ nmdfgds2.dll(ถ้ามี)
4. เข้าไป Delete ไฟล์ help.exe และ help.zip (ถ้ามี) ที่ C:\Documents and Settings\[ชื่อ user ที่ logon]\Local Settings\Temp หรือจะใช้ ATF cleaner เพื่อ Clear temp ก็ได้ครับ
5. เข้าไป Delete ไฟล์ q9.com และ autorun.inf ที่ root ของทุกๆ drive (C:\....... Z:\) รวมถึง Flash drive ด้วย
6. เปิดโปรแกรม Hijack This ให้ fix check ที่
HKU\S-1-5-21-796845957-1644491937-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft: "C:\WINDOWS\system32\olhrwef.exe"
7. ใช้NOD32 Recovey Tool Fix now เพื่อคืนค่า show hidden file
8. Click ที่ start > Run พิมพ์ Regedit เข้าไปลบ Registry นี้ออก
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys
HKEY_CLASSES_ROOT\CLSID\MADOWN
9. หลังจากกำจัด virus เรียบร้อยให้ติดตั้งโปรแกรมป้องกัน autorun เช่น CPE17
10. สุดท้ายอย่าลืม Update Antivirus ให้เป็นปัจจุบัน ครับ
จบแล้วครับวิธีแก้ virus olhrwef.exe , q9.com (Win32 Pacex.Gen)
หมายเหตุ : ไม่ได้เน้น รูปภาพนะครับ มันจัดบรรทัดจะเพี้ยนๆ ไม่ค่อย OK และทำให้เขียนวิธีแก้ช้า ครับ
ถ้าใช้โปรแกรม Explorestart แล้วมีปัญหาให้ใช้ Unlocker แทน (ถ้า Run Explorestart 2 ครั้ง พบว่า Taskbar ไม่กลับมาแสดง
แก้โดยการกด ปุ่ม Ctl+Alt+Del แล้ว Click ที่เมนู File เลือกที่ new task (run) พิมพ์คำว่า explorer ครับ)
=========================== Test by peeTech===========================
Widows XP SP2
*การ delete ไฟล์ให้ทำผ่านโปรแกรม explorerXP ทั้งหมด
* การ delete ให้ กดปุ่ม Shift + Del
1. ตัดการเชื่อมต่อ Internet
2. เปิดโปรแรม ExplorerXP เข้าไป delete ไฟล์ olhrwef.exe ที่ c:\windows\system32\
3.เปิดโปรแกรม Explorestart แล้วใช้โปรแกรม ExplorerXP ลบไฟล์ nmdfgds0.dll, nmdfgds1.dll หรือ nmdfgds2.dll(ถ้ามี)
4. เข้าไป Delete ไฟล์ help.exe และ help.zip (ถ้ามี) ที่ C:\Documents and Settings\[ชื่อ user ที่ logon]\Local Settings\Temp หรือจะใช้ ATF cleaner เพื่อ Clear temp ก็ได้ครับ
5. เข้าไป Delete ไฟล์ q9.com และ autorun.inf ที่ root ของทุกๆ drive (C:\....... Z:\) รวมถึง Flash drive ด้วย
6. เปิดโปรแกรม Hijack This ให้ fix check ที่
HKU\S-1-5-21-796845957-1644491937-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft: "C:\WINDOWS\system32\olhrwef.exe"
7. ใช้NOD32 Recovey Tool Fix now เพื่อคืนค่า show hidden file
8. Click ที่ start > Run พิมพ์ Regedit เข้าไปลบ Registry นี้ออก
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys
HKEY_CLASSES_ROOT\CLSID\MADOWN
9. หลังจากกำจัด virus เรียบร้อยให้ติดตั้งโปรแกรมป้องกัน autorun เช่น CPE17
10. สุดท้ายอย่าลืม Update Antivirus ให้เป็นปัจจุบัน ครับ
จบแล้วครับวิธีแก้ virus olhrwef.exe , q9.com (Win32 Pacex.Gen)
หมายเหตุ : ไม่ได้เน้น รูปภาพนะครับ มันจัดบรรทัดจะเพี้ยนๆ ไม่ค่อย OK และทำให้เขียนวิธีแก้ช้า ครับ
ถ้าใช้โปรแกรม Explorestart แล้วมีปัญหาให้ใช้ Unlocker แทน (ถ้า Run Explorestart 2 ครั้ง พบว่า Taskbar ไม่กลับมาแสดง
แก้โดยการกด ปุ่ม Ctl+Alt+Del แล้ว Click ที่เมนู File เลือกที่ new task (run) พิมพ์คำว่า explorer ครับ)
=========================== Test by peeTech===========================
Widows XP SP2
No comments:
Post a Comment