Jump to content


ประกาศย้าย Thaiware Community ไปที่ QA.THAIWARE.COM

ขณะนี้ทางเว็บ Thaiware.com ได้เปิด บริการใหม่ภายใต้หัวข้อ THAIWARE Q&A (ถาม - ตอบ) เมื่อต้นเดือน มกราคม พ.ศ. 2556 (2013) ที่ผ่านมา หากใครมีข้อสงสัย มีคำถามต่างๆ จะสอบถาม เรามีทีมงานที่จะคอยดูแลตอบคำถาม ไขข้อข้องใจตลอดเวลา


สำหรับในหน้า COMMUNITY.THAIWARE.COM นี้เราจะเก็บเอาไว้เป็นคลังกระทู้เก่า เพื่อค้นคว้าหาความรู้ที่เคยพูดคุยกันมา ตลอด 10 ปีที่ผ่านมา ซึ่งต่อไปโดยจะไม่สามารถตั้งกระทู้ หรือ สมัครสมาชิกใหม่ ในหน้านี้ได้ ดังนั้นขอเชิญที่ QA.THAIWARE.COM แทน สำหรับสมาชิกเก่าในที่นี้ กรุณาสมัครสมาชิกใหม่อีกครั้งก่อนการใช้งานที่ THAIWARE Q&A (ถาม - ตอบ)


ขอบคุณที่ใช้บริการตลอดมา
ทีมงาน Thaiware.com
หากมีข้อสงสัยติดต่อ 0-2635-0744 ต่อ 12



Photo

รวมวิธีแก้ไวรัสคอมพิวเตอร์ที่ติดกันมากที่สุดในตอนน


  • Please log in to reply
8 replies to this topic

#1 WinNoi

WinNoi

    โอ้วจอร์ด

  • Forum Moderator
  • 945 posts
  • Gender:Male
  • Location:ดาวมหาเทพ
  • Interests:เต้นแร็บบนหลังคาบ้าน

Posted 17 November 2007 - 08:11 AM

รวมวิธีแก้ไวรัสคอมพิวเตอร์ที่ติดกันมากที่สุดในตอนนี้


ชื่อ : Brontok.A , Brontok.B

การแพร่ระบาด :

1. ติดต่อกันได้ทางอินเตอร์เน็ต

2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive หรือ วิธีที่ชอบเรียกกันว่า ขอจุ๊บ, ดูดๆ หรือเสียบตูดที วิธีนี้จะระบาดมาก เนื่องจากพวกที่อยู่ในวัยเรียนหรือวัยทำงานมักใช้แลกเปลี่ยนข้อมูลหรือเอาไปต่อพรีเซ้นต์งาน แล้วพากันซวยทั้งมหาลัยหรือที่ทำงาน

3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร หากแอนตี้ไวรัสไม่มี Network Shield ระวังให้ดี ต่อสายปุ๊บติดปั๊บ

อาการเมื่อติดไวรัส :

1. มีข้อความแสดงชื่อไวรัสและข้อความรณรงค์เกี่ยวกับเรื่องการทำแท้ง เสพยา ฟรีเซ็กซ์ (เป็นภาษามาเลย์) ขึ้นหน้าจอโดยที่ไม่ได้เรียกใช้งาน

2. เมื่อเปิด Windows Explorer จะพบว่า Folder Options ในเมนู Tool หายไป

3. เมื่อใช้คำสั่งเรียก msconfig เครื่องจะรีสตาร์ทอัตโนมัติ (Start --> Run พิมพ์ msconfig คลิก OK)

4. เปิดเข้า Registry Editor ไม่ได้ (Start --> Run พิมพ์ regedit คลิก OK)

5. ในโฟลเดอร์ จะมี ไฟล์.exe ที่ชื่อเดียวกับชื่อของโฟลเดอร์ เช่น โฟลเดอร์ชื่อ mySong เปิดเข้าไปก็จะพบ mySong.exe (เป็น Brontok.B worm)

วิธีแก้ไข (แบบยาก โอกาสสำเร็จ 99% ) :

1. ติดตั้งโปรแกรมประเภทแอนตี้ไวรัสพร้อมอัพเดตไฟล์โปรแกรมล่าสุด

2. ถอดสายแลนออก (ถ้ามี) เข้า Windows ในโหมด Safe Mode (การเข้า Safe Mode : กดสวิตช์เปิดเครื่องแล้ว ให้กดคีย์บอร์ด F8 ย้ำหลายๆครั้ง จนหน้าจอขึ้นข้อความที่มี Menu ให้เลือก เลือกไปที่ Safe Mode กด Enter) แล้วทำการสแกนไวรัสทั้งฮาร์ดดิสก์และฆ่าทิ้ง (delete) สแกนซัก 2 รอบ

3. รีสตาร์ทเครื่อง เข้าโหมดปกติ

4. ขั้นตอนนี้จะเป็นการแก้ไขให้เข้า Registry Editor ได้ วิธีการคือต้องเข้าไปดาวน์โหลดไฟล์ UnHookExec.inf ก่อนจากเว็บไซต์ UnHookExec.inf

5. เมื่อได้ไฟล์ UnHookExec.inf มาแล้ว ให้คลิกขวาที่ไฟล์นี้ จากนั้นคลิกที่คำว่า Install เสร็จแล้วให้รีสตาร์ทเครื่อง

6. ขั้นตอนนี้จะเป็นการแก้ไขให้เมนู Tool ใน Windows Explorer มีเมนู Folder Options วิธีการคือ เข้าไปใน Registry Editor โดยการคลิกที่ Start --> Run แล้วพิมพ์ regedit แล้วคลิก OK

7. เข้าไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / Policies / Explorer ดับเบิลคลิกที่ NoFolderOptions ในช่อง Value data ให้แก้จาก 1 ให้เป็นเลข 0 แล้วคลิก OK แล้วออกจากโปรแกรมทั้งหมด รีสตาร์ทเครื่อง เป็นอันเสร็จ

วิธีแก้ไข(แบบง่าย โอกาสสำเร็จ 90% ) :

1. ดาวน์โหลดโปรแกรม CS_DevEvil.rar จาก CS_DevEvil.rar

2. รันโปรแกรม CS_DevEvil แล้วคลิก Start เพื่อเริ่มกำจัดไวรัส

3. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel

4. รันโปรแกรมแอนตี้ไวรัส เแล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่
หมายเหตุ: 2,3,4 ต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส ดีที่สุดควรทำใน Safe Mode

ข้อแนะนำ :

1. ไวรัสตัวนี้ค่อนข้างฉลาดและไวมาก เสียบ Handy Drive หรือ Lan ปุ๊บติดปั๊บ เช็คดีๆก่อนทุกครั้ง

2. เวลาแก้ต้องแก้ทุกอุปกรณ์ที่ติด ถ้าหายแล้วอย่าเอาไปต่อกับตัวที่ติด ถ้าไม่มั่นใจว่าแอนตี้ไวรัสอัพเดตพอ

3. ถ้าตอนสแกนแล้วแอนตี้ไวรัสหาไม่เจอทั้งที่มีอาการดังกล่าว อย่ามั่นใจว่าปลอดภัย ควรเปลี่ยนแอนตี้ไวรัสทันที

4. Mcafee กับ Norton ห่วยมาก อย่าคิดว่าบนโลกมีแอนตี้ไวรัสแค่สองตัว ลองใช้ตัวอื่นดูบ้าง แนะนำ
(1. BitDefender (2. Kaspersky (3. Avast (4. NOD32 (5. AVG




ชื่อ : AdobeR ,Ms32dll.dll.vbs และ Hacked By Godzilla (มักจะติดเป็นคอมโบเซ็ต มาเป็นชุดยังกับแฮปปี้มีล)

การแพร่ระบาด :

1. ติดต่อกันได้ทางอินเตอร์เน็ต

2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive หรือ วิธีที่ชอบเรียกกันว่า ขอจุ๊บ, ดูดๆ หรือเสียบตูดที วิธีนี้จะระบาดมาก เนื่องจากพวกที่อยู่ในวัยเรียนหรือวัยทำงานมักใช้แลกเปลี่ยนข้อมูลหรือเอาไปต่อพรีเซ้นต์งาน แล้วพากันซวยทั้งมหาลัยหรือที่ทำงาน

3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร หากแอนตี้ไวรัสไม่มี Network Shield ระวังให้ดี ต่อสายปุ๊บติดปั๊บ

อาการเมื่อติดไวรัส :

1. เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ เช่น C:\ D:\ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore

2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า Hacked By Godzilla

วิธีแก้ไข(แบบยาก โอกาสสำเร็จ 99% ) :

1. ดับเบิลคลิกไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options

2. ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
-คลิกเลือก Show Hidden files and folders
-เอาเครื่องหมายถูก ในช่องสี่เหลี่ยมหน้า Hide extentions for known file types และ Hide protected operating system file ออก
-คลิก OK

3. กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด

4. ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
-คลิกเลือกเมนู Image Name (เพื่อ sort File)
-คลิกเลือกไฟล์ wscript.exe ( ทีละตัว )
-คลิกปุ่ม End Process

5. เปิดไดร์ฟ (โดยคลิกเม้าส์ขวาเลือก Explore ห้าม! ดับเบิลคลิกไดร์ฟ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย

6.เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete)

7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK

8. คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

9. คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title Hacked by Godzilla ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK ปรากฏไดอะล็อกบ็อก Group Policy

11. คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
-คลิกเลือก Enabled
-คลิกเลือก All drives
-คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น

12.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง msconfig กดปุ่ม OK ปรากฏไดอะล็อกบ็อก System Configuration Utility คลิกแท็บ Startup
-เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้าไฟล์ MS32DLL ออก
-คลิกปุ่ม Apply
-คลิกปุ่ม OK (หรือ Close)
จะปรากฏไดอะล็อกบ็อก System Configuration เลือก Exit Without Restart

13.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options

14.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
-คลิกถูก ในช่องสี่เหลี่ยมหน้า Hide extentions for known file types และ Hide protected operating system file
-คลิก OK

15. Click เม้าส์ขวาที่ไอคอน Recycle bin เพื่อเรียก Shortcut Menu เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง

16. รีสตาร์ตอีกครั้งเป็นอันเสร็จ

วิธีแก้ไข(แบบง่าย โอกาสสำเร็จ 99% ) :

1. หากติดในเครื่อง ให้โหลดไฟล์นี้ไป AdobeR_Killer.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อกำจัดไวรัส

2. หากติดใน Handy Drive ให้โหลดไฟล์นี้ไป AdobeR_USB.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อกำจัดไวรัส

3. หากพบว่าใน Title Bar ของ Internet Explorer มีคำว่า Hacked By Godzilla ให้โหลดไฟล์นี้ไป Anti_Hacked_By_Godzilla.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อ กำจัดไวรัส

4. สำหรับเครื่องที่คลิกที่ Drive แล้วขึ้นว่า Can not find Ms32dll.dll.vbs ให้โหลดโปแกรมตัวนี้ไปติดตั้งในเครื่อง explorerxpsetup.zip เพื่อใช้ โปแกรมนี้ในการลบ ไฟล์ ที่ชื่อ ว่า Autorun.inf ใน Drive หรือ ใน Thum Drive ที่ติดไวรัส เพื่อให้ Drive นั้นเปิดใช้งานได้ตามปรกติ

ข้อแนะนำ :

1. ไม่ว่าจะทำแบบง่ายหรือยาก ต้องทำ!ขั้นตอนที่ 10 และ 11

2. ไวรัสตัวนี้ค่อนข้างฉลาดและไวมาก เสียบ Handy Drive หรือ Lan ปุ๊บติดปั๊บ เช็คดีๆก่อนทุกครั้ง

3. เวลาแก้ต้องแก้ทุกอุปกรณ์ที่ติดหรือถ้าหายแล้วอย่าเอาไปต่อกับตัวที่ติด
ถ้าไม่มั่นใจว่าแอนตี้ไวรัสอัพเดตพอ

4. ถ้าตอนสแกนแล้วแอนตี้ไวรัสหาไม่เจอทั้งที่มีอาการดังกล่าว อย่ามั่นใจว่าปลอดภัย ควรเปลี่ยนแอนตี้ไวรัสทันที

5. Mcafee กับ Norton ห่วยมาก อย่าคิดว่าบนโลกมีแอนตี้ไวรัสแค่สองตัว ลองใช้ตัวอื่นดูบ้าง แนะนำ
(1. BitDefender (2. Kaspersky (3. Avast (4. NOD32 (5. AVG




ชื่อ : Music.exe (Update)

การแพร่ระบาด :
การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive หรือ วิธีที่ชอบเรียกกันว่า ขอจุ๊บ, ดูดๆ หรือเสียบตูดที วิธีนี้จะระบาดมาก เนื่องจากพวกที่อยู่ในวัยเรียนหรือวัยทำงานมักใช้แลกเปลี่ยนข้อมูลหรือเอาไปต่อพรีเซ้นต์งาน แล้วพากันซวยทั้งมหาลัยหรือที่ทำงาน

อาการเมื่อติดไวรัส :
ไวรัสตัวนี้รู้จักกันดีในชื่อ music.exe ติดเชื้อผ่านทาง Handy Drive โดยเทคนิค auto run ไวรัสถูกเขียนโดยใช้ภาษา Visual Basic จะทำการลบไฟล์ นามสกุล .mp3 และ .dat ทุกไฟล์ที่พบบนเครื่อง ไวรัสพยายามใช้คำสั่งที่มีวิธีการเหมือนผู้ใช้ทำปกติ แทนที่การเขียนโค้ดโดยตรงเพื่อหลบการวิเคราะห์ไฟล์ของโปรแกรมแอนติไวรัส ไวรัสทำการคัดลอกตัวเองโดยใช้ชื่อโฟลเดอร์ที่พบ มีนามสกุลเป็น *.exe ตลอดเวลาทำให้เครื่องประมวลผลงานอื่นๆช้าลง แต่ไม่พบฟังก์ชั่นที่เปิดทางให้แฮ็กเกอร์ควบคุม คาดว่าไวรัสตัวนี้ถูกเขียนมาเพื่อทำลายข้อมูล สร้างความเสียหายโดยเฉพาะ เพลงกะหนังหายหมดก้อคราวเนี้ย

วิธีแก้ไข(แบบง่าย โอกาสสำเร็จ 99% ) :
โหลดไฟล์นี้ไป Music_exe_Killer.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อกำจัดไวรัส

Credit :: trackerx90

From : http://www.bloggang....r...p=5&gblog=3



Edited by Commando7784, 17 November 2007 - 08:15 AM.




#2 b3HeM0tH

b3HeM0tH

    สุดยอดแฟนพันธ์แท้

  • Forum Moderator
  • 1,758 posts
  • Gender:Male
  • Location:COE KKU
  • Interests:Computer Security and Network

Posted 17 November 2007 - 06:28 PM

อืมๆ เป็นไวรัสที่ฮิตมากๆครับ คอมที่ห้องผมเคยโดนมาเกือบหมดเลย

มีวิธีป้องกันง่ายๆมานำเสนอครับ ถ้าเป็นไวรัสที่ติดจาก thumb drive มันจะออโต้รันตัวเองเพื่อแพร่กระจายเข้าเครื่องทันที แต่ถ้าเราตัดไฟตั้งแต่ต้นลม คือห้ามมันไม่ให้ออโต้รันได้ล่ะ ช่วยได้เยอะเลยใช่มั้ยคับ ด้วยโปรแกรม anti-autorun โหลดได้ที่ไทยแวร์เลยครับ
CODE
http://www.thaiware.com/main/info.php?id=9307


แต่ขอบอกไว้ก่อนนะครับว่าเป็นวิทีป้องกันสำหรับเครื่องที่ยังไม่เคยโดนเท่านั้น ถ้าเครื่องที่โดนแล้วแต่เอาโปรแกรมที่ผมแปะลิงก์ไว้ไปลง มันก็ไม่ได้ชฃ่วยอะไรอยู่ดี แล้วอีกอย่างมันกันแค่ไฟล์ ออโต้รันของไวรัสนะคับ ไม่ได้กันไวรัสที่อยู่ในทัมบ์ไดรว์แล้วเราไปกดรันมันเอง อันนี้ไม่สามารถช่วยได้ เหอๆ

Edited by MGkunz, 17 November 2007 - 08:29 PM.


#3 SerialsBuJu

SerialsBuJu

    BuJu <-- มันคือไรหว่า

  • Silver Members
  • PipPip
  • 143 posts
  • Gender:Male
  • Location:Pent House
  • Interests:PM มาดิ

Posted 19 November 2007 - 06:21 PM

เป็นประโยชน์ได้มากเลยครับ
ขอบคุณมากๆครับ smile.gif
I Love BuJu


o BuJu Forum!!!
o My Space

#4 CrazZy

CrazZy

    :::Uploader:::

  • Gold Members
  • PipPip
  • 55 posts
  • Gender:Male
  • Location:ผืนแผ่นดินที่ปู่ข้าเกิด..พ่อข้าตาย
  • Interests:สตรี สตางค์ และ กามารมณ์

Posted 24 November 2007 - 05:36 PM

ขอบคุณครับ มีอะไรใหม่ๆมาอัพเดทอีกนะครับ


#5 b3HeM0tH

b3HeM0tH

    สุดยอดแฟนพันธ์แท้

  • Forum Moderator
  • 1,758 posts
  • Gender:Male
  • Location:COE KKU
  • Interests:Computer Security and Network

Posted 26 November 2007 - 08:12 PM

อีกตัวหวังว่าหลายท่านคงจะ(เคย)ติดมาบ้าง มันคือไฟล์ images.zip และ images-<ตัวเลข>.zip ที่แพร่ทาง msn นั่นเอง

ข้อมูลทั้งหมดได้มาจาก
http://www.dlth.in.t...=5756.html#5756
และ
http://community.tha...howtopic=319331

ข้อมูลเบื้องต้น
ชื่อไวรัส WORM_WORMARK.M
file type : PE
memory resident : Yes
size : 75265 bytes
compression type : UPX
related to : TSPY_AGENT.C

อาจใช้ชื่อไฟล์หลายๆ ชื่อ

* details.zip
* girls.zip
* image.zip
* love.zip
* message.zip
* music.zip
* news.zip
* photo.zip
* pic.zip
* readme.zip
* resume.zip
* screensaver.zip
* song.zip
* video.zip

ความสามารถในการส่ง E-mail แนบไฟล์ไวรัสไป

ชื่อ Subject: ด้วย คำด้านล่าง
* details
* girls image
* love
* message
* music
* news
* photo
* pic
* readme
* resume
* screensaver
* song
* video

แนบไฟล์ไปด้วยชื่อไฟล์ตามด้านล่าง

* details.zip
* girls.zip
* image.zip
* love.zip
* message.zip
* music.zip
* news.zip
* photo.zip
* pic.zip
* readme.zip
* resume.zip
* screensaver.zip
* song.zip
* video.zip

QUOTE
how to SOLVE ?
1.เข้า task manager โดยกด ctrl+alt+del
2.มองหาโปรเซส winlog32.exe แล้ว end process ซะ
3.ไปที่ start > run > พิม msconfig > start up > เอาเครื่องหมายถูกของรายการต่อไปนี้ออก winlog32.exe
4.ไปที่ start > search > พิมว่า winlog32.* และถ้าเจอ winlog32.exe - <ตัวเลข> ให้ลบทิ้งด้วย
5.ไปที่ start > run > พิม regedit แล้วไปที่ edit > find แล้วลบรายการข้างล่างต่อไปนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce
5.restart หนึ่งดอก จบข่าว


เห็นความสำคัญของการใช่คอมอย่างระวังหรือยังครับ ไวรัสข้างต้นมันแพร่ผ่านทางอีเมล์ที่มีหัวข้อแปลกๆหรือยั่วยวนใจ ถ้าเราไม่เข้าไปซะอย่าง มันก็ทำอะไรไม่ได้ ฉะนั้นการป้องกันไวรัสที่ดีที่สุดคือตัวเอง ไม่ต้องไปพึ่ง antivirus ให้ปวดหัวเรื่อง black list เลย ?

Edited by MGkunz, 26 November 2007 - 08:16 PM.


#6 Lower

Lower

    เพื่อนไทยแวร์ :)

  • Members
  • PipPip
  • 84 posts
  • Gender:Male
  • Location:home

Posted 29 November 2007 - 06:23 PM

http://antivirus.nab...t/thailist.htmlอันี้ก็มีเยอะครับ

#7 b3HeM0tH

b3HeM0tH

    สุดยอดแฟนพันธ์แท้

  • Forum Moderator
  • 1,758 posts
  • Gender:Male
  • Location:COE KKU
  • Interests:Computer Security and Network

Posted 30 November 2007 - 08:47 PM

VBS/Butsur.B worm หรือ hacked by godzilla

ถ้าเข้า folder option ไม่ได้ ไปที่นี่ก่อน
http://community.tha...howtopic=301357

solution :
1. ดับเบิ้ลคลิก ไอคอน My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กเลือก Show Hidden files and folders

2. ปลดเครื่องหมายถูกหน้า Hide extentionโโ�ฌฆ และ Hide protected operating system file ออก คลิก OK

3. กดปุ่ม [Ctrl+Alt+Delete] ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกแท็ป Processes คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว) คลิกปุ่ม End Process

4. เปิดไดร์ฟ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย

5. เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )

6. ไปที่ปุ่ม Start->Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์ [HKEY_LOCAL_MACHINE\Software\Current Version\Run] ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

7. เข้าไปที่คีย์ [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] ลบไฟล์ที่ Window Title โโ�ฌ�Hacked by Godzillaโโ�ฌ� (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

8. คลิกปุ่ม Start->Run พิมพ์ gpedit.msc กดปุ่ม OK คลิกเลือก [User Configuration->Administrative Templates->System] ดับเบิ้ลคลิกไฟล์ Turn Off Autoplay เลือก Enabled เลือก All drives คลิก OK เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติ ในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น

9. คลิกปุ่ม Start->Run พิมพ์คำสั่ง msconfig กดปุ่ม OK คลิกแท็ป Startup ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close) เลือก Exit Without Restart

10. ดับเบิ้ลคลิกไอคอน Mycomputer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กถูกหน้า Hide extentionโโ�ฌฆ และ Hide protected operating system file คลิก OK

11. คลิกขวาที่ไอคอน Recycle bin เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง

source : http://www.thaiadmin...p?topic=41313.0

#8 WinNoi

WinNoi

    โอ้วจอร์ด

  • Forum Moderator
  • 945 posts
  • Gender:Male
  • Location:ดาวมหาเทพ
  • Interests:เต้นแร็บบนหลังคาบ้าน

Posted 02 December 2007 - 08:15 AM

ไวรัสที่แพร่กระจายทาง Handy Drive

ไวรัส U.Z.A O/S Eliminator Worm

ลักษณะการทำงานของไวรัส1. หน้าตาตอนบูทระบบจะขึ้นว่า "U.Z.A Operatine System"2. พื้นหลังแบ็คกราวจะขึ้นเป็นพื้นดำชื่อไวรัสเหมือนกัน3. ระบบวันที่ของเครื่องจะหายไป4. การทำงานของ Task จะมีปัญหา5. เมื่อเชื่อมต่ออุปกรณ์ USB ไวรัสจะสร้างโฟลเดอร์ My_Personal_Data folder และสร้างไฟล์ที่ใช้ในการกระจาย Autorun.inf6. ปิดการทำงานของโปรแกรม Antivirus7. ปิดช่องทางที่จะแก้ไข Registy8.ปิดการทำงานของ ShiftOverideดาวน์โหลดไฟล์ UZA OS Remove Tool ได้ที่นี่

http://www.itsc.ru.a...iminator_x2.exeวิธีใช้งานคลิ๊กที่นี่

http://www.itsc.ru.a...ัดไวรัส UZA.pdf

ไวรัส Full House


ชื่อ :
Fullhouse, Full house virus

ชนิด :
ไวรัส

ระบบปฏิบัติการที่มีผลกระทบ :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

ข้อมูลทั่วไป :
เครื่องที่ติดไวรัส จะมี Folder ชื่อว่า Full house ใน Control Panel ซึ่งไม่สามารถลบได้ และจะสร้าง Folder มีชื่อเหมือนกับ Folder ที่มีอยู่เดิมวิธีการแพร่กระจาย : ผ่านอุกรณ์บันทึกข้อมูลทั่วไปเช่น ทัมไดรฟ์ ฮาร์ดดิสก์เอ็กเทอนอล ผลกระทบที่เกิดขึ้น : ในทัมไดรฟ์จะมีการสร้าง Folder โดยใช้ชื่อเหมือนทุกอย่างกับ Folder ที่มีอยู่ เมื่อติดไวรัสจะทำการซ่อน Folder ที่ใช้งานจริงๆ ไว้และจะแสดง Folder ที่สร้างเลียนแบบขึ้นมาโชว์แทน แต่หากสังเกตุ Folder Type เมื่อเปลี่ยนมุมมอง Folder เป็น Details จะเห็นได้ว่า Type เป็น "Application" ซึ่งในความเป็นจริงแล้วควรจะเป็น "File Folder" ซึ่ง ณ วันที่ post Nortorn Symantec Crop 10 อัพเดทแล้วไม่สามารถค้นหาหรือตัดการได้เลยครับ ต้องลงมือทำเองครับการป้องกัน : ปัจจุบัน ณ วันที่เขียน ยังไม่มี แต่ผมมีวิธีเลี่ยง คือ ห้าม ! ดับเบิ้ลคลิก Thumb drive หรือ Folder ที่มีอยู่ใน Thumb drive แต่ใช้วิธีคลิกขวาแล้วเลือก Explore แทนครับ หรือไม่ก็เปลี่ยนมุมมองแบบ Folders โดยคลิกที่เมนูทูลบาร์ หลังจากคลิกเลือกจาก MyComputer ครับ

วิธีกำจัด :

1. เปิด My Computer
2. เลือก Tools > เลือก Folder Options.. > Tab view
3. เลือก Show hidden file and folders
4. เอาเครื่องหมายถูกออก Hide extensions...... และ Hide protected..... ทั้ง 2 รายการ
5. เลือก OK

กรณี สื่อบันทึกข้อมูล


1. เข้าไปที่ Drive USB ที่มีอยู่
2. เปลี่ยนมุมมองเป็น Details
3. ลบ Folder ที่มี Type เป็น Application
4. แดรกเมาส์ Folder คลิกขวา เลือก Properties แก้ไข Attributes โดยคลิกเลือกเอาเครื่องหมายถูกออกหน้า Hiden ออก ครับ
5. คลิก OK
6. ปล. หากมีไฟล์ Autorun.inf ฝากลบเสียด้วยครับ

กรณีในเครื่องคอมพิวเตอร์ (Hard disk)ทำตามวิธีกำจัดข้อ1-5)


1. อัพเดทแอนตี้ไวรัสที่มีอยู่ให้เป็นปัจจุบัน

*เพิ่มเติม*
เมื่อทำการแสดง File or Folder ที่ซ่อนแล้วให้เข้าไปลบ Folder "Full House" ใน Drive C ด้วย หากสังเกตุจะมีสถานะเป็น Folder ที่ซ่อนครับ จากนั้นจะมี Folder "taskmgr" อยู่ใน Drive C ต้องลบด้วยครับเพราะมันมากับไวรัสตัวนี้ครับ
2. ค้นหาไฟล์ UnHookExec.inf ใน google ดาวน์โหลดเซพไว้หน้าเดสท็อป จากนั้นคลิกขวาที่ไฟล์เลือก Install เพราะว่าเท่าที่เจอมาไวรัสชนิดนี้จะป้องกันการแก้ไข รีจิสทรี (Regedit) , msconfig และ gpedit.msc
3. เลือก Srart > Run > พิมพ์ regedit > Enter
4. กด Ctrl + F ใส่คำว่า "fullhouse" หรือ "full house" (สังเกตุมีการเว้นวรรคน่ะครับ)
5. เมื่อเจอ(รับรองต้องเจอแน่นอน) คลิกขวาที่รายการที่เจอ เลือก Delete
6. กด F3 เพื่อค้นหาต่อ จนแน่ใจว่าหมดแล้ว ออกจากโปรแกรม
7. เลือก Srart > Run > พิพม์ gpedit.msc > Enter
8. เลือก User configuration > Administrative Template > System > ดับเบิ้ลคลิก Turn off Autoplay
9. เลือก Enabled > ในรายการ turn off Autoplay on เป็น All drives
10. เลือก OK
11. เข้าไปที่ Control panel ลบ Folder "Full house" (บางเครื่องอาจจะเป็น Folder ที่ไม่มีชื่อก็ให้ลบได้เลยครับ)
12. จากนั้น Reboot เครื่องใหม่ จากนั้นก็จะไม่มีแล้ว ครับ

เขียนโดย :
รัตนธ์พงค์ ใสแก้ว (Ken)

เวิร์ม MSN-pic.zip (Win32/Delf.ADS trojan)

เวิร์มตัวนี้แพร่กระจายตัวเองผ่านทาง MSN ทันทีที่มันติดเชื้อเครื่องของเหยื่อแล้ว ไวรัสจะสร้างไฟล์ pic.zip ซึ่งในไฟล์สกุล zip จะมีไฟล์ ชื่อ IMG34814.pif ซึ่งคือเวิร์ม(ไม่ได้บบีบอัดไฟล์)ลงในโฟลเดอร์ของระบบและจะส่งไฟล์ไวรัสนี้ ไปยังรายชื่อผู้ติดต่อที่อยู่ใน MSN โดยอาศัยเทคนิคลากแล้ววาง เหมือนผู้ใช้ส่งไฟล์ทั่วไป ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)
"Hey :-), I just took this picture, sexy isnt it :-P?"
"What do you think of my photo editing skills?"
"Which one do you like in this pic, the black one or the blue one?"
"This is what happens when you eat to many chips :-P"
"Look what i made out of cans!! haah :-P!"
":-p this was halarious at that party a while back"
"Hey I have a new pic, what do ya think?"
"Check this out this pic is so freaking cool"
"Hahahaha, do you remember this picture?"
":-O Check this out! Nearly laughed my ass off!!"
"hey wats up.. have you seen this pic of harry potter?"
ตามด้วยไฟล์ของเวิร์มหากผู้ใช้เลือกดาวน์โหลดไฟล์ดังกล่าวมาและรันก็จะทำให้ติดเวิร์มตัวนี้และจะกลายเป็นฐานในการแพร่กระจายไปยังผู้อื่นๆต่อไป ไฟล์เวิร์มมีขนาด 138KB เวิร์มจะยกเลิกการใช้งาน regedit และปิดระบบรักษาความปลอดภัย (Security Center)จากนั้นจะติดต่อไปยัง down.basecore.info ไอพีแอดเดรส 72.249.12.79 ซึ่งการตรวจสอบเส้นทางบนเครือข่าย ปรากฎตำแหน่งของไอพีแอดเดรสนี้อยู่ใกล้ที่สุดกับรัฐ Dallas ของสหรัฐ เวิร์มติดต่อกลับไปที่พอร์ต 1863/tcp ซึ่งจะเห็นว่ามันคือพอร์ตของ MSN แต่แฮกเกอร์ที่เขียนเวิร์มจงใจจะอำพรางการทำงาน ในความเป็นจริงพอร์ตนี้ถูกนำมาใช้สำหรับบริการ IRC ซึ่ง IRC เซิร์ฟเวอร์ที่ทำงานอยู่บนเครื่องที่เวิร์มตัวนี้ติดต่อกลับไปคือ Unreal 3.2-beta19 ทำงานอยู่บนระบบปฏิบัติการ Windows 2003 เวิร์มจะสุ่ม nick name ขึ้นมา และใช้รหัสผ่าน letmein ในการล็อกอินเข้าใช้งาน เมื่อเวิร์มส่งไฟล์ แล้ว จะรายงานกลับไปยังเซิร์ฟเวอร์ดังกล่าว ว่าได้ส่งไฟล์ไปให้เหยื่อใหม่ไปแล้วกี่รายจากนั้นจะรอคำสั่งจากแฮกเกอร์ เซิร์ฟเวอร์ดังกล่าวยังเปิดพอร์ต 1864/tcpไว้เป็นบริการ IRC เพิ่มเติม พอร์ต 4643/tcp,139/tcp NetBios และ 21/tcp FTP Server เวิร์มลักษณะนี้มีโอกาสที่จะได้รับการพัฒนาการทำงานใหม่ๆได้ตลอดเวลา จากแฮกเกอร์ อย่างไรก็ตามคาดว่าอาจจะมีการขโมยข้อมูลสำคัญๆ ของผู้ใช้ตามมาได้ ในอนาคตเมื่อเวิร์มตัวนี้ติดเชื้อเครื่องคอมพิวเตอร์ได้มาก เช่น รหัสผ่าน หมายเลขบัตรเครดิตรวมไปถึงข้อมลส่วนบุคคล เนื่องจากตรวจพบการพยายามของเวิร์มที่จะดาวน์โหลดไฟล์จากอินเตอร์เน็ตและรันไฟล์ดังกล่าวบนเครื่องเหยื่อ ซึ่งคำสั่งดังกล่าวนี้แฮกเกอร์สามารถควบคุมผ่านทาง IRC เซิร์ฟเวอร์ได้ ดาวน์โหลดตัวแก้ คลิก ที่นี่ครับ

jomke.dll.vbs
(Hacked by Godzilla version 2.0)

ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์ฟบนเครื่อง ชื่อไฟล์ไวรัสคือ jomke.dll.vbs และแก้ไขค่าในรีจิสทรีเพื่อสร้างค่าขยะ ทำให้หน้าแรกของ Internet Explorer แสดงเว็บเพจจาก http://student.srru....122420102/jomke และแก้ไขไตเติลบาร์ของ Internet Explorer เป็น "Hacked by Godzilla version 2.0" ไวรัสพยายามแพร่กระจายตัวผ่านทางแฮนดี้ไดร์ฟและการแชร์ไดร์ฟในเครือข่าย พยายามจะทำให้เครื่องปิดลงทุกครั้งหลังจากที่เปิดใช้งานโดยหน่วงเวลาไว้ที่ 50 วินาที ดาวน์โหลดตัวแก้ คลิก ที่นี่ครับ

Hacked by 1BYTE


อาการติด Hacked by .. นี้เป็นอยู่ประมาณ 3 วัน ระหว่างนั้นก็ยังพอเปิดเครื่องทำงานกับอพยพข้อมูลหนีภัยไปได้เรื่อยๆ เพราะคิดว่าต้องล้างเครื่องแน่ๆ ไม่แน่ใจว่าของคนอื่นจะเป็นอย่างไร แต่เครื่องเรามันไม่ขึ้นกระโหลกไขว้ทันทีทันควัน มีการยืดเวลาตายให้หน่อย จนประมาณ 3 วันผ่านไป เปิดเครื่องมากะว่าจะลองใช้โปรแกรมแก้อีกรอบ คราวนี้มาเลย อยู่ๆ ไอค่อนต่างๆที่อยู่บนหน้าจอก็วูบหาย เพิ่งจะเห็นกะตาตัวเองก็คราวนี้ไอ้ที่เขาเรียกๆกันว่า หายไปกะตา หรือ หายไปในพริบตา และสิ่งที่เห็นก็คือ 0 byte .... แถมหน้าจอยังขึ้นกระโหลกไขว้กระพริบปิ๊บๆๆๆๆ และแล้ว ก็ทำอะไรไม่ได้อีกเลย แต่ข่าวดีก็คือ แม้จะเห็นว่ามัน 0 byte แต่พอเอาโปรแกรมกู้ไฟล์มาช่วย (easy recovery) มากู้ ก็เก็บกลับมาได้หมดแล้ว ดาวน์โหลดตัวแก้ได้ที่นี่
ARDV ver.1.02 Anti Removable Disk Virus (ARDV) คือ โปรเจคที่มีจุดประสงค์ในการพัฒนาโปรแกรมขนาดเล็กทำงานรวดเร็ว ที่จะทำหน้าที่ป้องกันไวรัสที่มากับแฮนดี้ไดร์วโดยอัตโนมัติทันทีที่มีการเชื่อมต่อเข้าเครื่อง ขณะนี้พร้อมที่จะให้ผู้สนใจสามารถดาวน์โหลดไปใช้งานได้ฟรี โดยสามารถป้องกันไวรัส Autorun และไฟล์ที่ต้องสงสัยว่าอาจเป็นไวรัส ต่างๆได้ ผู้ใช้สามารถเลือกที่จะลบไฟล์ต้องสงสัยได้ทันที สามารถควบคุมการทำงานของโปรแกรมได้ เชื่อว่าจะช่วยลดโอกาสติดไวรัสจากอุปกรณ์ Removable Disk ลงได้มาก หากพบข้อผิดพลาดกรุณาแจ้งที่ trackerx90[at]hotmail.com
ดาวน์โหลด ARDV ardv102_setup.zip อ่านรายละเอียดเพิ่มเติมเกี่ยวกับ ARDV ได้ที่นี่

achi.dll.vbs


ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์วบนเครื่อง ชื่อไฟล์ไวรัสคือ achi.dll.vbs จะสร้างไฟล์ achi.htm และแก้ไขค่าในรีจิสทรีเพื่อทำให้หน้าแรกของ Internet Explorer แสดงข้อความในไฟล์ดังกล่าว ไวรัสแพร่กระจายตัวผ่านทางแฮนดี้ไดร์ว ได้รับการดัดแปลงมาจากไวรัสตระกูล vbs รุ่นแรกๆ อย่างไรก็ตามไวรัสไม่ได้สร้างความเสียหายแก่เครื่องที่ติดเชื้อ ดาวน์โหลดตัวแก้ คลิก ที่นี่ครับ

Anit_VDO
ไวรัสตัวนี้ความรุนแรงของมันไม่มากแต่ก็เป็นโปรแกรมที่มีความสามารถในการแพร่กระจายตัวเองจากเครื่องหนึ่งไปอีกเครื่องหนึ่งโดย จะสร้างไฟล์ คลิปVDO.exe ลงบนทุกๆไดร์วโดยทำไอคอนของมันเป็นแบบ Folder สร้างความรำคาญแก่ผู้ใช้

anti_flashy


โปรแกรมนี้ใช้กำจัดไวรัส Flashy ที่ติดเชื้อบนเครื่องแล้วนะครับ จะดำเนินการแก้ไขค่าทุกอย่างให้เหมือนเดิมทุกประการรวมทั้งถอดรหัสของ administrator ให้เป็นว่างเปล่าด้วยครับ สำหรับคนที่พบปัญหาไม่สามารถกำจัด Flashy ในแฮนดี้ไดร์วได้ ต้องกำจัดมันบนเครื่องก่อนนะครับ การแก้ไขจึงจะเห็นผล เนื่องจากไวรัสจะก็อปปี้ตัวเองลงแฮนดี้ไดร์วตลอดเวลา

Anti_Hacked_By_Godzilla


โปรแกรมนี้จะทำการกำจัดไวรัสที่แก้ไขไตเติลบาร์ของ IE เป็น "Hacked By Godzilla" ออกจากเครื่องที่ติดเชื้อพร้อมทั้งกำจัด ไวรัสที่อยู่ในแฮนดี้ไดร์วด้วยดังนั้นผู้ใช้สามารถรันโปรแกรมนี้เพื่อกำจัดมันได้ในครั้งเดียว ทำให้สะดวกมากยิ่งขึ้น โชคไม่ดีที่ไวรัสประเภทนี้ สามารถเขียนขึ้นได้อย่างง่ายดาย ซึ่งไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์วแล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ ทำให้ เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน

happy.gif Anti AntiVirus happy.gif


ไวรัสถูกเขียนโดยใช้ Borland Delphi เชื่อว่าคนที่เขียนไวรัสตัวนี้ คือคนๆเดียวกับที่เขียนไวรัส data.exe เนื่องจากพบโค้ดที่เป็นของไวรัส data.exe ปรากฏอยู่ ไวรัสตัวนี้จะทำการแก้ไข Windows Title ให้เป็น ^_^Anti AntiVirus^_^ ตลอดเวลา สามารถติดเชื้อแฮนดี้ไดร์วโดยใช้ไฟล์ auto run ไวรัสจะแก้ไขค่าในรีจิสทรีที่เกี่ยวกับไฟล์นามสกุล exe ให้ไวรัสเป็นผู้จัดการแทนระบบปฏิบัติการ ด้วยเหตุนี้อาจทำให้เปิดไฟล์ exe ไม่ได้ ไวรัสจะยกเลิกฟังก์ชั่นที่เกี่ยวกับการแก้ไขปรับแต่งระบบปฏิบัติการ

happy.vbs


ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์วบนเครื่อง โดยจะสร้างไฟล์ autorun พร้อมคัดลอกไฟล์ไวรัส happy.vbs ไปด้วย ไวรัสจะยกเลิกการใช้งาน regedit.exe ซ่อนไอคอน My Computer ทำให้ไม่สามารถใช้ My Computer เนื่องจากจะมองไม่เห็นไดร์ว ยกเลิกสิทธิ์ในการเข้าถึงแชร์โฟลเดอร์ของผู้ดูแลระบบ ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer เป็น ORIGINAL SILLE.B run on GAME ONLINE และตั้งค่าหน้าแรกไปที่ http://www.sille.net/gamesonline.htm และแสดงกล่องข้อความ "VIRUS SILLE RUN ON GAMES ONLINE"

Hacked by 8BITS


ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว ไวรัสถูกเขียนโดยใช้ Visual Basic Script โดยจะสร้างไฟล์ autorun ลงบนทุกๆไดร์ว พร้อมคัดลอกไฟล์ไวรัส kernel32.dll.vbs ไปด้วย ไวรัสจะแก้ไขไตเติลบาร์ของ IE เป็น Hacked by 8BITS ในโด้ดไวรัสมีคำสั่งที่เรียกใช้โปรแกรมที่ใช้ในการควบคุมเปิดปิดเครื่องของระบบปฏิบัติการ ดังนั้นเครื่องที่ติดเชื้อมีโอกาสปิดลง โดยไม่มีการแจ้งเตือน

Data.exe


ไวรัสตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ www.Atom-Soft.com ผ่านทาง http และ ftp เชื่อว่ามีการเขียนขึ้นมา 3 รุ่น ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 213 KB,221KB และ 224 KB ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป นอกจากนี้ไวรัสตัวนี้มีฟังก์ชั่นในการทำลายข้อมูลบนฮาร์ดดิสด้วย


Iexp1ore.exe


ไวรัสตัวนี้ติดต่อผ่านทางแฮนดี้ไดร์ว โดยใช้วิธี auto runเมื่อผู้ใช้ดับเบิลคลิกเข้าใช้งานในเครื่องที่ฟังก์ชั่นเล่นอัตโนมัติทำงานอยู่ไวรัสจะติด เข้าสู่เครื่องทันที ไวรัสจะคัดลอกตัวเองไปในโฟลเดอร์โปรแกรม Internet Explorerโดยพยายามทำตัวเองเป็นเสมือนโปรแกรม Internet Explorer ทำการแก้ไขทางลัดทุกทางที่จะเรียกใช้โปรแกรมให้ชี้ไปที่ไวรัสแทน โปรเซสของไวรัสมีชื่อว่า iexp1ore.exe โดยไวรัสจะไม่สร้างความ ผิดปกติใดๆบนเครื่องที่ติดเชื้อทำให้ผู้ใช้ที่ไม่สังเกต ไม่สามารถตรวจพบได้

killVBS[1].vbs_killer


ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว โดยจะสร้างไฟล์ autorun ลงบนแฮนดี้ไดร์ว พร้อมคัดลอกไฟล์ไวรัส killVBS.vbs ไปด้วย ไวรัสจะไม่แพร่กระจายตัวเองทางการแชร์ไฟล์ในเครือข่ายเหมือนกับไวรัสตระกูลเดียวกันที่เคยทำ เพื่อทำให้ผู้ใช้ตรวจพบยากขึ้น ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer และหน้าแรกเป็นค่าว่างเปล่า

Monaliza_killer


ไวรัสตัวนี้ติดผ่านทางแฮนดี้ไดร์วได้ นอกจากนี้ยังสามารถติดเชื้อผู้ใช้ผ่านทาง msn เป็นไวรัสที่เริ่มแพร่กระจายมาสักระยะหนึ่งแล้วโดยจะ ใช้เทคนิค auto run สำหรับการติดเชื้อแฮนดี้ไดร์วตามเคย โปรแกรมนี้จะทำการคืนค่าที่ไวรัสทำไว้ทั้งหมด ผู้ใช้สามารถเชื่อมต่ออุปกรณ์ แฮนดี้ไดร์วเข้ากับเครื่อง เพื่อกำจัดไวรัสที่อยู่ในอุปกรณ์ได้พร้อมๆกัน

MS32DLL.dll.vbs


ไวรัสตัวนี้เชื่อว่ามาจากการดัดแปลงไฟล์ไวรัสต้นแบบที่ชื่อ VBS.Godzilla ไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์ว แล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ โดยจะใช้ชื่อไฟล์เป็น .MS32DLL.dll.vbs เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน ไวรัสพยายามซ่อนตัวเองโดยการปรับแต่งรีจิสทรีและการเปลี่ยนสกุลไฟล์ไวรัสเป็น boot.ini เพื่อหลบซ่อนในระบบด้วย


Music_exe_Killer


ไวรัสตัวนี้รู้จักกันดีในชื่อ music.exe ติดเชื้อผ่านทางแฮนดี้ไดร์วโดยเทคนิค auto run ไวรัสถูกเขียนโดยใช้ภาษา Visual Basic จะทำการลบไฟล์ นามสกุล *.mp3 และ *.dat ทุกไฟล์ที่พบบนเครื่อง ไวรัสพยายามใช้คำสั่งที่มีวิธีการเหมือนผู้ใช้ทำปกติ แทนที่การเขียนโค้ดโดยตรงเพื่อหลบการวิเคราะห์ไฟล์ของโปรแกรมแอนติไวรัส ไวรัสทำการคัดลอกตัวเองโดยใช้ชื่อโฟลเดอร์ที่พบ มีนามสกุลเป็น *.exe ตลอดเวลาทำให้เครื่องประมวลผลงานอื่นๆช้าลง แต่ไม่พบฟังก์ชั่นที่เปิดทางให้แฮ็กเกอร์ควบคุม คาดว่าไวรัสตัวนี้ถูกเขียนมาเพื่อทำลายข้อมูล สร้างความเสียหายโดยเฉพาะ

SXS_Killer


โปรแกรมนี้จะกำจัดไวรัส sxs.exe ในแฮนดี้ไดร์วและบนเครื่องที่ติดเชื้อ ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run ลงในทุกๆไดร์วเพื่อเรียก ตัวเองขึ้นทำงานทุกครั้งที่มีการดับเบิลคลิกที่ไดร์วนั้นๆ ไวรัสจะทำการปรับแต่งเครื่องเหยื่อโดยใช้โปรแกม net.exe และ sc.exe ยังไม่ แน่ใจว่ามันทำอะไรเพราะผู้เขียนไวรัสได้เข้ารหัสไฟล์ไว้ทำให้ยากต่อการทำความเข้าใจโค้ดในไฟล์ไวรัส อาการเครื่องที่ติดก็คือจะดับเบิล คลิกเปิดเข้าไดร์วต่างๆไม่ได้ แต่สามารถเข้า ใช้งานไดร์ว C:ได้ การกำจัดสามารถเชื่อมต่อแฮนดี้ไดร์วที่ต้องสงสัยเข้ากับเครื่องแล้วรันตัว แก้เพื่อกำจัดไวรัสบนเครื่องและในแฮนดี้ไดร์วพร้อมๆกันได้


Toy_Killer


ไวรัสตัวนี้เริ่มแพร่ระบาดมานานแล้ว โปรแกรมแอนตี้ไวรัสที่อัพเดตสามารถตรวจจับมันได้เกือบทั้งหมด แต่ก็ยังพบปัญหาในการกำจัด ไวรัสติดเชื้อแฮนดี้ไดร์วโดยใช้เทคนิค auto run ตัวแก้นี้จะทำการแก้ไขไวรัสแบบสมบูรณ์ ไวรัสตัวนี้ไม่ได้ทำลายข้อมูล เพียงแต่ก่อกวน โดยสังเกตที่หน้าจอในตอนที่ล็อกออนเข้าใช้งาน จะมีข้อความเกี่ยวกับการสร้างโลกของพระเจ้า หรือรู้จักไวรัสตัวนี้กันดีในชื่อไวรัสภาษาจีน


winxp_dos_expl_by_trackerx90


ช่องโหว่ Denial of Service(DoS) ของระบบปฏิบัติการ Windows XP SP0-SP2 สามารถหยุดการทำงานของระบบได้อย่างสิ้นเชิง โดยช่องโหว่ทั้งสองคือ Mailslot และ IGMPv3 Windows XP ไม่สามารถจัดการกับการร้องขอแบบผิดปกติได้ จึงทำให้ระบบทำงานผิดพลาด ทั้งสองช่องโหว่ถูกค้นพบมาสักระยะหนึ่งแล้ว โดย Mailslot จะโจมตีผ่านพอร์ต 445 เป็นบริการ Server Message Box(SMB) ส่วน IGMPv3 โจมตีผ่านการดัดแปลงแพ็กเก็ต igmp ระดับล่างโดยตรง ผมได้ทดลองเขียนโปรแกรมเพื่อ ทดลองโจมตีแล้ว

แก้ไวรัส Anti Brontok A ,B ,C ,O , Generic ฆ่า Brontok ได้ทุกตัว
AdobeR.exe

โปรแกรมนี้จะกำจัดไวรัส AdobeR ในแฮนดี้ไดร์ว ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run เพื่อใช้ในการรันตัวมันเองเข้าสู่ระบบดังนั้นเวลา ที่ผู้ใช้ทำการดับเบิลคลิกไดร์ว เพื่อเข้าใช้งาน จะทำให้ไวรัสถูกเรียกขึ้นมาทำงาน จากการทดลองพบว่าไวรัสตัวนี้อาจเขียนขึ้นอย่างเร่ง รีบเนื่องจากพบข้อผิดพลาดในระหว่างการทำงาน อย่างไรก็ตามยังพบการแพร่กระจายอยู่ โปรแกรมนี้จะทำการลบไฟล์ที่ไวรัสสร้างขึ้น เพื่อใช้ในการทำงานของมันทั้งหมด ด้วยวิธีนี้จะทำให้อุปกรณ์ของผู้ใช้สามารถใช้งานได้ตามปกติ โดยข้อมูลทั้งหมดยังคงอยู่ไม่สูญหาย

โหลดมาแล้วแก้ Zip จะพบกับตัวแก้ไวรัสประเภทต่างๆ วิธีใช้ก็อยู่ในนั้นเสร็จสรรพAntivirus บางตัวจะขึ้นแสดงว่า ไฟล์ตัวแก้ไวรัสนี้เป็นไวรัส เช่น (Avast Antivirus)ให้ทำการปิด Antivirus ก่อนการดาวน์โหลดและใช้งานโปรแกรมครับ

ที่มา :
http://www.trackerx90.th.gs/
และอีกหลายๆที่ที่ไม่ได้กล่าวถึงครับ

____________________

Edited by ReTroCs, 02 December 2007 - 08:19 AM.




#9 flog

flog

    สมาชิกใหม่กั๊บ ;)

  • Exclusive Members
  • Pip
  • 47 posts
  • Gender:Male
  • Location:http://www.radiofm1067.com/

Posted 04 December 2007 - 12:13 PM

อาจยาวนิดนะครับ แต่ละเอียดพอสมควร

วิธีกำจัดไวรัส moaphie.exe/โมนาลิซ่า

อาการเมื่อโดนไวรัสตัวนี้
เมื่อเสียบแฮนดี้ไดว์ฟที่มีไวรัสตัวนี้
ในแฮนดี้ไดว์นั้นจะมี ไฟล์อยู่สองไฟล์คือไฟล์ Autorun.inf
กับmoaphie.exeครับ เมื่อดับเบิ้บคลิกแฮนดี้ไดว์ฟแล้วไฟล์ไวรัสmoaphie.exeจะทำงานทันทีครับ
เมื่อเปิดแฮนดี้ไดว์ฟไวรัสจะสร้างลูกๆมันสามไฟล์ไว้ที่ในเครื่องเราดังนี้
c:\windows\winnt.exe
c:\windows\svchost
c:\windows\Shell
เมื่อเราเข้าเวบ ก็จะเป็นเวบนี้
http://www42.websamb...xq2y/index.html
เป็นรูปโมนาริซ่ายืนอมยิ้ม(แบบแอบว่าในใจว่าคุณโดนแล้ว)
เมื่อคุยกับเพื่อนทางเอมไวรัสก็จะส่งลิ้งค์ไป
คลิกขวาไม่ได้
เข้าrunไม่ได้
runหาย
กด Ctrl+Alt+Delete ไม่ได้
ไฟล์ที่เป็นนามสกุล .exe จะโดนซ่อน(Hiden)หมด

วิธีแก้ วิธีแรก โดยไม่ต้องใช้โปรแกรมป้องกันไวรัส โหลดโปแกรมช่วยฆ่าไวรัสมาก่อนครับ
ชื่อไฟล์ Kill MonaliZa อยู่ใน โฟลเดอร์
ถ้าก๊อปใส่ดิสเกตล๊อคแผ่นดิสด้วยครับ

ในนั้นเป็นไฟล์winzipนะครับไม่ต้องคลายออกมานะครับ เพราะเดี๋ยวไวรัสมันจะซ่อนไฟล์เราครับ ดับเบิ้ลคล๊กไฟล์IBProcManเลยครับ
เปิดขึ้นมาแล้วคลิกเลือกProcess 3ตัวนี้ครับ
c:\windows\winnt.exe
c:\windows\svhost.exe
c:\windows\system32\exploler.exe



เลือกทีละตัวครับ คลิกแล้วเลือกคำสั่ง kill process ตรงซ้ายมือล่างของโปรแกรมครับ
kill processทั้งสามตัวเลยครับ เสร็จแล้วตอนี้ไวรัสก็หยุดทำงานแล้วครับ
เราก็เข้าไปลบมันครับ
เราต้องเปิด regeditก่อนครับ คลิกขวาที่ไฟล์UnHookExecในโปรแกรมที่โหลดมาเลยครับเลือกคำสั่ง install




หรือหากคลิกขวาดังรูปไม่ได้ให้ Extract(คลายไฟล์) ไปไว้ที่ไดว์ฟ C: ครับ
แล้วคลิก1ครั้งที่ไฟล์ UnHookExec.inf แล้วไปที่เมนู File แล้วเลือก Install ดังรูปครับ



แล้วมันก็ไม่มีอะไรเกิดขึ้นครับ เป็นยังงั้นอยู่แล้วไม่ต้องตกใจนะครับ
แล้วก็เข้าregedit
โดยไปที่ My computer C:\WINDOWS\regedit.exe
หากหาไม่เจอ ให้เข้า My computer แล้วเข้าไดว์ฟ C: แล้วเข้า โฟล์เดอร์ Windows
แเล้วกด ปุ่ม R บนคีบอร์ด 5 ครั้งครับก็จะเห็นไฟล์ ดังรูปครับ



ดับเบิ้ลคลิกเข้าไปเลยครับ
หากดับเบิ้ลคลิกแล้วขึ้นเอ่อเร่อเป็นภาษาอังกฤษว่า regedit โดนปิดการใช้งานโดยแอดมิน
แสดงว่าคุณ ไม่ได้ Install UnHookExec.inf ให้คุณย้อนกลับไปข้างบนครับ


เปิดregeditขึ้นมาแล้วเราก็ไปแก้คีย์ต่างๆที่มันทำไว้ครับไปที่

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex
plorer\ ด้านขวามือ --------> NoFolderOptions
ลบNoFolderOptions ออกเลยครับ




HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy
stem]
ลบ DisableRegistryTools
DisableTaskMgr




HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
ลบ
NORUN
Noviewcontex




HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ด้านขวามือ
--------> ลบ
winnt
shell
svchost




ลบเสร็จแล้วก็ไปลบตัวไวรัสครับ
เข้า My computer ไปที่แถบด้านบนไปที่ Tools ไปที่ Folder option View แล้วติ๊กถูกตรง Show hiden
file and folder แล้วติ๊กถูกออกตรงคำว่า Hide extensions กับHide protected อยู่ใต้นั่นนิดหนึ่งอะ
ครับแล้วOK




แล้วไปลบไฟล์ไวรัส ชื่อต่อไปนี้ครับ (สังเกตว่ามันจะจางๆครับ)
c:\windows หาลบ winnt.exe
c:\windows หาลบ svchost.exe
c:\windows\system32 ลบ exploler.exe
เสร็จแล้วครับแล้วก็ไปเปลี่ยนหน้าเวบหน้าแรกเป็นเวบอื่นด้วยนะครับเพราะเดี๋ยวเผื่อมีนมาอีกครับ

หรือจะดูแบบเต็มรูปแบบที่นี่ครับ
http://www.uploadtod...acbef54b0c4cfaa

Edited by flog, 04 December 2007 - 12:50 PM.





1 user(s) are reading this topic

0 members, 1 guests, 0 anonymous users

ประกาศ ! : ข้อความที่ถูกพิมพ์ หรือเผยแพร่ออกจากเว็บบอร์ด Thaiware Community Board แห่งนี้ ถือเป็น ความคิดเห็นส่วนบุคคลทั้งสิ้น ซึ่งทางเว็บไซต์ Thaiware.com จะ ไม่รับผิดชอบ ต่อสิ่งที่เกิดขึ้น อันเป็นเหตุมาจากการพิมพ์จากทางผู้ใช้ และสมาชิก แต่อย่างไรก็ตามถ้าหาก ท่านใดพบ ข้อความที่เป็นสิ่งที่ไม่เหมาะสม ได้ถูกเผยแพร่ลงในเว็บไซต์ อาทิเช่น คำพูดที่ลบหลู่ ดูหมิ่นต่อ ความมั่นคงของชาติ ศาสนา และ พระมหากษัตริย์ รวมไปถึงการเผยแพร่รูปภาพที่ไม่เหมาะสม หรือ สิ่งผิดกฏหมายต่างๆ กรุณาแจ้ง ทางทีมงาน มาได้ที่ webmaster@thaiware.com หรือ โทรศัพท์มาแจ้งได้ที่ 0-2635-0744 (ทุกวัน จันทร์ - ศุกร์ เวลา 9.30 - 17.30 น.) ซึ่งเราจะรีบดำเนินการลบโดยเร็วที่สุด ...