wbj.exe CRC32: 4331589F
MD5: DCFEA8DB35C0F234F5A07A3669988629
SHA-1: E7E122E51E97E337B4EC5A5325F18493F2F28BAD
===================================================
วิธีกำจัด Virus : wbj.exeDownload Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
Showing posts with label Virus Kill. Show all posts
Showing posts with label Virus Kill. Show all posts
Thursday, October 1, 2009
How to remove xh319r9b.bat
xh319r9b.batCRC32: 4E868B9C
MD5: 7112746B97FE64C040F51570FA416AA4
SHA -1:F52C5C1ECF6CAA32AC04DD8C00CD5D8217A5C46C
===================================================
วิธีกำจัด Virus : xh319r9b.bat Download Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
MD5: 7112746B97FE64C040F51570FA416AA4
SHA -1:F52C5C1ECF6CAA32AC04DD8C00CD5D8217A5C46C
===================================================
วิธีกำจัด Virus : xh319r9b.bat Download Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
How to remove xs6kpr0.exe
xs6kpr0.exeCRC32: E0F07D1A
MD5: 549E6D5C0318B913B1C56B4703BAECE3
SHA-1:804846EC5ED80C2628C1A38B2503A39A05140564
==================================================วิ
ธีกำจัด Virus : xs6kpr0.exeDownload Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
MD5: 549E6D5C0318B913B1C56B4703BAECE3
SHA-1:804846EC5ED80C2628C1A38B2503A39A05140564
==================================================วิ
ธีกำจัด Virus : xs6kpr0.exeDownload Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
How to remove y6yol.exe
y6yol.exeCRC32: 480123CD
MD5: B21029499996E6E363E55202F86282B5
SHA-1: CF10A9CCD77E10CE826AE9073A0EBF8B68B612A4
===================================================
วิธีกำจัด Virus : y6yol.exe Download Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
MD5: B21029499996E6E363E55202F86282B5
SHA-1: CF10A9CCD77E10CE826AE9073A0EBF8B68B612A4
===================================================
วิธีกำจัด Virus : y6yol.exe Download Fix Tool : PeeTechFix-Win32/PSW.OnlineGames 2.0.3 ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txtหมายเหตุ : ถ้าโปรแกรม Clean ไม่หมด ลอง Run ซ้ำอีกรอบ*รายละเอียดต่าง จะ update ให้วันหลังนะครับ
How to remove 0fkk02x.exe
0fkk02x.exeFile size: 118464 bytes
CRC32: 3B4563DA
MD5: 4188166244F4E17523D0007C1461CD84
SHA-1: 5A3E8B70FB79F6BC56FE95ADCFBDF9E56353D034
===============================================
Aliases:
a-squared 4.5.0.24 2009.10.01 Trojan.Win32.Inhoo!IK
AhnLab-V3 5.0.0.2 2009.10.01 -
AntiVir 7.9.1.27 2009.10.01 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.01 -
Authentium 5.1.2.4 2009.10.01 -
Avast 4.8.1351.0 2009.09.30 -
AVG 8.5.0.412 2009.10.01 -
BitDefender 7.2 2009.10.01 -
CAT-QuickHeal 10.00 2009.10.01 -
ClamAV 0.94.1 2009.10.01 -
Comodo 2483 2009.10.01 -
DrWeb 5.0.0.12182 2009.10.01 -
eSafe 7.0.17.0 2009.10.01 Suspicious File
eTrust-Vet 31.6.6771 2009.10.01 -
F-Prot 4.5.1.85 2009.10.01 W32/OnlineGames.CN.gen!Eldorado
F-Secure 8.0.14470.0 2009.10.01 -
Fortinet 3.120.0.0 2009.10.01 -
GData 19 2009.10.01 -
Ikarus T3.1.1.72.0 2009.10.01 Trojan.Win32.Inhoo
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.10.01 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 Artemis!27557630427A
McAfee-GW-Edition 6.8.5 2009.10.01 Heuristic.LooksLike.Win32.SuspiciousPE.B
Microsoft 1.5101 2009.10.01 Worm:Win32/Taterf.B
NOD32 4473 2009.10.01 -
Norman 6.01.09 2009.10.01 OnLineGames.KGCC
nProtect 2009.1.8.0 2009.10.01 -
Panda 10.0.2.2 2009.10.01 -
PCTools 4.4.2.0 2009.10.01 -
Prevx 3.0 2009.10.01 Medium Risk Malware
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.01 -
Sunbelt 3.2.1858.2 2009.09.30 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.10.01 -
TheHacker 6.5.0.2.024 2009.10.01 -
TrendMicro 8.950.0.1094 2009.10.01 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.10.1.1967 2009.10.01 -
VirusBuster 4.6.5.0 2009.10.01 -
-------------------------------------------------------------------------
Created files
C:\Documents and Settings\[User]\Local Settings\temp\herss.exe
C:\Documents and Settings\[User]\Local Settings\temp\cvasds0.dll (0-9)
X:\t2hjo0.exe
X:\autorun.inf
Keys added
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
cdoosoft: "%Temp%\herss.exe"
Values modified
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue: 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden: 0x00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden: 0x00000000
-------------------------------------------------------------------------
วิธีกำจัด virus : 0fkk02x.exe
-------------------------------------------------------------------------
Download Fix Tool : PeeTechFix-Win32/PSW.OnlineGame Version 2.0.4
CRC32: 3B4563DA
MD5: 4188166244F4E17523D0007C1461CD84
SHA-1: 5A3E8B70FB79F6BC56FE95ADCFBDF9E56353D034
===============================================
Aliases:
a-squared 4.5.0.24 2009.10.01 Trojan.Win32.Inhoo!IK
AhnLab-V3 5.0.0.2 2009.10.01 -
AntiVir 7.9.1.27 2009.10.01 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.01 -
Authentium 5.1.2.4 2009.10.01 -
Avast 4.8.1351.0 2009.09.30 -
AVG 8.5.0.412 2009.10.01 -
BitDefender 7.2 2009.10.01 -
CAT-QuickHeal 10.00 2009.10.01 -
ClamAV 0.94.1 2009.10.01 -
Comodo 2483 2009.10.01 -
DrWeb 5.0.0.12182 2009.10.01 -
eSafe 7.0.17.0 2009.10.01 Suspicious File
eTrust-Vet 31.6.6771 2009.10.01 -
F-Prot 4.5.1.85 2009.10.01 W32/OnlineGames.CN.gen!Eldorado
F-Secure 8.0.14470.0 2009.10.01 -
Fortinet 3.120.0.0 2009.10.01 -
GData 19 2009.10.01 -
Ikarus T3.1.1.72.0 2009.10.01 Trojan.Win32.Inhoo
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.10.01 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 Artemis!27557630427A
McAfee-GW-Edition 6.8.5 2009.10.01 Heuristic.LooksLike.Win32.SuspiciousPE.B
Microsoft 1.5101 2009.10.01 Worm:Win32/Taterf.B
NOD32 4473 2009.10.01 -
Norman 6.01.09 2009.10.01 OnLineGames.KGCC
nProtect 2009.1.8.0 2009.10.01 -
Panda 10.0.2.2 2009.10.01 -
PCTools 4.4.2.0 2009.10.01 -
Prevx 3.0 2009.10.01 Medium Risk Malware
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.01 -
Sunbelt 3.2.1858.2 2009.09.30 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.10.01 -
TheHacker 6.5.0.2.024 2009.10.01 -
TrendMicro 8.950.0.1094 2009.10.01 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.10.1.1967 2009.10.01 -
VirusBuster 4.6.5.0 2009.10.01 -
-------------------------------------------------------------------------
Created files
C:\Documents and Settings\[User]\Local Settings\temp\herss.exe
C:\Documents and Settings\[User]\Local Settings\temp\cvasds0.dll (0-9)
X:\t2hjo0.exe
X:\autorun.inf
Keys added
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
cdoosoft: "%Temp%\herss.exe"
Values modified
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue: 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden: 0x00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden: 0x00000000
-------------------------------------------------------------------------
วิธีกำจัด virus : 0fkk02x.exe
-------------------------------------------------------------------------
Download Fix Tool : PeeTechFix-Win32/PSW.OnlineGame Version 2.0.4
Friday, September 11, 2009
Virus : Win32/Autorun.FackAlert.CQ
autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB
===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe
ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-------------------------------------------------------------------------
วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool
Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery
1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker
จากนั้น delete ไฟล์ msupdate.exe
3.ใช้โปรแกรม Hijack This ficked ที่ 2 บรรทัดนี้
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB
===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe
ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-------------------------------------------------------------------------วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool
Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery
1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker
จากนั้น delete ไฟล์ msupdate.exe
2. ใช้โปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน USB Drive คือไฟล์
autorun.inf
autorun.exe
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe
4. Run โปรแกรม PeeTech_SafemodeRecovery เมื่อเสร็จแล้วเครื่องจะ restart
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
===========By Getzaa============
Friday, September 4, 2009
Virus Win32/FakeRean
ระวังไวรัส Win32/FakeRean
ไมโครซอฟท์เตือนผู้ใช้วินโดวส์ให้ระวังไวรัส Win32/FakeRean ซึ่งปลอมตัวเป็นโปรแกรมป้องกันไวรัส โดยมีรายละเอียดดังนี้
ชื่อไวรัส: Win32/FakeRean
วันที่ออกระบาด: 11 สิงหาคม 2552
ชื่ออื่นๆ:
• XP AntiSpyware 2009 (other)
• XP Security Center (other)
• PC Antispyware 2010 (other)
• Home Antivirus 2010 (other)
• PC Security 2009 (other)
รายละเอียด:
Win32/FakeRean เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บน เครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง)
ไวรัส Win32/FakeRean จะแพร่ระบาดในชื่อต่างๆ หลายชื่อตามรายชื่อด้านบน และมีอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ
อาการเมื่อติดไวรัส Win32/FakeRean
เมื่อเครื่องคอมพิวเตอร์ติด Win32/FakeRean จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
Binaries1.cab
Binaries2.cab
Binaries3.cab
%Program Files%\XP_AntiSpyware\AVEngn.dll
%Program Files%\XP_AntiSpyware\htmlayout.dll
%Program Files%\XP_AntiSpyware\pthreadVC2.dll
%Program Files%\XP_AntiSpyware\Uninstall.exe
%Program Files%\XP_AntiSpyware\wscui.cpl
%Program Files%\XP_AntiSpyware\XP_Antispyware.cfg
%Program Files%\XP_AntiSpyware\XP_AntiSpyware.exe
%Program Files%\XP_AntiSpyware\data\daily.cvd
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
• Key: HKCU\Control Panel\don't load
Value: scui.cpl
Data: "No"
Value: wscui.cpl
Data: "No"
• Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value: ForceClassicControlPanel
Data: 0x1
• Key: HKLM\SOFTWARE\Microsoft\Security Center
Value: AntiVirusDisableNotify
Data: 0x1
Value: FirewallDisableNotify
Data: 0x1
Value: UpdatesDisableNotify
Data: 0x1
• Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP_AntiSpyware\
Value: DisplayName
Data: "XP Antispyware 2009"
Value: UninstallString
Data: "%Program Files%\XP_AntiSpyware\Uninstall.exe"
• Key: HKLM\Software\XP_Antispyware
Value: info
Data: ""
3. มีคีย์ต่างๆ ดังนี้
%Start menu%\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk
%Start menu%\Programs\XP_AntiSpyware\Uninstall.lnk
%Desktop%\XP_AntiSpyware.lnk
%APPDATA%\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk
4. มีการแสดงไอคอน (icon), ไดอะล็อก (dialog), ข้อความเตือน (warning), ป็อป-อัพ (pop-up) และ ฯลฯ
หมายเหตุ: ในที่นี้แสดงเพียงบางส่วน
วิธีการกำจัดไวรัส
เมื่อ เครื่องคอมพิวเตอร์ติดไวรัส Win32/FakeRean สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)
ดาวน์โหลดโปรแกรม Antivirus ที่นี่
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool, Avg Antivirus
ไมโครซอฟท์เตือนผู้ใช้วินโดวส์ให้ระวังไวรัส Win32/FakeRean ซึ่งปลอมตัวเป็นโปรแกรมป้องกันไวรัส โดยมีรายละเอียดดังนี้
ชื่อไวรัส: Win32/FakeRean
วันที่ออกระบาด: 11 สิงหาคม 2552
ชื่ออื่นๆ:
• XP AntiSpyware 2009 (other)
• XP Security Center (other)
• PC Antispyware 2010 (other)
• Home Antivirus 2010 (other)
• PC Security 2009 (other)
รายละเอียด:
Win32/FakeRean เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บน เครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง)
ไวรัส Win32/FakeRean จะแพร่ระบาดในชื่อต่างๆ หลายชื่อตามรายชื่อด้านบน และมีอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ
อาการเมื่อติดไวรัส Win32/FakeRean
เมื่อเครื่องคอมพิวเตอร์ติด Win32/FakeRean จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
Binaries1.cab
Binaries2.cab
Binaries3.cab
%Program Files%\XP_AntiSpyware\AVEngn.dll
%Program Files%\XP_AntiSpyware\htmlayout.dll
%Program Files%\XP_AntiSpyware\pthreadVC2.dll
%Program Files%\XP_AntiSpyware\Uninstall.exe
%Program Files%\XP_AntiSpyware\wscui.cpl
%Program Files%\XP_AntiSpyware\XP_Antispyware.cfg
%Program Files%\XP_AntiSpyware\XP_AntiSpyware.exe
%Program Files%\XP_AntiSpyware\data\daily.cvd
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
• Key: HKCU\Control Panel\don't load
Value: scui.cpl
Data: "No"
Value: wscui.cpl
Data: "No"
• Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value: ForceClassicControlPanel
Data: 0x1
• Key: HKLM\SOFTWARE\Microsoft\Security Center
Value: AntiVirusDisableNotify
Data: 0x1
Value: FirewallDisableNotify
Data: 0x1
Value: UpdatesDisableNotify
Data: 0x1
• Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP_AntiSpyware\
Value: DisplayName
Data: "XP Antispyware 2009"
Value: UninstallString
Data: "%Program Files%\XP_AntiSpyware\Uninstall.exe"
• Key: HKLM\Software\XP_Antispyware
Value: info
Data: ""
3. มีคีย์ต่างๆ ดังนี้
%Start menu%\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk
%Start menu%\Programs\XP_AntiSpyware\Uninstall.lnk
%Desktop%\XP_AntiSpyware.lnk
%APPDATA%\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk
4. มีการแสดงไอคอน (icon), ไดอะล็อก (dialog), ข้อความเตือน (warning), ป็อป-อัพ (pop-up) และ ฯลฯ
หมายเหตุ: ในที่นี้แสดงเพียงบางส่วน
วิธีการกำจัดไวรัส
เมื่อ เครื่องคอมพิวเตอร์ติดไวรัส Win32/FakeRean สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)
ดาวน์โหลดโปรแกรม Antivirus ที่นี่
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool, Avg Antivirus
==================By Gtezaa=================
Wednesday, September 2, 2009
Virus Alert: Trojan-Win32/Winwebsec
ระวังโทรจัน Win32/Winwebsec
บทความโดย: Thai Windows Administrator Blog
ชื่อไวรัส: Trojan-Win32/Winwebsec
วันที่ออกระบาด: 21 เมษายน 2552
ชื่ออื่นๆ:
System Security (other)
Winweb Security (other)
FakeAlert-WinwebSecurity.gen (McAfee)
Mal/FakeAV-AK (Sophos)
Troj/FakeVir-LB (Sophos)
Adware/AntiSpywarePro2009 (Panda)
Adware/UltimateCleaner (Panda)
Adware/Xpantivirus2008 (Panda)
Win32/Adware.SystemSecurity (ESET)
Win32/Adware.WinWebSecurity (ESET)
AntiVirus2008 (Symantec)
SecurityRisk.Downldr (Symantec)
W32/AntiVirus2008.AYO (Norman)
รายละเอียด:
Trojan-Win32/Winwebsec เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บน เครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง) โดย Trojan-Win32/Winwebsec จะแพร่ระบาดในชื่อต่างๆ หลายชื่อ ในอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ
อาการเมื่อติดไวรัส
เมื่อเครื่องคอมพิวเตอร์ติด Trojan-Win32/Winwebsec จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
%COMMON_APPDATA%\WinwebSecurity\WinwebSecurity.exe
%COMMON_APPDATA%\WinwebSecurity\config.udb
%COMMON_APPDATA%\WinwebSecurity\init.udb
%COMMON_APPDATA%\WinwebSecurity\Languages\English.lng
2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
- เพิ่มค่า "" (เหมือนกับชื่อไฟล์หลอกๆ เช่น 1677291695) มีข้อมูลเป็น: "" (e.g. C:\Documents and Settings\All Users\Application Data\922926319\1677291695.exe) เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- เพิ่มค่า WinwebSecurity มีข้อมูลเป็น: "%COMMON_APPDATA%\WinwebSecurity\WinwebSecurity.exe" เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- เพิ่มค่า: adpws มีข้อมูลเป็น: "%COMMON_APPDATA%\.exe" (e.g. "%COMMON_APPDATA%\5689887B.exe") เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
3. แสดงภาพหรือไดอะล็อกบ็อกซ์หรือข้อความเตือนผู้ใช้ว่ามีการพบไวรัสอยู่บนเครื่องคอมพิวเตอร์ ลักษณะดังรูปด้านล่าง
ตัวอย่างของข้อความเตือนที่ 1 ซึ่ง Trojan-Win32/Winwebsec แสดงหลอกผู้ใช้ (ภาพจาก MMPC)
ตัวอย่างของข้อความเตือนที่ 2 ซึ่ง Trojan-Win32/Winwebsec แสดงหลอกผู้ใช้ (ภาพจาก MMPC)
วิธีการกำจัดไวรัส
เมื่อ เครื่องคอมพิวเตอร์ติดไวรัส Trojan-Win32/Winwebsec สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)
บทความโดย: Thai Windows Administrator Blog
ชื่อไวรัส: Trojan-Win32/Winwebsec
วันที่ออกระบาด: 21 เมษายน 2552
ชื่ออื่นๆ:
System Security (other)
Winweb Security (other)
FakeAlert-WinwebSecurity.gen (McAfee)
Mal/FakeAV-AK (Sophos)
Troj/FakeVir-LB (Sophos)
Adware/AntiSpywarePro2009 (Panda)
Adware/UltimateCleaner (Panda)
Adware/Xpantivirus2008 (Panda)
Win32/Adware.SystemSecurity (ESET)
Win32/Adware.WinWebSecurity (ESET)
AntiVirus2008 (Symantec)
SecurityRisk.Downldr (Symantec)
W32/AntiVirus2008.AYO (Norman)
รายละเอียด:
Trojan-Win32/Winwebsec เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บน เครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง) โดย Trojan-Win32/Winwebsec จะแพร่ระบาดในชื่อต่างๆ หลายชื่อ ในอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ
อาการเมื่อติดไวรัส
เมื่อเครื่องคอมพิวเตอร์ติด Trojan-Win32/Winwebsec จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
%COMMON_APPDATA%\WinwebSecurity\WinwebSecurity.exe
%COMMON_APPDATA%\WinwebSecurity\config.udb
%COMMON_APPDATA%\WinwebSecurity\init.udb
%COMMON_APPDATA%\WinwebSecurity\Languages\English.lng
2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
- เพิ่มค่า "" (เหมือนกับชื่อไฟล์หลอกๆ เช่น 1677291695) มีข้อมูลเป็น: "" (e.g. C:\Documents and Settings\All Users\Application Data\922926319\1677291695.exe) เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- เพิ่มค่า WinwebSecurity มีข้อมูลเป็น: "%COMMON_APPDATA%\WinwebSecurity\WinwebSecurity.exe" เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- เพิ่มค่า: adpws มีข้อมูลเป็น: "%COMMON_APPDATA%\.exe" (e.g. "%COMMON_APPDATA%\5689887B.exe") เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
3. แสดงภาพหรือไดอะล็อกบ็อกซ์หรือข้อความเตือนผู้ใช้ว่ามีการพบไวรัสอยู่บนเครื่องคอมพิวเตอร์ ลักษณะดังรูปด้านล่าง
ตัวอย่างของข้อความเตือนที่ 1 ซึ่ง Trojan-Win32/Winwebsec แสดงหลอกผู้ใช้ (ภาพจาก MMPC)
ตัวอย่างของข้อความเตือนที่ 2 ซึ่ง Trojan-Win32/Winwebsec แสดงหลอกผู้ใช้ (ภาพจาก MMPC)
วิธีการกำจัดไวรัส
เมื่อ เครื่องคอมพิวเตอร์ติดไวรัส Trojan-Win32/Winwebsec สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)
==================By Getzaa====================
Virus Win32/Winwebsec on YouTube
ไมโครซอฟท์เตือนผู้ใช้วินโดวส์ผ่านทาง MMPC (http://blogs.technet.com/mmpc/) ให้ระวังไวรัส Win32/Winwebsec ซึ่งใช้วิธีการหลอกให้ติดตั้งโปรแกรม Rogue Security ซึ่งเป็น Trojan โดยการโพสต์วิดีโอไว้บน Youtube.com ในชื่อเรื่อง " Family Guy Season 8 full episodes, part1 of 15 online tv"
เมื่อผู้ใช้ทำการเปิดวิดีโอ ดังกล่าวก็จะถูกรีไดเร็กไปยังอีกเว็บไซต์ พร้อมกับแสดงข้อความแจ้งให้ดาวน์โหลดและติดตั้งไวรัส Win32/Winwebsec โดยที่หลอกผู้ใช้ว่าเป็น Video Codec
ถ้าผู้ใช้หลงเชื่อและทำการติด ตั้งไวรัส Win32/Winwebsec หลังจากนั้นมันจะทำการแสดงข้อความ (หลอกๆ) เพื่อเตือนผู้ใช้ว่าคอมพิวเตอร์มีช่องโหว่ (Vulnerable) ไม่มีสเถียรภาพ (Unstable) และติดไวรัส (Infected) จากนั้นก็จะแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการซื้อโปรแกรมเพื่อใช้ในการแก้ไขมัลแวร์ (ซึ่งไม่มีอยู่จริงบนเครื่อง) ที่พบบนเครื่อง
ไวรัส Win32/Winwebsec จะมีระบบ UI ของการแสดงข้อความหลอกจะคล้ายๆ กับซอฟต์แวร์ด้านความปลอดภัยจริงๆ เช่น มีหัวข้อ “System Scan”, “Update” และ “Settings” และถ้าผู้ใช้ทำการสแกนเครื่องมันจะแสดงรายชื่อมัลแวร์ที่พบบนเครื่องเป็น จำนวนมาก (แน่นอน ไม่ได้มีอยู่จริงบนเครื่อง) นอกจากนี้ยังทำการแสดงไดอะล็อกข้อความต่างๆ เพื่อหลอกให้ผู้ใช้เชื่อว่าเครื่องติดไวรัสจริงๆ เช่น แสดงไดอะล็อก "Critical Error" หรือ "Warning: You computer is onfected" เป็นต้น
ใน กรณีที่ผู้ใช้พยายามทำการยกเลิกการติดตั้ง โปรแกรมจะพยายามขัดขวางการกระทำดังกล่าว โดยแสดงข้อความช่วยเหลือในการกำจัดมัลแวร์โดยการเข้า Safe Mode หรือแนะนำให้ดาวน์โหลดและติดตั้งซอฟต์แวร์ตัวอื่น (ซึ่งเป็น Trojan หรือ Rogue เช่นเดียวกัน)
สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้จากเว็บไซต์ Trojan-Win32/Winwebsec
เมื่อผู้ใช้ทำการเปิดวิดีโอ ดังกล่าวก็จะถูกรีไดเร็กไปยังอีกเว็บไซต์ พร้อมกับแสดงข้อความแจ้งให้ดาวน์โหลดและติดตั้งไวรัส Win32/Winwebsec โดยที่หลอกผู้ใช้ว่าเป็น Video Codec
ถ้าผู้ใช้หลงเชื่อและทำการติด ตั้งไวรัส Win32/Winwebsec หลังจากนั้นมันจะทำการแสดงข้อความ (หลอกๆ) เพื่อเตือนผู้ใช้ว่าคอมพิวเตอร์มีช่องโหว่ (Vulnerable) ไม่มีสเถียรภาพ (Unstable) และติดไวรัส (Infected) จากนั้นก็จะแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการซื้อโปรแกรมเพื่อใช้ในการแก้ไขมัลแวร์ (ซึ่งไม่มีอยู่จริงบนเครื่อง) ที่พบบนเครื่อง
ไวรัส Win32/Winwebsec จะมีระบบ UI ของการแสดงข้อความหลอกจะคล้ายๆ กับซอฟต์แวร์ด้านความปลอดภัยจริงๆ เช่น มีหัวข้อ “System Scan”, “Update” และ “Settings” และถ้าผู้ใช้ทำการสแกนเครื่องมันจะแสดงรายชื่อมัลแวร์ที่พบบนเครื่องเป็น จำนวนมาก (แน่นอน ไม่ได้มีอยู่จริงบนเครื่อง) นอกจากนี้ยังทำการแสดงไดอะล็อกข้อความต่างๆ เพื่อหลอกให้ผู้ใช้เชื่อว่าเครื่องติดไวรัสจริงๆ เช่น แสดงไดอะล็อก "Critical Error" หรือ "Warning: You computer is onfected" เป็นต้น
ใน กรณีที่ผู้ใช้พยายามทำการยกเลิกการติดตั้ง โปรแกรมจะพยายามขัดขวางการกระทำดังกล่าว โดยแสดงข้อความช่วยเหลือในการกำจัดมัลแวร์โดยการเข้า Safe Mode หรือแนะนำให้ดาวน์โหลดและติดตั้งซอฟต์แวร์ตัวอื่น (ซึ่งเป็น Trojan หรือ Rogue เช่นเดียวกัน)
สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้จากเว็บไซต์ Trojan-Win32/Winwebsec
====================By Getzaa====================
Tuesday, August 25, 2009
Kill 32 in1.exe ฆ่าไวรัสง่ายเพียงคลิ๊กเดียว
สวัสดีครับ........เพื่อนทุกท่าน
วันนี้กลับมาผมอัพเดทบล็อกกับโปรแกรมใหม่สำหรับฆ่าไวรัส
พระเอกของเราในวันนี้คือโปรแกรม Kill 32 in1.exe
ส่วนเจ้าของโปรแกรมคือคุณ AMD(ไม่นิยมอินเทล)
กูรูแห่งพันทิพย์เรานั่นเอง (ให้เครดิตเขาหน่อย)
ซึ่งโปแกรมนี้นั้นมีความสามารถพิเศษมากมาย
เห็นเจ้าตั้วนี้นั้นตัวเล็กนิดเดียว เพียงแค่ 45 kb
แต่มันสามารถฆ่าไวรัสได้ถึง 32 ชนิดด้วกัน
---------------------------------------------
ดาวน์โหลดโปรแกรม (คลิ๊กที่นี่) !!!!!!!!
---------------------------------------------
==============By Getzaa=============
วันนี้กลับมาผมอัพเดทบล็อกกับโปรแกรมใหม่สำหรับฆ่าไวรัส
พระเอกของเราในวันนี้คือโปรแกรม Kill 32 in1.exe
ส่วนเจ้าของโปรแกรมคือคุณ AMD(ไม่นิยมอินเทล)
กูรูแห่งพันทิพย์เรานั่นเอง (ให้เครดิตเขาหน่อย)
ซึ่งโปแกรมนี้นั้นมีความสามารถพิเศษมากมาย
เห็นเจ้าตั้วนี้นั้นตัวเล็กนิดเดียว เพียงแค่ 45 kb
แต่มันสามารถฆ่าไวรัสได้ถึง 32 ชนิดด้วกัน
---------------------------------------------
ดาวน์โหลดโปรแกรม (คลิ๊กที่นี่) !!!!!!!!
---------------------------------------------
Kill 32 in1.exe สามารถฆ่าไวรัสได้ดังนี้
.......................................
1. SV1.exe
ไวรัส SV1.EXE ไฟล์ขนาด 159 KB
อาการแสดงออกเมื่อติดเชื้อ SV1.EXE
1. มันจะลบกวนระบบอินเทอเน็ต
2. จะโชว์ Hidden files ไม่ได้
.......................................
2. killVBS.vbs
ไวรัส MS32DLL.dll.vbs ไฟล์ขนาด 7.31 KB
อาการแสดงเมื่อติดเชื้อไวรัส killVBS.vbs
1. ทุกไดร์ฟจะเป็น Autoplay หมดจะดับเบิ้ลคลิกเปิดไดร์ฟตามปกติไม่ได้
2. ทุกไดร์ฟจะมีไฟล์ killVBS.vbs และไฟล์ autorun.inf อยู่
3. เมื่อเอาแฟล๊ชไดร์ฟเสียบจะติดเชื้อทันที
4. เมื่อเปิด IE Browser... ที่ไตเติ้ลบาร์จะไม่มีชื่อ Microsoft Internet Explorer
.......................................
3. 83l3v.cmd
ไวรัส 83l3v.cmd ขนาดไฟล์ 91 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส 83l3v.cmd
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ 83l3v.cmd และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
......................................
4. b3b9u.com
ไวรัส b3b9u.com ขนาดไฟล์ 88 K
อาการแสดงออกเมื่อติดเชื้อ b3b9u.com
1. จะ Show hidden files and folders ได้เดี๋ยวเดียวแล้วมันจะปิดเอง
2. จะมีไฟล์ b3b9u.com และ Autorun.inf ในไดร์ฟต่าง ๆ
3. เมื่อเสียบแฟล๊ชไดร์ฟจะติดทันที่ และมีไฟล์ b3b9u.com และ Autorun.inf ซ่อนอยู่ระดับซิสเต็ม
......................................
5. bpu.exe
ไวรัส bpu.exe ขนาดไฟล์ 123 K
อาการแสดงออกเมื่อติดเชื้อ bpu.exe
1. เมื่อเปิดไดร์ฟต่าง ๆ จะมีข้อความ Error ขึ้น
2. จะมีไฟล์ bpu.exe และ Autorun.inf ในไดร์ฟต่าง ๆ
3. จะ Show hidden files and folders ได้เดี๋ยวเดียวแล้วมันจะปิดเอง
4. เมื่อเสียบแฟล๊ชไดร์ฟจะติดทันที่ และมีไฟล์ b3b9u.com และ Autorun.inf ซ่อนอยู่ระดับซิสเต็ม
........................................
6. c9hehpa.bat
ไวรัส c9hehpa.bat ขนาดไฟล์ 89 K
อาการแสดงออกเมื่อติดเชื้อไวรัส c9hehpa.bat
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ c9hehpa.bat และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
.......................................
7. pamn.exe
Trojan pamn.exe ไฟล์ขนาด 141 KB
อาการแสดงออกเมื่อติดเชื้อ pamn.exe
1. จะ Show hidden files and folders ได้เดี๋ยวเดียวแล้วมันจะปิดเอง
2. จะมีไฟล์ pamn.exe และ Autorun.inf ในไดร์ฟต่าง ๆ
3. เมื่อเสียบแฟล๊ชไดร์ฟจะติดทันที่ และมีไฟล์ pamn.exe และ Autorun.inf ซ่อนอยู่ระดับซิสเต็ม
4. จะขึ้นข้อความ Data Execution Provention บนไตเติ้ลบาร์ของหน้าต่าง ถ้าคลิก Close Message เครื่องจะค้างไปเลย
วิธีแก้อย่าคลิก Close Message เพราะถ้าคลิกเครื่องจะค้าง ให้ดับเบิ้ลคลิกไฟล์ Kill 32 in 1.exe เสร็จแล้วรีสตาร์ทเครื่องใหม่
.......................................
8. rqq2v.bat
ไวรัส rqq2v.bat ขนาดไฟล์ 91 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส rqq2v.bat
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ rqq2v.bat และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
.......................................
9. 2.cmd
ไวรัส 2.cmd ขนาดไฟล์ 90 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส 2.cmd
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ 2.cmd และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
.....................................
10 Hacked by Godzilla
ไวรัส Hacked by Godzilla ไฟล์ขนาด 4.0 K
อาการแสดงออกเมื่อติดเชื้อ Hacked by Godzilla
1. บน Title bar จะมีชื่อ Hacked by Godzilla
2. ในไดร์ฟต่าง ๆ จะมีไฟล์ MS32DLL.dll.vbs และ Autorun.inf ซ่อนอยู่
3. เมื่อเสียบ Flash Drive หรืออุปกรณ์พกพาจะติดเชื้อทันที
......................................
11. killgodzilla
ไวรัส killgodzilla.vbs ไฟล์ขนาด 4.0 KB
อาการแสดงออกเมื่อติดเชื้อ killgodzilla.vbs
ใช้แฟล๊ชไดร์ฟ และอุปกรณ์พกพาเป็นพาหะ
......................................
12. DD Consumer
ไวรัส DDConsumer.exe ไฟล์ขนาด 24.4 KB
อาการแสดงออกเมื่อติดเชื้อ DDConsumer.exe
1. เมื่อรีสตาร์ทเครื่องใหม่จะติด Password ใช้ Hacked จะผ่านได้
2. เมื่อเปิด IE จะลิงค์ไปเว็บของมันทันที
.......................................
13. endfix.vbs
ไวรัส endfix.vbs ไฟล์ขนาด 3 K
อาการแสดงออกเมื่อติดเชื้อ endfix.vbs
1. เมื่อเสียบแฟล๊ตไดร์ฟจะติดเชื้อทันที และมีไฟล์ autorun.inf, endfix.vbs, runfix.vbs ซ่อนอยู่ในแฟล๊ตไดร์ฟ
2. มีไฟล์ endfix.vbs ซ่อนอยู่ในโฟลเดอร์ Windows
.......................................
14. Network.exe
ไวรัส Network.exe ไฟล์ขนาด 273 K
อาการแสดงเมื่อติดเชื้อไวรัส Network.exe
1. จะดับเบิ้ลคลิกเปิดไดร์ฟต่าง ๆ ไม่ได้
2. จะมีไฟล์ Network.exe และไฟล์ Autorun.inf ทุกไดร์ฟรวมทั้งแฟล๊ตไดร์ฟด้วย
3. มันจะลบกวนระบบ Network และอินเทอร์เน็ต
.......................................
15. media.exe
ไวรัส media.exe ไฟล์ขนาด 3.5 K
อาการแสดงออกเมื่อติดเชื้อ media.exe
จะมีไฟล์ media.exe และไฟล์ Autorun.inf อยู่ในไดร์ฟต่าง ๆ รวมทั้งแฟลชไดร์ฟด้วย
.......................................
16. Recycle (info.exe)
ไวรัส Recycle (info.exe) ขนาดไฟล์ 160 K
อาการแสดงออกเมื่อติดเชื้อไวรัส Recycle (info.exe)
1. มีไฟล์ System.exe Process อยู่ใน Task Manager
2. จะเปิดโชว์ Hidden files และนามสกุลไม่ได้
3. จะมีโฟลเดอร์รูปถังขยะอยู่ในทุกไดร์ฟ และมีขนาด 196 K
......................................
17. Recycled
ไวรัส Recycled.exe ไฟล์ขนาด 34.5 KB
อาการแสดงออกเมื่อติดเชื้อ Recycled.exe
จะมีไฟล์ Recycled.exe, 911 Death, และ Autorun.inf อยู่ในแฟล๊ชไดร์ฟ
.....................................
18. svchost
Trojan Downloader.OQN ขนาดไฟล์ 245 K
อาการแสดงออกเมื่อติดเชื้อ Trojan Downloader.OQN
1. ดับคลิกเปิดไฟล์ .BAT ไม่ได้
2. ใช้ Regedit ไม่ได้
3. ใช้ Msconfig ไม่ได้
4. ใช้ Task Manger ไม่ได้
5. Folder Option หายไป
6. ใช้ CMD ไม่ได้
วิธีแก้สำหรับตัวนี้ต้องก็อบปี้โค้ดนี้ taskkill /f /im svchost.exe ไปวางที่ Start -> Run -> OK ก่อนแล้วจึงดับเบิ้ลคลิกที่ไฟล์ Kill 32 in 1.exe
....................................
19. scvvhsot
Trojan Downloader.OQN ขนาดไฟล์ 495 K
อาการแสดงออกเมื่อติดเชื้อ Trojan Downloader.OQN
1. ดับคลิกเปิดไฟล์ .BAT ไม่ได้
2. ใช้ Regedit ไม่ได้
3. ใช้ Msconfig ไม่ได้
4. ใช้ Task Manger ไม่ได้
5. Folder Option หายไป
6. ใช้ CMD ไม่ได้
7. มันจะสร้างโฟลเดอร์เลียนแบบโฟลเดอร์เดิม แต่จะมีนามสกุล .EXE ไว้ทุกโฟลเดอร์
วิธีแก้สำหรับตัวนี้ต้องก็อบปี้โค้ดนี้ taskkill /f /im scvvhsot.exe ไปวางที่ Start -> Run -> OK ก่อนแล้วจึงดับเบิ้ลคลิกที่ไฟล์ Kill 32 in 1.exe
.......................................
20. Secret.exe
โทรจัน (Secret.exe) ไฟล์ขนาด 155 K
อาการแสดงออกเมื่อติดเชื้อ Secret.exe
1. เมื่อคลิกที่ไดร์ฟที่มันทำงานอยู่มันจะปิดทันที
2. เสียบแฟล๊ตไดร์ฟจะติดเชื้อทันทีและมีโฟลเดอร์ Secret.exe และ Autorun.inf
3. จะมีโฟลเดอร์ Userinit.exe อยู่ใน C:\Windows และมีโฟลเดอร์ System.exe C:\Windows\System32 แต่ซ่อนอยู่
.....................................
21. svohost.exe
ไวรัส svohost.exe ไฟล์ขนาด 162 KB
อาการแสดงออกเมื่อติดเชื้อ svohost.exe
1. ใช้แฟล๊ชไดร์ฟหรืออุปกรณ์พกพาเป็นพาหะ
2. จะมีไฟล์ sxs.exe, autorun.inf ในแฟล๊ชไดร์ฟหรืออุปกรณ์พกพา
.......................................
22. sxs.exe
ไวรัส Win32 Pacex.Gen virus ไฟล์ขนาด 46.6 KB
อาการแสดงเมื่อติดเชื้อ Win32 Pacex.Gen virus
1. จะเปิด Show hidden files and folders ไม่ได้ แต่ไม่ซ่อน Folder Option
2. ทุกไดร์ฟจะเป็น Autoplay ทั้งหมด
3. เมื่อเสียบแฟลตไดร์ฟจะติดเชื้อทันที
.......................................
23. syssetup.exe
W32 writU.A.worm ขนาดไฟล์ 80.0 K
อาการแสดงออกเมื่อติดเชื้อ W32 writU.A.worm แล้วจะสังเกตได้ดังนี้
1. คลิกขวาที่ไดร์ต่าง ๆ บรรทัดบนสุดจะเป็นตัวหนังสือ ?? แทนที่จะเป็น Open
2. ถ้าโชว์ Hidden File ไว้ จะเห็นไฟล์ชื่อ Autorun.inf และ syssetup.exe ซ่อนอยู่ระดับ System
3. ที่ Task Manager จะเห็น Image Name PING.EXE ทำงานอยู่ แต่ไม่สามารถ End Process ได้
4. ใน Folder Options... เช็คบอกซ์ Do not show hidden files and folders จะเป็นเครื่องหมาย ??????????
5. ระบบพอร์ตต่าง ๆ จะรวนไปหมด เช่น พิมพ์งานอาจจะเพี้ยน หรือใช้ต่ออินเตอร์เน็ตอาจจะมีปัญหาแฮ้งค์หรือหลุด
......................................
24. Pacuks.A.exe
ไวรัส Pacuks.A.exe ไฟล์ขนาด 44.0 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส Pacuks.A.exe
1. Folder Option จะหายไป
2. เมื่อเสียบแฟลตไดร์ฟจะติดต่อทันที
.......................................
25. msmsgs.exe
ไวรัส W32 FlashDown.A.worm (Msmsgs) ไฟล์ขนาด 210 K
อาการแสดงเมื่อติดเชื้อมันจะปิดการทำงานดังนี้
1. ใช้ Regedit จะรีสตาร์ททันที
2. ใช้ Msconfig จะรีสตาร์ททันที
3. ใช้ Task Manager ไม่ได้
4. Folder Option หายไป
5. Search ในเมนู Start หายไป
6. ใช้ CMD ไม่ได้
.......................................
26. wa6.vbs
ข้อมูลไม่แน่ชัด
......................................
27. isass.exe
ไวรัส isass.exe ไฟล์ขนาด 229 KB
อาการแสดงออกเมื่อติดเชื้อ isass.exe
1. Hide extensions for known file types ไม่ได้
2. Hide protected operating system files (Recommended) ไม่ได้
.......................................
28. Win32 brontok.A
Brontok.A Worm ขนาดไฟล์ 80.0 K
อาการที่แสดงออกเมื่อติดเชื้อไวรัส Brontok.A Worm
1.พิมพ์
regedit
msconfig
cmd
ในช่อง start -> run แล้วกด OK เครื่องจะรีสตาร์ทเอง
2. Folder Option หายไป
......................................
29. bambOO
ไวรัส bambOO ตัวจริงคือ useinit.exe ขนาดไฟล์ 72.0 K
อาการเมื่อติดไวรัสตัวนี้แล้วมันจะปิดการทำดังนี้
1. Folder Options...
2. Task Manager
3. Regedit
4. ไดร์ C:\
5. Manna ที่คลิกขวา My Computer
6. Device Manager
7. Add or Remove Programs in Control Panel
8. Change the way sacurity center alerts Me
9. CMD
......................................
30. ylr.exe ไฟล์ขนาด 101 KB
ไวรัส YLR.EXE ตัวนี้ไม่แน่ใจการทำงานของมัน
.....................................
31. Ms56hlpr.bat ไฟล์ขนาด 308 KB
เป็นโปรแกรมทำให้ตกใจเล่น คือ จะมีหน้าผีโผล่มาหลอกเป็นระยะ
....................................
32. fxstaller.exe ไฟล์ขนาด 47.5 KB
ไวรัสตัวนี้จะทำให้ MSN และอินเตอร์เน็ตมีปัญหา
.........................................
ส่วนวิธีการใช้โปรแกรมนั้นไม่ยากครับ หลังจากดาวน์โหลดมาเพียงแค่เปิดรันโปรแกรมเท่านั้นเอง
โปรแกรมจะทำงานบน dos ด้วยตัวของมันเอง ยกเว้น!!!บางตัวที่ต้องมีการก๊อบโค้ดไปวาง
ก็ทำตามวิธีที่ผมแนะนำนั่นแหละครับ รับรองว่าคลีนได้หมดตามอาการที่ได้นำเสนอไปข้างต้น
โปรแกรมดีๆๆแถมเขียนด้วยคนไทยแบบนี้เราต้องสนับสนุนครับ ไทยช่วยไทยให้ดังไกลไปทั่วโลก
สำหรับวันนี้ต้องขอลาไปหาข้อมูลใหม่ๆมาอัพเดทก่อน แล้วพบกันใหม่ขอบคุณสำหรับผู้ติดตามนะครับ
.......................................
1. SV1.exe
ไวรัส SV1.EXE ไฟล์ขนาด 159 KB
อาการแสดงออกเมื่อติดเชื้อ SV1.EXE
1. มันจะลบกวนระบบอินเทอเน็ต
2. จะโชว์ Hidden files ไม่ได้
.......................................
2. killVBS.vbs
ไวรัส MS32DLL.dll.vbs ไฟล์ขนาด 7.31 KB
อาการแสดงเมื่อติดเชื้อไวรัส killVBS.vbs
1. ทุกไดร์ฟจะเป็น Autoplay หมดจะดับเบิ้ลคลิกเปิดไดร์ฟตามปกติไม่ได้
2. ทุกไดร์ฟจะมีไฟล์ killVBS.vbs และไฟล์ autorun.inf อยู่
3. เมื่อเอาแฟล๊ชไดร์ฟเสียบจะติดเชื้อทันที
4. เมื่อเปิด IE Browser... ที่ไตเติ้ลบาร์จะไม่มีชื่อ Microsoft Internet Explorer
.......................................
3. 83l3v.cmd
ไวรัส 83l3v.cmd ขนาดไฟล์ 91 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส 83l3v.cmd
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ 83l3v.cmd และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
......................................
4. b3b9u.com
ไวรัส b3b9u.com ขนาดไฟล์ 88 K
อาการแสดงออกเมื่อติดเชื้อ b3b9u.com
1. จะ Show hidden files and folders ได้เดี๋ยวเดียวแล้วมันจะปิดเอง
2. จะมีไฟล์ b3b9u.com และ Autorun.inf ในไดร์ฟต่าง ๆ
3. เมื่อเสียบแฟล๊ชไดร์ฟจะติดทันที่ และมีไฟล์ b3b9u.com และ Autorun.inf ซ่อนอยู่ระดับซิสเต็ม
......................................
5. bpu.exe
ไวรัส bpu.exe ขนาดไฟล์ 123 K
อาการแสดงออกเมื่อติดเชื้อ bpu.exe
1. เมื่อเปิดไดร์ฟต่าง ๆ จะมีข้อความ Error ขึ้น
2. จะมีไฟล์ bpu.exe และ Autorun.inf ในไดร์ฟต่าง ๆ
3. จะ Show hidden files and folders ได้เดี๋ยวเดียวแล้วมันจะปิดเอง
4. เมื่อเสียบแฟล๊ชไดร์ฟจะติดทันที่ และมีไฟล์ b3b9u.com และ Autorun.inf ซ่อนอยู่ระดับซิสเต็ม
........................................
6. c9hehpa.bat
ไวรัส c9hehpa.bat ขนาดไฟล์ 89 K
อาการแสดงออกเมื่อติดเชื้อไวรัส c9hehpa.bat
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ c9hehpa.bat และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
.......................................
7. pamn.exe
Trojan pamn.exe ไฟล์ขนาด 141 KB
อาการแสดงออกเมื่อติดเชื้อ pamn.exe
1. จะ Show hidden files and folders ได้เดี๋ยวเดียวแล้วมันจะปิดเอง
2. จะมีไฟล์ pamn.exe และ Autorun.inf ในไดร์ฟต่าง ๆ
3. เมื่อเสียบแฟล๊ชไดร์ฟจะติดทันที่ และมีไฟล์ pamn.exe และ Autorun.inf ซ่อนอยู่ระดับซิสเต็ม
4. จะขึ้นข้อความ Data Execution Provention บนไตเติ้ลบาร์ของหน้าต่าง ถ้าคลิก Close Message เครื่องจะค้างไปเลย
วิธีแก้อย่าคลิก Close Message เพราะถ้าคลิกเครื่องจะค้าง ให้ดับเบิ้ลคลิกไฟล์ Kill 32 in 1.exe เสร็จแล้วรีสตาร์ทเครื่องใหม่
.......................................
8. rqq2v.bat
ไวรัส rqq2v.bat ขนาดไฟล์ 91 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส rqq2v.bat
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ rqq2v.bat และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
.......................................
9. 2.cmd
ไวรัส 2.cmd ขนาดไฟล์ 90 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส 2.cmd
1. จะเปิดโชว์ออนไฟล์ได้เดี๋ยวเดียว แล้วมันจะซ่อนต่อ
2. มีไฟล์ 2.cmd และ Autorun.inf อยู่ทุกไดร์ฟรวมทั้งแฟล๊ชไดร์ฟด้วย
.....................................
10 Hacked by Godzilla
ไวรัส Hacked by Godzilla ไฟล์ขนาด 4.0 K
อาการแสดงออกเมื่อติดเชื้อ Hacked by Godzilla
1. บน Title bar จะมีชื่อ Hacked by Godzilla
2. ในไดร์ฟต่าง ๆ จะมีไฟล์ MS32DLL.dll.vbs และ Autorun.inf ซ่อนอยู่
3. เมื่อเสียบ Flash Drive หรืออุปกรณ์พกพาจะติดเชื้อทันที
......................................
11. killgodzilla
ไวรัส killgodzilla.vbs ไฟล์ขนาด 4.0 KB
อาการแสดงออกเมื่อติดเชื้อ killgodzilla.vbs
ใช้แฟล๊ชไดร์ฟ และอุปกรณ์พกพาเป็นพาหะ
......................................
12. DD Consumer
ไวรัส DDConsumer.exe ไฟล์ขนาด 24.4 KB
อาการแสดงออกเมื่อติดเชื้อ DDConsumer.exe
1. เมื่อรีสตาร์ทเครื่องใหม่จะติด Password ใช้ Hacked จะผ่านได้
2. เมื่อเปิด IE จะลิงค์ไปเว็บของมันทันที
.......................................
13. endfix.vbs
ไวรัส endfix.vbs ไฟล์ขนาด 3 K
อาการแสดงออกเมื่อติดเชื้อ endfix.vbs
1. เมื่อเสียบแฟล๊ตไดร์ฟจะติดเชื้อทันที และมีไฟล์ autorun.inf, endfix.vbs, runfix.vbs ซ่อนอยู่ในแฟล๊ตไดร์ฟ
2. มีไฟล์ endfix.vbs ซ่อนอยู่ในโฟลเดอร์ Windows
.......................................
14. Network.exe
ไวรัส Network.exe ไฟล์ขนาด 273 K
อาการแสดงเมื่อติดเชื้อไวรัส Network.exe
1. จะดับเบิ้ลคลิกเปิดไดร์ฟต่าง ๆ ไม่ได้
2. จะมีไฟล์ Network.exe และไฟล์ Autorun.inf ทุกไดร์ฟรวมทั้งแฟล๊ตไดร์ฟด้วย
3. มันจะลบกวนระบบ Network และอินเทอร์เน็ต
.......................................
15. media.exe
ไวรัส media.exe ไฟล์ขนาด 3.5 K
อาการแสดงออกเมื่อติดเชื้อ media.exe
จะมีไฟล์ media.exe และไฟล์ Autorun.inf อยู่ในไดร์ฟต่าง ๆ รวมทั้งแฟลชไดร์ฟด้วย
.......................................
16. Recycle (info.exe)
ไวรัส Recycle (info.exe) ขนาดไฟล์ 160 K
อาการแสดงออกเมื่อติดเชื้อไวรัส Recycle (info.exe)
1. มีไฟล์ System.exe Process อยู่ใน Task Manager
2. จะเปิดโชว์ Hidden files และนามสกุลไม่ได้
3. จะมีโฟลเดอร์รูปถังขยะอยู่ในทุกไดร์ฟ และมีขนาด 196 K
......................................
17. Recycled
ไวรัส Recycled.exe ไฟล์ขนาด 34.5 KB
อาการแสดงออกเมื่อติดเชื้อ Recycled.exe
จะมีไฟล์ Recycled.exe, 911 Death, และ Autorun.inf อยู่ในแฟล๊ชไดร์ฟ
.....................................
18. svchost
Trojan Downloader.OQN ขนาดไฟล์ 245 K
อาการแสดงออกเมื่อติดเชื้อ Trojan Downloader.OQN
1. ดับคลิกเปิดไฟล์ .BAT ไม่ได้
2. ใช้ Regedit ไม่ได้
3. ใช้ Msconfig ไม่ได้
4. ใช้ Task Manger ไม่ได้
5. Folder Option หายไป
6. ใช้ CMD ไม่ได้
วิธีแก้สำหรับตัวนี้ต้องก็อบปี้โค้ดนี้ taskkill /f /im svchost.exe ไปวางที่ Start -> Run -> OK ก่อนแล้วจึงดับเบิ้ลคลิกที่ไฟล์ Kill 32 in 1.exe
....................................
19. scvvhsot
Trojan Downloader.OQN ขนาดไฟล์ 495 K
อาการแสดงออกเมื่อติดเชื้อ Trojan Downloader.OQN
1. ดับคลิกเปิดไฟล์ .BAT ไม่ได้
2. ใช้ Regedit ไม่ได้
3. ใช้ Msconfig ไม่ได้
4. ใช้ Task Manger ไม่ได้
5. Folder Option หายไป
6. ใช้ CMD ไม่ได้
7. มันจะสร้างโฟลเดอร์เลียนแบบโฟลเดอร์เดิม แต่จะมีนามสกุล .EXE ไว้ทุกโฟลเดอร์
วิธีแก้สำหรับตัวนี้ต้องก็อบปี้โค้ดนี้ taskkill /f /im scvvhsot.exe ไปวางที่ Start -> Run -> OK ก่อนแล้วจึงดับเบิ้ลคลิกที่ไฟล์ Kill 32 in 1.exe
.......................................
20. Secret.exe
โทรจัน (Secret.exe) ไฟล์ขนาด 155 K
อาการแสดงออกเมื่อติดเชื้อ Secret.exe
1. เมื่อคลิกที่ไดร์ฟที่มันทำงานอยู่มันจะปิดทันที
2. เสียบแฟล๊ตไดร์ฟจะติดเชื้อทันทีและมีโฟลเดอร์ Secret.exe และ Autorun.inf
3. จะมีโฟลเดอร์ Userinit.exe อยู่ใน C:\Windows และมีโฟลเดอร์ System.exe C:\Windows\System32 แต่ซ่อนอยู่
.....................................
21. svohost.exe
ไวรัส svohost.exe ไฟล์ขนาด 162 KB
อาการแสดงออกเมื่อติดเชื้อ svohost.exe
1. ใช้แฟล๊ชไดร์ฟหรืออุปกรณ์พกพาเป็นพาหะ
2. จะมีไฟล์ sxs.exe, autorun.inf ในแฟล๊ชไดร์ฟหรืออุปกรณ์พกพา
.......................................
22. sxs.exe
ไวรัส Win32 Pacex.Gen virus ไฟล์ขนาด 46.6 KB
อาการแสดงเมื่อติดเชื้อ Win32 Pacex.Gen virus
1. จะเปิด Show hidden files and folders ไม่ได้ แต่ไม่ซ่อน Folder Option
2. ทุกไดร์ฟจะเป็น Autoplay ทั้งหมด
3. เมื่อเสียบแฟลตไดร์ฟจะติดเชื้อทันที
.......................................
23. syssetup.exe
W32 writU.A.worm ขนาดไฟล์ 80.0 K
อาการแสดงออกเมื่อติดเชื้อ W32 writU.A.worm แล้วจะสังเกตได้ดังนี้
1. คลิกขวาที่ไดร์ต่าง ๆ บรรทัดบนสุดจะเป็นตัวหนังสือ ?? แทนที่จะเป็น Open
2. ถ้าโชว์ Hidden File ไว้ จะเห็นไฟล์ชื่อ Autorun.inf และ syssetup.exe ซ่อนอยู่ระดับ System
3. ที่ Task Manager จะเห็น Image Name PING.EXE ทำงานอยู่ แต่ไม่สามารถ End Process ได้
4. ใน Folder Options... เช็คบอกซ์ Do not show hidden files and folders จะเป็นเครื่องหมาย ??????????
5. ระบบพอร์ตต่าง ๆ จะรวนไปหมด เช่น พิมพ์งานอาจจะเพี้ยน หรือใช้ต่ออินเตอร์เน็ตอาจจะมีปัญหาแฮ้งค์หรือหลุด
......................................
24. Pacuks.A.exe
ไวรัส Pacuks.A.exe ไฟล์ขนาด 44.0 KB
อาการแสดงออกเมื่อติดเชื้อไวรัส Pacuks.A.exe
1. Folder Option จะหายไป
2. เมื่อเสียบแฟลตไดร์ฟจะติดต่อทันที
.......................................
25. msmsgs.exe
ไวรัส W32 FlashDown.A.worm (Msmsgs) ไฟล์ขนาด 210 K
อาการแสดงเมื่อติดเชื้อมันจะปิดการทำงานดังนี้
1. ใช้ Regedit จะรีสตาร์ททันที
2. ใช้ Msconfig จะรีสตาร์ททันที
3. ใช้ Task Manager ไม่ได้
4. Folder Option หายไป
5. Search ในเมนู Start หายไป
6. ใช้ CMD ไม่ได้
.......................................
26. wa6.vbs
ข้อมูลไม่แน่ชัด
......................................
27. isass.exe
ไวรัส isass.exe ไฟล์ขนาด 229 KB
อาการแสดงออกเมื่อติดเชื้อ isass.exe
1. Hide extensions for known file types ไม่ได้
2. Hide protected operating system files (Recommended) ไม่ได้
.......................................
28. Win32 brontok.A
Brontok.A Worm ขนาดไฟล์ 80.0 K
อาการที่แสดงออกเมื่อติดเชื้อไวรัส Brontok.A Worm
1.พิมพ์
regedit
msconfig
cmd
ในช่อง start -> run แล้วกด OK เครื่องจะรีสตาร์ทเอง
2. Folder Option หายไป
......................................
29. bambOO
ไวรัส bambOO ตัวจริงคือ useinit.exe ขนาดไฟล์ 72.0 K
อาการเมื่อติดไวรัสตัวนี้แล้วมันจะปิดการทำดังนี้
1. Folder Options...
2. Task Manager
3. Regedit
4. ไดร์ C:\
5. Manna ที่คลิกขวา My Computer
6. Device Manager
7. Add or Remove Programs in Control Panel
8. Change the way sacurity center alerts Me
9. CMD
......................................
30. ylr.exe ไฟล์ขนาด 101 KB
ไวรัส YLR.EXE ตัวนี้ไม่แน่ใจการทำงานของมัน
.....................................
31. Ms56hlpr.bat ไฟล์ขนาด 308 KB
เป็นโปรแกรมทำให้ตกใจเล่น คือ จะมีหน้าผีโผล่มาหลอกเป็นระยะ
....................................
32. fxstaller.exe ไฟล์ขนาด 47.5 KB
ไวรัสตัวนี้จะทำให้ MSN และอินเตอร์เน็ตมีปัญหา
.........................................
ส่วนวิธีการใช้โปรแกรมนั้นไม่ยากครับ หลังจากดาวน์โหลดมาเพียงแค่เปิดรันโปรแกรมเท่านั้นเอง
โปรแกรมจะทำงานบน dos ด้วยตัวของมันเอง ยกเว้น!!!บางตัวที่ต้องมีการก๊อบโค้ดไปวาง
ก็ทำตามวิธีที่ผมแนะนำนั่นแหละครับ รับรองว่าคลีนได้หมดตามอาการที่ได้นำเสนอไปข้างต้น
โปรแกรมดีๆๆแถมเขียนด้วยคนไทยแบบนี้เราต้องสนับสนุนครับ ไทยช่วยไทยให้ดังไกลไปทั่วโลก
สำหรับวันนี้ต้องขอลาไปหาข้อมูลใหม่ๆมาอัพเดทก่อน แล้วพบกันใหม่ขอบคุณสำหรับผู้ติดตามนะครับ
==============By Getzaa=============
Sunday, August 23, 2009
วิธีกำจัด Virus : Win32/Patched.AG
How to remove System.exe , msmsgs.exe
( Win32/Patched.AG)
System.exe , msmsgs.exe
MD5 : CF79F82AA29A807E1EEA4A637960972F
SHA1 : 4858082AB4A563C62D6750013F527FF9EB587F75
CRC32 : 3843957D
==============================================
Other name
ArcaVir > Downloader.Agent.Apey
A-squared > Worm.Win32.AutoIt!IK
Avast > Win32:Patched-GS
AVG > Win32/Patched
AntiVir > TR/Dldr.Agent.WZ
Bitdefender > Win32.Worm.Autoit.O
ClamAV > Trojan.Autoit-14
Comodo > TrojWare.Win32.Patched.G
Dr.WEB > Win32.HLLW.Autoruner.6157
eTrust-Vet > Win32/Eldycow.HS
F-PROT > W32/Downldr2.AICJ
F-Secure > Worm.Win32.AutoIt.i
G-DATA > Win32.Worm.Autoit.O
Ikarus > Worm.Win32.AutoIt
Jiangmin > Win32/Loadll.b
Kaspersky > Worm.Win32.AutoIt.i
McAfee > W32/Kibik.c
Microsoft >Win32/Wixud.A
NOD32 > Win32/Patched.AG
Norman > W32/Obfuscated.H11!genr
Panda > W32/PatchLog.P
PCTools > Worm.AutoIT.V
Quick heal > Trojan.Patched.BZ
Rising > Win32.Agent.xql
Sophos > W32/LibHack-A
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > PE_KIBIK.B
VirusBuster > Worm.AutoIT.V
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างๆดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้
virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC
ถ้าลองเปิดด้วยโปรแกรม System Explorer จะเห็นดังภาพ ว่าค่า Startups มี bad1,bad2,bad3
ถ้าดูด้วยโปรแกรม Autoruns Tab ของ Logon
มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS1: "C:\WINDOWS\system32\system.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS2: "C:\WINDOWS\system32\bad1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS3: "C:\WINDOWS\system32\bad2.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS4: "C:\WINDOWS\system32\bad3.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmsgs: "C:\WINDOWS\system32\Msmsgs.exe"
------------------------------------------------------------------------
วิธีกำจัด virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
แบบ Manual
------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool
ก่อนอื่นตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างๆ
ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม Kill Process แล้วเลือก Terminal folder ปลอมที่มีนามสกุล .exe ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไป Delete file ตามนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
3. ใช้โปรแกรม DKDC_HASH scan หาไฟล์ virus ใน USB Drive
4. เปิดโปรแกรม Hijack this แล้ว Fix checked ที่ 6 บรรทัดนี้ครับ
HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
HKLM\..\Run: [Msmsgs] C:\WINDOWS\system32\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่าRegitry สำคัญๆ
6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
จบแล้วครับวิธีแก้ virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
( Win32/Patched.AG)
System.exe , msmsgs.exe
MD5 : CF79F82AA29A807E1EEA4A637960972F
SHA1 : 4858082AB4A563C62D6750013F527FF9EB587F75
CRC32 : 3843957D
==============================================
Other name
ArcaVir > Downloader.Agent.Apey
A-squared > Worm.Win32.AutoIt!IK
Avast > Win32:Patched-GS
AVG > Win32/Patched
AntiVir > TR/Dldr.Agent.WZ
Bitdefender > Win32.Worm.Autoit.O
ClamAV > Trojan.Autoit-14
Comodo > TrojWare.Win32.Patched.G
Dr.WEB > Win32.HLLW.Autoruner.6157
eTrust-Vet > Win32/Eldycow.HS
F-PROT > W32/Downldr2.AICJ
F-Secure > Worm.Win32.AutoIt.i
G-DATA > Win32.Worm.Autoit.O
Ikarus > Worm.Win32.AutoIt
Jiangmin > Win32/Loadll.b
Kaspersky > Worm.Win32.AutoIt.i
McAfee > W32/Kibik.c
Microsoft >Win32/Wixud.A
NOD32 > Win32/Patched.AG
Norman > W32/Obfuscated.H11!genr
Panda > W32/PatchLog.P
PCTools > Worm.AutoIT.V
Quick heal > Trojan.Patched.BZ
Rising > Win32.Agent.xql
Sophos > W32/LibHack-A
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > PE_KIBIK.B
VirusBuster > Worm.AutoIT.V
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างๆดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้
virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC
ถ้าลองเปิดด้วยโปรแกรม System Explorer จะเห็นดังภาพ ว่าค่า Startups มี bad1,bad2,bad3
ถ้าดูด้วยโปรแกรม Autoruns Tab ของ Logon
มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS1: "C:\WINDOWS\system32\system.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS2: "C:\WINDOWS\system32\bad1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS3: "C:\WINDOWS\system32\bad2.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS4: "C:\WINDOWS\system32\bad3.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmsgs: "C:\WINDOWS\system32\Msmsgs.exe"
------------------------------------------------------------------------
วิธีกำจัด virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
แบบ Manual
------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool
ก่อนอื่นตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างๆ
ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม Kill Process แล้วเลือก Terminal folder ปลอมที่มีนามสกุล .exe ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไป Delete file ตามนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
3. ใช้โปรแกรม DKDC_HASH scan หาไฟล์ virus ใน USB Drive
4. เปิดโปรแกรม Hijack this แล้ว Fix checked ที่ 6 บรรทัดนี้ครับ
HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
HKLM\..\Run: [Msmsgs] C:\WINDOWS\system32\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่าRegitry สำคัญๆ
6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
จบแล้วครับวิธีแก้ virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
===================By Getzaa===================
Tuesday, August 18, 2009
Hacked by Godzilla
เมื่อเครื่องคอมพิวเตอร์มีข้อความแสดงขึ้นมาว่า “Sing In – Hacked by Godzilla” เวลาใช้อินเทอร์เน็ต มีสาเหตุมาจากอะไร และจะแก้ไขได้อย่างไร
อาการอย่างนี้แสดงให้เห็นว่า คอมพิวเตอร์ของเรากำลังติดไวรัสสายพันธุ์หนึ่งที่มีชื่อว่า Godzilla ถ้าคอมพิวเตอร์ของเราติดไวรัสชนิดนี้ จะมีอาการคือ จะไม่สามารถคลิกเปิดเข้าไปใช้งานในไดร์ฟต่างๆได้ ซึ่งการแก้ไขสามารถทำได้โดย
1.ดับเบิ้ลคลิกไอคอน My Computer
2. คลิกเมนู Tools > Folder Options
3. เมื่อปรากฏไดอะล็อกบ็อกซ์ Folder Option ก็ให้คลิกแท็บ View
4. คลิกเลือก Show Hidden files and folders
5. คลิกยกเลิกเช็คบ็อกซ์ หน้าคำสั่ง Hide extension for know file types และคำสั่ง Hide Protected operating system / คลิกปุ่ม ok
6. กดแป้น Ctrl + Alt + Delete บนคีย์บอร์ด
7. เมื่อปรากฏไดอะล็อกบ็อกซ์ Windows Task Manager ก็ให้คลิกแท็บ Processes
8. คลิกเมนู Image Name > คลิกเลือกไฟล์ wscript.exe
9. คลิกปุ่ม End Processes
10. เปิดไดร์ฟที่ติดไวรัสขึ้นมา โดยการคลิกขวาที่ไดร์ฟนั้น แล้วเลือกคำสั่ง Explorer แล้วทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก โดยเข้าไปลบในทุกๆไดร์ฟ รวมทั้ง Handy Drive และFloppy Disk ด้วย
11. เปิดโฟลเดอร์ C:\WINDOWS และทำการลบไฟล์ MS32DLL.dll.vbs
12. คลิกเมนู Star > Run / พิมพ์คำสั่ง regedit / คลิกปุ่ม ok
13. คลิกเลือก HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current Version > Run จากนั้นก็ทำการค้นหาไฟล์ MS32DLL แล้วทำการลบออกไป
14. คลิกเลือก HKEY_CURRENT_USER > Software > Microsoft > Internet Explorer > Main แล้วทำการลบไฟล์ “ Hacked by Godzilla” ที่ปรากฏขึ้นมาออกไป
15. คลิกเมนู Star > Run / พิมพ์คำสั่ง gpedit.msc / คลิกปุ่ม ok
16. เมื่อปรากฏไดอะล็อกบ็อกซ์ Group Policy ให้คลิกเลือก User Configuration > Administrative Template > System
17. จากนั้นก็ทำการดับเบิ้ลคลิกไฟล์ Turn off Autoplay
18. ที่ไดอะล็อกบ็อกซ์ Turn off Autoplay Properties คลิกเลือก Enable
19. คลิกเลือก All drives / คลิกปุ่ม ok
20. คลิกเมนู Star > Run / พิมพ์คำสั่ง msconfig / คลิกปุ่ม ok
21.เมื่อปรากฎไดอะล็อกบ็อกซ์ System Configuration Utility ให้คลิกแท็บ Startup
22.ยกเลิกเช็คบ็อกซ์หน้าไฟล์ MS32DLL / คลิกปุ่ม Apply / คลิกปุ่ม ok
23. จะปรากฏไดอะล็อกบ็อกซ์ System Configuration ให้คลิกเลือก Exit Without Restart
24. ดับเบิ้ลคลิกที่ไอคอน My Computer คลิกเมนู Tools > Folder Options
25. เมื่อปรากฏไดอะล็อกบ็อกซ์ Folder Options ก็ให้เราคลิกที่แท็บ View
26.คลิกเลือกที่ Show Hidden files and folders
27. คลิกยกเลิกเช็คบ็อกซ์ที่หน้าคำสั่ง Hide extensions for know file types
28. คลิกยกเลิกเช็คบ็อกซ์ที่หน้าคำสั่ง Hide protected operating system
29. คลิกปุ่ม ok
30. คลิกขวาที่ Recycle bin แล้วเลือกที่คำสั่ง Empty Recycle bin เพื่อทำการลบไฟล์ไวรัสทั้งหมดออกจากเครื่อง
อาการอย่างนี้แสดงให้เห็นว่า คอมพิวเตอร์ของเรากำลังติดไวรัสสายพันธุ์หนึ่งที่มีชื่อว่า Godzilla ถ้าคอมพิวเตอร์ของเราติดไวรัสชนิดนี้ จะมีอาการคือ จะไม่สามารถคลิกเปิดเข้าไปใช้งานในไดร์ฟต่างๆได้ ซึ่งการแก้ไขสามารถทำได้โดย
1.ดับเบิ้ลคลิกไอคอน My Computer
2. คลิกเมนู Tools > Folder Options
3. เมื่อปรากฏไดอะล็อกบ็อกซ์ Folder Option ก็ให้คลิกแท็บ View
4. คลิกเลือก Show Hidden files and folders
5. คลิกยกเลิกเช็คบ็อกซ์ หน้าคำสั่ง Hide extension for know file types และคำสั่ง Hide Protected operating system / คลิกปุ่ม ok
6. กดแป้น Ctrl + Alt + Delete บนคีย์บอร์ด
7. เมื่อปรากฏไดอะล็อกบ็อกซ์ Windows Task Manager ก็ให้คลิกแท็บ Processes
8. คลิกเมนู Image Name > คลิกเลือกไฟล์ wscript.exe
9. คลิกปุ่ม End Processes
10. เปิดไดร์ฟที่ติดไวรัสขึ้นมา โดยการคลิกขวาที่ไดร์ฟนั้น แล้วเลือกคำสั่ง Explorer แล้วทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก โดยเข้าไปลบในทุกๆไดร์ฟ รวมทั้ง Handy Drive และFloppy Disk ด้วย
11. เปิดโฟลเดอร์ C:\WINDOWS และทำการลบไฟล์ MS32DLL.dll.vbs
12. คลิกเมนู Star > Run / พิมพ์คำสั่ง regedit / คลิกปุ่ม ok
13. คลิกเลือก HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current Version > Run จากนั้นก็ทำการค้นหาไฟล์ MS32DLL แล้วทำการลบออกไป
14. คลิกเลือก HKEY_CURRENT_USER > Software > Microsoft > Internet Explorer > Main แล้วทำการลบไฟล์ “ Hacked by Godzilla” ที่ปรากฏขึ้นมาออกไป
15. คลิกเมนู Star > Run / พิมพ์คำสั่ง gpedit.msc / คลิกปุ่ม ok
16. เมื่อปรากฏไดอะล็อกบ็อกซ์ Group Policy ให้คลิกเลือก User Configuration > Administrative Template > System
17. จากนั้นก็ทำการดับเบิ้ลคลิกไฟล์ Turn off Autoplay
18. ที่ไดอะล็อกบ็อกซ์ Turn off Autoplay Properties คลิกเลือก Enable
19. คลิกเลือก All drives / คลิกปุ่ม ok
20. คลิกเมนู Star > Run / พิมพ์คำสั่ง msconfig / คลิกปุ่ม ok
21.เมื่อปรากฎไดอะล็อกบ็อกซ์ System Configuration Utility ให้คลิกแท็บ Startup
22.ยกเลิกเช็คบ็อกซ์หน้าไฟล์ MS32DLL / คลิกปุ่ม Apply / คลิกปุ่ม ok
23. จะปรากฏไดอะล็อกบ็อกซ์ System Configuration ให้คลิกเลือก Exit Without Restart
24. ดับเบิ้ลคลิกที่ไอคอน My Computer คลิกเมนู Tools > Folder Options
25. เมื่อปรากฏไดอะล็อกบ็อกซ์ Folder Options ก็ให้เราคลิกที่แท็บ View
26.คลิกเลือกที่ Show Hidden files and folders
27. คลิกยกเลิกเช็คบ็อกซ์ที่หน้าคำสั่ง Hide extensions for know file types
28. คลิกยกเลิกเช็คบ็อกซ์ที่หน้าคำสั่ง Hide protected operating system
29. คลิกปุ่ม ok
30. คลิกขวาที่ Recycle bin แล้วเลือกที่คำสั่ง Empty Recycle bin เพื่อทำการลบไฟล์ไวรัสทั้งหมดออกจากเครื่อง
===================By Getzaa===================
Saturday, August 15, 2009
วิีธีแก้ Virus : Flashy.exe
เครื่องที่ติดไวรัส Flashy.exe จะมีอาการเป็นอย่างไร
และจะทำการแก้ไขได้อย่างไร
------------------------------------------------------------
1.เครื่องจะไม่สามารถเรียกใช้ Task Manager , Registry Editor
และ Folder Option ได้
2.เครื่องคอมพิวเตอร์จะถูกกำหนด ให้มีการตั้งรหัสผ่านสำหรับ Administrator
ทำให้เราไม่สามารถที่จะเปิดเข้าไปใช้งานเครื่องได้ตามปกติ
3. เมื่อเราได้เสียบ Flash Drive หรือ Memory Card
ลงไปก็จะไม่สามารถเปิดดูข้อมูลภายในอุปกรณ์นั้นได้
--------------------------------------------------------------------
เมื่อเราตรวจสอบได้ว่า คอมพิวเตอร์ของเราติดไวรัส flashy.exe
เราสามารถทำการกำจัดตัวนี้ออกไปได้ โดยวิธีการดังต่อไปนี้
--------------------------------------------------------------------
1.ถ้าเครื่องที่ถูกไวรัสตั้งรหัสผ่านเอาไว้ ก่อนอื่นให้เราทำการแก้ไขโดย
พิมพ์คำว่า " Hack " เพื่อเปิดเข้าไปใช้งานในเครื่องก่อน
แต่ถ้าเราไม่สามารถเปิดเครื่องได้ ก็ให้ติดตั้ง Windows XP ใหม่
2. เมื่อเราเข้าสู่ Windows xp ได้แล้ว ก็ให้ทำการ หยุดการทำงานของ
ไวรัส Flashy.exe ด้วยการกดแป้น Ctrl+Alt+Delete / คลิกที่แท็บ Process
3. ค้นหาไฟล์ที่ชื่อ Implus คลิกที่ชื่อไฟล์ แล้วคลิกปุ่ม End Process
4. จากนั้นเข้าไปแก้ไข Registry โดยการคลิกที่เมนู Start > Run /
แล้วพิมพ์คำว่า regedit / คลิกปุ่ม ok
5. คลิกเลือก HKEY_CURRENT_USER > Software > Micosoft >
Window > CurrentVersion >Polices >Explorer
6.จากนั้นทำการลบไฟล์ที่ชื่อ NoFolder Option
7. คลิกเมนู Start > Run / แล้วพิมพ์คำว่า regedit / คลิกปุ่ม ok
8. คลิกเลือกที่ HKEY_CURRENT_USER > Software >Microsoft >
Window > CurrentVersion >
Explorer > Advanced
9. ให้ทำการลบไฟล์ที่ชื่อว่า Hide FileExt ออก
10. คลิกเมนู Start > Run / แล้วพิมพ์คำว่า regedit /คลิกปุ่ม ok
11. คลิกเลือก HKEY_LOCAL_MACHINE >SYSTEM >
CurrentControlSet > Service >
SharedAccess ให้ทำการลบไฟล์ที่ชื่อว่า Start
12. คลิกเมนู Start > Run / แล้วพิมพ์คำว่า regedit / คลิกปุ่ม ok
13. คลิกเลือก HEKY_LOCAL_MACHINE > Software >
Microsoft > Window >CurrentVersion > Run แล้วลบไฟล์ที่ชื่อว่า Flashy.exe
14. คลิกเมนู Start > All Programs > Startup แล้วลบไฟล์ SystemID.pifh
15. คลิกเมนู Start > Run / แล้วพิมพ์คำว่า msconfig
16. คลิกแท็บ Startup ให้คลิกเช็คบ็อกซ์ ยกเลิกที่หน้าคำสั่ง systemID
17. จากนั้นก็ให้ทำการ restart เครื่องใหม่ แล้วกดที่แป้น Ctrl + Alt +Delete
เสร็จแล้วตรวจดูว่า ยังมีการทำงานอีกหรือไม่ ถ้าไม่มีก็แสดงว่า
ไวรัส Flashy.exe ถูกลบออกไปแล้ว
18. ทำการแก้ไข การเปลี่ยนแปลงที่ไวรัสได้สร้างขึ้น ด้วยการคลิกเมนู
Start > Control Panel / คลิกเลือกที่ User account
19. คลิกเลือก User account ที่เป็น Administrator แล้วคลิกเลือกที่
Change a password
20. พิมพ์รหัสผ่าน Hacked แล้วยืนยันรหัสผ่าน จากนั้นก็ restart เครื่อง
21. คลิกเมนู Start > Run / แล้วพิมพ์คำว่า regedit / คลิกปุ่ม ok
22. คลิกเลือก HEKY_ LOCAL_MACHIINE > Software >
Microsoft > Windows >CurrentVersion > Winlogon
23. คลิกขวาเลือกที่ New > String value แล้วกำหนดค่าดังต่อไปนี้
AutoAdminLogon = “1”
DefaultUsername = “ชื่อผู้ใช้”
DefaultPassword = “hacked”
24. หลังจากนั้นก็ให้เข้าไปทำการลบตัวไวรัส Flashy.exe ใน
C: \ Windows \ SYSTEM32
==================By Getzaa==================
Friday, August 14, 2009
วิธีกำจัด virus Bad1 bad2 bad3 (Win32/Autoit.AC)
สวัสดีครับ...
วันนี้กลับมากลับวิธีการแก้ไวรัสอีกเช่นเคย virus ตัวนี้ผมไม่มีไฟล์ ตัวอย่างนะครับ แต่เคยแก้ไป 2 เครื่อง ประมาณซัก 2 ปีที่แล้ว
และไม่เก็บตัวอย่าง virus ไว้ ซึ่งก็มีหลาย web บอกวิธีแก้ไว้แล้ว และ NOD32 ก็ได้ออก Tool แก้ไว้แล้ว
ผมก็จะไม่เขียนอะไรมากมายเพราะไม่มีข้อมูล ที่เขียนเรื่องนี้เพราะจะรวมรวมวิธีแก้ไว้เท่านั้นเองครับ
ซึ่งตอนนั้นพอจำได้ว่าเครื่องที่ ลง NOD32 ไว้ ไม่สามารถใช้งานได้ คำสั่งสำคัญ เช่น Task Manager, Regedit ใช้งานไม่ได้
-------------------------------------------------------------------------
วิธีกำจัด Bad1 bad2 bad3 Virus (Win32/Autoit.AC : Detect by NOD32)
-------------------------------------------------------------------------
ดาวน์โหลดตัวแก้ NOD32 Bad1,2,3[Autoit.AC]-Fix
วิธีแก้แบบใหม่ Remove Bad 1,2,3 Manual Fix
หรือลองดูตัวอย่างที่ Web ช่างป่าน
http://www.webphand.com/BaD/
วันนี้กลับมากลับวิธีการแก้ไวรัสอีกเช่นเคย virus ตัวนี้ผมไม่มีไฟล์ ตัวอย่างนะครับ แต่เคยแก้ไป 2 เครื่อง ประมาณซัก 2 ปีที่แล้ว
และไม่เก็บตัวอย่าง virus ไว้ ซึ่งก็มีหลาย web บอกวิธีแก้ไว้แล้ว และ NOD32 ก็ได้ออก Tool แก้ไว้แล้ว
ผมก็จะไม่เขียนอะไรมากมายเพราะไม่มีข้อมูล ที่เขียนเรื่องนี้เพราะจะรวมรวมวิธีแก้ไว้เท่านั้นเองครับ
ซึ่งตอนนั้นพอจำได้ว่าเครื่องที่ ลง NOD32 ไว้ ไม่สามารถใช้งานได้ คำสั่งสำคัญ เช่น Task Manager, Regedit ใช้งานไม่ได้
-------------------------------------------------------------------------
วิธีกำจัด Bad1 bad2 bad3 Virus (Win32/Autoit.AC : Detect by NOD32)
-------------------------------------------------------------------------
ดาวน์โหลดตัวแก้ NOD32 Bad1,2,3[Autoit.AC]-Fix
วิธีแก้แบบใหม่ Remove Bad 1,2,3 Manual Fix
หรือลองดูตัวอย่างที่ Web ช่างป่าน
http://www.webphand.com/BaD/
==============By Getzaa==============
Tuesday, August 11, 2009
วิธีกำจัดไวรัส W32.SQLExp.Worm
--วิธีกำจัดไวรัส W32.SQLExp.Worm--
2. Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3
มีผลกระทบต่อเครื่องที่ติดตั้ง
1. Microsoft SQL Server 20002. Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3
W32.SQLExp.Worm เป็นหนอนที่มุ่งโจมตีและมีผลกระทบเฉพาะเครื่องเซิร์ฟเวอร์ที่รัน Microsoft SQL เท่านั้น หนอนชนิดนี้ทำงานอยู่ในหน่วยความจำเท่านั้น ดังนั้นจึงทำให้โปรแกรมป้องกันไวรัสไม่สามารถตรวจจับได้
หนอนชนิดนี้ทำการส่งข้อมูลขนาด 376 ไบต์ไปยังพอร์ด 1434/udp (เป็นพอร์ต SQL Server Resolution Service Port) เริ่มตั้งแต่เวลา 5:31 am GMT (12:31 น. เวลาประเทศไทย) ของวันที่ 25 มกราคม 2546 เป็นจำนวนมาก ระหว่างเครื่องเซิร์ฟเวอร์ที่ให้บริการ MS-SQL ทำให้ระบบเครือข่ายใช้งานไม่ได้ เป็นการโจมตีแบบ Denial of Service (DoS)
หนอนชนิดนี้โจมตีผ่านช่องโหว่ที่เรียกว่า ไมโครซอฟต์ SQL server 2000 มี stack overflow ใน SQL Server Resolution Service
รายละเอียดทางเทคนิค
เมื่อหนอน W32.SQLExp.Worm ติดเครื่องแล้วจะมีการทำงานดังนี้
- เปิดซ็อกเก็ตของ netbios เพื่อให้หนอนทำการส่งแพ็กเก็ต
- ใช้งานฟังก์ชั่น API ของวินโดวส์ ที่ชื่อ GetTickCount เพื่อที่จะสุ่มหมายเลข IP สำหรับการส่งหนอน
- ทำการส่งตัวหนอนเองไปยังทุก IP ที่สุ่มขึ้นผ่านทางพอร์ต 1434/udp
คำแนะนำในการกำจัดหนอนชนิดนี้ :
- ทำการตรวจสอบว่าในระบบที่ใช้งานอยู่มีการใช้งานโปรแกรมต่อไปนี้หรือไม่
- Microsoft SQL Server 2000
- Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3
- ถ้าหากพบให้ทำการถอดเครื่องดังกล่าวออกจากเครือข่าย ทำการสำรองข้อมูลที่อยู่ในเซิร์ฟเวอร์ MS-SQL แล้ว ทำการอัพเดต patch MS02-034 MS02-039 และ MS02-061 จากนั้นทำการรีสตาร์ทเซิร์ฟเวอร์
หมายเหต ุ สามารถดาวน์โหลด patch ได้จากเว็บไซต์ ThaiCERT MS02-034 MS02-039 และ Service Pack 3
วิธีการกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลด fix tools ชื่อ SYSCLEAN.COM และอ่านวิธีการใช้งานได้ที่ http://www.trendmicro.com/ftp/products/tsc/readme.txt
วิธีป้องกันตัวเองจากไวรัส
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
- ระงับการให้บริการของไมโครซอฟต์ SQL
- ป้องกันการร้องขอ การเชื่อมต่อผ่านทางพอร์ต 1434/udp โดยใช้ไฟร์วอลล์
========================By Getzaa=====================
ที่มา:www.thaicert.or.th
วิธีกำจัด virus IEXPLOREi.exe (Win32/AutoIt.AI)
How to remove IEXPLOREi.exe (Win32.AutoIt.AI : Detect by NOD32)ไวรัสตัวนี้ผมไม่มีตัวอย่างไฟล์นะครับ ได้แต่อ่านข้อมูลจาก Web site ต่างๆไวรัส IEXPLOREi.exe (Win32.AutoIt.ai)อาการที่เเสดงเมื่อติดเชื่อไวรัส IEXPLOREi.exe (Win32.AutoIt.AI)
1. เข้า Regedit ไม่ได้
2. ใช้ Task Manager ไม่ได้
3. Folder Option หายไป
4. มันจะสร้างโฟลเดอร์ IEXPLOREi.exe,Bi Mat.exe,เเละไฟล์ Autorun.inf เเละโฟลเดอร์นามสกุล .EXE ไว้ในเเฟล๊ชไดร์ฟทุกโฟลเดอร์
วิธีเเก้ทำตามขั้นตอนดังต่อไปนี้
1. ดับเบิ้ลคลิกที่ไฟล์ Kill IEXPLOREi.bat เครื่องจะรีสตาร์ทใหม่
2. เมื่อเข้าวินดดร์เรียบร้อย กดปุ่มรูปวินดดร์ที่คีย์บอร์ด + F จะมีหน้าต่าง Search ขึ้นมา
3. คลิกที่ All File and folders
4. คลิกที่ Drop Down เลือกเเฟลชไดร์ฟที่ใช้อยู่
5. คลิกที่ More advanced option
6. คลิกเลือก Search system folders, Search hidden files and folders, Search subfolders ทั้ง 3 ช่อง
7. พิมพ์ .exe ในช่อง All or part of the file name: เเล้วคลิกปุ่ม Search
8. คลิกขวาที่ช่องหน้าต่างขวามือ เเล้วเลือก Arrange Icon By --> เเล้วเลือกคลิกที่ Modified
9. ลบรูปโฟลเดอร์นามสกุล .exe ไฟล์ขนาด 246 KB ทิ้งทั้งหมด (ยหเว้นไฟล์ขนาด 247 KB ที่ไม่ใช่รูปโฟลเดอร์)
-------------------------------------------------------------------------
ส่วนวิธีกำจัดของผมคือDownload PeeTechFix_Win32.Autoit.AI.zipซึ่งผมไม่ทราบว่า MD5 ของไฟล์ IEXPLOREi.exe มีค่าเท่าไหร่ ผมจึงใส่ไว้ 6 ค่าด้วยกัน
--------------------------------------------------------------------------
ด้านล่างคือ bate filecode Kill IEXPLOREi.bat
--------------------------------------------------------------------------
@echo offcolor 0aTaskkill /f /im IEXPLOREi.exeREG delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Yahoo Messengger" /fREG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /fREG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /fFOR %%i IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO attrib -r -h -s -a %%i\IEXPLOREi.exe & del /f /q /a -r -h -s -a %%i\IEXPLOREi.exe attrib -r -h -s -a %%i\"Bi mat.exe" & del /f /q /a -r -h -s -a %%i\"Bi mat.exe" & attrib -r -h -s -a %%i\AutoRun.inf & del /f /q /a -r -h -s -a %%i\AutoRun.infcd %windir%\system32 & attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exe & attrib -s -r -a -h word.exe & del /f /q /a -r -h -s -a word.exe & attrib -s -r -a -h Autorun.ini & del /f /q /a -r -h -s -a Autorun.inicd..attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exedel /a /s /q /f C:\Windows\Prefetch .*shutdown -r -t 0
copy code นี้ ใส notepad แล้ว save เป็นนามสกุล .bat แล้วนำไป run
1. เข้า Regedit ไม่ได้
2. ใช้ Task Manager ไม่ได้
3. Folder Option หายไป
4. มันจะสร้างโฟลเดอร์ IEXPLOREi.exe,Bi Mat.exe,เเละไฟล์ Autorun.inf เเละโฟลเดอร์นามสกุล .EXE ไว้ในเเฟล๊ชไดร์ฟทุกโฟลเดอร์
วิธีเเก้ทำตามขั้นตอนดังต่อไปนี้
1. ดับเบิ้ลคลิกที่ไฟล์ Kill IEXPLOREi.bat เครื่องจะรีสตาร์ทใหม่
2. เมื่อเข้าวินดดร์เรียบร้อย กดปุ่มรูปวินดดร์ที่คีย์บอร์ด + F จะมีหน้าต่าง Search ขึ้นมา
3. คลิกที่ All File and folders
4. คลิกที่ Drop Down เลือกเเฟลชไดร์ฟที่ใช้อยู่
5. คลิกที่ More advanced option
6. คลิกเลือก Search system folders, Search hidden files and folders, Search subfolders ทั้ง 3 ช่อง
7. พิมพ์ .exe ในช่อง All or part of the file name: เเล้วคลิกปุ่ม Search
8. คลิกขวาที่ช่องหน้าต่างขวามือ เเล้วเลือก Arrange Icon By --> เเล้วเลือกคลิกที่ Modified
9. ลบรูปโฟลเดอร์นามสกุล .exe ไฟล์ขนาด 246 KB ทิ้งทั้งหมด (ยหเว้นไฟล์ขนาด 247 KB ที่ไม่ใช่รูปโฟลเดอร์)
-------------------------------------------------------------------------
ส่วนวิธีกำจัดของผมคือDownload PeeTechFix_Win32.Autoit.AI.zipซึ่งผมไม่ทราบว่า MD5 ของไฟล์ IEXPLOREi.exe มีค่าเท่าไหร่ ผมจึงใส่ไว้ 6 ค่าด้วยกัน
--------------------------------------------------------------------------
ด้านล่างคือ bate filecode Kill IEXPLOREi.bat
--------------------------------------------------------------------------
@echo offcolor 0aTaskkill /f /im IEXPLOREi.exeREG delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Yahoo Messengger" /fREG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /fREG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /fFOR %%i IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO attrib -r -h -s -a %%i\IEXPLOREi.exe & del /f /q /a -r -h -s -a %%i\IEXPLOREi.exe attrib -r -h -s -a %%i\"Bi mat.exe" & del /f /q /a -r -h -s -a %%i\"Bi mat.exe" & attrib -r -h -s -a %%i\AutoRun.inf & del /f /q /a -r -h -s -a %%i\AutoRun.infcd %windir%\system32 & attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exe & attrib -s -r -a -h word.exe & del /f /q /a -r -h -s -a word.exe & attrib -s -r -a -h Autorun.ini & del /f /q /a -r -h -s -a Autorun.inicd..attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exedel /a /s /q /f C:\Windows\Prefetch .*shutdown -r -t 0
copy code นี้ ใส notepad แล้ว save เป็นนามสกุล .bat แล้วนำไป run
=================By Getzaa==================
วิธีกำจัดไวรัส HI5
Virus Hi5 พร้อมวิธีกำจัดไวรัสHi5 กำลังมาแรงเช่นเดียวกับไวรัส HI5 ก็ตามมาติดๆ นะครับ ซึ่งอันตรายของไวรัส Hi5 คือ ถ้ามีคนชื่อ Mark Genesis Gallardo ต้องการเพิ่มชื่อคุณอย่าตอบรับโดยเด็ดขาด! เนื่องจาก PEPO ยังไม่เคยเจอไวรัสตัวนี้จึงไม่สามารถบอกอาการได้ครับการแก้ไขไวรัส Hi5
1. ดาวน์โหลด Smitfraudfix.exe จากเว็บไซต์http://www.bleepingcomputer.com/resources/link243.html
2.หลังดาวน์โหลดมาแล้วให้ Restart
3. ก่อนคอมฯ บู๊ตเข้าวินโดว์สให้กด F8 > Safe Mode
4. ดับเบิ้ลคลิกที่ไฟล์ SmitfraudFix
5. เข้า SmitfraudFix เลือกกดเลข 2 ที่คีย์บอร์ด แล้วกด Enter
6. จะมีข้อความถามว่า Do you want to clean the registry ? ให้กด Y ที่คีย์บอร์ด แล้วกด Enterจากนั้นก็ Reboot เข้าคอมพิวเตอร์ตามปกติครับที่มา
http://www.dekitclub.com/go/?http://www.free-anti-virus-spam.blogspot.com/2008/05/virus-hi5.html
1. ดาวน์โหลด Smitfraudfix.exe จากเว็บไซต์http://www.bleepingcomputer.com/resources/link243.html
2.หลังดาวน์โหลดมาแล้วให้ Restart
3. ก่อนคอมฯ บู๊ตเข้าวินโดว์สให้กด F8 > Safe Mode
4. ดับเบิ้ลคลิกที่ไฟล์ SmitfraudFix
5. เข้า SmitfraudFix เลือกกดเลข 2 ที่คีย์บอร์ด แล้วกด Enter
6. จะมีข้อความถามว่า Do you want to clean the registry ? ให้กด Y ที่คีย์บอร์ด แล้วกด Enterจากนั้นก็ Reboot เข้าคอมพิวเตอร์ตามปกติครับที่มา
http://www.dekitclub.com/go/?http://www.free-anti-virus-spam.blogspot.com/2008/05/virus-hi5.html
==================By Getzaa=================
วิธีกำจัดไวรัส AdobeR.exe Win32/RJump.A
ไวรัสตัวนี้มีคนเขียนโปรแกรมฆ่าไวรัสไว้แล้วครับไปโหลดมาฆ่าได้เลยครับสำหรับคอม โหลด สำหรับแฮนดี้ไดว์ฟโหลด เมื่อก่อนไวรัสตัวนี้ติดกันเยอะเพราะว่าAVGตรวจไม่พบไม่รู้จักไวรัสตัวนี้ครับ ก็เลยติดกันเต็มแต่เดี๋ยวนี้AVGรู้จักแล้วจึงไม่ค่อยติดกันแล้วครับข้อแนะนำนะครับ เราป้องกันไวรัสประเภทนี้ได้โดยโหลดโปรแกรมฆ่าไฟล์autorun.inf โหลด (เครดิต ฝีมือเด็กไทยวิศวกรรมคอมพิวเตอร์บางมด)
เมื่อมีการเสียบแฮนดี้ไดว์ฟโปรแกรมเล็กๆตัวนี้ก็จะฆ่าไฟล์autorun.inf ทันทีครับ autorun.inf เป็นไฟล์สั่งให้ไวรัสทำงานนะครับ แต่ตัวไวรัสยังคงอยู่ครับใช้โปรแกรมนี้คู่กับAVGนะครับ เพราะAVGก็จะฆ่าไฟล์ไวรัสตัวนี้ครับ หรือหากจะแก้ไขด้วยตนเองก็ทำได้ครับโดยสังเกตว่าเวลาที่เราเสียบแฮนดี้ไดว์ฟจะมีหน้าต่างขึ้นมาถามว่าจะเปิดด้วยโปรแกรมใด ให้เราคลิกยกเลิกไปก่อนครับแล้วเข้า Mycomputer แล้วไปคลิกขวาตรง แฮนดี้ไดว์ฟครับหากข้อความข้างบนสุดขึ้นว่าAuto หรือAutorunหรือO(open) ประมาณนี้แสดงว่าแฮนดี้ไดว์ฟท่านมีไวรัสแน่ๆครับ อย่าเลือกคลิกดังข้อความที่กล่าวมานะครับให้เลือก open ครับ แล้วไปลบไฟล์ไวรัสในนั้นกันครับโดย ไปที่ My computer –>Tools –> Folder options –>View –>หัวข้อ Hiden files and folder ใต้นั้นให้ติ๊กเลือก Show hiden file and folder แล้วติ๊กถูกสองบรรทัดล่างออกด้วยครับ แล้วOK (อย่าทำกลับคืนนะครับ)ก็จะเห็นไฟล์ไวรัสอยู่มันจะจางๆครับ ลบไฟล์ Autorun.inf Adober.exe msvcr71.dll ravmonlog หากลบไม่ได้หรือลบไปแล้วมันสร้างขึ้นมาใหม่แสดงว่าไวรัสได้ทำงานอยู่(เพราะเราเผลอไปคลิกมันไปก่อนหน้านี้แล้ว)ให้คุณกด Ctrl+Alt+Delete โปรแกรม Task Manager จะขึ้นมานะครับหลังจากนั้นให้คุณเลือกใน แถบProcesses หาโปรแกรมที่ชื่อว่า AdobeR.exe หลังจากนั้นให้คุณกด End Task แล้วกด OKได้เลยครับแล้วก็ไปลบไฟล์AdobeR.exe ใน C:\WINDOWS\ แล้วก็ไปลบคำสั่งในรีจิสทรี้ครับ โดยStart —-> Run —>regedit –>HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runแล้วมองขวามือลบDWORDชื่อว่า RAVD
ก็เสร็จเรียบร้อยครับ
ขอขอบคุณเวบไซค์ TRACKERX90 และคณะ วิศวกรรมคอมพิวเตอร์บางมดรุ่นที่17 ที่เอื้อเฟื้อโปรแกรม
เมื่อมีการเสียบแฮนดี้ไดว์ฟโปรแกรมเล็กๆตัวนี้ก็จะฆ่าไฟล์autorun.inf ทันทีครับ autorun.inf เป็นไฟล์สั่งให้ไวรัสทำงานนะครับ แต่ตัวไวรัสยังคงอยู่ครับใช้โปรแกรมนี้คู่กับAVGนะครับ เพราะAVGก็จะฆ่าไฟล์ไวรัสตัวนี้ครับ หรือหากจะแก้ไขด้วยตนเองก็ทำได้ครับโดยสังเกตว่าเวลาที่เราเสียบแฮนดี้ไดว์ฟจะมีหน้าต่างขึ้นมาถามว่าจะเปิดด้วยโปรแกรมใด ให้เราคลิกยกเลิกไปก่อนครับแล้วเข้า Mycomputer แล้วไปคลิกขวาตรง แฮนดี้ไดว์ฟครับหากข้อความข้างบนสุดขึ้นว่าAuto หรือAutorunหรือO(open) ประมาณนี้แสดงว่าแฮนดี้ไดว์ฟท่านมีไวรัสแน่ๆครับ อย่าเลือกคลิกดังข้อความที่กล่าวมานะครับให้เลือก open ครับ แล้วไปลบไฟล์ไวรัสในนั้นกันครับโดย ไปที่ My computer –>Tools –> Folder options –>View –>หัวข้อ Hiden files and folder ใต้นั้นให้ติ๊กเลือก Show hiden file and folder แล้วติ๊กถูกสองบรรทัดล่างออกด้วยครับ แล้วOK (อย่าทำกลับคืนนะครับ)ก็จะเห็นไฟล์ไวรัสอยู่มันจะจางๆครับ ลบไฟล์ Autorun.inf Adober.exe msvcr71.dll ravmonlog หากลบไม่ได้หรือลบไปแล้วมันสร้างขึ้นมาใหม่แสดงว่าไวรัสได้ทำงานอยู่(เพราะเราเผลอไปคลิกมันไปก่อนหน้านี้แล้ว)ให้คุณกด Ctrl+Alt+Delete โปรแกรม Task Manager จะขึ้นมานะครับหลังจากนั้นให้คุณเลือกใน แถบProcesses หาโปรแกรมที่ชื่อว่า AdobeR.exe หลังจากนั้นให้คุณกด End Task แล้วกด OKได้เลยครับแล้วก็ไปลบไฟล์AdobeR.exe ใน C:\WINDOWS\ แล้วก็ไปลบคำสั่งในรีจิสทรี้ครับ โดยStart —-> Run —>regedit –>HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runแล้วมองขวามือลบDWORDชื่อว่า RAVD
ก็เสร็จเรียบร้อยครับ
ขอขอบคุณเวบไซค์ TRACKERX90 และคณะ วิศวกรรมคอมพิวเตอร์บางมดรุ่นที่17 ที่เอื้อเฟื้อโปรแกรม
====================By Getzaa==================
กำจัดไวรัส MSN - picxx.zip, imagexx.zip
จริงๆ เจ้าไวรัส msn จำพวก picxx.zip , imagexx.zip (xx - คือตัวเลขต่างๆ) ที่คนเล่น msn ติดกันงอมแงม อาการคือ หากเราไปกดรับไฟล์ ที่คนใน List ของเราส่งไฟล์มาให้ เราก็จะติดเชื่อและเป็นพาหะแพร่เชื่อให้คนใน LIst ของเราต่อไปโดยที่เราไม่รู้ตัว และมันก็อาจจะทำให้ msn เรารวนๆ อืดและรวนๆ ไป จริงๆ เจ้าไวรัสพวกนี้มันแพร่ระบาดมานานแล้วครับ ผมจำได้ตั้งแต่วันแรกๆ ที่มัน ออกมา ถึงผมจะยังไม่รู้จักว่ามันเป็นไวรัส แต่ผมไม่เคยคิดจะกดรับไฟล์พวกนี้เลย เอาง่ายๆ ถ้าเจอไวรัสประเภทนี้ให้เราถามเพื่อนคนที่ส่งมาให้ก่อนก็ ได้ว่า ส่งไฟล์อะไรมา อย่าไปสุ่มสี่สุ่มห้ากดรับเลยนะครับ อย่างนี้ก็เป็นวิธีการป้องกันเบื้องต้นได้
เท่าที่ดูในเว็บบอร์ด และในเอ็ม มีหลายคนติดไวรัส ทั้งที่รู้และไม่รู้ตัวว่าติด แบบว่าส่งไฟล์มาให้ผม จนบอกตรงๆว่า บางครั้งก็รำคาญ จนต้อง Block กันไปเลย แต่บางทีเพื่อนๆ น้องๆ ก็วานให้หาวิธีแก้ให้ เท่าๆ ที่ค้นดูใน Google ก็จะเจอแต่วิธีที่ค่อนข้างซับซ้อน ไม่เหมาะสำหรับมือใหม่
จนกระทั่ง น้องผมไปกดรับไวรัส msn ของเพื่อน เอาจนได้ผมก็เลยต้องหาวิธีแก้ที่มันง่ายๆ ค้นไปค้นมา ทดสอบดูหลายรอบก็เจอโปรแกรม Antivirus ตัวนึงตัวเล็กใช้ง่าย บางคนใช้อยู่แล้ว หัด update บ่อยๆ ก็จะรอดปลอดภัยกับพวกไวรัสพวกนี้ ส่วนใครที่ติดไวรัสจำพวก msn นี้ไปลองไปติดตั้ง แล้ว Scan ทั้งเครื่องดู ผมทดสอบแล้วใช้ได้ทีเดียว เจอเพียบ
โปรแกรมนี้ชื่อ AVG Anti-Virus Free Edition 7.5.516 (ดาวน์โหลดที่นี่) ที่ถูกใจที่สุดมันฟรีครับ เหอๆ
โปรแกรมตัวนี้เป็นโปรแกรมแอนตี้ไวรัสซึ่งใช้งานง่ายเมื่อดาว์นโหลด มาแล้ว ก่อนที่จะทำการ Scan ให้เรา update ตัวโปรแกรมก่อนนะครับ (กดปุ่ม Check for Updates ต้องต่อเน็ตอยู่ด้วยนะครับ) มันจะได้รู้จักและสามารถกำจัดไวรัสตัวใหม่ๆ ได้ ซึ่งผมทดลองดูแล้วเจอไวรัส msn เพียบเลยและก็สามารถกำจัดได้อย่างหมดจดด้วยครับ ลองใช้กันดูนะครับ ถ้าได้ไม่ได้อย่างไรทิ้งข้อความไว้ที่เว็บบอร์ดได้ครับ
คลิกที่นี่เพื่อ ร่วมแสดงความคิดเห็นเกี่ยวกับ >> กำจัดไวรัส MSN - picxx.zip, imagexx.zip และอื่นๆ
==================By Getzaa=================
วิธีกำจัดไวรัส Mytob ออกจากคอมพิวเตอร์
บทความนี้เป็นขั้นตอนการกำจัดไวรัส Mytob ออกจากคอมพิวเตอร์ ครอบคลุมไวรัส Mytob ทุกสายพันธ์
1. ปิด System Restore Windows ME และ XP มีระบบ Ststem Restore ที่จะเก็บสำเนาไฟล์ สำคัญๆ เอาไว้ในโฟลเดอร์ _Restore ซึ่งโปรแกรม Antivirus จะไม่สามารถ ตรวจสอบและแก้ไขไฟล์ที่ติดไวรัสในโฟลเดอร์นี้ได้ หากไม่ปิด System Restore เสียก่อน
วิธีปิด System Reostore สำหรับ Window ME
คลิกขวาที่ MyComputer เลือก Properties
เลือกแท็บ Perfomance
คลิกที่ปุ่ม File System
คลิกที่แท็บ Troubleshooting.
เลือก Disable System Restore.
คลิก Apply > Close > Close.
เครื่องจะถามให้ Restart ตอบ Yes.
กด F8 ค้างไว้ ขณะที่เครื่องกำลัง Restart
เลือก Safe mode กด Enter
เมื่อ Restart เสร็จแล้ว ก็จะเข้าสู่กระบวนการตรวจสอบและกำจัดไวรัส หลังจากการตรวจสอบไวรัส ก็สามารถเปิดระบบ System Resotre กลับมาใช้ได้
วิธีปิด System Reostore สำหรับ Window XP
เข้าสู่ระบบด้วย Administrator.
คลิกขวาที่ MyComputer เลือก Properties
เลือกแท็บ System Restore.
เลือก Turn off System Restore.
คลิก Apply > Yes > OK. 2. Reboot เครื่อง3. กด F8 ค้างไว้ ขณะที่เครื่องกำลัง Restart4. เลือก Safe mode กด Enter5. แก้ไข Registry และไฟล์ระบบที่ถูกไวรัสเปลี่ยนแปลงไป
วิธีการแก้ไข Registry สำหรับการกู้เครื่องที่ติดหนอน Mytob ทุกสายพันธ์
6. Reboot เครื่องในโหมดที่สามารถเชื่อมต่อกับ internet ได้ 7. อัพเดตโปรแกรม Antivirus และ Virus Signature เป็นเวอร์ชั่นล่าสุด8. รันโปรแกรม Antivirus เพื่อ ตรวจสอบไวรัสทั้งระบบ9. ดาวน์โหลดและติดตั้ง patch เพื่ออุดช่องโหว่ของระบบปฏิบัติการ Window
Microsoft Security Bulletin MS03-039 Microsoft Security Bulletin MS04-011
1. ปิด System Restore Windows ME และ XP มีระบบ Ststem Restore ที่จะเก็บสำเนาไฟล์ สำคัญๆ เอาไว้ในโฟลเดอร์ _Restore ซึ่งโปรแกรม Antivirus จะไม่สามารถ ตรวจสอบและแก้ไขไฟล์ที่ติดไวรัสในโฟลเดอร์นี้ได้ หากไม่ปิด System Restore เสียก่อน
วิธีปิด System Reostore สำหรับ Window ME
คลิกขวาที่ MyComputer เลือก Properties
เลือกแท็บ Perfomance
คลิกที่ปุ่ม File System
คลิกที่แท็บ Troubleshooting.
เลือก Disable System Restore.
คลิก Apply > Close > Close.
เครื่องจะถามให้ Restart ตอบ Yes.
กด F8 ค้างไว้ ขณะที่เครื่องกำลัง Restart
เลือก Safe mode กด Enter
เมื่อ Restart เสร็จแล้ว ก็จะเข้าสู่กระบวนการตรวจสอบและกำจัดไวรัส หลังจากการตรวจสอบไวรัส ก็สามารถเปิดระบบ System Resotre กลับมาใช้ได้
วิธีปิด System Reostore สำหรับ Window XP
เข้าสู่ระบบด้วย Administrator.
คลิกขวาที่ MyComputer เลือก Properties
เลือกแท็บ System Restore.
เลือก Turn off System Restore.
คลิก Apply > Yes > OK. 2. Reboot เครื่อง3. กด F8 ค้างไว้ ขณะที่เครื่องกำลัง Restart4. เลือก Safe mode กด Enter5. แก้ไข Registry และไฟล์ระบบที่ถูกไวรัสเปลี่ยนแปลงไป
วิธีการแก้ไข Registry สำหรับการกู้เครื่องที่ติดหนอน Mytob ทุกสายพันธ์
6. Reboot เครื่องในโหมดที่สามารถเชื่อมต่อกับ internet ได้ 7. อัพเดตโปรแกรม Antivirus และ Virus Signature เป็นเวอร์ชั่นล่าสุด8. รันโปรแกรม Antivirus เพื่อ ตรวจสอบไวรัสทั้งระบบ9. ดาวน์โหลดและติดตั้ง patch เพื่ออุดช่องโหว่ของระบบปฏิบัติการ Window
Microsoft Security Bulletin MS03-039 Microsoft Security Bulletin MS04-011
Subscribe to:
Posts (Atom)