Win32/Mebroot : Detect by NOD32
Aliases:
Backdoor.Win32.Sinowal (Kaspersky), Trojan.Mebroot (Symantec), StealthMBR!mbr trojan (McAfee), BackDoor.MaosBoot (Dr. Web)
Type of infiltration: Trojan
Size: Variable
Affected platforms: Microsoft Windows
Signature database version: 2793 (20080115)
-------------------------------------------------------------------------
virus ตัวนี้ ก็นานแล้ว แต่ปรากฎว่ายังมีคนที่ โดน Mebroot เล่นงานอยู่
ซึ่งถ้าเป็นเมื่อก่อน คงต้องพึ่งการ Fomat Harddisk เพราะ virus ได้ฝังตัวที่ master boot record
-------------------------------------------------------------------------
วิธีแก้ Win32/Mebroot
Download Tool ของ ค่าย Antivirus ที่ทำออกมา
EMebRemove จาก NOD32
FixMebroot จาก Symantec
ข้อมูลจาก TrustdefenderLab
http://www.trustdefender.com/movies/mebroot-jan-2009/index.html
ข้อมูลจาก F-secure
http://www.f-secure.com/weblog/archives/00001393.html
Alert
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool
*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker
8/31/2552
8/29/2552
Win32/TrojanDownloader.VB.OCQ
scssrr.exe
(Win32/TrojanDownloader.VB.OCQ : Detect by NOD32)
File size: 49152 bytes
MD5 : 71ef2e1d95e70ba007653e44eb35a8c9
SHA1 : e46a613a6f33cbf9d6755a05f7308a3407963106
-----------------------------------------------------------------------
ข้อมูลอาจจะเก่าไปหลายวัน
virus ตัวนี้ผมไม่มีตัวอย่างไฟล์
ได้ข้อมูลมาจาก NOD32 เลยเอาให้ดูกันครับ
Aliases:
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.21 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.21 -
BitDefender 7.2 2009.08.21 -
CAT-QuickHeal 10.00 2009.08.21 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2047 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 -
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 -
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.824 2009.08.21 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5716 2009.08.21 -
McAfee+Artemis 5716 2009.08.21 -
McAfee-GW-Edition 6.8.5 2009.08.21 -
Microsoft 1.4903 2009.08.21 -
NOD32 4356 2009.08.21 Win32/TrojanDownloader.VB.OCQ
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.21 -
PCTools 4.4.2.0 2009.08.21 -
Prevx 3.0 2009.08.21 -
Rising 21.43.44.00 2009.08.21 -
Sophos 4.44.0 2009.08.21 -
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 -
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1895 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.21 -
ข้อมูลที่ได้จาก VirusTotal
ข้อมูลที่ได้จาก Threatexpert
(Win32/TrojanDownloader.VB.OCQ : Detect by NOD32)
File size: 49152 bytes
MD5 : 71ef2e1d95e70ba007653e44eb35a8c9
SHA1 : e46a613a6f33cbf9d6755a05f7308a3407963106
-----------------------------------------------------------------------
ข้อมูลอาจจะเก่าไปหลายวัน
virus ตัวนี้ผมไม่มีตัวอย่างไฟล์
ได้ข้อมูลมาจาก NOD32 เลยเอาให้ดูกันครับ
Aliases:
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.21 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.21 -
BitDefender 7.2 2009.08.21 -
CAT-QuickHeal 10.00 2009.08.21 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2047 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 -
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 -
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.824 2009.08.21 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5716 2009.08.21 -
McAfee+Artemis 5716 2009.08.21 -
McAfee-GW-Edition 6.8.5 2009.08.21 -
Microsoft 1.4903 2009.08.21 -
NOD32 4356 2009.08.21 Win32/TrojanDownloader.VB.OCQ
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.21 -
PCTools 4.4.2.0 2009.08.21 -
Prevx 3.0 2009.08.21 -
Rising 21.43.44.00 2009.08.21 -
Sophos 4.44.0 2009.08.21 -
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 -
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1895 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.21 -
ข้อมูลที่ได้จาก VirusTotal
ข้อมูลที่ได้จาก Threatexpert
8/28/2552
Virus: Win32/Induc.A
How to remove Win32/Induc.A (Detect by NOD32)
Aliases:
Virus.Win32.Induc.a (Kaspersky), W32/Induc (McAfee), Virus:Win32/Induc.A (Microsoft)
Trojan.Downloader.JMGZ (Bitdefender)
Type of infiltration: Virus
Size: Approximately 5 KB
Affected platforms: Microsoft Windows
Signature database version: 4346 (20090818)
------------------------------------------------------------------------
ผู้ใช้ Delphi คอยตรวจสอบ โปรแกรมดูบ้างนะครับ เพราะอาจโดนเจ้า virus
Win32/Induc.A
Version ของ Delphi ที่ผลกระทบ คือ 4 , 5, 6 และ 7
อ้างอิงจาก NOD32
http://www.eset.eu/encyclopaedia/win32-induc-a-virus?lng=en
ภาพตัวอย่าง
------------------------------------------------------------------------
วิธีแก้ Virus : Win32/Induc.A
------------------------------------------------------------------------
Download Remove Tool
Avira AntiVir Removal Tool Delphi-Virus W32Induc.A
หรือ จาก Website ของ Avira โดยตรง
http://dlpro.antivir.com/package/removaltool3/win32/en/removaltool-win32-en.exe
หรือ Download Tool นี้
GSA Delphi Induc Cleaner 1.00
Aliases:
Virus.Win32.Induc.a (Kaspersky), W32/Induc (McAfee), Virus:Win32/Induc.A (Microsoft)
Trojan.Downloader.JMGZ (Bitdefender)
Type of infiltration: Virus
Size: Approximately 5 KB
Affected platforms: Microsoft Windows
Signature database version: 4346 (20090818)
------------------------------------------------------------------------
ผู้ใช้ Delphi คอยตรวจสอบ โปรแกรมดูบ้างนะครับ เพราะอาจโดนเจ้า virus
Win32/Induc.A
Version ของ Delphi ที่ผลกระทบ คือ 4 , 5, 6 และ 7
อ้างอิงจาก NOD32
http://www.eset.eu/encyclopaedia/win32-induc-a-virus?lng=en
ภาพตัวอย่าง
------------------------------------------------------------------------
วิธีแก้ Virus : Win32/Induc.A
------------------------------------------------------------------------
Download Remove Tool
Avira AntiVir Removal Tool Delphi-Virus W32Induc.A
หรือ จาก Website ของ Avira โดยตรง
http://dlpro.antivir.com/package/removaltool3/win32/en/removaltool-win32-en.exe
หรือ Download Tool นี้
GSA Delphi Induc Cleaner 1.00
8/27/2552
Win32/Adware.Antivirus2009
Alert ! : Win32/Adware.Antivirus2009
-------------------------------------------------------------------------
ช่วงนี้ ถ้าใคร search หาข้อมูล เกี่ยวกับ ไฟไหม้ ที่ประเทศ Greece ต้องระวังด้วย
เพราะมี link ข่าวปลอม หากผู้ใช้เข้าสู่เว็บไซต์เหล่านี้จะถูกเปลี่ยนเส้นทางไปยังโดเมนหลายโดเมน (http://removeallthreat xxxxxx .Com) เพื่อ Download Malware : Win32/Adware.Antivirus2009
ตัวอย่าง
อ้างอิงจาก NOD32
....................................................................................................
-------------------------------------------------------------------------
ช่วงนี้ ถ้าใคร search หาข้อมูล เกี่ยวกับ ไฟไหม้ ที่ประเทศ Greece ต้องระวังด้วย
เพราะมี link ข่าวปลอม หากผู้ใช้เข้าสู่เว็บไซต์เหล่านี้จะถูกเปลี่ยนเส้นทางไปยังโดเมนหลายโดเมน (http://removeallthreat xxxxxx .Com) เพื่อ Download Malware : Win32/Adware.Antivirus2009
ตัวอย่าง
อ้างอิงจาก NOD32
....................................................................................................
Fake : Antivirus 2009
-----------------------------------------------------------------------
วิธีแก้ Win32/Adware.Antivirus2009
-----------------------------------------------------------------------
Download : Malwarebytes' Anti-Malware or a-squared Free 4.5 , SpyHunter (shareware)
Update ฐานข้อมูลแล้ว Scan
-----------------------------------------------------------------------
KB971029 , KB967715 : Fix Autorun จาก Microsoft
Update path : KB971029
For Windows XP
For Windows Vista
For Windows Vista 64 bit
For Windows Server 2003
For Windows Server 2003 64 bit
For Windows Server 2003 Itaniun
For Windows Server 2008
For Windows Server 2008 64 bit
For Windows Server 2008 Itanium
Update path : KB967715
Update for Windows XP
Update for Windows Server 2003 for Itanium-based Systems
Update for Windows Server 2003 x64 Edition
Update for Windows Server 2003
Update for Windows XP x64 Edition
Update for Windows 2000
For Windows XP
For Windows Vista
For Windows Vista 64 bit
For Windows Server 2003
For Windows Server 2003 64 bit
For Windows Server 2003 Itaniun
For Windows Server 2008
For Windows Server 2008 64 bit
For Windows Server 2008 Itanium
Update path : KB967715
Update for Windows XP
Update for Windows Server 2003 for Itanium-based Systems
Update for Windows Server 2003 x64 Edition
Update for Windows Server 2003
Update for Windows XP x64 Edition
Update for Windows 2000
8/26/2552
Virus: Win32/LockScreen.AJ
How to remove Win32/LockScreen.AJ : Detect by NOD32
Aliases:
Trojan-Ransom.Win32.Blocker.ca (Kaspersky), Ransom!m (McAfee), Trojan.Winlock.144 (Dr.Web)
Type of infiltration: Trojan
Size: 23552 B
Affected platforms: Microsoft Windows
Signature database version: 4212 (20090703)
===================================================
เมื่อ virus ทำงานได้สร้างไฟล์ ใน %appdata%
C:\Documents and Settings\[User]\Application Data
dizjf.exe
pqkzm.exe
qawkj.exe
rnhai.exe
vxwcc.exe
yvvvd.exe
มีการแก้ไขค่า Registry ดังนี้
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"windll" = %appdata%\%filename%.exe
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut)
> Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AJ
--------------------------------------------------------------------------
ใส่ Password ที่หน้าจอ lock screen
2950203 (+79202950203)
9484748 (+79209484748)
1234567 (+79201234567)
6372874 (+79206372874)
ใช้โปรแกรม Hijack This Fix checked ตำแหน่ง ค่า Run
HKCU\..\Run:[windll] C:\Documents and Settings\Administrator\Application Data\...exe
หรือ
ใช้โปรแกรม PeeTechFix-Win32.LockScreen.AJ แก้ไข Registry และ ลบไฟล์ virus
Download : PeeTechFix-Win32.LockScreen.AJ * กำลังแก้ไข Program
Aliases:
Trojan-Ransom.Win32.Blocker.ca (Kaspersky), Ransom!m (McAfee), Trojan.Winlock.144 (Dr.Web)
Type of infiltration: Trojan
Size: 23552 B
Affected platforms: Microsoft Windows
Signature database version: 4212 (20090703)
===================================================
เมื่อ virus ทำงานได้สร้างไฟล์ ใน %appdata%
C:\Documents and Settings\[User]\Application Data
dizjf.exe
pqkzm.exe
qawkj.exe
rnhai.exe
vxwcc.exe
yvvvd.exe
มีการแก้ไขค่า Registry ดังนี้
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"windll" = %appdata%\%filename%.exe
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut)
> Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AJ
--------------------------------------------------------------------------
ใส่ Password ที่หน้าจอ lock screen
2950203 (+79202950203)
9484748 (+79209484748)
1234567 (+79201234567)
6372874 (+79206372874)
ใช้โปรแกรม Hijack This Fix checked ตำแหน่ง ค่า Run
HKCU\..\Run:[windll] C:\Documents and Settings\Administrator\Application Data\...exe
หรือ
ใช้โปรแกรม PeeTechFix-Win32.LockScreen.AJ แก้ไข Registry และ ลบไฟล์ virus
Download : PeeTechFix-Win32.LockScreen.AJ * กำลังแก้ไข Program
Virus: Win32/LockScreen.AI
How to remove Win32/LockScreen.AI : Detect by NOD32
Aliases:
Trojan-Ransom.Win32.Agent.as (Kaspersky), Trojan.Winlock.76 (Dr.Web), Trojan.Generic.1938868 (BitDefender)
Type of infiltration:
Trojan
Size: 598528 B
Affected platforms: Microsoft Windows
Signature database version: 4212 (20090703)
===================================================
Virus ไม่ได้สร้างไฟล์ไว้
แต่มีการแก้ไข Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTimer" = "%filename%.exe"
-------------------------------------------------------------------------
วิธีแก้ Win32/LockScreen.AI
-------------------------------------------------------------------------
ใส่ Password : 021370
เมื่อเข้า windows ได้แล้ว เข้าไปแก้ Registry หรือ ใช้โปแกรม Hijack This Fix checked ค่า Run
HKLM \..\Run : [QuickTimer]
Update ฐานข้อมูล virus ให้เป็นปัจจุบัน
-------------------------------------------------------------------------
อ้างอิงจาก : NOD32
Aliases:
Trojan-Ransom.Win32.Agent.as (Kaspersky), Trojan.Winlock.76 (Dr.Web), Trojan.Generic.1938868 (BitDefender)
Type of infiltration:
Trojan
Size: 598528 B
Affected platforms: Microsoft Windows
Signature database version: 4212 (20090703)
===================================================
Virus ไม่ได้สร้างไฟล์ไว้
แต่มีการแก้ไข Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTimer" = "%filename%.exe"
-------------------------------------------------------------------------
วิธีแก้ Win32/LockScreen.AI
-------------------------------------------------------------------------
ใส่ Password : 021370
เมื่อเข้า windows ได้แล้ว เข้าไปแก้ Registry หรือ ใช้โปแกรม Hijack This Fix checked ค่า Run
HKLM \..\Run : [QuickTimer]
Update ฐานข้อมูล virus ให้เป็นปัจจุบัน
-------------------------------------------------------------------------
อ้างอิงจาก : NOD32
Virus: Win32/LockScreen.AH
How to remove Win32/LockScreen.AH : Detect by NOD32
Aliases:
Trojan-Ransom.Win32.Delf.h (Kaspersky), Ransom!e (McAfee), Trojan.Winlock.142 (Dr.Web)
Type of infiltration: Trojan
Size: 387584 B
Affected platforms: Microsoft Windows
Signature database version: 4201 (20090630)
===================================================
เมื่อ virus ทำงาน ได้สร้างไฟล์ ไว้ดังนี้
%windir%\Media\sound.exe
แก้ไขค่า Registry
[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\RunOnce]
"sound" = "%windir%\Media\sound.exe"
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut)
> Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AH
--------------------------------------------------------------------------
ใส่ Password ที่หน้าจอ lock screen : 69b453
แล้วใช้โปรแกรม PeeTechFix-Win32.LockScreen.AH แก้ไข Registry และ ลบไฟล์ virus
Download : PeeTechFix-Win32.LockScreen.AH
อ้างอิงข้อมูลจาก : NOD32
Aliases:
Trojan-Ransom.Win32.Delf.h (Kaspersky), Ransom!e (McAfee), Trojan.Winlock.142 (Dr.Web)
Type of infiltration: Trojan
Size: 387584 B
Affected platforms: Microsoft Windows
Signature database version: 4201 (20090630)
===================================================
เมื่อ virus ทำงาน ได้สร้างไฟล์ ไว้ดังนี้
%windir%\Media\sound.exe
แก้ไขค่า Registry
[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\RunOnce]
"sound" = "%windir%\Media\sound.exe"
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut)
> Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AH
--------------------------------------------------------------------------
ใส่ Password ที่หน้าจอ lock screen : 69b453
แล้วใช้โปรแกรม PeeTechFix-Win32.LockScreen.AH แก้ไข Registry และ ลบไฟล์ virus
Download : PeeTechFix-Win32.LockScreen.AH
อ้างอิงข้อมูลจาก : NOD32
Virus: Win32/LockScreen.AG
How to remove Win32/LockScreen.AG : Detect by NOD32
Aliases:
Trojan-Ransom.Win32.SMSer.cn (Kaspersky), Ransom!p (McAfee), Trojan.Winlock.105 (Dr.Web)
Type of infiltration: Trojan
Size: 18432 B
Affected platforms: Microsoft Windows
Signature database version: 4194 (20090628) ===============================================
ผมลอง search หาดูว่าในเมืองไทย มีใครโดน virus พวก Win32/LockScreen บ้าง
แต่ก็ยังไม่พบว่ามีใครติด Win32/LockScreen ซึ่งออกมาหลาย version ใน 2 เดือน ที่ผ่านมา
เมื่อ virus ทำงาน ได้สร้างไฟล์ใน %appdata%
C:\Documents and Settings\[User]\Application Data ดังนี้
axjvk.exe
csbto.exe
iunmj.exe
lpyyi.exe
mpjwz.exe
แก้ไข้ค่า Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wsock" = "%appdata%\%filename%.exe"
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut) > Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AG
--------------------------------------------------------------------------
ให้ download ESETLockScreenAGKeygen
ใส่ตัวเลข 4 หลัก ที่ได้จากหน้าจอ Lockscreen แล้วกดปุ่ม generate จะได้ Password เพื่อ unlock
จากนั้นใช้ โปรแกรม PeeTecFix-Win32.LockScreen.AO กำจัดไฟล์ virus และแก้ไข Registry
Download : ESETLockScreenAGKeygen
Download : PeeTechFix-Win32 LockScreen.AG เพื่อ กำจัด virus และแก้ไข Registry
Aliases:
Trojan-Ransom.Win32.SMSer.cn (Kaspersky), Ransom!p (McAfee), Trojan.Winlock.105 (Dr.Web)
Type of infiltration: Trojan
Size: 18432 B
Affected platforms: Microsoft Windows
Signature database version: 4194 (20090628) ===============================================
ผมลอง search หาดูว่าในเมืองไทย มีใครโดน virus พวก Win32/LockScreen บ้าง
แต่ก็ยังไม่พบว่ามีใครติด Win32/LockScreen ซึ่งออกมาหลาย version ใน 2 เดือน ที่ผ่านมา
เมื่อ virus ทำงาน ได้สร้างไฟล์ใน %appdata%
C:\Documents and Settings\[User]\Application Data ดังนี้
axjvk.exe
csbto.exe
iunmj.exe
lpyyi.exe
mpjwz.exe
แก้ไข้ค่า Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wsock" = "%appdata%\%filename%.exe"
ผู้ใช้งานไม่สามารถเข้าใช้งาน windows ได้ ต้องใส่ password ให้ถูกต้อง ถึงจะใช้งานได้
ไม่สามารถใช้งานคำสั่งลัดของ windiws ได้( Windows Keyboard ShortCut) > Alt+F4 (ปิดรายการที่ใช้งานอยู่ หรือปิดโปรแกรมที่ใช้งาน)
--------------------------------------------------------------------------
วิธีแก้ virus: Win32/LockScreen.AG
--------------------------------------------------------------------------
ให้ download ESETLockScreenAGKeygen
ใส่ตัวเลข 4 หลัก ที่ได้จากหน้าจอ Lockscreen แล้วกดปุ่ม generate จะได้ Password เพื่อ unlock
จากนั้นใช้ โปรแกรม PeeTecFix-Win32.LockScreen.AO กำจัดไฟล์ virus และแก้ไข Registry
Download : ESETLockScreenAGKeygen
Download : PeeTechFix-Win32 LockScreen.AG เพื่อ กำจัด virus และแก้ไข Registry
8/24/2552
Virus: Win32 FlyStudio.NFA
How to remove Notepad.exe
(Win32 FlyStudio.NFA : Detect by NOD32)
Notepad.exe
CRC32: 80E33AF2
MD5: 11583A25C3A1CFA8CECB922037981EC6
SHA-1: 1DD6060D63C808531619B2097920F2DF5EC12A2F
===================================================
Other name
a-squared 4.5.0.24 2009.08.25 Trojan-Downloader.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.08.24 Win-Trojan/Xema.variant
AntiVir 7.9.1.3 2009.08.24 TR/Agent.wzb
Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.VB
Authentium 5.1.2.4 2009.08.25 W32/Nuj.A.gen!Eldorado
Avast 4.8.1335.0 2009.08.24 Win32:Trojan-gen {Other}
AVG 8.5.0.406 2009.08.24 SHeur.CHRK
BitDefender 7.2 2009.08.25 Trojan.Spy.Agent.NXS
CAT-QuickHeal 10.00 2009.08.24 TrojanDropper.Regul.a
ClamAV 0.94.1 2009.08.25 -
Comodo 2083 2009.08.25 TrojWare.Win32.TrojanDownloader.VB.hnm
DrWeb 5.0.0.12182 2009.08.25 Win32.HLLW.Autoruner.6234
eSafe 7.0.17.0 2009.08.24 Win32.Downloader
eTrust-Vet 31.6.6698 2009.08.24 Win32/SillyAutorun.AIA
F-Prot 4.4.4.56 2009.08.24 W32/Nuj.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.25 Trojan-Downloader.Win32.VB.hnm
Fortinet 3.120.0.0 2009.08.24 W32/VB.HNM!tr.dldr
GData 19 2009.08.25 Trojan.Spy.Agent.NXS
Ikarus T3.1.1.68.0 2009.08.25 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.08.23 Worm/AutoRun.xl
K7AntiVirus 7.10.826 2009.08.24 Worm.Win32.AutoRun.rbx
Kaspersky 7.0.0.125 2009.08.25 Trojan-Downloader.Win32.VB.hnm
McAfee 5719 2009.08.24 Generic Dropper.i
McAfee+Artemis 5719 2009.08.24 Generic Dropper.i
McAfee-GW-Edition 6.8.5 2009.08.25 Trojan.Agent.wzb
Microsoft 1.4903 2009.08.24 Worm:Win32/Regul.B
NOD32 4364 2009.08.24 Win32/FlyStudio.NFA
Norman 2009.08.24 W32/Lineage.BLDC
nProtect 2009.1.8.0 2009.08.24 Trojan-Downloader/W32.Agent.1512065
Panda 10.0.0.14 2009.08.24 Adware/AccesMembre
PCTools 4.4.2.0 2009.08.24 -
Prevx 3.0 2009.08.25 High Risk Worm
Rising 21.44.10.00 2009.08.25 Worm.Win32.Autorun.euk
Sophos 4.44.0 2009.08.25 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.08.25 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.25 Trojan Horse
TheHacker 6.3.4.3.387 2009.08.25 W32/AutoRun.xxq
TrendMicro 8.950.0.1094 2009.08.25 WORM_AUTORUN.KAI
VBA32 3.12.10.10 2009.08.25 Worm.Win32.AutoRun.tbb
ViRobot 2009.8.24.1899 2009.08.24 Trojan.Win32.Downloader.1512065
VirusBuster 4.6.5.0 2009.08.24 Worm.Regul.EI
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างดังนี้ (Random)
ตัวอย่างที่ผมทดสอบ 2 ครั้ง ได้ไม่เหมือนกัน virus ได้ random ชื่อ folder และไฟล์ไปเรื่อยๆ
C:\WINDOWS\system32\[ramdom folder]\[random mame]
Test ครั้งที่ 1
C:\WINDOWS\system32\420423\D2329D.EXE
C:\WINDOWS\system32\3B1B8A\com.run
C:\WINDOWS\system32\3B1B8A\dp1.fne
C:\WINDOWS\system32\3B1B8A\eAPI.fne
C:\WINDOWS\system32\3B1B8A\internet.fne
C:\WINDOWS\system32\3B1B8A\krnln.fnr
C:\WINDOWS\system32\3B1B8A\RegEx.fnr
C:\WINDOWS\system32\3B1B8A\shell.fne
C:\WINDOWS\system32\3B1B8A\spec.fne
C:\WINDOWS\system32\EF617B\423b.inf
C:\WINDOWS\system32\EF617B\8ace.EDT
C:\WINDOWS\system32\EF617B\8ace.inf
....................................................................................................................
Test ครั้งที่ 2
C:\WINDOWS\system32\3AD897\0A4C66.EXE
C:\WINDOWS\system32\7DECB1\com.run
C:\WINDOWS\system32\7DECB1\dp1.fne
C:\WINDOWS\system32\7DECB1\eAPI.fne
C:\WINDOWS\system32\7DECB1\internet.fne
C:\WINDOWS\system32\7DECB1\krnln.fnr
C:\WINDOWS\system32\7DECB1\RegEx.fnr
C:\WINDOWS\system32\7DECB1\shell.fne
C:\WINDOWS\system32\7DECB1\spec.fne
C:\WINDOWS\system32\077562\897d.inf
C:\WINDOWS\system32\077562\ b190.EDT
C:\WINDOWS\system32\077562\b190.inf
....................................................................................................................
สร้างไฟล์ลงใน %temp% อยู่ใน E_4
C:\DOCUME~1\[User Logon]\LOCALS~1\temp\E_4\krnln.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\shell.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\eAPI.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\internet.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\spec.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\RegEx.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\dp1.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\com.run
สร้างไฟล์ใน USB Drive
X:\Autorun.inf
X:\Notepad.exe
ซ่อน Folder จริง และสร้าง folder ปลอม ที่มีนามสกุล .exe ขึ้นมาแทน ดังภาพ
ตัวอย่าง Foder และไฟล์ ที่ virus สร้างขึ้น
มีการเชื่อมต่อไปยังประเทศจีน
http://www3.866-86.cn/a/a4.htm
http://www2.866-86.cn/a/a1.htm
โดยเปิดหน้า web page อยู่เป็นระยะๆ
ตัวอย่าง
------------------------------------------------------------------------
วิธีกำจัด virus : Notepad.exe
(Win32 FlyStudio.NFA : Detect by NOD32)
แบบ manual
-----------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExplorerXP, Hijack This , DKDC_Hash , NOD32 Recovery Tool
2. เปิดโปรแกรม ExplorerXP เข้าไปหา folder ที่อยู่ใน system32 ดู folder ที่มีตัวเลขตัวอักษร 6 ตัว
4.ใช้โปรแกรม Hijack This fix checked ที่ 2 บรรทัด
(Win32 FlyStudio.NFA : Detect by NOD32)
Notepad.exe
CRC32: 80E33AF2
MD5: 11583A25C3A1CFA8CECB922037981EC6
SHA-1: 1DD6060D63C808531619B2097920F2DF5EC12A2F
===================================================
Other name
a-squared 4.5.0.24 2009.08.25 Trojan-Downloader.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.08.24 Win-Trojan/Xema.variant
AntiVir 7.9.1.3 2009.08.24 TR/Agent.wzb
Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.VB
Authentium 5.1.2.4 2009.08.25 W32/Nuj.A.gen!Eldorado
Avast 4.8.1335.0 2009.08.24 Win32:Trojan-gen {Other}
AVG 8.5.0.406 2009.08.24 SHeur.CHRK
BitDefender 7.2 2009.08.25 Trojan.Spy.Agent.NXS
CAT-QuickHeal 10.00 2009.08.24 TrojanDropper.Regul.a
ClamAV 0.94.1 2009.08.25 -
Comodo 2083 2009.08.25 TrojWare.Win32.TrojanDownloader.VB.hnm
DrWeb 5.0.0.12182 2009.08.25 Win32.HLLW.Autoruner.6234
eSafe 7.0.17.0 2009.08.24 Win32.Downloader
eTrust-Vet 31.6.6698 2009.08.24 Win32/SillyAutorun.AIA
F-Prot 4.4.4.56 2009.08.24 W32/Nuj.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.25 Trojan-Downloader.Win32.VB.hnm
Fortinet 3.120.0.0 2009.08.24 W32/VB.HNM!tr.dldr
GData 19 2009.08.25 Trojan.Spy.Agent.NXS
Ikarus T3.1.1.68.0 2009.08.25 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.08.23 Worm/AutoRun.xl
K7AntiVirus 7.10.826 2009.08.24 Worm.Win32.AutoRun.rbx
Kaspersky 7.0.0.125 2009.08.25 Trojan-Downloader.Win32.VB.hnm
McAfee 5719 2009.08.24 Generic Dropper.i
McAfee+Artemis 5719 2009.08.24 Generic Dropper.i
McAfee-GW-Edition 6.8.5 2009.08.25 Trojan.Agent.wzb
Microsoft 1.4903 2009.08.24 Worm:Win32/Regul.B
NOD32 4364 2009.08.24 Win32/FlyStudio.NFA
Norman 2009.08.24 W32/Lineage.BLDC
nProtect 2009.1.8.0 2009.08.24 Trojan-Downloader/W32.Agent.1512065
Panda 10.0.0.14 2009.08.24 Adware/AccesMembre
PCTools 4.4.2.0 2009.08.24 -
Prevx 3.0 2009.08.25 High Risk Worm
Rising 21.44.10.00 2009.08.25 Worm.Win32.Autorun.euk
Sophos 4.44.0 2009.08.25 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.08.25 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.25 Trojan Horse
TheHacker 6.3.4.3.387 2009.08.25 W32/AutoRun.xxq
TrendMicro 8.950.0.1094 2009.08.25 WORM_AUTORUN.KAI
VBA32 3.12.10.10 2009.08.25 Worm.Win32.AutoRun.tbb
ViRobot 2009.8.24.1899 2009.08.24 Trojan.Win32.Downloader.1512065
VirusBuster 4.6.5.0 2009.08.24 Worm.Regul.EI
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างดังนี้ (Random)
ตัวอย่างที่ผมทดสอบ 2 ครั้ง ได้ไม่เหมือนกัน virus ได้ random ชื่อ folder และไฟล์ไปเรื่อยๆ
C:\WINDOWS\system32\[ramdom folder]\[random mame]
Test ครั้งที่ 1
C:\WINDOWS\system32\420423\D2329D.EXE
C:\WINDOWS\system32\3B1B8A\com.run
C:\WINDOWS\system32\3B1B8A\dp1.fne
C:\WINDOWS\system32\3B1B8A\eAPI.fne
C:\WINDOWS\system32\3B1B8A\internet.fne
C:\WINDOWS\system32\3B1B8A\krnln.fnr
C:\WINDOWS\system32\3B1B8A\RegEx.fnr
C:\WINDOWS\system32\3B1B8A\shell.fne
C:\WINDOWS\system32\3B1B8A\spec.fne
C:\WINDOWS\system32\EF617B\423b.inf
C:\WINDOWS\system32\EF617B\8ace.EDT
C:\WINDOWS\system32\EF617B\8ace.inf
....................................................................................................................
Test ครั้งที่ 2
C:\WINDOWS\system32\3AD897\0A4C66.EXE
C:\WINDOWS\system32\7DECB1\com.run
C:\WINDOWS\system32\7DECB1\dp1.fne
C:\WINDOWS\system32\7DECB1\eAPI.fne
C:\WINDOWS\system32\7DECB1\internet.fne
C:\WINDOWS\system32\7DECB1\krnln.fnr
C:\WINDOWS\system32\7DECB1\RegEx.fnr
C:\WINDOWS\system32\7DECB1\shell.fne
C:\WINDOWS\system32\7DECB1\spec.fne
C:\WINDOWS\system32\077562\897d.inf
C:\WINDOWS\system32\077562\ b190.EDT
C:\WINDOWS\system32\077562\b190.inf
....................................................................................................................
สร้างไฟล์ลงใน %temp% อยู่ใน E_4
C:\DOCUME~1\[User Logon]\LOCALS~1\temp\E_4\krnln.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\shell.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\eAPI.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\internet.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\spec.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\RegEx.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\dp1.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\com.run
สร้างไฟล์ใน USB Drive
X:\Autorun.inf
X:\Notepad.exe
ซ่อน Folder จริง และสร้าง folder ปลอม ที่มีนามสกุล .exe ขึ้นมาแทน ดังภาพ
ตัวอย่าง Foder และไฟล์ ที่ virus สร้างขึ้น
มีการเชื่อมต่อไปยังประเทศจีน
http://www3.866-86.cn/a/a4.htm
http://www2.866-86.cn/a/a1.htm
โดยเปิดหน้า web page อยู่เป็นระยะๆ
ตัวอย่าง
------------------------------------------------------------------------
วิธีกำจัด virus : Notepad.exe
(Win32 FlyStudio.NFA : Detect by NOD32)
แบบ manual
-----------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExplorerXP, Hijack This , DKDC_Hash , NOD32 Recovery Tool
ต้องขออภัย ที่ใช้ Tool หลายตัว คือผมทำเผื่อคนที่ไม่ถนัดในการเข้าไปแก้ไขแบบ Advance เช่น registry
ก่อนอื่นให้ตัดการเชื่อมต่อ Internet ก่อนครับ
1. เปิดโปรแกรม Kill process หา Folder ที่เป็นนามสกุล .exe แล้วเลือก Terminal ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไปหา folder ที่อยู่ใน system32 ดู folder ที่มีตัวเลขตัวอักษร 6 ตัว
มีอยู่ 3 folder และข้างใน folder มีไฟล์ที่บอกไว้ด้านบน (test1,test2) ก็ใช่เลย delete ออกได้เลยครับ
ผมก็บอกไม่ได้ว่า virus จะสร้าง ชื่อ folder อะไรไว้บ้างเนื่องจาก มัน random เปลี่ยนชื่อไปเรื่อย
3.ใช้โปรแกรม DKDC_Hash เลือกไฟล์ virus ต้นฉบับ และเลือกระบุ Drive เพื่อ Scan USB Drive
4.ใช้โปรแกรม Hijack This fix checked ที่ 2 บรรทัด
(ดูค่า run ที่มี folder ต่อจาก systen32)
HKLM\..\Run: [xxx] C:\WINDOWS\system32\[random foder]\[random filename]
Startup: กกกกกก.lnk = C:\WINDOWS\system32\[random foder]\[random filename]
Exam 1
HKLM\..\Run: [0A4C66] C:\WINDOWS\system32\3AD897\0A4C66.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\3AD897\0A4C66.EXE
Exam 2
Exam 1
HKLM\..\Run: [0A4C66] C:\WINDOWS\system32\3AD897\0A4C66.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\3AD897\0A4C66.EXE
Exam 2
HKLM\..\Run: [D2329D] C:\WINDOWS\system32\420423\D2329D.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\420423\D2329D.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\420423\D2329D.EXE
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Showhidden และกำจัดไฟล์ autorun.inf
ใน USB Drive
6. ใช้โปรแกรม ATF cleanner clear ไฟล์ใน temp หรือไปที่เมนู start เลืก Run พิมพ์ %temp% และ Delete ข้อมูลใน temp ให้หมด
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
================= Test by PeeTech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2
8/23/2552
Virus:Win32/Autorun.FackAlert.CQ
autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB
===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe
ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-------------------------------------------------------------------------
วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool
Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery
1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker
จากนั้น delete ไฟล์ msupdate.exe
3.ใช้โปรแกรม Hijack This ficked ที่ 2 บรรทัดนี้
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB
===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe
ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-------------------------------------------------------------------------วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool
Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery
1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker
จากนั้น delete ไฟล์ msupdate.exe
2. ใช้โปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน USB Drive คือไฟล์
autorun.inf
autorun.exe
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe
4. Run โปรแกรม PeeTech_SafemodeRecovery เมื่อเสร็จแล้วเครื่องจะ restart
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
================== Test by PeeTech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2
8/19/2552
วิธีใช้โปรแกรม JupiterFix Win32.PSW.OnlineGame
ช่วงวันหยุดปีใหม่ ผมทำได้ทำเป็น version ใหม่แล้วครับ เป็น version 3.0
ซึ่งเปลี่ยนชื่อจาก PeeTechFix Win32.PSW.OnlineGame เป็น
JupiterFix Win32.PSW.OnlineGame
================================================
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames 2011เมื่อ Download ไฟล์มาแล้ว ให้ Extract ไฟล์ออกเป็นชื่อเดียวกับ Zip จะได้ folder ชื่อ
JupiterFix Win32.PSW.OnlineGames 2011
เปิดเข้าไปใน folder จะเห็นไฟล์ต่างๆดังภาพ
เปิดเข้าไปใน folder จะเห็นไฟล์ต่างๆดังภาพ
ให้ Double click ที่ไฟล์ JupiterFix-Win32.PSW.OnlineGames
โปรแกรมจะขอให้ท่านเสียบ USB Drive ถ้าท่านมีไวรัสตัวที่้ต้องการกำจัด เพื่อเตรียม Scan USB Drive ด้วย ดังภาพ (เพราะถ้าเสียบ USB Drive หลังจากการใช้ Tool นี้แล้วท่านอาจกลับมาติดไวรัสตัวเดิมที่อยู่ใน USB Driveได้ ถ้า Antivirus ของท่านยังไม่รู้จักไฟล์ไวรัส จึงแนะนำ้ให้เสียบก่อนใช้ Fix Tool)
เมื่อกดปุ่ม OK Desktop จะหายไปชั่วขณะ หลังจากนั้นจะขึ้น splash loading ให้รอสักครู่
หลังจาก Splash loading หายไปแล้ว จะแสดงหน้าโปรแกรมดังภาพ
วิธีใช้ก็ง่ายๆ ครับ
1. Click ที่ปุ่ม Kill Process แล้วรอจนโปรแกรมทำงานเสร็จ
2. Click ที่ปุ่ม Remove Malware แล้วรอจนโปรแกรมทำงานเสร็จ
3. Click ที่่ปุ่ม Repair Registry แล้วรอจนโปรแกรมทำงานเสร็จ
4. ถ้าต้องการ Check AVDB ล่าสุดก็ click ที่ Update New AVDB
ท่านที่ประสบปัญหาโดน virus ตระกูล OnlineGame ลอง Download ไปใช้กันดูนะครับ
(ตรวจสอบรายชื่อ virus ตระกูล OnlineGames ได้ใน VirusList.txt)
คำแนะนำ : หลังจากกำจัดไวรัสไ้ด้แล้ว ให้ติดตั้งโปรแกรม หรือ Fix เพิ่มเติม เช่น
Program Advice (Stop AutoRun)
NoAutoRun (.REG)
http://www.mediafire.com/?ammmxwhqmnm
or
Panda USB Vaccine
http://www.mediafire.com/download.php?qig0nmnm4ld
or
KB971029, KB967715
http://hotzone-it.blogspot.com/2009/08/kb971029-fix-autorun-microsoft.html
or
CPE17 AutoRun Killer
http://www.mediafire.com/download.php?hxoyjj0hyfh
Good luck :)
หมายเหตุ :
และมีผู้ใช้คอมพิวเตอร์ติดกันจำนวนมาก
============== Developer by PeeTech ===============
============== Developer by PeeTech ===============
8/17/2552
Virus: Win32/Autoit.DK
How to remove system.exe , msmsgs.exe
( Win32/Autoit.DK : Detect by NOD32)
system.exe , msmsgs.exe
MD5: C63505ABA99215E3918F973404EC9EF6
SHA-1: 36FB3809CB9560C4640E76E8B0847C00C402383E
CRC32: EFD09B86
==============================================
Other name
a-squared > Worm.Win32.AutoIt!IK
AhnLab > Win-Trojan/Autorun.215456
AntiVir > TR/Dldr.agent.WZ
Antiy > Worm/Win32.AutoIt.gen
Avast > Win32:AutoIt-U
AVG > Worm/Autoit.PM
BitDefender > Win32.Worm.Autoit.Q
CAT-QuickHeal > Worm.AutoIt.i
ClamAV > Trojan.Autoit-14
Comodo > Worm.Win32.AutoIt.i
DrWeb > Win32.HLLW.Autohit.9510
eSafe > Win32.Sality.Y
F-Secure > Worm.Win32.AutoIt.i
Fortinet > W32/AutoIt.I!worm
GData > Win32.Worm.Autoit.Q
Ikarus > Worm.Win32.AutoIt
Jiangmin > Worm/Autoit.a
Kaspersky >Worm.Win32.AutoIt.i
McAfee > W32/Autorun.worm.gen.za
Microsoft > Worm:Win32/Autorun.GY
NOD32 > Win32/Autoit.DK
Norman > AutoIt.R
Panda > Trj/CI.A
PCTools > Worm.AutoIT.V
Prevx > High Risk Fraudulent Security Program
Rising > Worm.Win32.Autorun.dkp
Sophos > W32/SillyFDC-AP
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > Mal_SHND-4
VBA32 > Worm.Win32.AutoIt.i
ViRobot > Worm.Win32.Autorun.215552.B
VirusBuster > Worm.AutoIT.V
------------------------------------------------------------------------
ไฟล์ที่ใช้ทดสอบ : system.exe
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC, Win32/Patched.AG
--------------------------------------------------------------------------
วิธีกำจัด virus : system.exe , msmsgs.exe ( Win32/Autoit.DK : Detect by NOD32)
แบบ Manual
--------------------------------------------------------------------------
จากที่ได้ทดสอบ virus ตัวนี้ ลักษณะคล้ายกับ Win32/Patched.AG ที่ได้ทดสอบไปก่อนหน้านี้
ผมจึงขอไม่เขียนซ้ำนะครับให้ดูที่ link วิธีกำจัด virus Win32/Patched.AG
( Win32/Autoit.DK : Detect by NOD32)
system.exe , msmsgs.exe
MD5: C63505ABA99215E3918F973404EC9EF6
SHA-1: 36FB3809CB9560C4640E76E8B0847C00C402383E
CRC32: EFD09B86
==============================================
Other name
a-squared > Worm.Win32.AutoIt!IK
AhnLab > Win-Trojan/Autorun.215456
AntiVir > TR/Dldr.agent.WZ
Antiy > Worm/Win32.AutoIt.gen
Avast > Win32:AutoIt-U
AVG > Worm/Autoit.PM
BitDefender > Win32.Worm.Autoit.Q
CAT-QuickHeal > Worm.AutoIt.i
ClamAV > Trojan.Autoit-14
Comodo > Worm.Win32.AutoIt.i
DrWeb > Win32.HLLW.Autohit.9510
eSafe > Win32.Sality.Y
F-Secure > Worm.Win32.AutoIt.i
Fortinet > W32/AutoIt.I!worm
GData > Win32.Worm.Autoit.Q
Ikarus > Worm.Win32.AutoIt
Jiangmin > Worm/Autoit.a
Kaspersky >Worm.Win32.AutoIt.i
McAfee > W32/Autorun.worm.gen.za
Microsoft > Worm:Win32/Autorun.GY
NOD32 > Win32/Autoit.DK
Norman > AutoIt.R
Panda > Trj/CI.A
PCTools > Worm.AutoIT.V
Prevx > High Risk Fraudulent Security Program
Rising > Worm.Win32.Autorun.dkp
Sophos > W32/SillyFDC-AP
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > Mal_SHND-4
VBA32 > Worm.Win32.AutoIt.i
ViRobot > Worm.Win32.Autorun.215552.B
VirusBuster > Worm.AutoIT.V
------------------------------------------------------------------------
ไฟล์ที่ใช้ทดสอบ : system.exe
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC, Win32/Patched.AG
--------------------------------------------------------------------------
วิธีกำจัด virus : system.exe , msmsgs.exe ( Win32/Autoit.DK : Detect by NOD32)
แบบ Manual
--------------------------------------------------------------------------
จากที่ได้ทดสอบ virus ตัวนี้ ลักษณะคล้ายกับ Win32/Patched.AG ที่ได้ทดสอบไปก่อนหน้านี้
ผมจึงขอไม่เขียนซ้ำนะครับให้ดูที่ link วิธีกำจัด virus Win32/Patched.AG
Virus: Win32/Patched.AG
How to remove System.exe , msmsgs.exe
( Win32/Patched.AG)
System.exe , msmsgs.exe
MD5 : CF79F82AA29A807E1EEA4A637960972F
SHA1 : 4858082AB4A563C62D6750013F527FF9EB587F75
CRC32 : 3843957D
==============================================
Other name
ArcaVir > Downloader.Agent.Apey
A-squared > Worm.Win32.AutoIt!IK
Avast > Win32:Patched-GS
AVG > Win32/Patched
AntiVir > TR/Dldr.Agent.WZ
Bitdefender > Win32.Worm.Autoit.O
ClamAV > Trojan.Autoit-14
Comodo > TrojWare.Win32.Patched.G
Dr.WEB > Win32.HLLW.Autoruner.6157
eTrust-Vet > Win32/Eldycow.HS
F-PROT > W32/Downldr2.AICJ
F-Secure > Worm.Win32.AutoIt.i
G-DATA > Win32.Worm.Autoit.O
Ikarus > Worm.Win32.AutoIt
Jiangmin > Win32/Loadll.b
Kaspersky > Worm.Win32.AutoIt.i
McAfee > W32/Kibik.c
Microsoft >Win32/Wixud.A
NOD32 > Win32/Patched.AG
Norman > W32/Obfuscated.H11!genr
Panda > W32/PatchLog.P
PCTools > Worm.AutoIT.V
Quick heal > Trojan.Patched.BZ
Rising > Win32.Agent.xql
Sophos > W32/LibHack-A
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > PE_KIBIK.B
VirusBuster > Worm.AutoIT.V
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างๆดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้
virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC
ถ้าลองเปิดด้วยโปรแกรม System Explorer จะเห็นดังภาพ ว่าค่า Startups มี bad1,bad2,bad3
ถ้าดูด้วยโปรแกรม Autoruns Tab ของ Logon
มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS1: "C:\WINDOWS\system32\system.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS2: "C:\WINDOWS\system32\bad1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS3: "C:\WINDOWS\system32\bad2.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS4: "C:\WINDOWS\system32\bad3.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmsgs: "C:\WINDOWS\system32\Msmsgs.exe"
------------------------------------------------------------------------
วิธีกำจัด virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
แบบ Manual
------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool
ก่อนอื่นตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างๆ
ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม Kill Process แล้วเลือก Terminal folder ปลอมที่มีนามสกุล .exe ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไป Delete file ตามนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
3. ใช้โปรแกรม DKDC_HASH scan หาไฟล์ virus ใน USB Drive
4. เปิดโปรแกรม Hijack this แล้ว Fix checked ที่ 6 บรรทัดนี้ครับ
HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
HKLM\..\Run: [Msmsgs] C:\WINDOWS\system32\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่าRegitry สำคัญๆ
( Win32/Patched.AG)
System.exe , msmsgs.exe
MD5 : CF79F82AA29A807E1EEA4A637960972F
SHA1 : 4858082AB4A563C62D6750013F527FF9EB587F75
CRC32 : 3843957D
==============================================
Other name
ArcaVir > Downloader.Agent.Apey
A-squared > Worm.Win32.AutoIt!IK
Avast > Win32:Patched-GS
AVG > Win32/Patched
AntiVir > TR/Dldr.Agent.WZ
Bitdefender > Win32.Worm.Autoit.O
ClamAV > Trojan.Autoit-14
Comodo > TrojWare.Win32.Patched.G
Dr.WEB > Win32.HLLW.Autoruner.6157
eTrust-Vet > Win32/Eldycow.HS
F-PROT > W32/Downldr2.AICJ
F-Secure > Worm.Win32.AutoIt.i
G-DATA > Win32.Worm.Autoit.O
Ikarus > Worm.Win32.AutoIt
Jiangmin > Win32/Loadll.b
Kaspersky > Worm.Win32.AutoIt.i
McAfee > W32/Kibik.c
Microsoft >Win32/Wixud.A
NOD32 > Win32/Patched.AG
Norman > W32/Obfuscated.H11!genr
Panda > W32/PatchLog.P
PCTools > Worm.AutoIT.V
Quick heal > Trojan.Patched.BZ
Rising > Win32.Agent.xql
Sophos > W32/LibHack-A
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > PE_KIBIK.B
VirusBuster > Worm.AutoIT.V
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างๆดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้
virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC
ถ้าลองเปิดด้วยโปรแกรม System Explorer จะเห็นดังภาพ ว่าค่า Startups มี bad1,bad2,bad3
ถ้าดูด้วยโปรแกรม Autoruns Tab ของ Logon
มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS1: "C:\WINDOWS\system32\system.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS2: "C:\WINDOWS\system32\bad1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS3: "C:\WINDOWS\system32\bad2.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS4: "C:\WINDOWS\system32\bad3.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmsgs: "C:\WINDOWS\system32\Msmsgs.exe"
------------------------------------------------------------------------
วิธีกำจัด virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
แบบ Manual
------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool
ก่อนอื่นตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างๆ
ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม Kill Process แล้วเลือก Terminal folder ปลอมที่มีนามสกุล .exe ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไป Delete file ตามนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
3. ใช้โปรแกรม DKDC_HASH scan หาไฟล์ virus ใน USB Drive
4. เปิดโปรแกรม Hijack this แล้ว Fix checked ที่ 6 บรรทัดนี้ครับ
HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
HKLM\..\Run: [Msmsgs] C:\WINDOWS\system32\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่าRegitry สำคัญๆ
6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
จบแล้วครับวิธีแก้ virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
================== Test by PeeTech ====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฎิบัติการที่ใช้ทดสอบ : Windows XP SP2
8/16/2552
Virus: Win32 Spy.Ambler
How to remove chess.exe
(Win32 Spy.Ambler : Detect by NOD32)
chess.exe
MD5 : 4586667D8D5D82A93CB37D0A37876AB5
SHA1 : 831C3D706E1F7E6CFE37E9FA0F04EDC55366A5DA
Xlk.dll
MD5: 67AF34EBB9316287F6F4735BE72F825A
SHA1 : 502933FFF9965D1F084946F4EF2EC0B55D1FAE5E ===================================================
Other name
AntiVir > TR/Dropper.Gen
Authentium > W32/Worm.AKUA
AVAST> Win32:Ambler-B
AVG > BHO.HRA.dropper
BitDefender > Dropped:Trojan.Generic.1405901
CA (VET) > Win32/Ambler!generic trojan
Comodo > TrojWare.Win32.TrojanDownloader.BHO.~BO
F-Prot > W32/Worm.AKUA
F-Secure > Trojan-Spy:W32/Ambler.gen!B
Fortinet > W32/AutoRun.ADWJ!worm
GData > Worm.Win32.AutoRun.adwj
Ikarus > Trojan-Dropper.Win32.Ambler
JiangMin > Worm/AutoRun.gpg
Kaspersky > Worm.Win32.AutoRun.adwj
KingSoft > Worm.AutoRun
McAfee > W32/Autorun.worm!n
Microsoft > TrojanSpy:Win32/Ambler.D
NOD32 > Win32/Spy.Ambler
Norman > W32/Malware.FLZU
nProtect > Dropped:Trojan.Generic.1405901
Quick > Worm.AutoRun.aqez
Sophos > W32/Autorun-AON
Sunbelt > Trojan.Win32.Generic!BT
Symantec > Infostealer.Banker.E
The Hacker > W32/AutoRun.adwj
Trend Micro > TROJ_AGENT.ALQW
VBA32 > Worm.Win32.AutoRun.adwj
VirusBuster > Worm.AutoRun.LHW
===================================================
ไฟล์ที่ใช้ทดสอบ chess.exe
เมื่อ virus ทำงาน ได้มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\rs
C:\WINDOWS\system32\xlk.dll
มีการแก้ไข Registry ดังนี้
Key added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgIDHKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLibHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
Value Added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLib\: "{44210CD6-B610-4b87-A24E-D317C2C22385}"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgID\: "Jmc"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\: "xlk.dll"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\: "Google plugin"HKLM\SOFTWARE\Google\MJ1: 63 77 60 20
HKLM\SOFTWARE\Google\MJ2: 63 77 60 22
HKLM\SOFTWARE\Google\MJ3: 63 77 60 22
HKLM\SOFTWARE\Google\Add: 28 23 3D 23 23 22 3F 24 26 3F 23 23 20 3D 79 7E 70 3C 79 73 7D 75
HKLM\SOFTWARE\Google\LN: SG@OGG
HKLM\SOFTWARE\Google\COD: "l/.Q%T&%V:'% V:#sr$://Q!:.Q$&V&T'Q& Tj"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\: "DCOM service"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Locale: "EN"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\StubPath: "rundll32 xlk.dll,InitO"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\IsInstalled: 0x00000001
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Version: "4,3,6,3"
-------------------------------------------------------------------------
ถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ
-------------------------------------------------------------------------
วิธีกำจั virus : chess.exe (Win32 Spy.Ambler : Detect by NOD32)
-------------------------------------------------------------------------
Download Virus Remove Tool
Unlocker , Hijack This , NOD32 Recovery Tool
1. เข้าไปที่ C:\WINDOWS\system32\ click ขวาที่ไฟล์ xlk.dll เลือก Unlocker
จะขึ้นหน้าต่างๆดังภาพ ให้ click ที่ rundll32.exe แล้วกดปุ่ม unlock
2. delete ไฟล์ใน system32 ตามนี้ครับ
C:\WINDOWS\system32\xlk.dll
C:\WINDOWS\system32\rs
3. ใช้โปแกรม Hijack This fix checked ที่ 2 บรรทัดนี้
BHO: Google plugin - {89F2C12A-027A-4de3-88F6-9F31A1C0F17C} - xlk.dll (file missing)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1
4. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Registry ของ Task Manager
5. Click Start > run พิมพ์ Regedit เข้าไปแก้ไขค่า Registry โดย click ที่ menu Edit เลือกที่ Find
ค้นหาค่า 2 ค่านี้ แล้ว delete ให้หมดครับ
{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}
และ Delete Key "Google" ออกด้วยครับ ตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Google
จบแล้วครับ วิธีแก้ virus chess.exe (Win32 Spy.Ambler : Detect by NOD32)
แต่ที่ผมแปลกใจคือ ไม่เห็นมีการสร้างไฟล์ chess.exe ลงในเครื่องเลย
=================== Test by PeeTech ===================
จำนวนครั้งที่ทดสอบ 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2
(Win32 Spy.Ambler : Detect by NOD32)
chess.exe
MD5 : 4586667D8D5D82A93CB37D0A37876AB5
SHA1 : 831C3D706E1F7E6CFE37E9FA0F04EDC55366A5DA
Xlk.dll
MD5: 67AF34EBB9316287F6F4735BE72F825A
SHA1 : 502933FFF9965D1F084946F4EF2EC0B55D1FAE5E ===================================================
Other name
AntiVir > TR/Dropper.Gen
Authentium > W32/Worm.AKUA
AVAST> Win32:Ambler-B
AVG > BHO.HRA.dropper
BitDefender > Dropped:Trojan.Generic.1405901
CA (VET) > Win32/Ambler!generic trojan
Comodo > TrojWare.Win32.TrojanDownloader.BHO.~BO
F-Prot > W32/Worm.AKUA
F-Secure > Trojan-Spy:W32/Ambler.gen!B
Fortinet > W32/AutoRun.ADWJ!worm
GData > Worm.Win32.AutoRun.adwj
Ikarus > Trojan-Dropper.Win32.Ambler
JiangMin > Worm/AutoRun.gpg
Kaspersky > Worm.Win32.AutoRun.adwj
KingSoft > Worm.AutoRun
McAfee > W32/Autorun.worm!n
Microsoft > TrojanSpy:Win32/Ambler.D
NOD32 > Win32/Spy.Ambler
Norman > W32/Malware.FLZU
nProtect > Dropped:Trojan.Generic.1405901
Quick > Worm.AutoRun.aqez
Sophos > W32/Autorun-AON
Sunbelt > Trojan.Win32.Generic!BT
Symantec > Infostealer.Banker.E
The Hacker > W32/AutoRun.adwj
Trend Micro > TROJ_AGENT.ALQW
VBA32 > Worm.Win32.AutoRun.adwj
VirusBuster > Worm.AutoRun.LHW
===================================================
ไฟล์ที่ใช้ทดสอบ chess.exe
เมื่อ virus ทำงาน ได้มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\rs
C:\WINDOWS\system32\xlk.dll
มีการแก้ไข Registry ดังนี้
Key added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgIDHKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLibHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
Value Added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLib\: "{44210CD6-B610-4b87-A24E-D317C2C22385}"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgID\: "Jmc"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\: "xlk.dll"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\: "Google plugin"HKLM\SOFTWARE\Google\MJ1: 63 77 60 20
HKLM\SOFTWARE\Google\MJ2: 63 77 60 22
HKLM\SOFTWARE\Google\MJ3: 63 77 60 22
HKLM\SOFTWARE\Google\Add: 28 23 3D 23 23 22 3F 24 26 3F 23 23 20 3D 79 7E 70 3C 79 73 7D 75
HKLM\SOFTWARE\Google\LN: SG@OGG
HKLM\SOFTWARE\Google\COD: "l/.Q%T&%V:'% V:#sr$://Q!:.Q$&V&T'Q& Tj"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\: "DCOM service"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Locale: "EN"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\StubPath: "rundll32 xlk.dll,InitO"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\IsInstalled: 0x00000001
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Version: "4,3,6,3"
-------------------------------------------------------------------------
ถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ
-------------------------------------------------------------------------
วิธีกำจั virus : chess.exe (Win32 Spy.Ambler : Detect by NOD32)
-------------------------------------------------------------------------
Download Virus Remove Tool
Unlocker , Hijack This , NOD32 Recovery Tool
1. เข้าไปที่ C:\WINDOWS\system32\ click ขวาที่ไฟล์ xlk.dll เลือก Unlocker
จะขึ้นหน้าต่างๆดังภาพ ให้ click ที่ rundll32.exe แล้วกดปุ่ม unlock
2. delete ไฟล์ใน system32 ตามนี้ครับ
C:\WINDOWS\system32\xlk.dll
C:\WINDOWS\system32\rs
3. ใช้โปแกรม Hijack This fix checked ที่ 2 บรรทัดนี้
BHO: Google plugin - {89F2C12A-027A-4de3-88F6-9F31A1C0F17C} - xlk.dll (file missing)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1
4. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Registry ของ Task Manager
5. Click Start > run พิมพ์ Regedit เข้าไปแก้ไขค่า Registry โดย click ที่ menu Edit เลือกที่ Find
ค้นหาค่า 2 ค่านี้ แล้ว delete ให้หมดครับ
{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}
และ Delete Key "Google" ออกด้วยครับ ตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Google
จบแล้วครับ วิธีแก้ virus chess.exe (Win32 Spy.Ambler : Detect by NOD32)
แต่ที่ผมแปลกใจคือ ไม่เห็นมีการสร้างไฟล์ chess.exe ลงในเครื่องเลย
=================== Test by PeeTech ===================
จำนวนครั้งที่ทดสอบ 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2
8/10/2552
Virus: Win32/AutoIt.AI
How to remove IEXPLOREi.exe (Win32.AutoIt.AI : Detect by NOD32)
ไวรัสตัวนี้ผมไม่มีตัวอย่างไฟล์นะครับ ได้แต่อ่านข้อมูลจาก Web site ต่างๆ
ไวรัส IEXPLOREi.exe (Win32.AutoIt.ai)
อาการที่เเสดงเมื่อติดเชื่อไวรัส IEXPLOREi.exe (Win32.AutoIt.AI)
1. เข้า Regedit ไม่ได้
2. ใช้ Task Manager ไม่ได้
3. Folder Option หายไป
4. มันจะสร้างโฟลเดอร์ IEXPLOREi.exe,Bi Mat.exe,เเละไฟล์ Autorun.inf เเละโฟลเดอร์นามสกุล .EXE ไว้ในเเฟล๊ชไดร์ฟทุกโฟลเดอร์
วิธีเเก้ทำตามขั้นตอนดังต่อไปนี้
1. ดับเบิ้ลคลิกที่ไฟล์ Kill IEXPLOREi.bat เครื่องจะรีสตาร์ทใหม่
2. เมื่อเข้าวินดดร์เรียบร้อย กดปุ่มรูปวินดดร์ที่คีย์บอร์ด + F จะมีหน้าต่าง Search ขึ้นมา
3. คลิกที่ All File and folders
4. คลิกที่ Drop Down เลือกเเฟลชไดร์ฟที่ใช้อยู่
5. คลิกที่ More advanced option
6. คลิกเลือก Search system folders, Search hidden files and folders, Search subfolders ทั้ง 3 ช่อง
7. พิมพ์ .exe ในช่อง All or part of the file name: เเล้วคลิกปุ่ม Search
8. คลิกขวาที่ช่องหน้าต่างขวามือ เเล้วเลือก Arrange Icon By --> เเล้วเลือกคลิกที่ Modified
9. ลบรูปโฟลเดอร์นามสกุล .exe ไฟล์ขนาด 246 KB ทิ้งทั้งหมด (ยหเว้นไฟล์ขนาด 247 KB ที่ไม่ใช่รูปโฟลเดอร์)
-------------------------------------------------------------------------
ส่วนวิธีกำจัดของผมคือ
Download PeeTechFix_Win32.Autoit.AI.zip
ซึ่งผมไม่ทราบว่า MD5 ของไฟล์ IEXPLOREi.exe มีค่าเท่าไหร่ ผมจึงใส่ไว้ 6 ค่าด้วยกัน
--------------------------------------------------------------------------
ด้านล่างคือ bate file
code Kill IEXPLOREi.bat
--------------------------------------------------------------------------
@echo offcolor 0aTaskkill /f /im IEXPLOREi.exeREG delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Yahoo Messengger" /fREG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /fREG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /fFOR %%i IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO attrib -r -h -s -a %%i\IEXPLOREi.exe & del /f /q /a -r -h -s -a %%i\IEXPLOREi.exe attrib -r -h -s -a %%i\"Bi mat.exe" & del /f /q /a -r -h -s -a %%i\"Bi mat.exe" & attrib -r -h -s -a %%i\AutoRun.inf & del /f /q /a -r -h -s -a %%i\AutoRun.infcd %windir%\system32 & attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exe & attrib -s -r -a -h word.exe & del /f /q /a -r -h -s -a word.exe & attrib -s -r -a -h Autorun.ini & del /f /q /a -r -h -s -a Autorun.inicd..attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exedel /a /s /q /f C:\Windows\Prefetch .*shutdown -r -t 0
copy code นี้ ใส notepad แล้ว save เป็นนามสกุล .bat แล้วนำไป run
ไวรัสตัวนี้ผมไม่มีตัวอย่างไฟล์นะครับ ได้แต่อ่านข้อมูลจาก Web site ต่างๆ
ไวรัส IEXPLOREi.exe (Win32.AutoIt.ai)
อาการที่เเสดงเมื่อติดเชื่อไวรัส IEXPLOREi.exe (Win32.AutoIt.AI)
1. เข้า Regedit ไม่ได้
2. ใช้ Task Manager ไม่ได้
3. Folder Option หายไป
4. มันจะสร้างโฟลเดอร์ IEXPLOREi.exe,Bi Mat.exe,เเละไฟล์ Autorun.inf เเละโฟลเดอร์นามสกุล .EXE ไว้ในเเฟล๊ชไดร์ฟทุกโฟลเดอร์
วิธีเเก้ทำตามขั้นตอนดังต่อไปนี้
1. ดับเบิ้ลคลิกที่ไฟล์ Kill IEXPLOREi.bat เครื่องจะรีสตาร์ทใหม่
2. เมื่อเข้าวินดดร์เรียบร้อย กดปุ่มรูปวินดดร์ที่คีย์บอร์ด + F จะมีหน้าต่าง Search ขึ้นมา
3. คลิกที่ All File and folders
4. คลิกที่ Drop Down เลือกเเฟลชไดร์ฟที่ใช้อยู่
5. คลิกที่ More advanced option
6. คลิกเลือก Search system folders, Search hidden files and folders, Search subfolders ทั้ง 3 ช่อง
7. พิมพ์ .exe ในช่อง All or part of the file name: เเล้วคลิกปุ่ม Search
8. คลิกขวาที่ช่องหน้าต่างขวามือ เเล้วเลือก Arrange Icon By --> เเล้วเลือกคลิกที่ Modified
9. ลบรูปโฟลเดอร์นามสกุล .exe ไฟล์ขนาด 246 KB ทิ้งทั้งหมด (ยหเว้นไฟล์ขนาด 247 KB ที่ไม่ใช่รูปโฟลเดอร์)
-------------------------------------------------------------------------
ส่วนวิธีกำจัดของผมคือ
Download PeeTechFix_Win32.Autoit.AI.zip
ซึ่งผมไม่ทราบว่า MD5 ของไฟล์ IEXPLOREi.exe มีค่าเท่าไหร่ ผมจึงใส่ไว้ 6 ค่าด้วยกัน
--------------------------------------------------------------------------
ด้านล่างคือ bate file
code Kill IEXPLOREi.bat
--------------------------------------------------------------------------
@echo offcolor 0aTaskkill /f /im IEXPLOREi.exeREG delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Yahoo Messengger" /fREG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /fREG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /fREG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /fFOR %%i IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO attrib -r -h -s -a %%i\IEXPLOREi.exe & del /f /q /a -r -h -s -a %%i\IEXPLOREi.exe attrib -r -h -s -a %%i\"Bi mat.exe" & del /f /q /a -r -h -s -a %%i\"Bi mat.exe" & attrib -r -h -s -a %%i\AutoRun.inf & del /f /q /a -r -h -s -a %%i\AutoRun.infcd %windir%\system32 & attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exe & attrib -s -r -a -h word.exe & del /f /q /a -r -h -s -a word.exe & attrib -s -r -a -h Autorun.ini & del /f /q /a -r -h -s -a Autorun.inicd..attrib -s -r -a -h IEXPLOREi.exe & del /f /q /a -r -h -s -a IEXPLOREi.exedel /a /s /q /f C:\Windows\Prefetch .*shutdown -r -t 0
copy code นี้ ใส notepad แล้ว save เป็นนามสกุล .bat แล้วนำไป run
8/09/2552
Virus : Win32/Autoit.AC
virus ตัวนี้ผมไม่มีไฟล์ ตัวอย่างนะครับ แต่เคยแก้ไป 2 เครื่อง ประมาณสั่ง 2 ปีที่แล้ว
และไม่เก็บตัวอย่าง virus ไว้ ซึ่งก็มีหลาย web บอกวิธีแก้ไว้แล้ว และ NOD32 ก็ได้ออก Tool แก้ไว้แล้ว
ผมก็จะไม่เขียนอะไรมากมายเพราะไม่มีข้อมูล ที่เขียนเรื่องนี้เพราะจะรวมรวมวิธีแก้ไว้เท่านั้นเองครับ
ซึ่งตอนนั้นพอจำได้ว่าเครื่องที่ ลง NOD32 ไว้ ไม่สามารถใช้งานได้ คำสั่งสำคัญ เช่น Task Manager, Regedit ใช้งานไม่ได้
-------------------------------------------------------------------------
วิธีกำจัด virus : Bad1 bad2 bad3
(Win32/Autoit.AC : Detect by NOD32)
-------------------------------------------------------------------------
NOD32 Bad1,2,3[Autoit.AC]-Fix
Remove Bad 1,2,3 Manual Fix
หรือลองดูตัวอย่างที่ Web ช่างป่าน
http://www.webphand.com/BaD/
ข้อมูลจาก Blog thai windows Administrator
http://thaiwinadmin.blogspot.com/2007/11/kb-112007-02.html
ข้อมูลอ้างอิง จาก threatExpert
http://www.threatexpert.com/report.aspx?md5=05c9d8224a81ee66736d44e92f464353
และไม่เก็บตัวอย่าง virus ไว้ ซึ่งก็มีหลาย web บอกวิธีแก้ไว้แล้ว และ NOD32 ก็ได้ออก Tool แก้ไว้แล้ว
ผมก็จะไม่เขียนอะไรมากมายเพราะไม่มีข้อมูล ที่เขียนเรื่องนี้เพราะจะรวมรวมวิธีแก้ไว้เท่านั้นเองครับ
ซึ่งตอนนั้นพอจำได้ว่าเครื่องที่ ลง NOD32 ไว้ ไม่สามารถใช้งานได้ คำสั่งสำคัญ เช่น Task Manager, Regedit ใช้งานไม่ได้
-------------------------------------------------------------------------
วิธีกำจัด virus : Bad1 bad2 bad3
(Win32/Autoit.AC : Detect by NOD32)
-------------------------------------------------------------------------
NOD32 Bad1,2,3[Autoit.AC]-Fix
Remove Bad 1,2,3 Manual Fix
หรือลองดูตัวอย่างที่ Web ช่างป่าน
http://www.webphand.com/BaD/
ข้อมูลจาก Blog thai windows Administrator
http://thaiwinadmin.blogspot.com/2007/11/kb-112007-02.html
ข้อมูลอ้างอิง จาก threatExpert
http://www.threatexpert.com/report.aspx?md5=05c9d8224a81ee66736d44e92f464353
8/05/2552
Virus Remove Tool
Tool สำหรับ กำจัด virus ต่างๆ
-------------------------------------------------------------------------
PeeTech Fix Tool + Other Virus Remove Tool
-------------------------------------------------------------------------
วิธีใช้งาน : ให้เสียบ USB Drive ไว้ที่กับ computer ก่อน
extract zip ไฟล์ ออก ให้อยู่ folder เดียวกันแล้วค่อย Run โปรแกรม
ถ้ายังมีไฟล์หลงเหลืออยู่ให้ลอง run อีกครั้ง หรือ Run ใน safemode
PeeTechFix-Win32.LockScreen.AH.zip
----------------------------------------------------------------------------
NOD32 Virus Remove Tool
----------------------------------------------------------------------------
NOD32 EConficker Remove
NOD32 Winxp_32[Autorun.NAA]-Fix
NOD32 VirusMSN-IRCBOT-Fix
NOD32 VBS[Butsur.D]-Fix
NOD32 VBS[Butsur.A,B]-Fix
NOD32 VBS[Small.K]-Fix
NOD32 Toy-Fix
NOD32 Stration-Fix
NOD32 RJump.A-Fix
NOD32 MyGril-Fix
NOD32 Monalisa-Fix
NOD32 Hakaglan-Fix
NOD32 Flashy-Fix
NOD32 Endless-Fix
Brontok.B Fix
NOD32 Bad1,2,3[Autoit.AC]-Fix
NOD32 Autorun-Fix
-----------------------------------------------
Symantec Virus Remove Tool
-----------------------------------------------
Symantec Trojan.Ransomlock Key Generator Tool
Trojan.Initbar Removal Tool
Trojan.Xrupter Removal Tool
W32.Virut Removal Tool
Trojan.Bankpatch Removal Tool
W32.Downadup Removal Tool
Trojan.Brisv.A!inf Removal Tool
-----------------------------------------------
Bitdefender Virus Remove Tool
-----------------------------------------------
Backdoor.IRC.Sticy.A (.exe)download
Backdoor.K0wbot.1.2 / 1.3.A / 1.3.B (.exe)download
BackDoor.Rebbew (A,B,C,D) (.exe)download
Backdoor.Sticy.B (.exe) download
I-Worm.Sircam (.exe) download
Trojan.VB.AE (.exe) download
Win32.Antiman.A@mm (.exe) download
Win32.Auric.A@mm (.exe) download
Win32.Badtrans.B@mm (.exe) download
Win32.Bagle.A@mm (.exe) download
Win32.Bagle.AU@mm (.exe) download
Win32.Bagle.{C-E}@mm (.exe) download
Win32.Bagle.FO@mm (.exe) download
Win32.Bagz.B@mm (.exe) download
Win32.Bride.A@mm (.exe) download
Win32.Bride.B@mm (.exe) download
Win32.Bride.C@mm (.exe) download
Win32.Brontok.A@mm (.exe) download
Win32.BugBear.A@mm (.exe) download
Win32.BugBear.B@mm (.exe) download
Win32.BugBear.C@mm (.exe) download
Win32.Dumaru.A@mm (.exe) download
Win32.Dumaru.B/C@mm (.exe) download
Win32.Dumaru.Y@mm (.exe) download
Win32.Elkern.A (.exe) download
Win32.Evaman.A@mm (.exe) download
Win32.Fizzer.A@mm (.exe) download
Win32.Frethem.F@mm (.exe) download
Win32.Funlove (.exe) download
Win32.Ganda.A@mm (.exe) download
Win32.Gibe.A@mm (.exe) download
Win32.Gone.A@mm (.exe) download
Win32.Holar.H@mm (.exe) download
Win32.IISWorm.CodeRed.F (.zip) download
Win32.Ivrol.A@mm (.exe) download
Win32.Jeefo.A (.exe) download
Win32.Klez.A@mm (.exe) download
Win32.Klez.D@mm (.exe) download
Win32.Klez.E@mm (.exe) download
Win32.Klez.H@mm (.exe) download
Win32.Lirva.B@mm (.exe) download
Win32.LovGate.C@mm
antilovgate-en.exe download
antilovgate-en.exe download
Win32.LovGate.G/H/J/K@mm (.exe) download
Win32.Mabutu.A@mm (.exe) download
Win32.Magistr.B@mm (.exe) download
Win32.Melare.A@mm (.exe) download
Win32.Mimail.A@mm (.exe) download
Win32.Mimail.C@mm (.exe) download
Win32.Mimail.D,E,F,H@mm (.exe) download
Win32.Mimail.I@mm (.exe) download
Win32.Msblast.A (.exe) download
Win32.Msblast.B (.exe) download
Win32.Msblast.C (.exe) download
Win32.Msblast.F (.exe) download
Win32.Muce.A (.exe) download
Win32.Mydoom.B@mm (Win32.Novarg.B@mm) (.exe) download
Win32.Myparty.A@mm (.exe) download
Win32.Neroma.A@mm (.exe) download
Win32.Neroma.B@mm (.exe) download
Win32.Netsky.B@mm (.exe) download
Win32.Netsky.Q@mm (.exe) download
Win32.Nimda.A@mm (.exe) download
Win32.Nimda.E@mm (.exe) download
Win32.Novarg.A@mm (.exe) download
Win32.Nyxem.E@mm (.exe) download
Win32.Parite.A/B/C (.exe) download
Win32.Polip.A (.exe) download
Win32.Sober.AD@mm (.exe) download
Win32.Sober.A@mm (.exe) download
Win32.Sober.B@mm (.exe) download
Win32.Sober.C@mm (.exe) download
Win32.Sober.D@mm (.exe) download
Win32.Sober.F@mm (.exe) download
Win32.Sober.O@mm (.exe) download
Win32.Sobig.A@mm (.exe) download
Win32.Sobig.B@mm (Palyh) (.exe) download
Win32.Sobig.C@mm (.exe) download
Win32.SoBig.E@mm
antisobig-en.exe download
antisobig-en.exe download
Win32.Sobig.F@mm (.exe) download
Win32.Valhalla.2048 (.exe) download
Win32.Worm.Benjamin (.exe) download
Win32.Worm.Bobax.A/C
antibobax-en.exe download
antitest-en.exe download
Win32.Worm.Dabber.A (.exe) download
Win32.Worm.Delf.NCZ (.exe) download
Win32.Worm.Downadup.Gen
anti-Downadup-EN.zip download
anti-Downadup-EN.zip download
dcleaner.zip download
Win32.Worm.Korgo.A,B (.exe) download
Win32.Worm.Korgo.C (.exe) download
Win32.Worm.Korgo.P (.exe) download
Win32.Worm.Korgo.R (.exe) download
Win32.Worm.Mexer.E (.exe) download
Win32.Worm.Mytob.BY (.exe) download
Win32.Worm.Opaserv (.exe) download
Win32.Worm.SQLExp.Slammer.A (.zip) download
Win32.Worm.Welchia.A (.exe) download
Win32.Worm.Welchia.B (.exe) download
Win32.Yahaa.D@mm (.exe) download
Win32.Yahaa.E@mm (.exe) download
Win32.Yahaa.J@mm (.exe) download
Win32.Yahaa.K@mm (.exe) download
Win32.Yahaa.P@mm/Q@mm (.exe) download
Win32.Zafi.A@mm (.exe) download
Win32.Zafi.B@mm (.exe) download
Win32.Zafi.D@mm (.exe) download
Worm.Kibuv.A (.exe) download
-----------------------------------------------
TrendMicro Virus Remove Tool
-----------------------------------------------
Sysclean download sysclean.com , download Spyware Pattern , download Antivirus Pattern
BKDR_ZAPINIT.A
HTML_IFRAME.HT
HTML_IFRAME.KQ
JS_AFIR.A
PE_SALITY.EK
PE_SALITY.M
PE_TRATS.A-O
PE_TRATS.A
PE_WARMUP.A
RTKT_RUSTOCK.C
TSPY_KOLLAH.F
WORM_MARIOFEV.B
WORM_SKIPI.A
CRYP_TAP
INF_AUTORUN.A
-----------------------------------------------
Kaspersky Virus Remove Tool
-----------------------------------------------
Kaspersky-Virus-Removal-Tool
Worm.Win32.Kido Kaspersky Administration Kit , KK_v3.4.7.zip
Worm.Win32.AutoRun.hr
Net-Worm.Win32.Rovud.a-c
Worm.Win32.AutoRun.dfx
Worm.Win32.AutoRun.dhq
Worm.Win32.AutoRun.czz
Worm.Win32.AutoRun.daa
Trojan-Downloader.Win32.Losabel.ap
Trojan-Downloader.Win32.Todon.an
Trojan.Win32.Agent.aec
Worm.Win32.AutoRun.cby
-----------------------------------------
AVG Virus Remove Tool
-----------------------------------------
Vcleaner
I-Worm/Stration, Worm/Generic.FX, Agent.A-AN, BackDoor.Agent.A-Z, BackDoor.Agent.AA-BG, Downloader.Agent.AS, I-Worm/Atak.A-I, Bagle.DA-IU, I-Worm/Bagle.A-Z, I-Worm/Bagle.AA-JD, I-Worm/Bugbear.D, I-Worm/Mytob.A-GC, I-Worm/Netsky.A-Z, Worm/Netsky.AA-AD, I-Worm/Sasser.A-F, I-Worm/Zafi.A-E, PSW.Bispy.A-E, Win32/Gaelicum, Win32/Hidrag
Worm/Downadup (Worm/Conficker)
Win32/Downadup, Win32/Conficker
Downloader.Stubby.A
I-Worm/Bugbear.C
I-Worm/Ganda
I-Worm/Happy99
I-Worm/Lovgate.C
I-Worm/Luder
I-Worm/Mydoom.A and I-Worm/Mydoom.B
I-Worm/Mydoom.A, I-Worm/Mydoom.B
I-Worm/Mydoom.F
I-Worm/Navidad
I-Worm/Nimda
I-Worm/Pretty_Park
I-Worm/Sircam.A
I-Worm/Sober.A
I-Worm/Swen
I-Worm/Verona.B
LOP.AH/Backdoor.Generic3.SVX
VBS/Iloveyou
W95/Space.1445
Win32/Alman
Win32/Delf.2.B
Win32/Dupator
Win32/Elkern, variants A, B and C
Win32/Elkern.A, Win32/Elkern.B, Win32/Elkern.C
Win32/Gaelicum
Win32/Gaelicum.A
Win32/Kriz
Win32/Mabezat
Win32/Mabezat
Win32/Magistr, variants A and B
Win32/Magistr.A, Win32/Magistr.B
Win32/Parite
Win32/Prepender
Win32/Sality
Win32/Valla.2048
Win32/Vampiro
Win32/Virut
Worm/Lovsan
----------------------------------------------
F-Secure Virus Remove Tool
----------------------------------------------
ftp://ftp.f-secure.com/anti-virus/tools/
http://download.f-secure.com/estore/fseasyclean.exe
-----------------------------------------------
Avast Virus Remove Tool
-----------------------------------------------
Avast Virus Cleaner
Win32:Badtrans [Wrm]
Win32:Beagle [Wrm] (aka Bagle), variants A-Z, AA-AH
Win32:Blaster [Wrm] (aka Lovsan), variants A-I
Win32:BugBear [Wrm], including B-I variants
Win32:Ganda [Wrm]
Win32:Klez [Wrm], all variants (including variants of Win32:Elkern)
Win32:MiMail [Wrm], variants A, C, E, I-N, Q, S-V
Win32:Mydoom [Wrm] (variants A, B, D, F-N - including the trojan horse)
Win32:Nachi [Wrm] (aka Welchia, variants A-L)
Win32:NetSky [Wrm] (aka Moodown, variants A-Z, AA-AD)
Win32:Nimda [Wrm]
Win32:Opas [Wrm] (aka Opasoft, Opaserv)
Win32:Parite (aka Pinfi), variants A-C
Win32:Sasser [Wrm] (variants A-G)
Win32:Scold [Wrm]
Win32:Sinowal [Trj] - variants AA, AB
Win32:Sircam [Wrm]
Win32:Sober [Wrm], variants A-I, J-K
Win32:Sobig [Wrm], including variants B-F
Win32:Swen [Wrm], including UPX-packed variants
Win32:Tenga
Win32:Yaha [Wrm] (aka Lentin), all variants
Win32:Zafi [Wrm] (variants A-D)
-----------------------------------------------
Microsoft Windows
-----------------------------------------------
Malicious Software Removal Tool
-----------------------------------------------
Mcafee
-----------------------------------------------
McAfee Avert Stinger
---------------------------------
Avira AntiVir
---------------------------------
Avira AntiVir Removal Tool
---------------------------------
Dr.Web
---------------------------------
Dr.Web CureIt
---------------------------------
Norman
---------------------------------
Norman Malware Cleaner
-------------------------------------------------------------------------
PeeTech Fix Tool + Other Virus Remove Tool
-------------------------------------------------------------------------
วิธีใช้งาน : ให้เสียบ USB Drive ไว้ที่กับ computer ก่อน
extract zip ไฟล์ ออก ให้อยู่ folder เดียวกันแล้วค่อย Run โปรแกรม
ถ้ายังมีไฟล์หลงเหลืออยู่ให้ลอง run อีกครั้ง หรือ Run ใน safemode
และควรปิด Antivirus (ถ้าปิดได้) ก่อน Run Fix Tool
-------------------------------------------------------------------------
PeeTechFix >> JupiterFix (New)
14/02/2011
Download : JupiterFix-win32.PSW.OnlineGames 2011 
AVDB-146
(Virus signature database update)
- Update new malware (OnlineGames families)
===========================================================
PeeTechFix-MultipleRogue 1.1 + TDSSKiller
(ave.exe,av.exe)
TDSS Rootkit files and TDSS Rootkit registry
.........................................................
PeetechFix-Security Central
PeeTechFix-Control Center
PeeTechFix-Adware.Search Setting 1.2
PeeTechFix-Total PC Defender 2010
PeeTechFix-SSHNAS21
PeeTechFix-Win32/Packed.Autoit.Gen
PeeTechFix-Win32/Aoutoit.AI.zip
PeeTechFix-MarioForever-Win32.Kryptik.ES
PeeTechFix-Win32.LockScreen.AH.zip
http://hotzone-it.blogspot.com/2009/08/virus-win32lockscreenah.html
PeeTecFix-Win32.LockScreen.AL 1.0.0.zip
http://hotzone-it.blogspot.com/2009/09/win32lockscreenal.html
PeeTecFix-Win32.LockScreen.AK 1.0.0.zip
http://hotzone-it.blogspot.com/2009/09/win32lockscreenak.html
PeeTecFix-Win32.LockScreen.AO.zip
http://www.mediafire.com/download.php?k1fyt1ydnjz
PeeTecFix-Win32.LockScreen.AN.zip
http://www.mediafire.com/download.php?yznfom3llzz
PeeTecFix-Win32.LockScreen.AG.zip
http://www.mediafire.com/download.php?ymvmt0nng5n
PeeTecFix-Win32.LockScreen.AL 1.0.0.zip
http://hotzone-it.blogspot.com/2009/09/win32lockscreenal.html
PeeTecFix-Win32.LockScreen.AK 1.0.0.zip
http://hotzone-it.blogspot.com/2009/09/win32lockscreenak.html
PeeTecFix-Win32.LockScreen.AO.zip
http://www.mediafire.com/download.php?k1fyt1ydnjz
PeeTecFix-Win32.LockScreen.AN.zip
http://www.mediafire.com/download.php?yznfom3llzz
PeeTecFix-Win32.LockScreen.AG.zip
http://www.mediafire.com/download.php?ymvmt0nng5n
PeeTechFix-Advanced Virus Remover
PeeTech-FixDsad11
PeeTechFix-8dXaM.zip
PeeTechFix-AH1N1.zip
PeeTechFix-InternetSecurity2010 1.0.rar
PeeTechFix-Loikaw 1.2.zip (last update 05/06/2010)
PeeTechFix-MarcMaynard 1.0.zip
PeeTechFix-Phim nguoi lon 1.0.zip
PeeTechFix-Pikachu 1.0.zip
PeeTechFix-Restric Policies 1.2.zip
PeeTechFix-RogueSecurityAntivirus 1.1.zip
PeeTechFix-Smart Protector 1.1.zip
PeeTechFix-Thayet Myo Hacking Day 1.1.zip
PeeTechFix-TrojanDownloader.FakeAlert.ATQ 1.0.zip
PeeTechFix-Win32.FraudPack.zcq 1.0.zip
PeeTechFix-Win32.Oficla 1.0.zip
PeeTechFix-Win32.VB.NMZ.zip
----------------------------------------------------------------------------
NOD32 Virus Remove Tool
----------------------------------------------------------------------------
NOD32 EConficker Remove
NOD32 Winxp_32[Autorun.NAA]-Fix
NOD32 VirusMSN-IRCBOT-Fix
NOD32 VBS[Butsur.D]-Fix
NOD32 VBS[Butsur.A,B]-Fix
NOD32 VBS[Small.K]-Fix
NOD32 Toy-Fix
NOD32 Stration-Fix
NOD32 RJump.A-Fix
NOD32 MyGril-Fix
NOD32 Monalisa-Fix
NOD32 Hakaglan-Fix
NOD32 Flashy-Fix
NOD32 Endless-Fix
Brontok.B Fix
NOD32 Bad1,2,3[Autoit.AC]-Fix
NOD32 Autorun-Fix
-----------------------------------------------
Symantec Virus Remove Tool
-----------------------------------------------
Symantec Trojan.Ransomlock Key Generator Tool
Trojan.Initbar Removal Tool
Trojan.Xrupter Removal Tool
W32.Virut Removal Tool
Trojan.Bankpatch Removal Tool
W32.Downadup Removal Tool
Trojan.Brisv.A!inf Removal Tool
-----------------------------------------------
Bitdefender Virus Remove Tool
-----------------------------------------------
Backdoor.IRC.Sticy.A (.exe)download
Backdoor.K0wbot.1.2 / 1.3.A / 1.3.B (.exe)download
BackDoor.Rebbew (A,B,C,D) (.exe)download
Backdoor.Sticy.B (.exe) download
I-Worm.Sircam (.exe) download
Trojan.VB.AE (.exe) download
Win32.Antiman.A@mm (.exe) download
Win32.Auric.A@mm (.exe) download
Win32.Badtrans.B@mm (.exe) download
Win32.Bagle.A@mm (.exe) download
Win32.Bagle.AU@mm (.exe) download
Win32.Bagle.{C-E}@mm (.exe) download
Win32.Bagle.FO@mm (.exe) download
Win32.Bagz.B@mm (.exe) download
Win32.Bride.A@mm (.exe) download
Win32.Bride.B@mm (.exe) download
Win32.Bride.C@mm (.exe) download
Win32.Brontok.A@mm (.exe) download
Win32.BugBear.A@mm (.exe) download
Win32.BugBear.B@mm (.exe) download
Win32.BugBear.C@mm (.exe) download
Win32.Dumaru.A@mm (.exe) download
Win32.Dumaru.B/C@mm (.exe) download
Win32.Dumaru.Y@mm (.exe) download
Win32.Elkern.A (.exe) download
Win32.Evaman.A@mm (.exe) download
Win32.Fizzer.A@mm (.exe) download
Win32.Frethem.F@mm (.exe) download
Win32.Funlove (.exe) download
Win32.Ganda.A@mm (.exe) download
Win32.Gibe.A@mm (.exe) download
Win32.Gone.A@mm (.exe) download
Win32.Holar.H@mm (.exe) download
Win32.IISWorm.CodeRed.F (.zip) download
Win32.Ivrol.A@mm (.exe) download
Win32.Jeefo.A (.exe) download
Win32.Klez.A@mm (.exe) download
Win32.Klez.D@mm (.exe) download
Win32.Klez.E@mm (.exe) download
Win32.Klez.H@mm (.exe) download
Win32.Lirva.B@mm (.exe) download
Win32.LovGate.C@mm
antilovgate-en.exe download
antilovgate-en.exe download
Win32.LovGate.G/H/J/K@mm (.exe) download
Win32.Mabutu.A@mm (.exe) download
Win32.Magistr.B@mm (.exe) download
Win32.Melare.A@mm (.exe) download
Win32.Mimail.A@mm (.exe) download
Win32.Mimail.C@mm (.exe) download
Win32.Mimail.D,E,F,H@mm (.exe) download
Win32.Mimail.I@mm (.exe) download
Win32.Msblast.A (.exe) download
Win32.Msblast.B (.exe) download
Win32.Msblast.C (.exe) download
Win32.Msblast.F (.exe) download
Win32.Muce.A (.exe) download
Win32.Mydoom.B@mm (Win32.Novarg.B@mm) (.exe) download
Win32.Myparty.A@mm (.exe) download
Win32.Neroma.A@mm (.exe) download
Win32.Neroma.B@mm (.exe) download
Win32.Netsky.B@mm (.exe) download
Win32.Netsky.Q@mm (.exe) download
Win32.Nimda.A@mm (.exe) download
Win32.Nimda.E@mm (.exe) download
Win32.Novarg.A@mm (.exe) download
Win32.Nyxem.E@mm (.exe) download
Win32.Parite.A/B/C (.exe) download
Win32.Polip.A (.exe) download
Win32.Sober.AD@mm (.exe) download
Win32.Sober.A@mm (.exe) download
Win32.Sober.B@mm (.exe) download
Win32.Sober.C@mm (.exe) download
Win32.Sober.D@mm (.exe) download
Win32.Sober.F@mm (.exe) download
Win32.Sober.O@mm (.exe) download
Win32.Sobig.A@mm (.exe) download
Win32.Sobig.B@mm (Palyh) (.exe) download
Win32.Sobig.C@mm (.exe) download
Win32.SoBig.E@mm
antisobig-en.exe download
antisobig-en.exe download
Win32.Sobig.F@mm (.exe) download
Win32.Valhalla.2048 (.exe) download
Win32.Worm.Benjamin (.exe) download
Win32.Worm.Bobax.A/C
antibobax-en.exe download
antitest-en.exe download
Win32.Worm.Dabber.A (.exe) download
Win32.Worm.Delf.NCZ (.exe) download
Win32.Worm.Downadup.Gen
anti-Downadup-EN.zip download
anti-Downadup-EN.zip download
dcleaner.zip download
Win32.Worm.Korgo.A,B (.exe) download
Win32.Worm.Korgo.C (.exe) download
Win32.Worm.Korgo.P (.exe) download
Win32.Worm.Korgo.R (.exe) download
Win32.Worm.Mexer.E (.exe) download
Win32.Worm.Mytob.BY (.exe) download
Win32.Worm.Opaserv (.exe) download
Win32.Worm.SQLExp.Slammer.A (.zip) download
Win32.Worm.Welchia.A (.exe) download
Win32.Worm.Welchia.B (.exe) download
Win32.Yahaa.D@mm (.exe) download
Win32.Yahaa.E@mm (.exe) download
Win32.Yahaa.J@mm (.exe) download
Win32.Yahaa.K@mm (.exe) download
Win32.Yahaa.P@mm/Q@mm (.exe) download
Win32.Zafi.A@mm (.exe) download
Win32.Zafi.B@mm (.exe) download
Win32.Zafi.D@mm (.exe) download
Worm.Kibuv.A (.exe) download
-----------------------------------------------
TrendMicro Virus Remove Tool
-----------------------------------------------
Sysclean download sysclean.com , download Spyware Pattern , download Antivirus Pattern
BKDR_ZAPINIT.A
HTML_IFRAME.HT
HTML_IFRAME.KQ
JS_AFIR.A
PE_SALITY.EK
PE_SALITY.M
PE_TRATS.A-O
PE_TRATS.A
PE_WARMUP.A
RTKT_RUSTOCK.C
TSPY_KOLLAH.F
WORM_MARIOFEV.B
WORM_SKIPI.A
CRYP_TAP
INF_AUTORUN.A
-----------------------------------------------
Kaspersky Virus Remove Tool
-----------------------------------------------
Kaspersky-Virus-Removal-Tool
Worm.Win32.Kido Kaspersky Administration Kit , KK_v3.4.7.zip
Worm.Win32.AutoRun.hr
Net-Worm.Win32.Rovud.a-c
Worm.Win32.AutoRun.dfx
Worm.Win32.AutoRun.dhq
Worm.Win32.AutoRun.czz
Worm.Win32.AutoRun.daa
Trojan-Downloader.Win32.Losabel.ap
Trojan-Downloader.Win32.Todon.an
Trojan.Win32.Agent.aec
Worm.Win32.AutoRun.cby
-----------------------------------------
AVG Virus Remove Tool
-----------------------------------------
Vcleaner
I-Worm/Stration, Worm/Generic.FX, Agent.A-AN, BackDoor.Agent.A-Z, BackDoor.Agent.AA-BG, Downloader.Agent.AS, I-Worm/Atak.A-I, Bagle.DA-IU, I-Worm/Bagle.A-Z, I-Worm/Bagle.AA-JD, I-Worm/Bugbear.D, I-Worm/Mytob.A-GC, I-Worm/Netsky.A-Z, Worm/Netsky.AA-AD, I-Worm/Sasser.A-F, I-Worm/Zafi.A-E, PSW.Bispy.A-E, Win32/Gaelicum, Win32/Hidrag
Worm/Downadup (Worm/Conficker)
Win32/Downadup, Win32/Conficker
Downloader.Stubby.A
I-Worm/Bugbear.C
I-Worm/Ganda
I-Worm/Happy99
I-Worm/Lovgate.C
I-Worm/Luder
I-Worm/Mydoom.A and I-Worm/Mydoom.B
I-Worm/Mydoom.A, I-Worm/Mydoom.B
I-Worm/Mydoom.F
I-Worm/Navidad
I-Worm/Nimda
I-Worm/Pretty_Park
I-Worm/Sircam.A
I-Worm/Sober.A
I-Worm/Swen
I-Worm/Verona.B
LOP.AH/Backdoor.Generic3.SVX
VBS/Iloveyou
W95/Space.1445
Win32/Alman
Win32/Delf.2.B
Win32/Dupator
Win32/Elkern, variants A, B and C
Win32/Elkern.A, Win32/Elkern.B, Win32/Elkern.C
Win32/Gaelicum
Win32/Gaelicum.A
Win32/Kriz
Win32/Mabezat
Win32/Mabezat
Win32/Magistr, variants A and B
Win32/Magistr.A, Win32/Magistr.B
Win32/Parite
Win32/Prepender
Win32/Sality
Win32/Valla.2048
Win32/Vampiro
Win32/Virut
Worm/Lovsan
----------------------------------------------
F-Secure Virus Remove Tool
----------------------------------------------
ftp://ftp.f-secure.com/anti-virus/tools/
http://download.f-secure.com/estore/fseasyclean.exe
-----------------------------------------------
Avast Virus Remove Tool
-----------------------------------------------
Avast Virus Cleaner
Win32:Badtrans [Wrm]
Win32:Beagle [Wrm] (aka Bagle), variants A-Z, AA-AH
Win32:Blaster [Wrm] (aka Lovsan), variants A-I
Win32:BugBear [Wrm], including B-I variants
Win32:Ganda [Wrm]
Win32:Klez [Wrm], all variants (including variants of Win32:Elkern)
Win32:MiMail [Wrm], variants A, C, E, I-N, Q, S-V
Win32:Mydoom [Wrm] (variants A, B, D, F-N - including the trojan horse)
Win32:Nachi [Wrm] (aka Welchia, variants A-L)
Win32:NetSky [Wrm] (aka Moodown, variants A-Z, AA-AD)
Win32:Nimda [Wrm]
Win32:Opas [Wrm] (aka Opasoft, Opaserv)
Win32:Parite (aka Pinfi), variants A-C
Win32:Sasser [Wrm] (variants A-G)
Win32:Scold [Wrm]
Win32:Sinowal [Trj] - variants AA, AB
Win32:Sircam [Wrm]
Win32:Sober [Wrm], variants A-I, J-K
Win32:Sobig [Wrm], including variants B-F
Win32:Swen [Wrm], including UPX-packed variants
Win32:Tenga
Win32:Yaha [Wrm] (aka Lentin), all variants
Win32:Zafi [Wrm] (variants A-D)
-----------------------------------------------
Microsoft Windows
-----------------------------------------------
Malicious Software Removal Tool
-----------------------------------------------
Mcafee
-----------------------------------------------
McAfee Avert Stinger
---------------------------------
Avira AntiVir
---------------------------------
Avira AntiVir Removal Tool
---------------------------------
Dr.Web
---------------------------------
Dr.Web CureIt
---------------------------------
Norman
---------------------------------
Norman Malware Cleaner
สมัครสมาชิก:
บทความ (Atom)
Information
==============================================
PeeTechFix >> JupiterFix
==============================================
วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
|Windows XP | WindowsVista | Windows 2000 |WindowsServer 2003 |SafeBootKeyRepair |PeeTech_SafeModeRecovery (XP)
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode
Popular Posts
-
------------------------------------------------------------------------- PeeTechFix-Win32/PSW.OnlineGames 2.0.5 AVDB-006 (update 20/10/2009...
-
Instead, take the time see how to avoid ransomware attacks with this essential sheet. How many check marks can you score?
-
qkm.exe , herss.exe Files size 93.5 KB (95,744 bytes) MD5: 652FA41E1F599F3AFBD88B1D01F28241 SHA-1: 0DF2874A9D44873D7EF038F48C20CC229D7B447C ...
-
16/11/2009 PeeTechFix-win32/PSW.OnlineGame 2.0.5 AVDB-013 ============================================= 39ua6nvk.cmd 3nh99cah.exe 82i.cmd 8...
-
How to remove Win32/Induc.A (Detect by NOD32) Aliases: Virus.Win32.Induc.a (Kaspersky), W32/Induc (McAfee), Virus:Win32/Induc.A (Microsoft) ... -
Tool สำหรับ กำจัด virus ต่างๆ ------------------------------------------------------------------------- PeeTech Fix Tool + Other Virus Remo...
-
m.exe , herss.exe File size: 115319 bytes MD5: BDCC9DE9880F15A961A265CA7A11C2D4 ============================================== Aliases: a-sq...
-
9rfpp.exe , nodqq.exe File size: 110080 bytes MD5 : 812fcfca131c043ccdf5d0fdab53c2b7 SHA1 : 9bec221ae1d8fa3e221f6dc21b408da9442829 46 =====...
-
new update 05/10/2009 ! ------------------------------------------------------------------------ AVDB-005 (05/10/2009) ---------------------...
-
#Malware Remove Tool# Process and Task Manager Tool 1. ExplorerXP Download link 1 hot ! 2. Process Explorer Download link...
