Malware Fighting: Virus: Win32 Spy.Ambler

"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com

Click here for more gifs and graphics

แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================

PeeTechFix >> JupiterFix

==============================================

Download : JupiterFix-Win32.PSW.OnlineGames 2011
(

AVDB-147

)

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames

ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt

-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง

-------------------------------------------------------------------------------------

Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้

------------------------------------------------------------------------------------

วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)

"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"

วิธีแก้ ดูที่ link นี้ครับ

http://hotzone-it.blogspot.com/2010/01/fix-error-peetechfix.html

-------------------------------------------------------------------------------------

วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)

http://hotzone-it.blogspot.com/2010/06/msn-disconect.html

-------------------------------------------------------------------------------------

How to start Windows in Safe Mode

Link1 or Link 2 or Link3

Monday

Virus: Win32 Spy.Ambler

How to remove chess.exe
(Win32 Spy.Ambler : Detect by NOD32)
chess.exe
MD5 : 4586667D8D5D82A93CB37D0A37876AB5
SHA1 : 831C3D706E1F7E6CFE37E9FA0F04EDC55366A5DA

Xlk.dll
MD5: 67AF34EBB9316287F6F4735BE72F825A
SHA1 : 502933FFF9965D1F084946F4EF2EC0B55D1FAE5E ===================================================
Other name
AntiVir > TR/Dropper.Gen
Authentium > W32/Worm.AKUA
AVAST> Win32:Ambler-B
AVG > BHO.HRA.dropper
BitDefender > Dropped:Trojan.Generic.1405901
CA (VET) > Win32/Ambler!generic trojan
Comodo > TrojWare.Win32.TrojanDownloader.BHO.~BO
F-Prot > W32/Worm.AKUA
F-Secure > Trojan-Spy:W32/Ambler.gen!B
Fortinet > W32/AutoRun.ADWJ!worm
GData > Worm.Win32.AutoRun.adwj
Ikarus > Trojan-Dropper.Win32.Ambler
JiangMin > Worm/AutoRun.gpg
Kaspersky > Worm.Win32.AutoRun.adwj
KingSoft > Worm.AutoRun
McAfee > W32/Autorun.worm!n
Microsoft > TrojanSpy:Win32/Ambler.D
NOD32 > Win32/Spy.Ambler
Norman > W32/Malware.FLZU
nProtect > Dropped:Trojan.Generic.1405901
Quick > Worm.AutoRun.aqez
Sophos > W32/Autorun-AON
Sunbelt > Trojan.Win32.Generic!BT
Symantec > Infostealer.Banker.E
The Hacker > W32/AutoRun.adwj
Trend Micro > TROJ_AGENT.ALQW
VBA32 > Worm.Win32.AutoRun.adwj
VirusBuster > Worm.AutoRun.LHW

===================================================

ไฟล์ที่ใช้ทดสอบ chess.exe
เมื่อ virus ทำงาน ได้มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\rs
C:\WINDOWS\system32\xlk.dll

มีการแก้ไข Registry ดังนี้
Key added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgIDHKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLibHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}

Value Added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLib\: "{44210CD6-B610-4b87-A24E-D317C2C22385}"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgID\: "Jmc"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\: "xlk.dll"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\: "Google plugin"HKLM\SOFTWARE\Google\MJ1: 63 77 60 20
HKLM\SOFTWARE\Google\MJ2: 63 77 60 22
HKLM\SOFTWARE\Google\MJ3: 63 77 60 22
HKLM\SOFTWARE\Google\Add: 28 23 3D 23 23 22 3F 24 26 3F 23 23 20 3D 79 7E 70 3C 79 73 7D 75
HKLM\SOFTWARE\Google\LN: SG@OGG
HKLM\SOFTWARE\Google\COD: "l/.Q%T&%V:'% V:#sr$://Q!:.Q$&V&T'Q& Tj"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\: "DCOM service"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Locale: "EN"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\StubPath: "rundll32 xlk.dll,InitO"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\IsInstalled: 0x00000001
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Version: "4,3,6,3"

-------------------------------------------------------------------------
ถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ

-------------------------------------------------------------------------
วิธีกำจั virus : chess.exe (Win32 Spy.Ambler : Detect by NOD32)
-------------------------------------------------------------------------
Download Virus Remove Tool
Unlocker , Hijack This , NOD32 Recovery Tool

1. เข้าไปที่ C:\WINDOWS\system32\ click ขวาที่ไฟล์ xlk.dll เลือก Unlocker
จะขึ้นหน้าต่างๆดังภาพ ให้ click ที่ rundll32.exe แล้วกดปุ่ม unlock

2. delete ไฟล์ใน system32 ตามนี้ครับ
C:\WINDOWS\system32\xlk.dll
C:\WINDOWS\system32\rs

3. ใช้โปแกรม Hijack This fix checked ที่ 2 บรรทัดนี้
BHO: Google plugin - {89F2C12A-027A-4de3-88F6-9F31A1C0F17C} - xlk.dll (file missing)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1

4. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Registry ของ Task Manager

5. Click Start > run พิมพ์ Regedit เข้าไปแก้ไขค่า Registry โดย click ที่ menu Edit เลือกที่ Find
ค้นหาค่า 2 ค่านี้ แล้ว delete ให้หมดครับ
{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}

และ Delete Key "Google" ออกด้วยครับ ตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Google

จบแล้วครับ วิธีแก้ virus chess.exe (Win32 Spy.Ambler : Detect by NOD32)
แต่ที่ผมแปลกใจคือ ไม่เห็นมีการสร้างไฟล์ chess.exe ลงในเครื่องเลย
=================== Test by PeeTech ===================
จำนวนครั้งที่ทดสอบ 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2

Malware Fighting

Menu

Information

Monday

Virus: Win32 Spy.Ambler

No comments:

Post a Comment

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases

Popular Posts

Online Scan

Multi AV Scan malware