Malware Fighting: How to remove ReadMe.exe,services.exe

"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com

Click here for more gifs and graphics

แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================

PeeTechFix >> JupiterFix

==============================================

Download : JupiterFix-Win32.PSW.OnlineGames 2011
(

AVDB-147

)

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames

ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt

-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง

-------------------------------------------------------------------------------------

Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้

------------------------------------------------------------------------------------

วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)

"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"

วิธีแก้ ดูที่ link นี้ครับ

http://hotzone-it.blogspot.com/2010/01/fix-error-peetechfix.html

-------------------------------------------------------------------------------------

วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)

http://hotzone-it.blogspot.com/2010/06/msn-disconect.html

-------------------------------------------------------------------------------------

How to start Windows in Safe Mode

Link1 or Link 2 or Link3

Tuesday

How to remove ReadMe.exe,services.exe

ReadMe.exe , services.exe, aaa.exe, bbb.exe

Files size 53,248 bytes

MD5: 1689740F6786531C554229ADE8AC599F

SHA-1: 364C4C097D53908575A12AB56C30CDE2C8BDFDD9

==================================================

Antivirus	Version	Last Update	Result
a-squared	4.5.0.50	2010.01.17	Trojan.Win32.VB!IK
AhnLab-V3	5.0.0.2	2010.01.16	Win-Trojan/Xema.variant
AntiVir	7.9.1.142	2010.01.16	TR/VB.bce.6
Antiy-AVL	2.0.3.7	2010.01.12	Trojan/Win32.VB.gen
Authentium	5.2.0.5	2010.01.16	W32/Trojan.CBAX
Avast	4.8.1351.0	2010.01.17	Win32:Trojan-gen
AVG	9.0.0.730	2010.01.17	Generic6.AANX
BitDefender	7.2	2010.01.17	Trojan.VB.NJI
CAT-QuickHeal	10.00	2010.01.16	Trojan.VB.bce
ClamAV	0.94.1	2010.01.17	Trojan.Nanit
Comodo	3611	2010.01.17	Worm.Win32.VB.NMZ
DrWeb	5.0.1.12222	2010.01.16	Trojan.Siggen.38798
eSafe	7.0.17.0	2010.01.14	-
eTrust-Vet	35.2.7240	2010.01.15	Win32/VBWormGen!generic
F-Prot	4.5.1.85	2010.01.16	W32/Trojan.CBAX
F-Secure	9.0.15370.0	2010.01.17	-
Fortinet	4.0.14.0	2010.01.16	-
GData	19	2010.01.17	Trojan.VB.NJI
Ikarus	T3.1.1.80.0	2010.01.17	Trojan.Win32.VB
Jiangmin	13.0.900	2010.01.17	Trojan/VB.cjx
K7AntiVirus	7.10.949	2010.01.16	Trojan.Win32.VB
Kaspersky	7.0.0.125	2010.01.17	Trojan.Win32.VB.bce
McAfee	5863	2010.01.16	Generic VB.b
McAfee+Artemis	5863	2010.01.16	Generic VB.b
McAfee-GW-Edition	6.8.5	2010.01.16	Trojan.VB.bce.6
Microsoft	1.5302	2010.01.17	Trojan:Win32/VB
NOD32	4778	2010.01.16	Win32/VB.NMZ
Norman	6.04.03	2010.01.16	W32/VBTroj.NIV
nProtect	2009.1.8.0	2010.01.17	Trojan/W32.Agent.53248.YH
Panda	10.0.2.2	2010.01.16	Trj/VB.ACE
PCTools	7.0.3.5	2010.01.17	Trojan.KillAV
Prevx	3.0	2010.01.17	-
Rising	22.30.06.04	2010.01.17	Trojan.Win32.VB.bce
Sophos	4.49.0	2010.01.17	Mal/VBDoc-A
Sunbelt	3.2.1858.2	2010.01.16	Trojan.Win32.Generic!BT
Symantec	20091.2.0.41	2010.01.17	Trojan.KillAV
TheHacker	6.5.0.6.154	2010.01.17	Trojan/VB.bce
TrendMicro	9.120.0.1004	2010.01.17	TROJ_VB.BLO
VBA32	3.12.12.1	2010.01.15	Trojan.Win32.VB.bce
ViRobot	2010.1.16.2140	2010.01.16	-
VirusBuster	5.0.21.0	2010.01.16	Trojan.VB.EIJK

-------------------------------------------------------------------------------

เมื่่อ virus เริ่มทำงานโปรแกรม อาการคือ Antivirus จะถูกปิดลง

โปรแกรมหลายตัวหลายตัวใช้งานไม่ไ้ด้ เช่นโปรแกรมพวก Kill process

ถึงแม้ว่า จะ rename เปลี่ยนชื่อก็ไม่มีผล เช่น

ProcessExporer

KillProcess

Security Task Mamnager

Process Viewer

Killbox

ExplorerXP

HijackThis

Regedit

cmd

เมื่อเข้าไปยัง folder ที่เก็บโปรแกรม หน้าต่าง windows จะถูกปิดลง

และมีการสร้าง ไฟล์ที่มีชื่อเดียวกับ Folder ใน USB drive ทุก folder

โปรแกรมที่ผมลองทดสอบแล้ว สามารถเปิดใช้งานได้ คือ

SystemExplorer

IBProcessManager

DTaskManager

Autoruns

-----------------------------------------------------------------------

File Created

%System%\export\services.exe

%System%\normal.dot

%WinDir%\aaa.exe

%WinDir%\bbb.exe

X:\ReadMe.exe

X:\[FolderName]\[FolderName].exe

%WinDir% = C:\\Windows

%System% = C:\Windows\System32

X:\ = USB Drive

Values added

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

vbwg cute = "C:\WINDOWS\aaa.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

this free = "C:\WINDOWS\bbb.exe"

Values modified

HKLM\SOFTWARE\Classes\.inf\ = "txtfile"

HKLM\SOFTWARE\Classes\.reg\ = "txtfile"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\

SuperHidden\Type = ""

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

shell = "Explorer.exe C:\WINDOWS\aaa.exe"

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\

AlternateShell = "C:\WINDOWS\bbb.exe"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\

AlternateShell ="C:\WINDOWS\bbb.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Hidden = 0x00000002

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

HideFileExt = 0x00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

ShowSuperHidden = 0x00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

SuperHidden = 0x00000001

==================================================

วิธีกำจัด/แก้ Virus : ReadMe.exe,services.exe , aaa.exe, bbb.exe

==================================================

Download Fix Tool : System Explorer , PeeTechFix-Win32/VB.NMZ

ก่อนอื่่นให้เสียบ USB Drive ที่ติด virus ไว้กับเครื่อง

1. เปิดโปแกรม System Explorer แล้ว kill process ไฟล์ services.exe

(ดู path file ที่ตำแหน่งของ C:\Windows\System32\Export\services.exe)

2. Run Fix Tool PeeTechFix-Win32/VB.NMZ เพื่อกำจัดไฟล์ virus และ Repair Registry

หมายเ้หตุ :

ใช้ PeeTechFix-Win32/VB.NMZ อย่างเดียวก็ได้ครับ แต่ต้อง Run ใน Safemode

Malware Fighting

Menu

Information

Tuesday

How to remove ReadMe.exe,services.exe

No comments:

Post a Comment

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases

Popular Posts

Online Scan

Multi AV Scan malware