How to remove Win32/VB.NOW (Detect by NOD32)
DXGDIALOG.EXE , .EXE
CRC32: FC870C5E
MD5: 90B63A092673615E839FAA768613214C
SHA-1: 67C09D97437AA1F569A464FE47DE24515C48B667
------------------------------------------------------------------------
Aliases:
a-squared 4.5.0.24 2009.09.11 Virus.Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.09.10 Win-Trojan/Xema.variant
AntiVir 7.9.1.14 2009.09.10 TR/VB.das.23
Antiy-AVL 2.0.3.7 2009.09.10 Trojan/Win32.VB.gen
Authentium 5.1.2.4 2009.09.11 W32/Trojan2.EXOK
Avast 4.8.1351.0 2009.09.10 Win32:VB-LCD
AVG 8.5.0.412 2009.09.10 Generic11.RUG
BitDefender 7.2 2009.09.11 Win32.Worm.VB.NXV
CAT-QuickHeal 10.00 2009.09.10 Trojan.VB.das
ClamAV 0.94.1 2009.09.11 -
Comodo 2279 2009.09.11 Worm.Win32.AutoRun.~HE
DrWeb 5.0.0.12182 2009.09.10 Win32.HLLW.Autoruner.4287
eSafe 7.0.17.0 2009.09.10 -
eTrust-Vet 31.6.6730 2009.09.10 Win32/SillyAutorun.JZ
F-Prot 4.5.1.85 2009.09.10 W32/Trojan2.EXOK
F-Secure 8.0.14470.0 2009.09.11 Trojan.Win32.VB.udb
Fortinet 3.120.0.0 2009.09.10 -
GData 19 2009.09.11 Win32.Worm.VB.NXV
Ikarus T3.1.1.72.0 2009.09.10 Virus.Trojan.Win32.VB
Jiangmin 11.0.800 2009.09.10 Backdoor/Hupigon.qb
K7AntiVirus 7.10.841 2009.09.10 Trojan.Win32.VB.das
Kaspersky 7.0.0.125 2009.09.11 Trojan.Win32.VB.udb
McAfee 5737 2009.09.10 W32/Autorun.worm.h
McAfee+Artemis 5737 2009.09.10 W32/Autorun.worm.h
McAfee-GW-Edition 6.8.5 2009.09.10 Trojan.VB.das.23
Microsoft 1.5005 2009.09.10 Worm:Win32/Autorun.gen!BE
NOD32 4415 2009.09.10 a variant of Win32/VB.NOW
Norman 6.01.09 2009.09.10 W32/Obfuscated.H3!genr
nProtect 2009.1.8.0 2009.09.10 Trojan/W32.Agent.110592.Z
Panda 10.0.2.2 2009.09.10 W32/Autorun.AQX.worm
PCTools 4.4.2.0 2009.09.10 Trojan.VB.das
Prevx 3.0 2009.09.11 Medium Risk Malware
Rising 21.46.34.00 2009.09.10 Worm.Win32.VB.sz
Sophos 4.45.0 2009.09.11 W32/Autorun-WO
Sunbelt 3.2.1858.2 2009.09.10 -
Symantec 1.4.4.12 2009.09.11 Trojan Horse
TheHacker 6.3.4.4.400 2009.09.10 -
TrendMicro 8.950.0.1094 2009.09.10 TROJ_VB.HGC
VBA32 3.12.10.10 2009.09.10 Trojan.Win32.VB.das
ViRobot 2009.9.10.1928 2009.09.10 Trojan.Win32.VB.110592.E
VirusBuster 4.6.5.0 2009.09.10 Trojan.VB.EFEB
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ ดังนี้
C:\WINDOWS\system32\DXGDIALOG.EXE
C:\Documents and Settings\[User Name]\Desktop\.EXE
ใน USB DRIVE
X:\DXGDIALOG.EXE
X:\autorun.inf
มีการแก้ไข Registry ดังนี้
Values added
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMIAPSRV\0000\Control\
ActiveService: "WmiApSrv"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIAPSRV\0000\Control\
ActiveService: "WmiApSrv"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
MSconfigs: "C:\WINDOWS\system32\DXGDIALOG.EXE
Values modified
HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent\: 0x00000014
HKLM\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000014
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden: 0x00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoFolderOptions: 0x00000001
สร้าง Folder ปลอม ที่มีนามสกุล .exe และซ่อน Folder บาง Folder
Folder option หาย และ ไม่สามารถ Show hidden file ได้
------------------------------------------------------------------------
วิธีแก้ DXGDIALOG.EXE (Win32/VB.NOW)
------------------------------------------------------------------------
ก่อนอื่นให้ตัดการเชื่อมต่อ internet ก่อน และเสียบ USB driver กับ computer
1. เปิดโปรแกรม Kill Process หา folder ที่มีนามสกุล .exe แล้ว ปิด Process ให้หมดทุกตัว
2. Delete ไฟล์ DXGDIALOG.EXE ใน system32 และ .exe ที่ Desktop
3. เปิดโปรแกรม DKDC_Hash เลือกไฟล์ต้นฉบับ ในที่นี้ผมเลือก DXGDIALOG.EXE ใน USB Drive
4. ใช้ Hijack This fix checkedHKCU\..\Run: [MSconfigs] C:\WINDOWS\system32\DXGDIALOG.EXE
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Folder option และ Show hidden file
*ถ้าใครลองใช้ NOD32 Recovery Tool แล้ว Folder Option ไม่แสดง ให้ Restart เครื่อง 1 ครั้ง
หรือ Run โปรแกรม Explorestart 1 ครั้ง
สุดท้ายให้ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน virus อาศัย autorun ในการทำงาน
Update virus signature database ของ Antivirus ให้ทันสมัยอยู่เสมอ
------------------------ Test by PeeTech ----------------------------
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
OS ที่ใช้ทดสอบ : Windows XP SP2
ไฟล์ที่ใช้ทดสอบ : DXGDIALOG.EXE
Information
http://malwarefighting.blogspot.com
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool
*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool
*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
|Windows XP | WindowsVista | Windows 2000 |WindowsServer 2003 |SafeBootKeyRepair |PeeTech_SafeModeRecovery (XP)
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode
Friday
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment