Trojan-PSW.Win32.Kates.j (Detect by Kaspersky Lab)
==============================================
cwcsi.old
File size18,432 bytes
MD5: 89F34BE523093E7AF4FD0C4D4FF10B6E
SHA-1: 6FDCBA3C13899D43A205DDF058D1CF4C526DDE4F
==============================================
ffxtt.bak
File size 74,240 bytes
MD5: 1B8A09C403DB8C09CA85A4A3014103E3
SHA-1: 1D8739ECD27D5FF664ECCE13E1BB71FB23CF6136
SHA-1: 1D8739ECD27D5FF664ECCE13E1BB71FB23CF6136
==============================================
akplbxj.old
MD5: 5BD6DF42DF6F43745F98CFEAF76C1ABD
SHA-1: 9B0E5163ECB1B3F8F3061B029CB0E74F9328D67B
SHA-1: 9B0E5163ECB1B3F8F3061B029CB0E74F9328D67B
========================================================
exjb.bak
MD5: 60142096DE91560CF0BA7D5096CAC70E
SHA-1: CD92B24B0597321DDB5403154635DB05B883572F
SHA-1: CD92B24B0597321DDB5403154635DB05B883572F
========================================================
~.exe
File size: 16384 bytes
MD5 : 91cd1690546857dbadec1353dd9baf99
SHA1 : f926e07272a8bcfe070eb7044a3e238de49c74a3
File size: 16384 bytes
MD5 : 91cd1690546857dbadec1353dd9baf99
SHA1 : f926e07272a8bcfe070eb7044a3e238de49c74a3
==============================================
hmlfayb.dat
MD5: 8D149D4E2098D39AF2320AB9BC4C8749
SHA-1: A4EE1F4DD2CEA2FF34B613ECEDD48811B2D7DB0F
SHA-1: A4EE1F4DD2CEA2FF34B613ECEDD48811B2D7DB0F
========================================================
C:\WINDOWS\xxxxx.old
C:\WINDOWS\xxxxx.bak
C:\WINDOWS\xxxxx.dat
C:\Windows\system32\~.exe
C:\Windows\system32\xxxxx.bak
C:\Windows\system32\xxxxx.bak
%temp%\xxxxx.tmp
Registry Modifications
Values Added
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
midi9 = "%System%\..\exjb.bak 0yAAAAAAAA"
Values Added
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
midi9 = "%System%\..\exjb.bak 0yAAAAAAAA"
midi9 = "%System%\..\ffxtt.bak 0yAAAAAAAA"
midi9 = "%System%\..\cwcsi.old 0yAAAAAAAA"
midi9 = "%System%\..\hmlfayb.dat 0yAAAAAAAA"
path และ ชื่อไฟล์อาจเปลี่ยนชื่อเป็นชื่ออื่นๆได้ครับ
(Random name path and file)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = 0x00000001
------------------------------------------------------------------------
* path อาจอยู่ในตำแหน่ง อื่นๆ หรือชื่ออื่นๆ เช่น
C:\Documents and Settings\[UserName]\Local Settings\Temp\[Random]\bibcfbk.tmp
C:\Windows\rocfnx.bak
C:\Windows\WRPOP.OLD
C:\Windows\ectsyil.bak
C:\Windows\qkpf.old
C:\Windows\fmnvk.old
C:\Windows\ffxtt.bak
C:\Windows\akplbxj.old
C:\Windows\exjb.bak
C:\Windows\system32\~.exe
C:\Windows\system32\emqmu.bak
C:\Windows\system32\~.exe
C:\Windows\system32\emqmu.bak
------------------------------------------------------------------------
อาการที่พบ
หน้าจอมืด มองเห็นแต่เมาส์ หรือ Black Screen with mouse
ไม่สามารถ แสดงหน้าต่าง windows ได้
เข้า safemode แล้วก็มีอาการเดียวกัน คือ ไม่สามารถ เข้า หน้าจอ windows ไ้ด้
-----------------------------------------------------------------------
Anti virus ที่ตรวจพบ
a-squared 4.5.0.41 2009.10.23 Trojan.Win32.Daonol!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 TR/PSW.Kates.K.2
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.24 -
AVG 8.5.0.423 2009.10.23 -
BitDefender 7.2 2009.10.24 Trojan.PWS.Kates.F
CAT-QuickHeal 10.00 2009.10.23 -
ClamAV 0.94.1 2009.10.24 -
Comodo 2710 2009.10.24 Heur.Packed.Unknown
DrWeb 5.0.0.12182 2009.10.24 Trojan.MulDrop.39218
eSafe 7.0.17.0 2009.10.22 Win32.Infostealer.Da
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.23 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.24 -
GData 19 2009.10.24 Trojan.PWS.Kates.F
Ikarus T3.1.1.72.0 2009.10.23 Trojan.Win32.Daonol
Jiangmin None 2009.10.23 -
K7AntiVirus 7.10.878 2009.10.23 -
Kaspersky 7.0.0.125 2009.10.24 Trojan-PSW.Win32.Kates.k
McAfee 5780 2009.10.23 -
McAfee+Artemis 5780 2009.10.23 Artemis!91CD16905468
McAfee-GW-Edition 6.8.5 2009.10.24 Trojan.PSW.Kates.K.2
Microsoft 1.5202 2009.10.23 Trojan:Win32/Daonol.H
NOD32 4537 2009.10.23 a variant of Win32/Daonol.L
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.24 -
Panda 10.0.2.2 2009.10.23 Trj/CI.A
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.24 High Risk System Back Door
Rising 21.52.50.00 2009.10.24 -
Sophos 4.46.0 2009.10.24 -
Sunbelt 3.2.1858.2 2009.10.24 -
Symantec 1.4.4.12 2009.10.24 Infostealer.Daonol
TheHacker 6.5.0.2.051 2009.10.22 -
TrendMicro 8.950.0.1094 2009.10.24 PAK_Generic.001
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.23 -
-----------------------------------------------------------------------
วิธีกำจัด virus : Win32/Daonal.L
-----------------------------------------------------------------------
วิธีที่ 1 :
1. ถอด Haddisk ที่ติด virus นี้ไป Scan เครื่องที่มี Antivirus update
เนื่องจาก virus ได้ random ที่ไปเรื่อย ไม่เจาะจง โดยจะเลือกใช้ NOD32 , Kaspersky หรือ Avira ก็ได้ครับ
2. เมื่อเข้า Windows ได้แล้วให้ไปตรวจสอบ Registry ด้วยครับว่า Key Driver32 ยังมี midi9 อยู่หรือไม่
ถ้ามีให้ Delete ทิ้งด้วยครับ
"HKLM\Sofeware\Microsoft\Windows NT\CurrentVersion\Drivers32 \midi9"
##################################################
วิธีที่ 2 :
1. หาแผ่น Hiren boot CD มา boot โดยเลือก boot ที่ Mini PE หรือ Mini XP
หรือ Download จาก Web นี้ครับ
http://www.hirensbootcd.net/ (185.80 MB)
http://d2.hirensbootcd.net/Hirens.BootCD.10.0.zip
2. เข้าไปที่ start > run พิมพ์ regedit เข้าไปที่ HKEY_LOCAL_MACHINE (HKLM)
3. เลือกที่เมนู File เลือกที่ load hive
4.ไปที่ c:\windows\system32\config แล้วเลือกไฟล์ ชื่อ software แล้วตั้งชื่อไฟล์เป็นชื่ออะไรก็ได้ครับ เช่น Fix
5. จากนั้นเข้าไปที่ HKLM\Fix\Microsoft\Windows NT\CurrentVersion\Drivers32
หา ค่า value ที่ชื่อ midi9 เมื่อเจอแล้วให้ delete value นี้ทิ้งไป
ตัวอย่าง "C:\DOCUME~1\user\LOCALS~1\Temp\..\bibcfbk.tmp 0yAAAAAAAA"
6. Restart เครื่อง 1 ครั้ง ดูว่าเข้า windows ได้หรือไม่
7. ใช้ ATF cleanner ลบ Temp ต่าง และUpdate Antivirus แล้ว Scan ทั้งระบบ
###################################################
วิธีที่ 3 : (ผมใช้วิธีนี้ ของ free ครับ ซึ่งขนาดไฟล์ เพียงประมาณ 58 MB เท่านั้น)
1. Dowmload
Avira AntiVir Rescue System Date: 26 Oct 2009 - Version : 20091026191731
http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.exe
หรือ
Avira AntiVir Rescue SystemDate: 26 Oct 2009 - Version : 20091026191731
http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso
2. ผมใช้ตัวที่ เป็น exe โดย ใส่แผ่น CD เปล่า แล้ว double click ไฟล์ rescue_system-common-en.exe
จากนั้นclick ปุ่ม Burn CD
3. เมื่อฺ Burn CD เรียบร้อยแล้วให้ Restart โดยให้ boot จาก CD จะขึ้นหน้าต่างดังภาพ
โดยเลือก Boot :1 (1 Boot Avira AntiVir Rescue System)
4.จะขึ้นหน้าต่างดังภาพ ให้ เลือก Virus Scanner แล้ว Click ปุ่ม Start Scanner
5. เมื่อ Scan เรียบร้อยแล้วกดปุ่ม Restart เครื่อง
*เมื่อเข้า windows ได้แล้ว ให้ update Antivirus ให้เป็นปัจจุบัน
##################################################
วิธีที่ 4 :
1. Download Dr.Web Live CD (69.8 MB) ไม่ใหญ่มาก พอๆกับ Avira และ Free เหมือนกัน
ftp://ftp.drweb.com/pub/drweb/livecd/20091028042001/minDrWebLiveCD-5.0.0.iso
2. Burn ใส่แผ่น CD แล้วนำไป Boot
3. Click Start ตรงปุ่มด้านซ้ายล่างสีเขียว เลือก Dr.Web Scanner แล้ว เลือก Drive แล้วทำการ Scan
4. เมื่อ Scan เรียบร้อยแล้วให้ Restart เครื่อง และเมื่อเข้า Windows ได้แล้วให้ Update ฐานข้อมูล virus ให้เป็นปัจจุบันด้วยครับ
###################################################
วิธีที่ 5 : วิธีนี้จะเหมือนๆกับวิธีที่ใช้กับ Hiren Boot
Download Active@ Boot Disk (Win Edition) Demo 4.1.8 (126 MB)
http://software.lsoft.net/BootDiskDemo-Setup.exe
http://download2.lsoft.net/BootDiskDemo-Setup.exe
1. เมื่อ Download และ Set up โปรแกรม เรียบร้อยแล้ว และ Register ด้วยชื่อด้านล่างนี้ครับ
Registered Name: PeeTech thailand
Registration Key: 0NBBBJ-DWZ1DM-VUNRCJ-UZPUJZ-JMY6TX
หรือใครจะเลือก Register ผ่าน Website ก็ได้โดยเลือก Get key for free
2. เมื่อเปิดหน้าต่าง Active@ Boot Disk Creator เลือกที่ menu Boot Disk Win Edition
3. เลือกที่ Win CD/DVD Boot Disk โดยใส่แผ่น CD/DVD แล้วเลือก Create !
จะขึ้นหน้าต่างดังภาพ จากนั้นให้กดป่ม Burn ISO
4. เมื่อได้แผ่น Active@ Boot Disk แล้วให้ restart เครื่องโดยเลือก Boot จาก CD/DVD จะขึ้นหน้าต่าง
Windows is loading files ให้รอสักครู่จะขึ้นหน้าต่างดังภาพ แล้วกดปุ่ม OK หรือใครจะ Set ค่าก็ได้ครับ
เมื่อ OK แล้วจะเข้าสู่หน้าจอ Windows ของ Active@ Boot Disk
5. ให้เลือก ที่ เมนู Start (@ ) ซ้ายมือด้านล่าง เลือกไปที่ Utilities > Registry Editor จะขึ้นหน้าต่างดังภาพด้านล่าง Click ที่ HKEY_LACAL_MACHINE เลือกที่ Menu File เลือก Load Hive
เลือกไปที่ C:\windows\system32\config แล้วเลือกไฟล์ ชื่อ software แล้วตั้งชื่อไฟล์ Fix_BlackScreen_Virus
5. จากนั้นเข้าไปที่ HKLM\Fix_BlackScreen_Virus\Microsoft\Windows NT\CurrentVersion\
Drivers32 Delete ค่า Value ที่ชื่อ midi9 นี้ทิ้งไป
ี* Update new 05/11/2009
เพิ่มเติมนะครับ ให้ดู aux ด้วยครับว่าเปลี่ยนไปจาก wdmaud.drv หรือเปล่า เช่น
aux = "%System%\..\vauhrg.gfp"
aux = "%System%\..\nbshlbv.exb"
aux = "%System%\..\nbshlbv.exb"
aux = "%System%\..\rvpd.bha"
aux = "%System%\..\sysxxxx.sys"
ให้แก้เป็น wdmaud.drv (ค่าเดิม) ด้วยครับ > aux = wdmaud.drv
6. Restart และเมื่อเข้า Windows ได้แล้วให้ Update antivirus แล้ว Scan อีกครั้ง
วิธีที่ 6 (update 19/11/2009)
เป็นวิธีจากทาง microsoft ครับ
ตาม link นี้ครับ
http://www.microsoft.com/Security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FDaonol.I
Fix Tool from Kaspersky
KatesKiller
ข้าน้อย ขอคารวะ ผู้เยี่ยมยุทธ
ReplyDelete