"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่ค่อยได้มีการ update หรือทดสอบ virus ตัวใหม่ๆ เนื่องจากภาระหน้าที่การงาน"

Alert


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker

6/30/2552

Virus: Win32/PSW.OnLineGames.NNU (1)

How to remove olhrwef.exe (Win32/PSW.OnLineGames.NNU)
olhrwef.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
nmdfgds0.dll (Win32/Pacex.Gen :Detect by NOD32)
olhrwef.exe ค่า MD5 : 7112746b97fe64c040f51570fa416aa4
===================================================
จากการเก็บตัวอย่าง virus มาทดสอบ โดย
มีไฟล์ Autorun.inf และxh319r9b.bat
[AutoRun]
open=xh319r9b.bat
shell\open\Command=xh319r9b.bat
เมื่อทำ Run ไฟล์ xh319r9b.bat พบว่าได้มีการสร้างไฟล์ olhrwef.exe และnmdfgds0.dll
อยู่ใน C:\windows\system32 และ สร้างไฟล์ Autorun.inf และ ไฟล์ xh319r9b.bat ที่ root ของทุกๆ drive
virus ตัวนี้ ไม่ได้ทำการซ่อน folder Option ,ไม่ disable Task Manager และไม่ Disable Regedit
สามารถทำงานได้ตามปกติ ทำให้ User ไม่ผิดสังเกตว่าเครื่องติดไวรัส แต่ที่สังเกตได้คือ ไม่สามารถเปิด show hidden file ได้

วิธีกำจัด Virus : olhrwef.exe (Win32/PSW.OnLineGames.NNU : Detect by NOD32)
แบบ Manual

มีไฟล์ที่ต้องหยุดการทำงาน 2 ตัวคือ olhrwef.exe และ nmdfgds0.dll (win32/pacex.Gen)
1.ใช้ Hijack this Fix ที่ olhrwef.exe เพื่อ ลบค่า startup ใน msconfig และ Registry


3. เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ olhrwef.exe ใน C:\windows\system32

4. เปิดโปรแกรม Explorestart เพื่อแก้ lock ของไฟล์ nmdfgds0.dll เนื่องจากลองใช้ unlocker แล้วโปรแกรมถูกปิดตามไปด้วย ทำให้เมื่อปิด Pcoress ของ explorer.exe หน้าจอจะไม่แสดงหน้าต่างอะไรให้เลย

5. ใช้ โปรแกรม ExplorerXP ตัวเดิม ลบไฟล์ nmdfgds0.dll ใน C:\windows\system32 จากนั้นเข้าไปลบ Autorun.inf และxh319r9b.bat ใน Root drive ของทุกๆ drive ( C:\, d:\ ..........Z:\) เวลาลบ อย่าลืม กด Shiif + ปุ่ม Delete ด้วยนะครับ

แก้ไขเพิ่มเติม : เนื่องจากพบว่า virus มีการสร้างไฟล์หลายชื่อ ซึ่งผมมีตัวอย่าง แค่ 1-2 ไฟล์ แต่ลักษณะเหมือนๆ กันกับ เจ้า Win32/PSW.OnLineGames.NMY

ใช้โปรแกรม ExplorerXP เข้าไป delete ไฟล์ root drive คือ autorun.inf , *.bat, *.com, *.cmd, *.exe ยกเว้น

AUTOEXEC.BAT ห้ามลบ

boot.ini ห้ามลบ

CONFIG.SYS ห้ามลบ

IO.SYS ห้ามลบ

MSDOS.SYS ห้ามลบ

NTDETECT.COM ห้ามลบ

ntldr ห้ามลบ

pagefile.sys ห้ามลบ

6. ใช้โปรแกรม Nod32 Recovery tool เพื่อคืนค่า Show hidden files

หรือลอง Download PeeTechFix_Win32.PSW.OlineGame 2.0 , วิธีใช้งาน
หรืออยากลองแบบ manual ก็ศึกษาจาก link พวกนี้ครับ
http://hotzone-it.blogspot.com/2009/08/peetechfixwin32pswonlinegame.html
http://hotzone-it.blogspot.com/2009/08/win32pswonlinegamesnmy.html
http://hotzone-it.blogspot.com/2009/07/virus-win32-pswonlinegamesohl.html http://hotzone-it.blogspot.com/2009/07/virus-kva8wrexe-win32pswonlinegamesnnu.html http://hotzone-it.blogspot.com/2009/06/win32pswonlinegamesnnu_30.html

จบแล้วครับ วิธีแก้ไข virus olhrwef.exe (Win32/PSW.OnLineGames.NNU)

คำแนะนำ : หลังจากกำจัด virus แล้วควร ติดตั้งโปรแกรม CPE17 หรือตัวอื่นก็ได้ที่ป้องกัน auturun และ Update Antivirus ด้วยครับ

หมายเหตุ : NOD32 Recovery Tool ที่ run ใน Vitualbox จะ Error แต่กลับเครื่องที่ติดจริงจะไม่มีปัญหาครับ

=========================== Test by PeeTech =====================

Windows XP SP2

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

Information

==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode

Popular Posts