How to remove MarioForever
( Win32 Kryptik.ES : Detect by NOD32 )
MarioForever.exe
Md5 : BEC704FD9C74A1FA792BCC7F8952A740
SHA1 :9FBBC8BD8B4F7D493B5B8A86CDDB106CB082D02D
==================================================
Other name
a-squared > Worm.Win32.Pinit!IK
AhnLab > Win32/Pinit.worm.180224.B
AntiVir > TR/Drop.Pinit.AQ.1
Antiy-AVL > Worm/Win32.Pinit.gen
Authentium > W32/Worm.AMDZ
Avast >4 Win32:Falder AVG > SHeur2.MJN
BitDefender >4 Trojan.Generic.1806852
CAT-QuickHeal > Worm.Pinit.av
Comodo > Worm.Win32.Pinit.~U
DrWeb > BackDoor.Zapinit.85
eSafe > Win32.Kryptik.es
eTrust > Win32/Pruserinf.AM
F-Prot > W32/Worm.AMDZ
F-Secure > Worm.Win32.Pinit.av
Fortinet > PossibleThreat
GData > Trojan.Generic.1806852
Ikarus > Worm.Win32.Pinit
Jiangmin > Worm/Pinit.fk
Kaspersky > Worm.Win32.Pinit.av
McAfee > Generic.dx
Microsoft > TrojanDropper:Win32/Mariofev.F
NOD32 > Win32/Kryptik.ES
Panda > Trj/Downloader.MDW
Prevx > High Risk Worm
Rising > Trojan.Clicker.Win32.Undef.gj
Sophos > Troj/FakeAle-LE
Sunbelt > Worm.Win32.Pinit.av
Symantec > Trojan Horse
TheHacker > W32/Pinit.av
TrendMicro > WORM_SILLY.BT
VBA32 > Malware-Cryptor.Win32.Stit
ViRobot > Worm.Win32.Pinit.180224.B
VirusBuster > Worm.Pinit.HX
===================================================
ผมได้ไฟล์ virus นี้มาจากที่ทำงาน ซึ่งโดย virus ตัวเล่นงาน เอา server down ไปเลย
และโดย ซ้ำสองด้วย conficker ติดๆกัน มันไปเลย
จากการทดสอบพบว่า มีการสร้างไฟล์ลงใน system32 ดังนี้
C:\windows\system32\aston.mt (Win32.Kryptik.ES)
C:\windows\system32\qvcg
C:\windows\system32\mihne (Win32.Penit)
C:\windows\system32\nvaux32.dll (Win32.Penit.J)
C:\windows\system32\dllcache\user32.dll (Win32.Penit)
C:\windows\system32\user32.dll (Win32.Penit)
C:\windows\system32\ef3p.ee
C:\windows\system32\2rg3.es
C:\windows\system32\gr1.e
C:\windows\system32\zred.pa
C:\windows\system32\4rr.pa
C:\windows\system32\fks.es
C:\windows\system32\atmapi.sys
อีกตัวที่ไม่แน่ใจคือ Gymkgo
(ดูข้อมูลจาก ThreatExpert มีตัวนี้ด้วย ผมไม่ใจว่าเป็นตัวเดียวกันหรือเปล่า)
สร้างไฟล์ ลงใน USB Drive
Game.exe
Auturun.inf
มีการเปิด port 445
Registry Modifications
HKLM\SOFTWARE\Microsoft\WBEM\WMIC\mofcompstatus: "1"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\Cli.mof: "128102708460000000"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\CliEgAliases.mof: "128102708460000000"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\CliEgAliases.mfl: "128102708460000000"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MID: "76FD6854BFAC4B6A8C113536DCF72A4FAF2899E51D524EFC8CF4AD02F795B671"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\hmpInit_Dlls: "nvaux32"HKLM\SOFTWARE\11\31AC70412E939D72A9234CDEBB1AF5867B: "ioeehkfrffeoekefejfqflfjdrdgdpdndhdogdgdekgdcgchhicldn"HKLM\SOFTWARE\11\31897356954C2CD3D41B221E3F24F99BBA: 0x042BCF94HKLM\SOFTWARE\11\31C2E1E4D78E6A11B88DFA803456A1FFA5: 0x00000000HKLM\SOFTWARE\8\31AC70412E939D72A9234CDEBB1AF5867B: "qdmrpjnenknlnrninomfmimmkgkdkmkqlqldoqoomfjmjfijijemjhij"HKLM\SOFTWARE\8\31897356954C2CD3D41B221E3F24F99BBA: 0x020677A3HKLM\SOFTWARE\8\31C2E1E4D78E6A11B88DFA803456A1FFA5: 0x00000000HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core\EnableConcurrentSessions: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Control\ActiveService: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Service: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Legacy: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Class: "LegacyDriver"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\DeviceDesc: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Control\ActiveService: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Service: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Legacy: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Class: "LegacyDriver"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\DeviceDesc: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\0: "Root\LEGACY_RDPWD\0000"HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\Count: 0x00000001HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\0: "Root\LEGACY_TDTCP\0000"HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\Count: 0x00000001HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConcurrentSessions: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Control\ActiveService: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Service: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Legacy: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Class: "LegacyDriver"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\DeviceDesc: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Control\ActiveService: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Service: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Legacy: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Class: "LegacyDriver"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\DeviceDesc: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\0: "Root\LEGACY_RDPWD\0000"HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\Count: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\0: "Root\LEGACY_TDTCP\0000"HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\Count: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\NextInstance: 0x00000001
-----------------------------------------------------------------------
วิธีกำจัด MarioForever ( Win32 Kryptik.ES : Detect by NOD32 )
แบบของผมนะครับ
-----------------------------------------------------------------------
Download Virus Remove Tool
PeeTechFix_MarioForever-Win32.Kryptik
Download Update path : Security Update for Windows XP (KB958644)
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
1. ให้ตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างก่อน เช่น wireless, LAN , bluetooth เป็นต้น
2. ปิดการ Share folder ทุก folder
3. ปิด system Restoreโดย click check box ตรง turn off system restore on all drive
4.เมื่อ Download โปรแกรม มาแล้วให้ Extract ออก เปิดเข้าไปใน folder จะเห็นไฟล์อยู่ 4 ไฟล์
ให้ double click ที่ไฟล์โปรแกรม PeeTechFix_MarioForever-Win32.Kryptik.ES
โปรแกรมจะทำการ Scan ทุก drive เพื่อกำจัด virus (ถ้ามี USB Drive ก็เสียบไว้เลยครับ๗
และเมื่อโปรแกรม Scan เสร็จ โปรแกรมจะให้ Restart เครื่อง แต่ก่อน restart โปรแกรมจะทำ recovery safemode ก่อน
5. ติดตั้ง updat path KB958644 และ KB894391
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
แก้ Generic Host Process error
http://support.microsoft.com/?kbid=894391
หลังจาก restart เครื่องใหม่แล้ว ถ้าเครื่องไหนมี Taskbar สีเพี้ยนไป เหมือน theme ของ windows classic
ให้ click ขวาที่ desktop แก้ไข ตรง theme ครับ
จบแล้วครับ วิธีแก้ virus MarioForever ( Win32 Kryptik.ES : Detect by NOD32 )
หลังจากกำจัด virus เรียบร้อยแล้วแนะนำให้ติดตั้งโปรแกรม CPE17 (free) หรือ USB Disk Security (shareware)
เพื่อป้องกัน virus อาศัย autorun ในการทำงาน และ ให้ update antivirus ให้เป็นปัจจุบัน
================ Test by PeeTech===================
จำนวนครั้งที่ทดสอบ : 3 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2
Alert
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool
*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker
7/10/2552
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
Information
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
|Windows XP | WindowsVista | Windows 2000 |WindowsServer 2003 |SafeBootKeyRepair |PeeTech_SafeModeRecovery (XP)
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode
Popular Posts
-
Instead, take the time see how to avoid ransomware attacks with this essential sheet. How many check marks can you score?
-
OpenToYou decryption tools Globe3 decryption tool Dharma Decryptor CryptON decryption tool Alcatraz Decryptor tool // direct tool...
-
Tool สำหรับ กำจัด virus ต่างๆ ------------------------------------------------------------------------- PeeTech Fix Tool + Other Virus Remo...
-
Security researchers observed a new ransomware strain dubbed VevoLocker. Its variants have already encrypted multiple websites, including t...
-
Security Alert: New Dharma Ransomware Strains Alarmingly Go Undetected By Antivirus Engines At least four new strains appeared recently ....
-
------------------------------------------------------------------------- PeeTechFix-Win32/PSW.OnlineGames 2.0.5 AVDB-006 (update 20/10/2009...
-
#Malware Remove Tool# Process and Task Manager Tool 1. ExplorerXP Download link 1 hot ! 2. Process Explorer Download link...
-
## รบกวนผู้ที่เข้ามาอ่านช่วยกันแชร์ด้วนะครับ ## *คำเตือน ห้ามจ่ายเงิน โดยเด็ดขาด เพราะจะเสียทั้งเงินและไม่ได้ข้อมูลคืน เนื่องจาก การ...
-
yqq8eqil.exe , dsoqq.exe File size: 115712 bytes MD5 : d524e0f7b6f1c230d1d80e2761c45cba SHA1 : 7bc83956f87d8de8ba1d846e36d151f5f9d9035 6 ...
-
Malware Trends Chart (Last updated: 07-08-2015) www.enigmasoftware.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น