"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่ค่อยได้มีการ update หรือทดสอบ virus ตัวใหม่ๆ เนื่องจากภาระหน้าที่การงาน"

Alert


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker

7/12/2552

Virus: Win32/Fujack.BK

แก้ไข/เพิ่มเติม บทความ : 22/07/2009 เวลา 12.00

How to remove TXP1atform.exe (Win32/Fujack.BK : Detect by NOD32)
TXP1atform.exe
MD5 : 73F0EA27E1FAC44FC514F5A83F232948

AntiVir TR/Crypt.NSPM.Gen
Avast Win32:Trojan-gen {Other}
AVG Generic13.AZWE
BitDefender Trojan.Generic.1920471
CAT-QuickHeal Trojan.Pakes.nkm
DrWeb Win32.HLLP.Whboy.113
eSafe Win32.TRCrypt.Nspm
eTrust-Vet Win32/Emerleox.HA
F-Prot W32/Downloader.AT.gen!Eldorado
F-Secure Trojan.Win32.Pakes.nkm
GData Trojan.Generic.1920471
Kaspersky Trojan.Win32.Pakes.nkm
McAfee W32/Fujacks.aw
Microsoft Backdoor:Win32/Ursap!rts
NOD32 Win32/Fujacks.BK
Norman Packed_Nspack.K
Panda Trj/CI.A
Sophos Mal/Packer
Symantec W32.Spybot.Worm
TrendMicro TROJ_PAKES.ATR
VirusBuster Packed/NSPack
====================================================================
ผมได้ virus ตัวนี้จากที่ที่ผมทำงานอยู่ ที่แรกคิดว่า เป็นไฟล์โปรแกรมของที่ทำงาน เพราะ Icon เหมือนกับโปรแกรมที่ใช้ทำงานของ server
แต่ NOD32 detect เป็น Win32/Fujack.BK ผมเลย Zip ไปทดสอบที่บ้าน ปรากฎว่าเป็นเรื่องครับ ซึ่งจริงๆแล้วผมก็เคยได้อ่านมาบ้างแล้วกับเจ้า fujack แต่ด้วยความประมาท ไม่ได้ Test ใน vitual box ปรากฎว่า ไฟล์ โปรแกรมที่มี นามสกุล .exe ติดไวรัสหมดครับ แต่ยังโชคดีที่ไดว์ C ไม่เป็นไร เนื่องจากติดตั้งโปรแกรม Returnil ไว้
จากที่ผมได้ลองทดสอบ virus นี้ ผลปรากฎว่า มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\drivers\TXP1atform.exe
C:\MyrarWork\


เมื่อ virus ทำงาน
Registry ถูก Modified หลายจุด (Report log file ของ Registry ถูก clear ไปเลยยังบอกไม่ได้ครับ)
โปรแกรม Antivirus หายไปจาก Taskbar ทันที และถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ




ผมสังเกตุว่าไฟ harddisk ทำงานตลอดเวลา และเนื้อที่ harddisk ลดลงเรื่อยๆ



มีการสำเนาไฟล์ลงใน C:\MyRARWork\ เป็นชื่อโปรแกรม แต่เมื่อ เปิด ตัวไฟล์จะเปลี่ยนชื่อเป็น setup.exe (TXP1atform.exe นั่นแหละครับ) จากนั้นนำไฟล์ที่ได้แก้ไข ไปเขียนทับที่เดิม ทำให้ไม่ Antivirus ไม่สามารถ Clean ได้ ต้อง Delete ทิ้ง อย่างเดียว



มีการสร้าง Desktop_1.ini และDesktop_1.ini ในทุก folder ที่มีไฟล์ .exe ที่ติด virus นี้
มี Icon รูป คล้าย WinRAR แสดงขึ้นที่ Taskbar ด้านขวาเป็นระยะๆ



ไฟล์โปแกรมทีมีนามสกุล .exe ติด virus หมดทุกตัว แต่สังเกตุว่าไฟล์ game หลายตัวไม่ติดไวรัส เช่น game พวก Reflexive เป็นต้น

เมื่อไฟล์ติด virus แล้วไม่สามารถที่จะ Clean ได้



มีการเปิด port 139

Run ตอนเข้า Windows
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TXP1atform.exe

-----------------------------------------------------------------------------------------------
วิธีกำจัด virus TXP1atform.exe (Win32/Fujack.BK)
-----------------------------------------------------------------------------------------------

ผมลอง Antivirus หลายตัวแล้ว ไม่สามารถ clean ไฟล์ .exe ที่ติด virus ได้ NOD32 กับ AVIRA ที่ลงไว้ ไม่สามารถเปิดได้

วิธีคือ
1.ถ้า Internet ยังใช้ได้ ให้ Update ฐานข้อมูลไวรัสให้เรียบร้อย (Off line)
เช่น
Avira
http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip


NOD32 (4259) > ส่วน NOD32 Portable นั้นต้องหาเอาเองนะครับ
http://www.mediafire.com/download.php?z2zlnyijhwc

2.ตัดการเชื่อมต่อ Internet และปิดการแชร์ folder หรือตัดการเชื่อมต่อ network
3. กดปุ่ม Ctl+Alt+Del ปิด Process ชื่อ TXP1atform.exe
4. ผมใช้ NOD32 Portable โดยเปลี่ยนชื่อ NOD32 ใหม่แล้วก็ Update Signature ฐานข้อมูล virus ให้ใหมล่าสุด จากนั้นทำการ Scan ทุก Drive หรือ Avira portable Scan

หรือ Download Tool ของ Kaspersky , Dr. Web CureIt กำจัดได้เหมือนกันครับ สะดวกกว่าด้วย
(ไม่ใช่ link โดยตรงของค่าย Antivirus เพราะอาจเข้าไม่ได้เวลาติดไวรัส)

Dr.web CurIt ก็ควรเปลี่ยนนามสกุลเป็น .com ก่อน
ซึ่งผมลอง วางไฟล์ setup.exe ที่ติด virus Fujack.BK ไว้ที่ไดว์ C:\
ผลปรากฎดังภาพ
Kaspersky virus remove tool



Dr.Web CureIt virus remove tool (ให้เปลี่ยนนามสกุลเป็น .com ก่อน)


5. ใช้ Hijack This fix check ที่ 2 บรรทัด
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TXP1atform.exe
HKCU\..\Run: [TXP1atform.exe] C:\WINDOWS\system32\Driver\TXP1atform.exe

6. ใช้ NOD32 Recovery Tool เพื่อคืนค่า registry สำคัญๆ

7. Click ที่ Start เลือก Search > file or folder พิมพ์ชื่อไฟล์ที่ต้องการ โดยเลือกที่ More Advance option เพื่อ Search hidden file หา Desktop_1.ini หรือ Desktop_2.ini

ผมไม่แน่ใจนะครับ เรื่อง Registry เท่าไหร่ครับ (เพราะเพิ่งทดสอบไปครั้งเดียว) ลองเข้าไปดูนะครับ click Start > run พิมพ์ regedit
ลองเข้าไปดู Registry นี้ด้วยนะครับว่าด้านขวามีค่าอะไรเพิ่มมาหรือเปล่า
ถ้ามีให้ delete ด้วยครับ เช่น ค่าเหล่านี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avengine.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvcui.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kislnchr.exe\"Debugger" = "nstd -d"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe\"Debugger" = "nstd -d

ผมไม่รับรองผลที่ได้ทดสอบนี้ว่าจะแก้ได้กับทุกเครื่องนะครับ

หรืออีกวิธีหนึ่ง คือ Format แล้วลง windows ใหม่ครับ เพราะไฟล์ .exe ของ Windows ก็อาจเป็น virus เรียบร้อยแล้ว

ข้อควรระวัง : เมื่อ format ลง windows ใหม่แล้ว อย่าเพิ่งเอาไฟล์จาก drive อื่นมาลงโปรแกรมนะครับ

และเมื่อลง windows เรียบร้อยร้อยให้ลง antivirus จากแผ่น CD ที่ไม่ติดไวรัส และ Update ให้เรียบร้อย

จากนั้น scan Drive ทุก drive เพื่อกำจัดไฟล์โปรแกรมที่ติด virus fujack.BK ให้หมดไปก่อนที่จะติดตั้งโปรแกรมอื่น

ถ้าไม่กำจัดก่อน เราอาจเผลอไปติดตั้งโปรแกรมที่ติด Fujack.BK ทำให้เครื่องติดไวรัสอีกรอบครับ

จบแล้วครับสำหรับวิธีแก้ virus TXP1atform.exe (Win32/Fujack.BK)

ข้อแนะนำสุดท้าย

วิธีป้องกันที่ได้ผลดีมากๆและป้องกัน virus ได้ทุกชนิด คือ
ให้ท่านติดตั้งโปรแกรม Returnil (โปรแกรมแช่แข็งเครื่องครับ)
หรือพวก DeepFreeze , ShadowUser, Shadow Defen , HDGUARD, Windows Steady State, COMODO DiskShield เป็นต้น
แล้วจะหมดปัญหาเรื่อง windows โดย virus เพราะเมื่อ Restart เครื่องระบบจะกลับไปเป็นสภาพเดิม
โดยเฉพาะอย่างยิ่ง virus ที่กินไฟล์ exe เช่น ตระกูล Sality, Virut และ Fujack เป็นต้น
ส่วนรายละเอียดของโปรแกรม เอาไว้ถ้ามีเวลาจะเขียนไว้ให้ครับ หรือ ลองศึกษาจาก link นี้ดูครับ
http://www.thaisolution.net/component/content/article/12--returnil


ซึ่งก็ใช้ Returnil อยู่ครับ เป็น Freeware ด้วยครับ ยืดหยุ่นดี

ข้อมูลที่เก็บไว้ควร Zip ไฟล์เก็บไว้ด้วยจะได้ไม่โดน virus พวก กินไฟล์ exe

ถ้าจะให้ดีก็ ใส่ password ด้วยครับ

========================== Test by PeeTech ===========================
จำนวนครั้งที่ทดสอบ = 1 ครั้ง
Windows XP SP2

4 ความคิดเห็น:

  1. ตอนนี้บริษัทผมโดน ไปเครื่องนึงที่เป็นอาการแบบนี้

    ไดร์แชร์ ไฟล์ exe ติดไวรัสหมด เซ็งมาก

    ตอบลบ
  2. แล้วไฟล์ Desktop_1.ini และ Desktop_2.ini ทำยังไงครับ เพราะตอนนี้ผมลงWindowsใหม่แล้วแต่ในไดว์ DและEยังมีไฟล์2ตัวนี้อยู่เลยผมใช้วิธี Search โดย Show hidden แล้วก็ยังหาไม่เจอ ต้องทำยังไงดีครับ ช่วยกลับมาตอบทีนะครับ

    ตอบลบ
  3. ลง Windows ใหม่แล้ว Scan ด้วย Antivirus ใน Drive D,E หรือยังครับ เพราะถ้ายังมีไฟล์โปรแกรม ที่ติด Win32/Fujack.BK อาจทำให้ติดไวรัสใหม่อีกครั้ง แต่เรื่อง Desktop_1.ini และ Desktop_2.ini พอดีผมก็ยังไม่ได้ลบทิ้ง เพราะเพิ่งลอง test ไปครั้งเดียว แต่เครื่องที่ผมทดสอบ มองเห็นนะครับ ถ้ามองไม่เห็น ลองเข้าไปดูที่ Drive C:\ ว่ามองเห็นไฟล์ AUTOEXEC.BAT, boot.ini,NTDETECT.COM หรือเปล่า ถ้ามองไม่เห็น ค่าที่ set show hidden ไว้ กลับไปเป็นแบบ Hidden file ซึ่งอาจเกิดจากยังมีไวรัสอยู่ (เป็นข้อสันนิษฐานนะครับ)
    ถ้าไม่เห็นจริงลองใช้โปรแกรม NOD32 Recovery Tool Run ดูนะครับ หรือลองเปิดไดร์ D,E,ด้วยโปรแกรม ExplorerXP รับรองว่าเห็นแน่นอนครับ

    ตอบลบ
  4. hi
    Nice list of antivirus software.All software of this list r very nice but i think Antivirus Protection Software is much better for other software.

    ตอบลบ

Information

==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode

Popular Posts