ไวรัสตัวใหม่

อาการที่พบคือ
– ที่ Task Maneger>User หายไป เหลือว่างเปล่าๆ
– ไม่สามารถรันโปรแกรมที่ใช้ปรับแต่ง registry หรือโปรแกรมจำพวก Tweak ได้ รวมไปถึง Nero
– เมื่อรัน msconfig จะปรากฏเห็น aaa.exe และ bbb.exe รันอยู่ ซื่งเมื่อ Distable และรีสต๊าทเครื่องแล้ว ก็ยังรันอยู่เหมือนเดิม
– ไม่สามารถเข้าเว็ปบางเว็ปได้ กดเข้าแล้ว IE เด้งออกเลย (เดชะบุญ ยังเข้า Overclockzone ได้)
– ไม่สามารถดาวโหลดไฟล์จากเว็ปได้ (กดปุ๊ปเด้งปั๊บ)

กระทู้คุณ sumnurgrug@OCZ

วิธีแก้ไข

http://www.thainethost.com/security_alert/exe.html

ผมขอก้อบจากเว้บนี้มาเลยละกันครับ

อาการ
เมื่อติดไวรัส endless.exe, services.exe, aaa.exe, bbb.exe, word.exe
อาการเริ่มต้น มันสร้างชื่อเลียนแบบโฟลเดอร์ด้วยเมื่อติดแล้วจะเปิดโปรแกรมอะไรไม่ได้

เข้า regedit ไม่ได้(คำว่าปิดนี่คือเปิดขึ้นมาแล้วมันปิดวูบไปเลย)
dos ก็ปิด เปิด regrun มันก็ปิด
เข้าโปรแกรม Security Task Manager มันก็ปิด
เข้าเวบ google ค้นหาชื่อไฟล์ไวรัสaaa.exe bbb.exe services.exe

 คลิกค้นหาปุ๊บมันปิดเลยคลิกจะติดตั้งโปรแกรมมันก็จะปิดเลย
หรือจะเข้าเว็บไซต์เกี่ยวกับโปรแกรมป้องกันไวรัสมันก็จะปิดเช่นกัน
เปิดโฟลเดอร์ก็แทบจะไม่ได้ มันก็ปิดเช่นกัน
คงหลายโปรแกรมที่เปิดไม่ได้ เปิดไฟล์นามสกุล .exe

ก็ไม่ได้ แต่ว่ายังเปิดTask Managerได้
แล้วไปหาโปรเซสมันเพื่อจะหยุดมันพอกด end เท่านั้นแหละ

มันปิดเลย นั่นคืออาการของไวรัส endless.exe, services.exe, aaa.exe, bbb.exe, word.exe

อาการเพิ่มเติม
 
เมื่อไวรัสตัวนี้ ติดมากับ flash drive ครับ ชื่อไฟล์ README
มี icon คล้ายๆ ไฟล์ word แต่ไม่เหมือนกัน พอไป double click

แล้วมันก็แปลงไฟล์ word อื่นๆ ที่อยู่ใน flash drive
ให้เป็น icon แบบเดียวกันตัวมันและเปลี่ยนนามสกุลไฟล์ word จาก .doc

 เป็น .exeแล้วพอเอาไฟล์ word มาเปิดในเครื่อง

 มันก็มีอาการคือ
-มี process aaa.exe กับ bbb.exe
อยู่ใน startup list แต่ดูใน task manager ไม่มี

-เปิดโปรแกรม scan virus แล้วมันจะปิดไปเอง

-ถ้าเข้าเว็บไซต์หรือ search หาอะไรที่มีคำว่า virus หรือ spyware อะไรแนวๆนั้น มันจะปิด ie กับ firefox ไปเอง

-เปิด regedit แล้วมันจะปิดไปเอง

-ตั้ง show hidden file & folder ไปแล้ว แต่ซักพักมันจะ hidden
เอง

วิธีการแพร่กระจายของไวรัส

ไวรัสตัวนี้จะสร้างไฟล์ aaa.exe bbb.exe
ไว้ที่ c:\windows\aaa.exe และ c:\windows\bbb.exe
สร้างไฟล์ services.exe
ไว้ที่c:\windows\systen32\export\services.exe
สร้างไฟล์normal.dot
ไว้ในc:\windows\systen32\normal.dot
ขนาดไฟล์ 52kb
ทุกตัวและจะรันโปรเซส services.exe เป็นช่วงๆ
เพื่อเช็คว่าคุณพยายามกำจัดมันหรือไม่

แนวทางการแก้ไข
มีอยู่ 2 วิธ

วิธีที่ 1

โหลดโปรแกรมช่วยแก้โหลด เมื่อคลายออกมาแล้วเปิดไฟล์ชื่อ phand.exe

แล้วเลือกโปรเซสเกือบล่างสุดชื่อ services.exe แล้วคลิกkill process ดังรูป

 

และตอนนี้ไวรัสตัวนี้ก็หยุดทำงานแล้ว ก็เริ่มลบไฟล์ไวรัสที่สร้างไว้ได้เลยลบaaa.exe bbb.exeใน
c:\windows\ ลบ normal.dotในc:\windows\systen32\ลบ services.exeใน
c:\windows\systen32\export\ ปิดโปรแกรมช่วยแก้ไวรัสตัวนี้แล้วก็ลง AVG ป้องกันไวรัส จะได้ไม่มาอีก

วิธีที่ 2

1. เปิด notepad แล้วสร้างไฟล์สองชื่อโดยตั้งชื่อว่า aaa.exe และ bbb.exe

2. นำทั้งสองไฟล์ไปวางไว้ใน C:\WINDOWS ทับแทนที่ไฟล์ที่มีอยู่เดิม (ทับตัวไวรัสนั่นแหละ)

3. boot เครื่องใหม่ เมื่อเปิดเครื่องได้แล้วแก้ไข registry ตามนี้
run=>regedit=>HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

4. ลบอันที่มีชื่อว่า aaa.exe, bbb.exe

5. run=>regedit=>HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\Winlogon

6. ลบอันที่มีชื่อว่า aaa.exe, bbb.exe

7. ทำการคืนค่า registry โดยสามารถไปโหลด NOD32 Registry Recovery เพื่อทำการคืนค่า ได้ที่เว็บhttp://www.nod32th.com/component/option,com_docman/task,cat_view/gid,67/dir, DESC/order,name/Itemid,99999999/limit,5/limitstart,5/lang,th/

8. เพื่อความมั่นใจลบไฟล์ที่มีชื่อว่า Readme,aaa,bbb

ที่ยังคงหลงเหลืออยู่ในเครื่องออกให้หมด แล้วสแกนไวรัสอีกรอบ
ต่อด้วยสแกน Spyware

ขอขอบคุณทางเว้บ

http://www.thainethost.comครับ

หลังจากที่ลบ Virus ตัวนี้แล้วนะคับ

แนะนำลง NOD32 V.3 (ปรับแต่งโหด) กับ SpySweeper ควบคู่กันไปนะครับ

รับรอง

อ่านขาดครับ

ปล.แนะนำ NOD32 Skz Edition

This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s