"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Thursday

Win32/AutoRun.Agent.UP

Win32/AutoRun.Agent.UP ( Detect by NOD32)
File size: 56320 bytes
MD5 : febff135ee99795e0dbf52c5ce4adecb
SHA1 : 66300ed2fd9a423a6f50135cced87901378ebc77
=======================================================
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.03.11-
AhnLab-V35.0.0.22010.03.11-
AntiVir8.2.1.1802010.03.11TR/Crypt.XDR.Gen
Antiy-AVL2.0.3.72010.03.11-
Authentium5.2.0.52010.03.11-
Avast4.8.1351.02010.03.10-
Avast55.0.332.02010.03.10-
AVG9.0.0.7872010.03.10Injector.EZ
BitDefender7.22010.03.11-
CAT-QuickHeal10.002010.03.11-
ClamAV0.96.0.0-git2010.03.11-
Comodo42232010.03.11-
DrWeb5.0.1.122222010.03.11-
eSafe7.0.17.02010.03.10-
eTrust-Vet35.2.73532010.03.11-
F-Prot4.5.1.852010.03.10-
F-Secure9.0.15370.02010.03.11-
Fortinet4.0.14.02010.03.09-
GData192010.03.11-
IkarusT3.1.1.80.02010.03.11-
Jiangmin13.0.9002010.03.11-
K7AntiVirus7.10.9942010.03.10-
Kaspersky7.0.0.1252010.03.11-
McAfee59162010.03.10-
McAfee+Artemis59162010.03.10Artemis!FEBFF135EE99
McAfee-GW-Edition6.8.52010.03.11Trojan.Crypt.XDR.Gen
Microsoft1.55022010.03.11-
NOD3249342010.03.11a variant of Win32/AutoRun.Agent.UP
Norman6.04.082010.03.10W32/Obfuscated.H!genr
nProtect2009.1.8.02010.03.11-
Panda10.0.2.22010.03.10-
PCTools7.0.3.52010.03.11-
Rising22.38.03.042010.03.11-
Sophos4.51.02010.03.11Mal/Behav-043
Sunbelt58222010.03.11Trojan.Win32.Generic!BT
Symantec20091.2.0.412010.03.11Suspicious.Insight
TheHacker6.5.2.0.2302010.03.11-
TrendMicro9.120.0.10042010.03.11-
VBA323.12.12.22010.03.11-
ViRobot2010.3.11.22212010.03.11-
VirusBuster5.0.27.02010.03.10-
-------------------------------------------------------------------------------
Files Added
%Temp%\ader.exe
%Temp%\mxs.exe
%Temp%\[FolderName].exe
%Temp%\_1897.tmp

%Windir%\mssrvc\svchost.exe
%Windir%\Temp\rdl1896.tmp
%Windir%\Temp\rdl1896.tmp.exe

%System%\crt4.dll
%System%\kbupdate.dll
%System%\kbdatat4.dll
%System%\kboem32.dat
%System%\crt.dat
%System%\rdl1898.tmp
%System%\rdl1898.tmp.exe

%System%\drivers\avfwimq.sys

็สร้าง Folder ปลอมใน USB ใน Drive > [Folder].exe
และได้ซ่อน Folder จริงใน USB Drive ไว้
มี Popup ฟ้องเกี่ยวกับไฟล์ mxs.exe

Photobucket

Registrys Modified
Keys added
HKLM\SOFTWARE\Microsoft\Active Setup\Data
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kbupdate
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\Control
HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum
HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum
HKLM\SYSTEM\ControlSet001\Services\avfwimq
HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\Control
HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum
HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum
HKLM\SYSTEM\CurrentControlSet\Services\avfwimq
HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum

Values added
HKLM\SOFTWARE\Microsoft\Active Setup\Data\data5: 48 52 37 36 25 1F 45 8C F3 70 F5 5F 87 E1 44 8B F7 4E CE 05 84 4E B9 B4 AC 90 F2 70 F5 7B CD 30 39 2C 32 3D 10 2C 3B D2 B5 3D EA 50 8F E9 5B 8B CC 49 94 23 A6 08 B6 B1 AD 8E F2 70 C1 5F

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
svchost: "C:\WINDOWS\mssrvc\svchost.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\DllName: 6B 62 75 70 64 61 74 65 2E 64 6C 6C 00 00

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Startup: "WinlogonStartupEvent"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Logoff: "WinlogonLogoffEvent"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Shutdown: "WinlogonLogoffEvent"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Asynchronous: 0x00000001

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Impersonate: 0x00000000

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\*NewlyCreated*: 0x00000000

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\ActiveService: "avfwimq"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Service: "avfwimq"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Legacy: 0x00000001

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
ConfigFlags: 0x00000000

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Class: "LegacyDriver"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
DeviceDesc: "avfwimq"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\
NextInstance: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum\
Count: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum\
Count: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum\
0: "Root\LEGACY_AVFWIMQ\0000"

HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\avfwimq\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\avfwimq\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\avfwimq\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\avfwimq\DisplayName: "avfwimq"
HKLM\SYSTEM\ControlSet001\Services\avfwimq\ImagePath: "\??\C:\WINDOWS\System32\DRIVERS\avfwimq.sys"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\*NewlyCreated*: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\ActiveService: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Service: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Legacy: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
ConfigFlags: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Class: "LegacyDriver"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
DeviceDesc: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\
NextInstance: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum\
Count: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum\
Count: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum\
0: "Root\LEGACY_AVFWIMQ\0000"

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum\
Count: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum\
NextInstance: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\
Start: 0x00000002

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\
Type: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq
\ErrorControl: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\
DisplayName: "avfwimq"

Values added
HKLM\SOFTWARE\Microsoft\Active Setup\Data\data5: 48 52 37 36 25 1F 45 8C F3 70 F5 5F 87 E1 44 8B F7 4E CE 05 84 4E B9 B4 AC 90 F2 70 F5 7B CD 30 39 2C 32 3D 10 2C 3B D2 B5 3D EA 50 8F E9 5B 8B CC 49 94 23 A6 08 B6 B1 AD 8E F2 70 C1 5F

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
svchost: "C:\WINDOWS\mssrvc\svchost.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\DllName: 6B 62 75 70 64 61 74 65 2E 64 6C 6C 00 00

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Startup: "WinlogonStartupEvent"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Logoff: "WinlogonLogoffEvent"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Shutdown: "WinlogonLogoffEvent"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Asynchronous: 0x00000001

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\kbupdate\Impersonate: 0x00000000

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\*NewlyCreated*: 0x00000000

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\ActiveService: "avfwimq"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Service: "avfwimq"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Legacy: 0x00000001

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
ConfigFlags: 0x00000000

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
Class: "LegacyDriver"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\0000\
DeviceDesc: "avfwimq"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ\
NextInstance: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum\
Count: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\avfwim\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum\
Count: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum\
0: "Root\LEGACY_AVFWIMQ\0000"

HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum\
Count: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\avfwimq\Enum\
NextInstance: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\avfwimq\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\avfwimq\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\avfwimq\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\avfwimq\DisplayName: "avfwimq"
HKLM\SYSTEM\ControlSet001\Services\avfwimq\ImagePath: "\??\C:\WINDOWS\System32\DRIVERS\avfwimq.sys"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\*NewlyCreated*: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Control\ActiveService: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Service: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Legacy: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
ConfigFlags: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
Class: "LegacyDriver"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\0000\
DeviceDesc: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ\
NextInstance: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum\
Count: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\avfwim\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum\
Count: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum\
NextInstance: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum\
INITSTARTFAILED: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum\0: "Root\LEGACY_AVFWIMQ\0000"

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum\
Count: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Enum\
NextInstance: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\DisplayName: "avfwimq"

HKLM\SYSTEM\CurrentControlSet\Services\avfwimq\
ImagePath: "\??\C:\WINDOWS\System32\DRIVERS\avfwimq.sys"

Values modified
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Userinit: "%Temp%\[Folder Name].exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden: 0x00000002

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt: 0x00000002

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
AppData: "%System%\config\systemprofile\Application Data"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
Cookies: "%System%\config\systemprofile\Cookies"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
Startup: "%System%\config\systemprofile\Start Menu\Programs\Startup
"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
Cache: "%System%\config\systemprofile\Local Settings\Temporary Internet Files"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
History: "\%System%\config\systemprofile\Local Settings\History"

-------------------------------------------------------------------------
วิธีกำจัด / แก้ไข : Win32/AutoRun.Agent.UP ( NOD32)
-------------------------------------------------------------------------
Download Fix Tool :

(สำหร้บ โปรแกรม DKDC_Hash ต้องติดตั้ง dotnet 2.0 ถึงจะเปิดได้นะครับ)

Manual Delete
ก่อนอื่นให้เสียบ Flash Drive ที่ติดไวรัสนี้ไว้กับ computer ไว้เลยครับ

1. เิปิดโปรแกรม Kill Process แล้ว เลือก End Process ไฟล์ ที่เป็นรูป [FolderName].exe

Photobucket

2. เข้าไปที่ folder mssrvc ที่ตำแหน่ง C:\Windows\mssrvc
Click ขวาที่ไฟล์ svchost.exe เลือก Unlocker

Photobucket

เมื่อขึ้นหน้าต่าง Click ที่ไฟล์ svchost.exe แล้วกดปุ่ม Unlock
(เลือก Option ด้านล่าง เป็น Delete)

Photobucket

3. Click ที่ Start > Setting > Control Panel แล้ว Double click ที่ Folder Options
เมื่อขึ้นหน้าต่าง Folder Option แล้้ว click ที่ view เลือกที่ Show hidden files and folders
และเอาเครื่องหมายถูกออกตรงช่อง Hide extensions for know file types

Photobucket

4. Click Start > Run พิมพ์ %temp% แล้ว Enter จากนั้น Delete ไฟล์ ใน Temp

Photobucket

5. เ้ข้าไป Delete ไฟล์ตามตำแหน่งนี้

%Windir%\Temp\rdl1896.tmp
%Windir%\Temp\rdl1896.tmp.exe

%Windir% = C:\Windows

%System%\crt4.dll
%System%\kbupdate.dll
%System%\kbdatat4.dll
%System%\kboem32.dat
%System%\crt.dat
%System%\rdl1898.tmp
%System%\rdl1898.tmp.exe
%System%\drivers\avfwimq.sys

%System% = C:\Wondows\System32

(ใครใช้โปรแกรม Everything ช่วยในการ Delete ก็ได้ครับ เพียงแต่พิมพ์ชื่อไฟล์ลงไปเท่าีนั้น)

6. ใช้โปรแกรม Hijack This Fix Checked ที่บรรทัดนี้

F2 - REG:system.ini: UserInit=%Temp%\[FolderName].exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\mssrvc\svchost.exe
O20 - Winlogon Notify: kbupdate - C:\WINDOWS\SYSTEM32\kbupdate.dll


7. เปิดโปรแกรม RegAssissin จากนั้น Copy Key ที่ virus ได้สร้างไว้ paste ลงในช่อง
แล้ว กดปุ่ม Delete โดยทำทีละ key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Data
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kbupdate

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVFWIMQ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avfwim\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VProEventMonitor\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avfwimq
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVFWIMQ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avfwim\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VProEventMonitor\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avfwimq

Photobucket


8. เปิดโปรแกรม DKDC_Hash แล้ว Click ที่ ไฟล์ต้นฉบับ เลือกไฟล์ [FolderName].exe
ที่อยู่ใน flash drive เมื่อได้ไฟล์ต้นฉบับแล้ว Click ที่ ค้นหา+ทำลาย

Photobucket

..
เขียนโดย ที่
ป้ายกำกับ:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Exploit-DB updates

Loading...

Exploits Database by Offensive Security

Loading...

Metasploit

Loading...

Metasploit Framework: Activity

Loading...

iDefense Labs Software Releases

Loading...