How to remove m.exe, herss.exe

m.exe , herss.exe
File size: 115319 bytes
MD5: BDCC9DE9880F15A961A265CA7A11C2D4

==============================================
Aliases:
a-squared 4.5.0.24 2009.09.15 Trojan.Win32.Inhoo!IK
AhnLab-V3 5.0.0.2 2009.09.14 -
AntiVir 7.9.1.14 2009.09.14 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.09.14 -
Authentium 5.1.2.4 2009.09.14 W32/Autorun.OF
Avast 4.8.1351.0 2009.09.14 Win32:Kamso
AVG 8.5.0.412 2009.09.14 SHeur2.BBPD
BitDefender 7.2 2009.09.15 Trojan.PWS.OnlineGames.KCUQ
CAT-QuickHeal 10.00 2009.09.14 TrojanGameThief.Magania.cafp
ClamAV 0.94.1 2009.09.14 -
Comodo 2320 2009.09.15 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.09.15 Trojan.PWS.Wsgame.12661
eSafe 7.0.17.0 2009.09.14 Win32.Gammima.Ag
eTrust-Vet 31.6.6737 2009.09.14 Win32/Frethog.FGM
F-Prot 4.5.1.85 2009.09.14 W32/Autorun.OF
F-Secure 8.0.14470.0 2009.09.13 Trojan-GameThief.Win32.Magania.cafp
Fortinet 3.120.0.0 2009.09.15 PossibleThreat
GData 19 2009.09.15 Trojan.PWS.OnlineGames.KCUQ
Ikarus T3.1.1.72.0 2009.09.15 Trojan.Win32.Inhoo
Jiangmin 11.0.800 2009.09.14 Trojan/PSW.Magania.ycw
K7AntiVirus 7.10.844 2009.09.14 Trojan-PSW.Win32.Magania.cafp
Kaspersky 7.0.0.125 2009.09.15 Trojan-GameThief.Win32.Magania.cafp
McAfee 5741 2009.09.14 Generic PWS.ak
McAfee+Artemis 5741 2009.09.14 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.09.14 Heuristic.LooksLike.Win32.SuspiciousPE.B
Microsoft 1.5005 2009.09.14 Worm:Win32/Taterf.B
NOD32 4425 2009.09.14 Win32/PSW.OnLineGames.NNU
Norman 6.01.09 2009.09.14 OnLineGames.KGCC
nProtect 2009.1.8.0 2009.09.14 Trojan/W32.Agent.115319.B
Panda 10.0.2.2 2009.09.14 Trj/Lineage.BZE
PCTools 4.4.2.0 2009.09.14 -
Prevx 3.0 2009.09.15 High Risk Cloaked Malware
Rising 21.47.04.00 2009.09.14 Packer.Win32.Nodef.c
Sophos 4.45.0 2009.09.15 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.09.15 Worm.Win32.AutoRun
Symantec 1.4.4.12 2009.09.15 W32.Gammima.AG
TheHacker 6.3.4.4.404 2009.09.15 Trojan/Magania.cafp
TrendMicro 8.950.0.1094 2009.09.14 WORM_TATERF.FA
VBA32 3.12.10.10 2009.09.14 Trojan-GameThief.Win32.Magania.cafp
ViRobot 2009.9.14.1934 2009.09.14 Trojan.Win32.PSWMagania.115319
VirusBuster 4.6.5.0 2009.09.14 Trojan.PWS.Magania.SRW
--------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ไว้ใน %temp%
C:\Documents and Settings\[User Name]\Local Settings\Temp\herss.exe
C:\Documents and Settings\[User Name]\Local Settings\Temp\cvasds0.dll (0-9)
C:\m.exe (C:\ ...... Z:\)

สร้างไฟล์ใน USB Drive
X:\m.exe
X:\autorun.inf

เพิ่มค่า Run ใน Registry
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun: 0x00000091
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
cdoosoft "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\herss.exe"
-------------------------------------------------------------------------
วิธีแก้ virus : m.exe , herss.exe
-------------------------------------------------------------------------

1.Download Fix Tool : PeeTechFix-Win32.PSW.OnlineGames

or

2.Manual delete

Download virus Remove Tool
Explorestart , ExplorerXP , Hijack This , Nod32 Recovery Tool

1. Run โปรแกรม Explorestart 1 ครั้ง เพื่อแก้ lock จาก cvasds0.dll

2. ใช้โปรแกรม ExplorerXP เข้าไป Delete ไฟล์ตามนี้
Delete herss.exe , cvasds0.dll ใน %temp%
C:\Documents and Settings\[User Name]\Local Settings\Temp\
Delete m.exe ในทุก Root drive( C:\ ..... Z:\) รวมถึง autorun.inf ด้วย



3. ใช้ Hijack This Fix checked ที่บรรทัดนี้

O4 - HKCU\..\Run: [cdoosoft] %Temp%\herss.exe"

4. ใช้ NOD32 Recovery Tool Fix now เพื่อแก้ไขค่า Show hidden file



สุดท้ายให้ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน virus อาศัย autorun ในการทำงาน
Update virus signature database ของ Antivirus ให้ทันสมัยอยู่เสมอ

------------------------ Test by PeeTech ----------------------------
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
OS ที่ใช้ทดสอบ : Windows XP SP2
ไฟล์ที่ใช้ทดสอบ : m.exe