[b3HeM0tH]

===========================================

ค้นหาวิธีแก้ไวรัส โดยการกด CTRL+F ที่หน้านี้ แล้วใช้ keyword เป็น
'ชื่อไวรัสที่ถูกแจ้งเตือนโดยแอนตี้ไวรัส'
หรือ
'ชื่อไฟล์บางส่วนของไวรัส'

' ไฟล์ที่ให้ดาวน์โหลดในกระทู้ ลิงก์ไหนเสียช่วยแจ้งทาง PM ด้วยนะครับ '

===========================================

กระทู้นี้ตั้งขึ้นเพื่อรวมวิธีแก้ไวรัสแบบ Manual - แล้วมันคืออะไรล่ะ? มันคือการแก้โดยไม่ใช้โปรแกรมช่วย เป็นการตามลบค่าไวรัสออกจากเครื่องทีละตัว เนื่องจากการโพสต์ตอบแต่ละครั้งใช้เวลายาวนานมากในการที่ผมจะพิมวิธีแก้ บางทีเป็นไวรัสตัวเดิมๆ ใช้ antivirus คนละตัวกัน เลยเจอกันคนละชื่อ แต่มันก็อาการเดียวกัน เลยคิดอยากจะตั้งกระทู้รวมวิธีแก้ไวรัสที่โดนกันบ่อยๆเอาไว้

วิธีใช้กระทู้นี้

1. ห้ามโพสต์ข้อความขอความช่วยเหลือเกี่ยวกับไวรัสในกระทู้นี้ หากพบ ขออนุญาต 'ลบ'
2. ทุกความเห็นที่แสดง หากผมเห็นว่ามีประโยชน์ จะเอามารวมกันใน 'โพสต์#' ที่เกี่ยวข้อง และลง credit ไว้นะครับ แต่ขออนุญาต ลบ 'โพสต์#' ที่คุณช่วยเสนอความเห็นนั้นทิ้ง หลังจากมี 'โพสต์#' การแก้ไวรัสตัวอื่นๆ มาลงใหม่
3. กระทู้นี้ผมรวบรวมมาจากหลายๆที่ หากไม่ได้ลง credit ให้เว็บไหนก็ขออภัยด้วย แต่ส่วนใหญ่ผมลงไว้หมดนั่นหล่ะ
4. บางกระทู้ในหมวด Security ถ้าผมเห็นว่าสมควร ขออนุญาต 'Quote' เข้ามาที่กระทู้นี้นะครับ

Attached File(s)

•  NOD32_Bad1_2_3_Autoit.AC__Fix.rar.zip (104.27K)
  Number of downloads: 4130

This post has been edited by b3HeM0tH: 19 December 2009 - 11:57 AM

[b3HeM0tH]

CREDIT! Adapted from slowblade.exteen.com

WORM_SOHANAD.AS - Trend Micro
IM-Worm.Win32.Sohanad.as - Kaspersky
W32/YahLover.worm - McAfee
W32.Imaut.A - Symantec
DR/Sohanad.AS.1 - Avira
W32/SillyFDC-AE - Sophos
NOD32 - Not Defined(June 2008)

CODE

Virus Located :
%System%\BLASTCLNNN.EXE
%System%\SCVVHSOT.exe
%Windows%\SCVVHSOT.exe

Virus behavior :
created autorun.ini
[
Open=SCVVHSOT.exe
Shellexe cute=SCVVHSOT.exe
Shell\Open\command = SCVVHSOT.exe
Shell=Open
]

created registry
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Yahoo Messengger = "%System%\SCVVHSOT.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = "Explorer.exe SCVVHSOT.exe"
(Run everytime when user logged in Windows)

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableRegistryTools = "1"
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr = "1"
(Disable registry and task manager)

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares
"shared"=\New Folder.exe
(To spread on network)

SOLUTION

1st.
ดาวน์โหลด NOD32 registry recovery tools

2nd.
รีสตาร์ทเครื่องเข้าสู่ safe mode เลือก user account เป็น administrator หรือ account อื่นๆ ที่เป็น admin

3rd.
รัน NOD32 registry recovery tools กด OK > I Agree > fix NOW! > OK

4th.
ctrl+alt+del เลือกแท็บ processes มองหา SCVVHSOT.EXE แล้วเลือก End Process

5th.
ก่อนอื่น สำรอง registry ก่อน คลิกซ้ายที่ HKEY_LOCAL_MACHINE แล้วเลือก File > Export เซฟเป็นอะไรก็ได้ ทำเช่นเดียวกันกับ HKEY_CURRENT_USER จะได้ไฟล์ registry สำรอง 2 ไฟล์
ไปที่ start > run > พิม regedit มองหา registry ต่อไปนี้ โดยอาจใช้ ctrl+F ช่วย ในการค้นหา...
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
ทางขวามือ เมื่อพบค่า Yahoo Messengger = "%System%\SCVVHSOT.exe ลบมันทิ้งโดยคลิกขวาแล้ว delete.
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ ดูช่อง sub binary ทางขวา มองหา Explorer.exe SCVVHSOT.exe ให้ลบแค่ SCVVHSOT.EXE ออก เหลือ Explorer.exe เอาไว้ อย่าลบผิดเด็ดขาด!
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer ดูช่องทางขวา มองหา WorkgroupCrawler แล้วลบมันออก
*กด CTRL+F แล้วค้นหา keyword ต่อไปนี้
BLASTCLNNN.EXE
SCVVHSOT.exe
เจอมันที่ไหน ลบออกให้หมด
จากนั้น ปิด registry editor

6th.
ไปที่ C:\WINDOWS\system32 มองหา SCVVHSOT.EXE และ blastclnn.exe แล้วลบมันออก ถ้ามองไม่เห็น ให้ไปที่ tools > folder options > show hidden files and folders ก่อน แล้วค่อยลบ

7th.
รีสตาร์ทเครื่องเข้าโหมดปกติ เสร็จแล้ว!

This post has been edited by b3HeM0tH: 10 June 2009 - 04:22 PM

[b3HeM0tH]

CREDIT!
virscan.org
misteryoung@worldpress.com
Mr.Vista@thaiware.com & Bever



Trojan name :
TR/Dropper.Gen - AntiVir
Heur.W32 - Arcavir
PSW.OnlineGames.2.S - AVG
Packer.Malware.NSAnti.1 - BitDefender
Trojan.Nsanti.Packed - Dr.Web
Suspicious - Fortinet
PWS-Gamania.gen.a - McAfee
PWS:Win32/Frethog.AJ - Microsoft
Heur.W32 - mks_vir
W32/Viking.gen5 - Norman
Suspicious - DNAScan - Quick Heal
Trojan-GameThief.Win32.Magania.aayp - VBA32
Trojan.Dropper - Symantec
IM-Worm.Win32.Agent.f - Kaspersky
IM-Worm.Win32.Agent.f - F-Secure
Win32/IRCBot - Nod32

CODE

Type :
TROJAN


Virus behavior :
dropping this files in your machine
_fsntfs.sys
014[1].exe
0712301.exe
0801011.exe
1.exe
33.exe
76022_164338_load.exe
76038_788837_newad.exe
76046_8295707_2.exe
anjwsoinhj.exe
bot.exe
darkskp1007.exe
explorer.exe
fk[1].exe
gift_vip_net_VideoAccessCodecInstall.exe
herjt384.exe
iergkj.exe
img604.jpg_jesusmillan160@hotmail.com
it.exe
loader.exe
postal_gusanito.exe
rising95.exe
syskiuf.exe
tcmsetup.dll
Tempmbroit.exe
test.exe
vxl.exe
timplatform.exe
tmhcsgbbcf.exe
tmp3595029.exe
tmp608194.exe
vv18.exe

SOLUTION I
1. กด ctrl + Alt + del เพื่อเรียก task manager
2. ดูที่ process list ว่ามี winlog32.exe หรือไม่ ถ้ามีให้ end task ไป
3. ไปดูที่ start => run พิมพ์ว่า msconfig แล้ว enter
4. ไปที่ แท๊บ start up ดูหา Winlog32.exe ให้ uncheck มัน แล้ว กด OK ยังไม่ต้อง restart
5. เข้า Start => Search แล้วไป search ที่ drive c: หาไฟล์ winlog32.* ถ้าเจอ winlog32.exe - ให้ลบทิ้งไป
6. restart Windows อีกครั้ง

SOLUTION II
การกำจัดแบบอัตโนมัติ ก่อนอื่นต้องดาวน์โหลดโปรแกรม MSN_Worm_Remover.exe จาก http://www.thaicert....orm_Remover.exe ขนาดไฟล์ 111,104 ไบต์ จากนั้นรันไฟล์ที่ดาวน์โหลดมาโดยการดับเบิลคลิ๊กไฟล์ MSN_Worm_Remover.exe

ทิปจาก : www.manager.co.th

CODE

SOLUTION III

1.ก่อนอื่น กด ที่คีย์บอร์ด
ctrl+alt+del แล้ว end process winlog32.exe


2.ที่ Start -> Run พิม regedit แล้วตกลง
หาคีย์
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce



ถ้าเจอตรงไหน ก็ให้ลบด้วยนะคับ

3.Restart เครื่อง computer
4.set explorer ให้แสดงโชว์ hidden file



5.ลบ file c:\windows\winlog32.exe



6.ที่ Folder options เลือ restore defaults แล้ว ok .จบคับ

เครดิต โดยน้องอั๋น

Credit : Bever

This post has been edited by b3HeM0tH: 10 June 2009 - 04:24 PM

[b3HeM0tH]

CREDIT!
shadow@thaiware.com
documents@nod32th.com
threatexpert.com


Virus name :
Trojan.AutoIT.AM - PC Tools
Bloodhound.Unknown - Symantec
W32/YahLover.worm.a - McAfee
Worm.AutoRun.ADQ - PC Tools
W32.Blastclan.B - Symantec
W32/Trax-A - Sophos
Worm:Win32/Nuqel.K - Microsoft
WORM_SOHANAD.DW - Trend Micro
W32/YahLover.worm - McAfee
PE_VIRUT.GEN-2 - Trend Micro
Possible_Sohnad - Trend Micro
TROJ_UTOTI.AW - Trend Micro
W32.Imautorun - Symantec
W32/Virut.gen - McAfee
W32.sality


File created by virus :
%System%\blastclnnn.exe
%System%\scvshosts.exe
%Windir%\hinhem.scr
%Windir%\scvshosts.exe

อาการทั่วๆไป
-คุณไม่สามารถใช้งาน Windows Task Manager (เมนูจะด้านครับคลิกใช้งานไม่ได้)
-คลิกปุ่ม Start >> RUN.. เพื่อจะใช้งาน msconfig หรือ regedit ไม่ได้
-ลองคลิกในหน้าต่าง My Computer >> Tools >> ตัวเลือก Folder Options... จะถูกซ่อนไว้
-โปรแกรมแอนตี้ไวรัสบางโปรแกรมถูกปิดการทำงานและจะถูกลบไฟล์บางไฟล์ทิ้งไป เช่น ทำให้โปรแกรม Nod32 ไม่ให้สามารถใช้งานได้
-ไม่สามารถดับเบิ้ลคลิกเปิดดูข้อมูลใน Handy Drive ได้หากคุณโดนไวรัสตัวนี้ คลิกทีไรมันก็จะเปิด My Document ขึ้นมาทุกที
-ทำให้เครื่อง Restart เอง บ่อยๆ

Virus behavior :
เวิร์ม Win32/Autoit.AC โดยเวิร์มตัวนี้จะทำการสร้างไฟล์ชื่อ bad1.exe, bad2.exe, bad3.exe, system.exe, msmsgs.exe ขึ้นมาอยู่ในโฟลเดอร์ C:\WINDOWS\System32 โดยเวิร์มตัวนี้จะใช้การแพร่กระจายทาง USB Drive โดยใช้เทคนิค Autorun

อาการของเครื่องที่ติดเวิร์มตัวนี้จะไม่สามารถใช้งาน Task Manager, Msconfig, Regedit, Folder Option, และฟังก์ชั่น Seacrh ได้ ทำการซ่อนไฟล์และนามสกุลไฟล์ ตลอดจนปิดการทำงานของโปรแกรม Antivirus ที่ติดตั้งอยู่ในเครื่องด้วย




SOLUTION I
ดาวน์โหลด NOD32 Bad1,2,3[Autoit.AC]-Fix ไปรันในเครื่อง



SOLUTION II

เมื่อคืนนี้ผมนั่งทดสอบแก้อยู่ครับ จากการตรวจสอบคร่าวๆโปรแกรมถูกสร้างจาก AutoIt v3 แพ๊กแบบ UPX

Update

ขณะนี้โปรแกรม Nod32 ที่อัพเดทแล้วสามารถรู้จักไวรัสตัวนี้แล้วนะครับ โดยมันจะมีชื่อว่า Win32/Autoit.AC

ท่านใดที่ใช้แอนตี้ไวรัสตัวอื่นๆ ก็คงต้องรอสักพักจนกว่าบริษัทผู้ผลิตแอนตี้ไวรัส จะทำการอัพเดทฐานข้อมูลไวรัสตัวนี้ลงในโปรแกรมแอนตี้ไวรัสครับ

ส่วนท่านใดที่ติดไวรัสตัวนี้ไปแล้ว ก็แก้ไขตามวิธีของผมด้านล่างนี้ครับ

อาการเมื่อติดไวรัสตัวนี้ อย่างคร่าวๆ
- ไม่สามารถใช้งาน Windows Task Manager , msconfig ,regedit
- ตัวเลือก Folder Options... ถูกซ่อนไว้ไม่ให้สามารถใช้งานได้
- ปิดการทำงานและลบไฟล์ของแอนตี้ไวรัส เช่น Nod32 ไม่ให้สามารถใช้งานได้

วิธีการแก้ไข
- ดาวน์โหลด Nod32 Registry Recovery Tool
ดูรายละเอียด และดาวน์โหลดจาก
http://community.tha...howtopic=301357
วางโปรแกรมไว้ที่ desktop เพื่อสะดวกในการใช้
- รีสตาร์ทเครื่องใหม่ กด F8 หลายๆครั้ง เลือกเข้าสู่ Safe Mode
- เมื่อเข้าสู่ Safe Mode ให้กด Start -> Run พิมพ์ msconfig กด OK
- เลื่อบแท๊ปไปที่ Startup ยกเลิกรายการ ดังต่อไปนี้ออก
ิ
system
bad1
bad2
bad3
Msmsgs

กด OK

- รันโปรแกรม Nod32 Registry Recovery Tool ขึ้น ทำตามขั้นตอนต่างๆจนเสร็จ Windows Task Manager , msconfig , regedit และ Folder Optionsจะสามารถกลับมาใช้งานได้
- เข้าหน้าต่าง Windows Explore เลือก Tools -> Folder Options... -> View
ที่รายการ Hidden files and folders
เลือก
- Show Hidden files and folders

ปลดเครื่องหมายหน้ารายการต่อไปนี้ออก
- Hide extensions for know files type
- Hide protected operating system files <- หากไม่ปลดตัวเลือกนี้จะมองไม่เห็นไฟล์ Msmsgs.exe ซึ่งต้องลบ

กด OK

- เข้า C:\WINDOWS\system32
ลบรายการ

bad1.exe
bad2.exe
bad3.exe

และลบ Msmsgs.exe ซึ่งเป็นไฟล์ซ่อนออก

- รีสตาร์ทกลับสู่โหมดปกติ
เพิ่มเติม
การแก้ไข Search หาย (ขอบคุณคุณ tonyjam ที่หาลิงค์วิธีแก้)http://www.bcoms.net/webboard/detail.asp?id=36738

การจัดการกับไวรัสในแฟลชไดร์ฟ

หากมีหน่วยความจำประเภท แฟลชไดร์ฟ หรือ แฮนดี้ไดร์ฟ ที่ติดไวรัสตัวนี้ ให้ทำการเสียบเพื่อเชื่อมต่อเข้าสู่คอมพิวเตอร์ ระหว่างเสียบและรอการรันให้กดปุ่ม Shift ค้างไว้ เพื่อป้องการการ Autorun ของไวรัส

- เมื่อแฟลชไดร์ฟเชื่อมต่อแล้วให้ทำการ คลิกขวาที่ไดร์ฟ เลือก Open ห้ามทำการดับเบิ้ลคลิกที่ไดร์ฟเด็ดขาด
- เข้าหน้าต่าง Windows Explore เลือก Tools -> Folder Options... -> View
ที่รายการ Hidden files and folders
เลือก
- Show Hidden files and folders

ปลดเครื่องหมายหน้ารายการต่อไปนี้ออก
- Hide protected operating system files

- ลบไฟล์ system.exe และ Autorun.inf ออก

เท่านี้ไวรัสก็จะถูกกำจัด

This post has been edited by b3HeM0tH: 10 June 2009 - 04:39 PM

[b3HeM0tH]

CREDIT!

threatexpert.com





Name :
Win32.Virut.Gen [PCTools]
Virus.Win32.Virut.n [Kaspersky Lab]
Downloader [Symantec]
W32/Virut.gen [McAfee]
PE_VIRUT.D [Trend Micro]
W32/Vetor-A [Sophos]
Virus:Win32/Virut.AK [Microsoft]





SOLUTION I
เนื่องจากโทรจัน 'สร้าง' ไฟล์จำนวนมาก ลงในเครื่อง การแก้แบบไล่ลบทีละตัวจะเสียเวลามาก ให้คุณดาวน์โหลด combofix ไปรันใน safe mode (วิธีใช้ มีให้ในกระทู้แล้วครับ)







ดองไว้แป๊บนึง เดี๋ยวมาทำต่อ

This post has been edited by b3HeM0tH: 04 October 2008 - 12:20 AM

[b3HeM0tH]

CREDIT!
bill@thaiware.com




Virus behavior :
มีโฟลเดอร์ Full House หรือ fullhouse ปรากฏอยู่ในส่วนของ My Computer และ Control Panel ซึ่งทั้ง 2 ที่นี้จะไม่สามารถทำการลบได้ หากดับเบิ้ลคลิ๊กเข้าไปจะมีไฟล์รูปนางเอกเรื่อง Full House ซ่อนอยู่ และจะสร้าง Folder มีชื่อเหมือนกับ Folder ที่มีอยู่เดิม .ผมชึ่งต้องทำงานโดยใช้ drive ไม่สามารถทำได้ .ข้อมูนหายหมด ดาวโหลดอะไรก็ไม่ได้จะถูกซ่อน.อับเดด ไวรัส ก็เอาออก ไม่ได้ หาไม่เห็น,ไม่สามารถเข้า regedit ได้ .ดาวโหลด unhookexe ก็เข้าregedit ไม่ได้

ครื่องที่ติด
- วิธีกำจัด virus full house เผื่อใครโดน

เครื่องที่ติดไวรัส Full House เท่าที่ผมได้พบเห็นจะมีอาการคือ
มีโฟลเดอร์ Full House หรือ fullhouse ปรากฏอยู่ในส่วนของ My Computer และ Control Panel ซึ่งทั้ง 2 ที่นี้จะไม่สามารถทำการลบได้ หากดับเบิ้ลคลิ๊กเข้าไปจะมีไฟล์รูปนางเอกเรื่อง Full House ซ่อนอยู่ และจะสร้าง Folder มีชื่อเหมือนกับ Folder ที่มีอยู่เดิม

วิธีกำจัด :
1. เปิด My Computer
2. เลือก Tools > เลือก Folder Options.. > Tab view
3. เลือก Show hidden file and folders
4. เอาเครื่องหมายถูกออก Hide extensions...... และ Hide protected..... ทั้ง 2 รายการ
5. เลือก OK

กรณี สื่อบันทึกข้อมูล
1. เข้าไปที่ Drive USB ที่มีอยู่
2. เปลี่ยนมุมมองเป็น Details
3. ลบ Folder ที่มี Type เป็น Application
4. แดรกเมาส์ Folder คลิกขวา เลือก Properties แก้ไข Attributes โดยคลิกเลือกเอาเครื่องหมายถูกออกหน้า Hiden ออก ครับ
5. คลิก OK
6. ปล. หากมีไฟล์ Autorun.inf ฝากลบเสียด้วยครับ

กรณีในเครื่องคอมพิวเตอร์ (Hard disk)ทำตามวิธีกำจัดข้อ1-5)
1. อัพเดทแอนตี้ไวรัสที่มีอยู่ให้เป็นปัจจุบัน

*เพิ่มเติม* เมื่อทำการแสดง File or Folder ที่ซ่อนแล้วให้เข้าไปลบ Folder "Full House" ใน Drive C ด้วย หากสังเกตุจะมีสถานะเป็น Folder ที่ซ่อนครับ จากนั้นจะมี Folder "taskmgr" อยู่ใน Drive C ต้องลบด้วยครับเพราะมันมากับไวรัสตัวนี้ครับ

2. ค้นหาไฟล์ UnHookExec.inf ใน google ดาวน์โหลดเซพไว้หน้าเดสท็อป จากนั้นคลิกขวาที่ไฟล์เลือก Install เพราะว่าเท่าที่เจอมาไวรัสชนิดนี้จะป้องกันการแก้ไข รีจิสทรี (Regedit) , msconfig และ gpedit.msc
3. เลือก Srart > Run > พิมพ์ regedit > Enter
4. กด Ctrl + F ใส่คำว่า "Full House" จะเจอตำแหน่งในรีจิสทรี มีชื่อ Folder ว่า "{00020D75-0000-0000-C000-0000000000AA}" ให้ลบทั้ง Folder น่ะครับ
5. กด Ctrl + F ใส่คำว่า "FullHouse" (สังเกตุไม่มีการเว้นวรรคระหว่างคำน่ะครับ) ให้ลบ Folder "FullHouse" ตำแหน่งรีจิสทรี "HKEY_CURRENT_USER/Software/VB and VBA Program Settings/FullHouse"
6. เมื่อเจอ(รับรองต้องเจอแน่นอน) คลิกขวาที่รายการที่เจอ เลือก Delete ย้ำน่ะครับลบทั้ง Folder
7. ลบ Folder "Full House" ใน Drive System ส่วนมากจะเป็น Drive c: ครับ (สังเกตุ Folder สีจางๆ)
8. ลบ Folder "Taskmgr" ใน Drive System ส่วนมากจะเป็น Drive c: เช่นกันครับ (สังเกตุ Folder สีจางๆ)
9. ในบางเครื่องจะมี Folder "config/smss.exe" สังเกตุเมื่อเป็นมุมมองเป็นแบบ Detail และ Type ของ Folder จะเป็น Application ขนาด(Size) 80 KB ซึ่งในความเป็นจริงType ของ Folder ควรจะเป็น File Folder ครับ ให้ลบทิ้งด้วยน่ะครับ หากเครื่องไหนไม่มีให้ขั้นตอนนี้ไปครับ
10. เลือก Srart > Run > พิพม์ gpedit.msc > Enter
11. เลือก User configuration > Administrative Template > System > ดับเบิ้ลคลิก Turn off Autoplay
12. เลือก Enabled > ในรายการ turn off Autoplay on เป็น All drives
13. เลือก OK
14. เข้าไปที่ Control panel ลบ Folder "Full house" (บางเครื่องอาจจะเป็น Folder ที่ไม่มีชื่อก็ให้ลบได้เลยครับ)
15. จากนั้น Reboot เครื่องใหม่ จากนั้นก็จะไม่มีแล้ว ครับ

เขียนโดย : รัตนธ์พงค์ ใสแก้ว (Ken)

This post has been edited by b3HeM0tH: 03 October 2008 - 02:36 PM

[b3HeM0tH]

CREDIT!
warbandit@exteen.com








Virus Name :
Kaspersky : Virus.Win32.VB.dg
Grisoft : Worm/VB.AWV
Symantec : W32.SillyFDC
Mcafee : W32/Pitin.worm virus
Sophos : W32/Baysur-B
Panda : Trj/Yabarasu.A
Eset : Win32/VB.DG virus
Bitdefender : Trojan.Genlot.B





SOLUTION!

วิธีที่ 1

1. ลบ autoexec.bat ในไดร์ c
2. ลบ autorun.info ใน drive c: โดยพิมพ์ที่ command line
attrib autorun.inf -s -h -r press Enter
DEL autorun.inf
3. รัน regedit
“HKEY_LOCAL_MACHINE”, then “SOFTWARE” then “Microsoft” then “Windows NT” then “Current Version” then “WinLogon”.

and on the right windows (under data) modify or delete “LegalNoticeCaption” & “LegalNoticeText”. you should be fine.

go to start, run, type in regedit and find;

4.วิธีโชว์ Show Hidden files

Start --- Run --- regedit --- OK แล้วไปที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL
CheckedValue = "0"
เปลี่ยนค่าให้เป็น 1 ก็ใช้ได้แล้ว
แต่ถ้ายังแก้ไม่ได้ ให้อัปเดทโปรแกรมแอนตี้ไวรัสแล้วแสกนจัดการมันก่อน

วิธีที่ 2

หากทำวิธีที่ 1 แล้ว ไม่ได้ผล ก่อนทำอะไรทุกอย่าง ช่วย disable restore ก่อนทุกครั้ง

คาดว่าไวรัส ยังฝังอยู่
เอางี้แล้วกัน

อันนี้วิธีการลบ ไฟล์ autorun ใน thumb drive หรือ ฮาร์ดดิส

ไปที่ start->run-> พิมพ์ cmd Press Enter
โดยพิมพ์ที่ command line
attrib autorun.inf -s -h -r press Enter
DEL autorun.inf

ส่วนไฟล์ซ่อนอยู่ ก็ ไปที่ Registry เพื่อที่ให้มัน แสดงออกมา

วิธีโชว์ Show Hidden files

Start --- Run --- regedit --- OK แล้วไปที่
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Explorer\\Advanced\\Folder\\
Hidden\\SHOWALL
CheckedValue = "0"

พอเห็นเป็น จางๆ ใช่ไหมครับ ก็ select all แล้ว คลิ้กขวา Properties ติ๊กเอา hidden ออกไป

[b3HeM0tH]

http://www.webphand.com/kxvo/
http://www.spywarere...ovekavoexe.html
http://www.spywarere...ealLineage.html

kavo.exe

แปะไว้ก่อน ว่างๆจะมาเรียบเรียง

This post has been edited by b3HeM0tH: 11 December 2008 - 04:29 PM

[b3HeM0tH]

w32.zafi

http://www.thaicert....lert/zafi_d.php

[b3HeM0tH]

ตัวนี้มีแค้นฝังใจกับมันเป็นการส่วนตัว

Resycled\boot.com

solution
http://www.webphand.com/RECYCLER/

This post has been edited by b3HeM0tH: 04 June 2009 - 02:07 PM

[b3HeM0tH]

เป็นเวิร์มตัวร้ายที่สามารถแพร่กระจายตามระบบเครือข่ายได้

ประมาณว่า เสียบสายแลนแล้ว วิ่งเข้าวงแลนเลย เหอๆ


http://www.viruslist...irusid=21782725
http://warbandit.ext...0114/win32-kido
http://warbandit.ext...r-kido-downadup

Avast : Win32.Confi [Wrm]
AVG : Dropper.Generic.AFNC
Avira : Worm/Kido.DH
BitDefender : Win32.Worm.Kido.K
Mcafee : W32/Conficker.worm.gen.b
Sophos : Mal/Conficker-A
Symantec : W32.Downadup.B
Hauri : Worm.Win32.Conficker.173318
Microsoft : Worm:Win32/Conficker.B
Nod32 : a variant of Win32/Conficker.AA.Worm

วิธีป้องกันโหลด patch จาก Microsoft ต่อไปนี้ โดยเลือกให้ถูกกับระบบปฏิบัติการในเครื่องด้วยนะครับ


Solution
โหลด AVZ4 แล้วไปรันในเครื่อง โดย Check ถูกที่ ฮาร์ดไดรว์ทุกไดรว์ที่มีในเครื่อง แล้วกด Start ! เท่านั้นหล่ะครับ

จากนั้นก็ลงไดรเวอร์เสียงลงไปตามนะครับ เครื่องของคุณจะมีเสียงตามปกติแล้ว !

This post has been edited by b3HeM0tH: 31 March 2009 - 08:52 AM

[b3HeM0tH]

win32.sality

<a href="http://www.dekitclub.com/forum/index.php?topic=1133.0" target="_blank">http://www.dekitclub.com/forum/index.php?topic=1133.0</a>

สดุดีเลยครับ ไอ้เจ้า sality มีคนเขียนไว้อย่างละเอียดแล้ว

CREDIT
MorMeng@dekitclub.com

This post has been edited by b3HeM0tH: 11 May 2010 - 06:42 AM

[OctraBond]

ไวรัสเกรียนเทพ จะมาทั้งชุดแบบนี้ (หรือถ้ามาไม่ครบก็ไม่ต้องเก็บเอาไว้)
gdiupogmr ถ้ากดตามภาษาไทย จะได้คำว่า เกรียนเทพ (สร้างโดยคนไทยแน่นอน)

O4 - Startup: GdiupogmrlockA.exe
O4 - Startup: GdiupogmrlockB.exe
O4 - Startup: GdiupogmrlockC.exe
O4 - Startup: GdiupogmrlockD.exe
O4 - Startup: GdiupogmrlockE.exe
O4 - Startup: GdiupogmrlockF.exe
O4 - Startup: GdiupogmrlockG.exe
O4 - Startup: GdiupogmrlockH.exe
O4 - Startup: GdiupogmrlockI.exe
O4 - Startup: GdiupogmrlockJ.exe

O4 - Global Startup: GdiupogmrlockA.exe
O4 - Global Startup: GdiupogmrlockB.exe
O4 - Global Startup: GdiupogmrlockC.exe
O4 - Global Startup: GdiupogmrlockD.exe
O4 - Global Startup: GdiupogmrlockE.exe
O4 - Global Startup: GdiupogmrlockF.exe
O4 - Global Startup: GdiupogmrlockG.exe
O4 - Global Startup: GdiupogmrlockH.exe
O4 - Global Startup: GdiupogmrlockI.exe
O4 - Global Startup: GdiupogmrlockJ.exe

This post has been edited by OctraBond: 01 May 2009 - 11:20 PM

[b3HeM0tH]

Special Credit!
NiteHawk@aviraSupportForum

* TR/Agent.its
* TR/Agent.imh
* TR/PSW.Delf.AH
* TR/Spy.Delf.tge
* TR/PSW.Kates.C.25
* TR/Drop.Agent.qna.2

SOLUTION 1
ใช้ DaonolFix โดยดาวน์โหลดจาก
http://jpshortstuff....a/DaonolFix.exe

SOLUTION 2

This post has been edited by b3HeM0tH: 10 June 2009 - 04:12 PM

[b3HeM0tH]

http://ict.cmarea3.g...35acc28c1bf629f