วิธีกำจัด virus Win32/PSW.OnLineGames

How to remove virus Win32/PSW.OnLineGames ภาคล่าสุด
.NMY, .NNU
ผมได้เก็บตัวอย่างของ virus Win32/PSW.OnLineGames.NMY ไว้ได้จำนวนหนึ่ง
และได้ลองทดสอบไปแล้วบางส่วน พบว่า virus ตระกูล OnlineGames มีการสร้างไฟล์เหมือนๆกัน แต่ MD5 ไม่เหมือนกัน ซึ่งก่อนหน้านี้ผมได้ทดสอบ Win32/PSW.OnLineGames.NNU ภาค1 และ ภาค2 ไปแล้ว ซึ่งมีการสร้างไฟล์ลักษณะคล้ายกัน ผมจึงคิดว่าน่าจะรวบรวมไฟล์เพื่อเป็นแนวทางในการกำจัด virus ตระกูล OnlineGames ไว้ เท่าที่พบมีการสร้างไฟล์ใน system32 (เท่าที่ผมมีตัวอย่างไฟล์ virus นะครับ )
ใน system32 :
Ckvo.exe, ckvo0.dll, olhrwef.exe, nmdfgds0.dll, kamsoft.exe, gasretyw0.dll
bgotrtu0.dll, kva8wr.exe, uweyiwe0.dll
หรือลองดูประกอบที่ link นี้ครับ
รวมไฟล์ virus OnlineGames ที่สร้างไฟล์ใน system32

ใน root drive (C:\ .........Z:\) :
x:\autorun.inf , *.bat, *.com, *.cmd, *.exe ให้สงสัยว่าเป็น virus ยกเว้น 2 ไฟล์คือ AUTOEXEC.BAT และ NTDETECT.COM
ซึ่งใน root drive C:\ จะมีแค่ประมาณนี้ครับ (ส่วนใหญ่นะครับ)
AUTOEXEC.BAT
boot.ini
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys

หรือดู link ประกอบครับ
รวมไฟล์ virus OnlineGames ที่สร้างไฟล์ไว้ Drive C:
=================================================================
Xih9.cmd, Ckvo.exe (kamsoft) > MD5: 70216A9BBF4432AA9A65B593300B92CF
X:\Xih9.cmd
X:\autorun.inf
C:\windows\system32\Ckvo.exe
C:\windows\system32\ckvo0.dll

----------------------------------------------------------------------------------------------
2fiji.com, ckvo.exe (kamsoft) > MD5 : 5F2EA567099C70E6E093FF81911278A3
X:\2fiji.com
X:\autorun.inf
C:\windows\system32\Ckvo.exe
C:\windows\system32\ckvo0.dll
----------------------------------------------------------------------------------------------
a2h2.com , olhrwef.exe (cdoosoft) > MD5 : CC3EBEC868AEF9CCF972DF1B26234D98
X:\a2h2.com
x:\autorun.inf
C:\windows\system32\olhrwef.exe
C:\windows\system32\nmdfgds0.dll
----------------------------------------------------------------------------------------------
2u.com, kamsoft.exe >MD5: 001D9DF15B7567E917F0FBCF17CE0C63
X:\2u.com
X:\autorun.inf
C:\windows\system32\kamsoft.exe
C:\windows\system32\gasretyw0.dll
----------------------------------------------------------------------------------------------
e.cmd, kamsoft.exe > MD5 : 0346D286088A971E3FDE350E9D40A513
X:\e.cmd
X:\autorun.inf
C:\windows\system32\kamsoft.exe
C:\windows\system32\gasretyw0.dll
----------------------------------------------------------------------------------------------
1gk8ha.bat, xk2n.bat, Ckvo.exe (kamsoft) > MD5 : DE8657BBBC1EE2C87744BF8152FC0442
X:\xk2n.bat
C:\windows\system32\Ckvo.exe
C:\windows\system32\ckvo0.dll
----------------------------------------------------------------------------------------------
Gy.exe, Olhrwef.exe > MD5 : ADB4F0B6A4318D083430DE360B2B89E5
X:\gy.exe
C:\windows\system32\Olhrwef.exe
C:\windows\system32\nmdfgds0.dll
----------------------------------------------------------------------------------------------
hl80c6b1.com, Olhrwef.exe > MD5 : 81366DBDAB9C432A298BE666AF99ED44
X:\hl80c6b1.com
x:\Aurorun.inf
C:\windows\system32\Olhrwef.exe
C:\windows\system32\nmdfgds0.dll
---------------------------------------------------------------------------------------------
ij.bat, kamsoft.exe . MD5 : 37624B894E55B2B65616C11B48389D73
X:\ij.bat
X:\autorun.inf
C:\windows\system32\kamsoft.exe
C:\windows\system32\gasretyw0.dll
---------------------------------------------------------------------------------------------
รอ Test ครับแต่คิดว่าคงสร้างไฟล์ประมาณข้างบนนั่นแหละครับ
iqe68o.bat
j60osk9.cmd
lky.exe
m2nl.bat
m9ma.exe
ncyrf.bat
o1.com
cukd.cmd
uvsqfgwd.cmd
ve.exe
w98.com
x2csvg.exe
===================================================================
วิธีกำจัด virus ตระกูล Online game (เท่าที่ผมมีตัวอย่าง virus อยู่นะครับ)
=============================================================
ใช้โปรแกรม Exploresatart , ExplorerXP , Hijack This , NOD32 Recovery Tool
หรือลองใช้ SpyHinter's Download SpyHunter's Malware Scanner (ตัวเต็ม หาเอาเองนะครับ)

1. Run โปรแกรม Explorstart 1 ครั้งเพื่อแก้ lock ไฟล์ต่าง

2. เปิดโปรแกรม ExplorerXP เข้าไปใน system32 แล้วลองตรวจดูว่ามีไฟล์ได้ พวกนี้อยู่หรือไม่ ถ้ามีก็ไล่ delete ให้หมดเลยครับ
Ckvo.exe, ckvo0.dll, olhrwef.exe, nmdfgds0.dll, kamsoft.exe, gasretyw0.dll
(.dll ที่มีชื่อเหมือนกัน แต่อาจมีตัวเลขเป็น 1 หรือ 2 ก็ delete ด้วยครับ เช่น ckvo0.dll, ckvo1.dll,nmdfgds0.dll,nmdfgds1.dll)

3. ใช้โปรแกรม ExplorerXP เข้าไป delete ไฟล์ root drive คือ autorun.inf , *.bat, *.com, *.cmd, *.exe ยกเว้น
AUTOEXEC.BAT ห้ามลบ
boot.ini ห้ามลบ
CONFIG.SYS ห้ามลบ
IO.SYS ห้ามลบ
MSDOS.SYS ห้ามลบ
NTDETECT.COM ห้ามลบ
ntldr ห้ามลบ
pagefile.sys ห้ามลบ

4. ใช้โปรแกรม Hijack This fix check ไฟล์พวกนี้ครับ (ถ้ามี)
Ckvo.exe, olhrwef.exe, kamsoft.exe, kva8wr.exe, vamsoft

5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Show hidden file และค่าอื่นๆ

คิดว่าคงมีประโยชน์สำหรับท่านที่กำลังประสบปัญหา virus ตระกูล OnlineGame บ้างนะครับ