Malware Fighting: Virus: Win32 Kryptik.ES

"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่ค่อยได้มีการ update หรือทดสอบ virus ตัวใหม่ๆ เนื่องจากภาระหน้าที่การงาน"

Alert

แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker

7/10/2552

Virus: Win32 Kryptik.ES

How to remove MarioForever
( Win32 Kryptik.ES : Detect by NOD32 )
MarioForever.exe
Md5 : BEC704FD9C74A1FA792BCC7F8952A740
SHA1 :9FBBC8BD8B4F7D493B5B8A86CDDB106CB082D02D
==================================================
Other name
a-squared > Worm.Win32.Pinit!IK
AhnLab > Win32/Pinit.worm.180224.B
AntiVir > TR/Drop.Pinit.AQ.1
Antiy-AVL > Worm/Win32.Pinit.gen
Authentium > W32/Worm.AMDZ
Avast >4 Win32:Falder AVG > SHeur2.MJN
BitDefender >4 Trojan.Generic.1806852
CAT-QuickHeal > Worm.Pinit.av
Comodo > Worm.Win32.Pinit.~U
DrWeb > BackDoor.Zapinit.85
eSafe > Win32.Kryptik.es
eTrust > Win32/Pruserinf.AM
F-Prot > W32/Worm.AMDZ
F-Secure > Worm.Win32.Pinit.av
Fortinet > PossibleThreat
GData > Trojan.Generic.1806852
Ikarus > Worm.Win32.Pinit
Jiangmin > Worm/Pinit.fk
Kaspersky > Worm.Win32.Pinit.av
McAfee > Generic.dx
Microsoft > TrojanDropper:Win32/Mariofev.F
NOD32 > Win32/Kryptik.ES
Panda > Trj/Downloader.MDW
Prevx > High Risk Worm
Rising > Trojan.Clicker.Win32.Undef.gj
Sophos > Troj/FakeAle-LE
Sunbelt > Worm.Win32.Pinit.av
Symantec > Trojan Horse
TheHacker > W32/Pinit.av
TrendMicro > WORM_SILLY.BT
VBA32 > Malware-Cryptor.Win32.Stit
ViRobot > Worm.Win32.Pinit.180224.B
VirusBuster > Worm.Pinit.HX
===================================================
ผมได้ไฟล์ virus นี้มาจากที่ทำงาน ซึ่งโดย virus ตัวเล่นงาน เอา server down ไปเลย
และโดย ซ้ำสองด้วย conficker ติดๆกัน มันไปเลย
จากการทดสอบพบว่า มีการสร้างไฟล์ลงใน system32 ดังนี้
C:\windows\system32\aston.mt (Win32.Kryptik.ES)
C:\windows\system32\qvcg
C:\windows\system32\mihne (Win32.Penit)
C:\windows\system32\nvaux32.dll (Win32.Penit.J)
C:\windows\system32\dllcache\user32.dll (Win32.Penit)
C:\windows\system32\user32.dll (Win32.Penit)
C:\windows\system32\ef3p.ee
C:\windows\system32\2rg3.es
C:\windows\system32\gr1.e
C:\windows\system32\zred.pa
C:\windows\system32\4rr.pa
C:\windows\system32\fks.es
C:\windows\system32\atmapi.sys

อีกตัวที่ไม่แน่ใจคือ Gymkgo
(ดูข้อมูลจาก ThreatExpert มีตัวนี้ด้วย ผมไม่ใจว่าเป็นตัวเดียวกันหรือเปล่า)

สร้างไฟล์ ลงใน USB Drive
Game.exe
Auturun.inf

มีการเปิด port 445

Registry Modifications

HKLM\SOFTWARE\Microsoft\WBEM\WMIC\mofcompstatus: "1"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\Cli.mof: "128102708460000000"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\CliEgAliases.mof: "128102708460000000"HKLM\SOFTWARE\Microsoft\WBEM\WMIC\CliEgAliases.mfl: "128102708460000000"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MID: "76FD6854BFAC4B6A8C113536DCF72A4FAF2899E51D524EFC8CF4AD02F795B671"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\hmpInit_Dlls: "nvaux32"HKLM\SOFTWARE\11\31AC70412E939D72A9234CDEBB1AF5867B: "ioeehkfrffeoekefejfqflfjdrdgdpdndhdogdgdekgdcgchhicldn"HKLM\SOFTWARE\11\31897356954C2CD3D41B221E3F24F99BBA: 0x042BCF94HKLM\SOFTWARE\11\31C2E1E4D78E6A11B88DFA803456A1FFA5: 0x00000000HKLM\SOFTWARE\8\31AC70412E939D72A9234CDEBB1AF5867B: "qdmrpjnenknlnrninomfmimmkgkdkmkqlqldoqoomfjmjfijijemjhij"HKLM\SOFTWARE\8\31897356954C2CD3D41B221E3F24F99BBA: 0x020677A3HKLM\SOFTWARE\8\31C2E1E4D78E6A11B88DFA803456A1FFA5: 0x00000000HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core\EnableConcurrentSessions: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Control\ActiveService: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Service: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Legacy: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\Class: "LegacyDriver"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\0000\DeviceDesc: "RDPWD"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDPWD\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Control\ActiveService: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Service: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Legacy: 0x00000001HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\Class: "LegacyDriver"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\0000\DeviceDesc: "TDTCP"HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDTCP\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\0: "Root\LEGACY_RDPWD\0000"HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\Count: 0x00000001HKLM\SYSTEM\ControlSet001\Services\RDPWD\Enum\NextInstance: 0x00000001HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\0: "Root\LEGACY_TDTCP\0000"HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\Count: 0x00000001HKLM\SYSTEM\ControlSet001\Services\TDTCP\Enum\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConcurrentSessions: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Control\ActiveService: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Service: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Legacy: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\Class: "LegacyDriver"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\0000\DeviceDesc: "RDPWD"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDPWD\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Control\*NewlyCreated*: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Control\ActiveService: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Service: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Legacy: 0x00000001HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\ConfigFlags: 0x00000000HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\Class: "LegacyDriver"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\0000\DeviceDesc: "TDTCP"HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDTCP\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\0: "Root\LEGACY_RDPWD\0000"HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\Count: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\RDPWD\Enum\NextInstance: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\0: "Root\LEGACY_TDTCP\0000"HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\Count: 0x00000001HKLM\SYSTEM\CurrentControlSet\Services\TDTCP\Enum\NextInstance: 0x00000001

-----------------------------------------------------------------------
วิธีกำจัด MarioForever ( Win32 Kryptik.ES : Detect by NOD32 )
แบบของผมนะครับ
-----------------------------------------------------------------------
Download Virus Remove Tool
PeeTechFix_MarioForever-Win32.Kryptik

Download Update path : Security Update for Windows XP (KB958644)
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

1. ให้ตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างก่อน เช่น wireless, LAN , bluetooth เป็นต้น
2. ปิดการ Share folder ทุก folder
3. ปิด system Restoreโดย click check box ตรง turn off system restore on all drive

4.เมื่อ Download โปรแกรม มาแล้วให้ Extract ออก เปิดเข้าไปใน folder จะเห็นไฟล์อยู่ 4 ไฟล์
ให้ double click ที่ไฟล์โปรแกรม PeeTechFix_MarioForever-Win32.Kryptik.ES
โปรแกรมจะทำการ Scan ทุก drive เพื่อกำจัด virus (ถ้ามี USB Drive ก็เสียบไว้เลยครับ๗
และเมื่อโปรแกรม Scan เสร็จ โปรแกรมจะให้ Restart เครื่อง แต่ก่อน restart โปรแกรมจะทำ recovery safemode ก่อน

5. ติดตั้ง updat path KB958644 และ KB894391
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

แก้ Generic Host Process error
http://support.microsoft.com/?kbid=894391

หลังจาก restart เครื่องใหม่แล้ว ถ้าเครื่องไหนมี Taskbar สีเพี้ยนไป เหมือน theme ของ windows classic
ให้ click ขวาที่ desktop แก้ไข ตรง theme ครับ

จบแล้วครับ วิธีแก้ virus MarioForever ( Win32 Kryptik.ES : Detect by NOD32 )
หลังจากกำจัด virus เรียบร้อยแล้วแนะนำให้ติดตั้งโปรแกรม CPE17 (free) หรือ USB Disk Security (shareware)
เพื่อป้องกัน virus อาศัย autorun ในการทำงาน และ ให้ update antivirus ให้เป็นปัจจุบัน
================ Test by PeeTech===================
จำนวนครั้งที่ทดสอบ : 3 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)

Information

==============================================

PeeTechFix >> JupiterFix

==============================================

Download : JupiterFix-Win32.PSW.OnlineGames 2011
(

AVDB-147

)

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames

ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt

-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง

-------------------------------------------------------------------------------------

Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้

------------------------------------------------------------------------------------

วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)

"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"

วิธีแก้ ดูที่ link นี้ครับ

http://hotzone-it.blogspot.com/2010/01/fix-error-peetechfix.html

-------------------------------------------------------------------------------------

วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)

http://hotzone-it.blogspot.com/2010/06/msn-disconect.html

-------------------------------------------------------------------------------------

How to start Windows in Safe Mode

Link1 or Link 2 or Link3

Malware Fighting

Menu

Alert

7/10/2552

Virus: Win32 Kryptik.ES

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

Information

Popular Posts