How to remove system.exe , Msmsgs.exe (Win32 Autoit.AX : Detect by NOD32)
system.exe , Msmsgs.exe
MD5 : B7A7E7C7F6BA1F89FBDDA06E0701AE7C
SHA1 : 980066D9E93DE19FD8D6EFD3B493BA249B55DB35
===================================================================
ไฟล์ที่ใช้ทดสอบ Newload.exe (รูป folder)
เมื่อ Run ไฟล์ virus ผมปรากฏว่า
Folder Option หายไปจาก Tool
Taskmanager และ Regedit ไม่สามารถใช้งานได้
เมื่อเรียกใช้คำสั่ง Taskmanager และ Regedit เครื่อง จะ Restart ภายในเวลาประมาณ 5 วินาที
มีการสร้างไฟล์ไว้ที่
C:\WINDOWS\system32\Microsoft\Msmsgs.exe
C:\Programfile\ESET\NOD32.exe ดังภาพ
มีการสร้างไฟล์ system.exe ลงใน Flash drive และ Hide folder ใน flash drive แล้วสร้าง Folder ปลอม ที่ชื่อเหมือนกับ folder ที่ซ่อน แต่มีนามสกุล .exe ดังภาพ
==================================================================
วิธีกำจัด virus system.exe , Msmsgs.exe (Win32 Autoit.AX : Detect by NOD32)
แบบ manual
==================================================================
Download Virus Remove Tool :
KillProcess ExplorerXP DKDC_Hash Hijack This NOD32 Recovery Tool
ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้
1.เปิดโปรแกรม Kill process ขึ้นมาแล้วหา รูป folder ที่มีนามสกุล .exe ทุกตัว
โดยถ้ามีหลายตัวให้กดปุ่ม Ctrl ที่ keyboard เพื่อเลือกได้หลายๆตัว จากนั้น กดปุ่ม Terminal เพื่อ kill process ของ virus
2. จากนั้นเปิดโปรแกรม ExplorerXP เข้าไปที่
C:\WINDOWS\system32\Microsoft\ แล้ว delete ไฟล์ชื่อ Msmsgs.exe
3. เข้าไป delete ไฟล์ nod32.exe ใน folder C:\Program Files\ESET
4. เข้าไป delete system.exe และ folder ปลอมใน flashdrive ให้หมด หรือวิธีที่สะดวกกว่า เช่น folder ปลอมมีจำนวน มาก ใช้ โปรแกรม DKDC_Hash ของคุณ ปิยะวัฒน์ เกลี้ยงขำ แห่ง DKDC ครับ
วิธีคือเลือกที่ไฟล์ต้นฉบับของไวรัส เพื่ออ่านค่า MD5 จากนั้น เลือกว่าจะ Scan ทุก Drive หรือระบุ Drive
จากนั้น กดปุ่ม ค้นหา + ทำลาย โปรแกรมจะทำการ Scan folder ปลอมที่มีขนาด MD5 = ไฟล์ต้นฉบับ
ซึ่ง ในที่นี้ ไฟล์ ตัวอย่างคือ NewLoad.exe ที่ใช้ทดสอบ
มีค่า MD5 = B7A7E7C7F6BA1F89FBDDA06E0701AE7C สังเกตว่าจะ Scan พบไฟล์ที่มีค่า MD5 เท่ากัน อยู่หลายที่ทั้งใน Harddisk ( ผมลองวางไฟล์ไว้หลายๆที่เพื่อทดสอบ) และ Flashdrive
ซึ่งโปรแกรม Scan ได้ถูกต้อง
5. เปิดโปรแกรม Hijack This แล้ว fix check ที่ 2 บรรทัด นี้ เพื่อแก้ไข userInit ของ Winlogon และ แก้ไข้ Regedit ถูก lock
REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Microsoft\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
6.เปิดโปรแกรม Nod32 Recovery Tool แล้วทำการ Fix now เพื่อคืนค่า Taskmanager และRegistry สำคัญ อื่นๆ
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk Security เพื่อป้องกัน virus ที่อาศัย autorun และ update ฐานข้อมูล Antivirus ให้ update อยู่เสมอ
จบแล้วครับ วิธีแก้ virus system.exe , Msmsgs.exe (Win32 Autoit.AX : Detect by NOD32)
====================== test by PeeTech ==========================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2
Alert
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool
*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker
7/27/2552
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
Information
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
|Windows XP | WindowsVista | Windows 2000 |WindowsServer 2003 |SafeBootKeyRepair |PeeTech_SafeModeRecovery (XP)
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode
Popular Posts
-
Instead, take the time see how to avoid ransomware attacks with this essential sheet. How many check marks can you score?
-
OpenToYou decryption tools Globe3 decryption tool Dharma Decryptor CryptON decryption tool Alcatraz Decryptor tool // direct tool...
-
Tool สำหรับ กำจัด virus ต่างๆ ------------------------------------------------------------------------- PeeTech Fix Tool + Other Virus Remo...
-
Security researchers observed a new ransomware strain dubbed VevoLocker. Its variants have already encrypted multiple websites, including t...
-
Security Alert: New Dharma Ransomware Strains Alarmingly Go Undetected By Antivirus Engines At least four new strains appeared recently ....
-
------------------------------------------------------------------------- PeeTechFix-Win32/PSW.OnlineGames 2.0.5 AVDB-006 (update 20/10/2009...
-
#Malware Remove Tool# Process and Task Manager Tool 1. ExplorerXP Download link 1 hot ! 2. Process Explorer Download link...
-
## รบกวนผู้ที่เข้ามาอ่านช่วยกันแชร์ด้วนะครับ ## *คำเตือน ห้ามจ่ายเงิน โดยเด็ดขาด เพราะจะเสียทั้งเงินและไม่ได้ข้อมูลคืน เนื่องจาก การ...
-
yqq8eqil.exe , dsoqq.exe File size: 115712 bytes MD5 : d524e0f7b6f1c230d1d80e2761c45cba SHA1 : 7bc83956f87d8de8ba1d846e36d151f5f9d9035 6 ...
-
new update 05/10/2009 ! ------------------------------------------------------------------------ AVDB-005 (05/10/2009) ---------------------...
ไม่มีความคิดเห็น:
แสดงความคิดเห็น