How to remove SCVHOST.exe, New Folder.exe
(Win32/Hagaglan.D : Detect by NOD32)
SCVHOST.exe, New Folder.exe
MD5 : 1AFD9168E0C049ABB19A7F4D1CA24D09
SHA1 : 1B4DE9A305F19C13F302D69EFFAC05C0E4F6EC7D
===================================================
Other name
a-squared > IM-Worm.Win32.Sohanad.nq 14
AntiVir > TR/Crypt.CFI.Gen
AVAST! > Win32:Sohanad-BF
AVG > Autoit.BA
BitDefender > Win32.Worm.Sohanat.AJ
ClamAV > W32.Autoit.Obfus
Dr.Web > Win32.HLLW.Texmer
ESET NOD32 > Win32/Hagaglan.D
F-Prot > W32/Backdoor.BVOI
F-Secure > IM-Worm:W32/Sohanad.AR
Kaspersky > Trojan.Win32.Agent.ydn
McAfee > W32/Yahlover.worm.gen.d
Microsoft > Worm:Win32/Sohanad.I
Norman > VBWorm.OJF
nProtect > Win32.Worm.Sohanat.AJ
Panda > Generic Malware
Quick Heal > I-Worm.Sohanad.ar
Sophos > W32/Sohana-Z
Symantec > W32.Imaut.AA
Trend Micro > WORM_SOHANAD.CC
VBA32 > IM-Worm.Win32.Sohanad.ar
VirusBuster > Backdoor.Agent.DYCG
-------------------------------------------------------------------------
virus ตัวนี้เคยระบาดเมื่อปีก่อน แต่ผมก็ยังพบว่ามีคนโดน virus ตัวนี้เล่นงานอยู่
เมื อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\system32\ SCVHOST.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCVHOST.exe
สร้างไฟล์ USB Drive
SCVHOST.exe
New Folder.exe
autorun.inf
virus ได้ ซ่อน Folder ใน USB Drive และสร้าง folder ปลอม ที่มีชื่อเหมือน กับ Folder ที่ซ่อนไว้ แต่มีนามกุล .exe
คำสั่งเรียกใช้ Taskmanager, Regedit ไม่สามารถใช้งานได้
Folder Option หายไปจาก เมนู Tool
มีการแก้ไข Registry คือ
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared: "\New Folder.exe"HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr: 0x00000001HKU\\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger: "C:\WINDOWS\system32\SCVHOST.exe"
--------------------------------------------------------------------------
วิธีกำจัด virus SCVHOST.exe, New Folder.exe
(Win32/Hagaglan.D : Detect by NOD32)
--------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExplorerXP , Hijack This , DKDC_Hash , NOD32 Recover Tool
เมื่อเตรียมเครื่องมือเรียบร้อยแล้ว ให้ทำการตัดการเชื่อมต่อ internet และ ระบบเครื่อข่ายต่างๆ ก่อนนะครับ
และเสียบ USB Drive ไว้ที่เครื่อง เลยนะครับ
1. เปิดโปรแกรม Kill Process แล้ว ปิด Process รูป folder ที่มีนามสกุล .exe ทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ใน ตาม folder ต่อไปนี้
C:\windows\system32\ SCVHOST.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCVHOST.exe
X:\autorun.inf
3. ใช้โปรแกรม Hijack This ทำการ Fix checked บรรทัดต่อไปนี้
REG:system.ini: Shell=Explorer.exe SCVHOST.exe
HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVHOST.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
4.เปิดโปรแกรม DKDC_HASH แล้วเลือกไฟล์ ต้นฉบับ virus Win32 Hagaglan.D ซึ่งมีค่า
MD5: = 1AFD9168E0C049ABB19A7F4D1CA24D09
ก็คือไฟล์ SCVHOST.exe แต่ในตัวอย่างผมลองเลือก ZONE_IT.exe
แล้วเลือก option โดยผมเลือก ระบุ Drive เพื่อจะทำการ Scan USB Drive จากนั้น click ปุ่มค้นหา+ทำลาย โปรแกรมจะทำการค้นและและกำจัด Folder ปลอมออกไปครับ
5. เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix Now เพื่อคืนค่า Folder Option และ Show hidden file
หรืออีทางเลือกคือ ใช้ NOD32 Hakaglan Fix ซึ่งใช้กำจัดได้ทั้ง
Win32/Hagaglan.D , Win32/Hagaglan.G , Win32/Hagaglan.I
สุดท้ายขอแนะนำให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk Security เพื่อป้องกัน virus ที่อาศัย autorun
และควร Update ฐานข้อมูล Antivirus ให้เป็นปัจจุบัน
จบแล้วครับวิธีแก้ virus SCVHOST.exe, New Folder.exe (Win32/Hagaglan.D : Detect by NOD32)
==================== Test by Peetech =====================
จำนวนครั้งที่ทดสอบ : 3 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2
Alert
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool
*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker
7/10/2552
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
Information
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
|Windows XP | WindowsVista | Windows 2000 |WindowsServer 2003 |SafeBootKeyRepair |PeeTech_SafeModeRecovery (XP)
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode
Popular Posts
-
Instead, take the time see how to avoid ransomware attacks with this essential sheet. How many check marks can you score?
-
OpenToYou decryption tools Globe3 decryption tool Dharma Decryptor CryptON decryption tool Alcatraz Decryptor tool // direct tool...
-
Tool สำหรับ กำจัด virus ต่างๆ ------------------------------------------------------------------------- PeeTech Fix Tool + Other Virus Remo...
-
Security researchers observed a new ransomware strain dubbed VevoLocker. Its variants have already encrypted multiple websites, including t...
-
Security Alert: New Dharma Ransomware Strains Alarmingly Go Undetected By Antivirus Engines At least four new strains appeared recently ....
-
------------------------------------------------------------------------- PeeTechFix-Win32/PSW.OnlineGames 2.0.5 AVDB-006 (update 20/10/2009...
-
#Malware Remove Tool# Process and Task Manager Tool 1. ExplorerXP Download link 1 hot ! 2. Process Explorer Download link...
-
## รบกวนผู้ที่เข้ามาอ่านช่วยกันแชร์ด้วนะครับ ## *คำเตือน ห้ามจ่ายเงิน โดยเด็ดขาด เพราะจะเสียทั้งเงินและไม่ได้ข้อมูลคืน เนื่องจาก การ...
-
yqq8eqil.exe , dsoqq.exe File size: 115712 bytes MD5 : d524e0f7b6f1c230d1d80e2761c45cba SHA1 : 7bc83956f87d8de8ba1d846e36d151f5f9d9035 6 ...
-
new update 05/10/2009 ! ------------------------------------------------------------------------ AVDB-005 (05/10/2009) ---------------------...
ไม่มีความคิดเห็น:
แสดงความคิดเห็น