Malware Fighting: How to Remove t.exe, ahnsbsb.exe

"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com

Click here for more gifs and graphics

แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================

PeeTechFix >> JupiterFix

==============================================

Download : JupiterFix-Win32.PSW.OnlineGames 2011
(

AVDB-147

)

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames

ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt

-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง

-------------------------------------------------------------------------------------

Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้

------------------------------------------------------------------------------------

วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)

"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"

วิธีแก้ ดูที่ link นี้ครับ

http://hotzone-it.blogspot.com/2010/01/fix-error-peetechfix.html

-------------------------------------------------------------------------------------

วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)

http://hotzone-it.blogspot.com/2010/06/msn-disconect.html

-------------------------------------------------------------------------------------

How to start Windows in Safe Mode

Link1 or Link 2 or Link3

Friday

How to Remove t.exe, ahnsbsb.exe

How to remove Win32/Pacex.Gen (Detect by NOD32)
t.exe , ahnsbsb.exe (ahnsoft)
MD5 : BB288ECFD30503EB627FA8EC570D6FEA
SHA1 : 0AC8358F00F20FB0038258BE7C8A4CBDEB2F1B35
CRC32 : A5D3C150

ahnfgss0.dll
MD5 : CD4481D5037A6F063728DEBECA97C985
SHA1 : 3460D1FC90A190947117D9E21D11EF8BF12D0074
CRC32 : C0CB7BBC
------------------------------------------------------------------------
Aliases:
a-squared 4.5.0.24 2009.09.11 Trojan.Win32.Inhoo!IK
AhnLab-V3 5.0.0.2 2009.09.11 Win-Trojan/Taterf.160567
AntiVir 7.9.1.14 2009.09.10 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.09.11 -
Authentium 5.1.2.4 2009.09.11 W32/SuspPack.AG.gen!Eldorado
Avast 4.8.1351.0 2009.09.10 Win32:Kamso
AVG 8.5.0.412 2009.09.10 SHeur2.AUSY
BitDefender 7.2 2009.09.11 Trojan.Generic.2257438
CAT-QuickHeal 10.00 2009.09.11 Worm.AutoRun.gen
ClamAV 0.94.1 2009.09.11 -
Comodo 2279 2009.09.11 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.09.10 Trojan.PWS.Wsgame.10150
eSafe 7.0.17.0 2009.09.10 Suspicious File
eTrust-Vet 31.6.6731 2009.09.11 -
F-Prot 4.5.1.85 2009.09.10 W32/SuspPack.AG.gen!Eldorado
F-Secure 8.0.14470.0 2009.09.11 Trojan-Dropper.Win32.Agent.azgp
Fortinet 3.120.0.0 2009.09.11 W32/Generic
GData 19 2009.09.11 Trojan.Generic.2257438
Ikarus T3.1.1.72.0 2009.09.11 Trojan.Win32.Inhoo
Jiangmin 11.0.800 2009.09.10 -
K7AntiVirus 7.10.841 2009.09.10 Trojan-Dropper.Win32.Agent.azgp
Kaspersky 7.0.0.125 2009.09.11 Trojan-Dropper.Win32.Agent.azgp
McAfee 5737 2009.09.10 Generic PWS.ak
McAfee+Artemis 5737 2009.09.10 Generic PWS.ak
McAfee-GW-Edition 6.8.5 2009.09.11 Heuristic.BehavesLike.Win32.Packed.C
Microsoft 1.5005 2009.09.10 Worm:Win32/Taterf.B
NOD32 4415 2009.09.10 a variant of Win32/Pacex.Gen
Norman 6.01.09 2009.09.10 W32/Agent.dam
nProtect 2009.1.8.0 2009.09.10 Trojan/W32.Agent.160567
Panda 10.0.2.2 2009.09.10 Trj/Downloader.MDW
PCTools 4.4.2.0 2009.09.10 -
Prevx 3.0 2009.09.11 High Risk Fraudulent Security Program
Rising 21.46.40.00 2009.09.11 -
Sophos 4.45.0 2009.09.11 Mal/EncPk-JS
Sunbelt 3.2.1858.2 2009.09.10 Worm.Win32.AutoRun
Symantec 1.4.4.12 2009.09.11 W32.Gammima
TheHacker 6.3.4.4.400 2009.09.10 Trojan/Dropper.Agent.azgp
TrendMicro 8.950.0.1094 2009.09.11 WORM_ONLINEG.LLY
VBA32 3.12.10.10 2009.09.11 Trojan-Dropper.Win32.Agent.azgp
ViRobot 2009.9.11.1929 2009.09.11 -
VirusBuster 4.6.5.0 2009.09.10 Trojan.DR.Agent.NTIS
-----------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\WINDOWS\system32\ahnsbsb.exe
C:\WINDOWS\system32\ahnfgss0.dll ( number 0 - 9)
C:\WINDOWS\inf\LAYOUT.PNF
C:\WINDOWS\inf\drvindex.PNF
สร้างไฟล์ Autorun.inf และ t.exe ทุก root drive ( C:\....... Z:\)
x:\autorun.inf
x:\t.exe

มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Classes\CLSID\{AF4DA69B-E1D6-469A-855B-6445294857D4}
HKLM\SOFTWARE\Classes\Interface\{AF4DA69C-E1D6-469A-855B-6445294857D4}
HKLM\SOFTWARE\Classes\TypeLib\{AF4DA692-E1D6-469A-855B-6445294857D4}
HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF4DA69B-E1D6-469A-855B-6445294857D4}
HKLM\SYSTEM\ControlSet001\Services\AVPsys
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000000

ไม่สามารถ เปิด Show hidden file ได้
-------------------------------------------------------------------------
วิธีกำจัด virus t.exe , ahnsbsb.exe (ahnsoft)
(Win32/Pacex.Gen : Detect by NOD32) แบบ Manual
-------------------------------------------------------------------------
Download Virus Remove Tool :
Explorestat , ExplorerXP , Hijack This , NOD32 Recovery Tool

ก่อนอื่นให้ตัดการเชื่อมต่อ internet และระบบ network อื่นก่อน
1. run โปรแกรม Explorestart 1 ครั้งเพื่อปลด lock โปรแกรมต่างๆ ที่โดน ahnfgss0.dll เกาะอยู่
2.เปิดโปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน system32 และ root drive ตามนี้ครับ
C:\WINDOWS\system32\ahnsbsb.exe
C:\WINDOWS\system32\ahnfgss0.dll

USB DRIVE
x:\autorun.inf
x:\t.exe

3. ใช้โปรแกรม Hijack This Ficheked ที่ 2 บรรทัด นี้
BHO: IEHlprObj Class - {AF4DA69B-E1D6-469A-855B-6445294857D4} - C:\WINDOWS\system32\ahnfgss0.dll
HKCU\..\Run: [ahnsoft] C:\WINDOWS\system32\ahnsbsb.exe

4. Click Starat > Run พิมพ์ Regedit แล้ว Delete Key ดังต่อไปนี้

HKLM\SOFTWARE\Classes\CLSID\{AF4DA69B-E1D6-469A-855B-6445294857D4}HKLM\SOFTWARE\Classes\Interface\{AF4DA69C-E1D6-469A-855B-6445294857D4}HKLM\SOFTWARE\Classes\TypeLib\{AF4DA692-E1D6-469A-855B-6445294857D4}HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObjHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF4DA69B-E1D6-469A-855B-6445294857D4}HKLM\SYSTEM\ControlSet001\Services\AVPsysHKLM\SYSTEM\CurrentControlSet\Services\AVPsys

4. ใช้โปรแกรม NOD32 Recovery Tool แก้ไขค่า Show Hidden file

Malware Fighting

Menu

Information

Friday

How to Remove t.exe, ahnsbsb.exe

No comments:

Post a Comment

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases

Popular Posts

Online Scan

Multi AV Scan malware