"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่ค่อยได้มีการ update หรือทดสอบ virus ตัวใหม่ๆ เนื่องจากภาระหน้าที่การงาน"

Alert


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker

9/04/2552

Win32/Peerflag.BL

จากที่ติดค้างไว้เมื่อวาน ผมได้ทดสอบ usdrive32.exe แล้วมีการเปลี่ยนแปลงนิดหน่อย
ผมจึงลองทดสอบไฟล์ Autorun.exe ที่ได้เก็บตัวอย่างมาอีกตัวหนึ่ง NOD32 Detect เป็น
Win32/Peerflag.BL
------------------------------------------------------------------------
How to remove Win32/Peerflag.BL : Detect by NOD32

wnzip.exe, autorun.exe (ให้สังเกตุดีๆว่า wnzip.exe ไม่ใช่ winzip.exe)
file size 111616 bytes
MD5 : 6adbf4fb1af035eee18097d6575181af
SHA1: 3efdab36733cbed19070818f7fd99bc28314071f

usdrive32.exe (Nod32 ตรวจไม่พบ)
File size : 75264 bytes
CRC32: B7CCBF59
MD5 : 42D36DA12AE5731142261913C26CAE27
SHA1: 8FE40AB8A7560B16CC639F0B065C59C6660BF1CB
-------------------------------------------------------------------------
Aliases: (wnzip.exe, autorun.exe)
a-squared 4.5.0.24 2009.09.07 P2P-Worm.Win32.Palevo!IK
AhnLab-V3 5.0.0.2 2009.09.05 Win32/Palevo.worm.111616
AntiVir 7.9.1.8 2009.09.06 Worm/Palevo.jdg
Antiy-AVL 2.0.3.7 2009.09.07 Worm/Win32.Palevo.gen
Authentium 5.1.2.4 2009.09.06 -
Avast 4.8.1351.0 2009.09.07 Win32:Inject-UZ
AVG 8.5.0.409 2009.09.06 Generic14.ADSW
BitDefender 7.2 2009.09.07 Application.Generic.180682
CAT-QuickHeal 10.00 2009.09.07 I-Worm.Palevo.jdg
ClamAV 0.94.1 2009.09.07 -
Comodo 2210 2009.09.07 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.07 Win32.HLLW.Lime.18
eSafe 7.0.17.0 2009.09.06 -
eTrust-Vet 31.6.6721 2009.09.04 Win32/SillyP2P.EJ
F-Prot 4.5.1.85 2009.09.06 -
F-Secure 8.0.14470.0 2009.09.07 P2P-Worm.Win32.Palevo.jdg
Fortinet 3.120.0.0 2009.09.06 W32/Palevo.JDG!worm.p2p
GData 19 2009.09.07 Application.Generic.180682
Ikarus T3.1.1.72.0 2009.09.07 P2P-Worm.Win32.Palevo
Jiangmin 11.0.800 2009.09.07 Worm/Palevo.dzo
K7AntiVirus 7.10.837 2009.09.05 P2P-Worm.Win32.Palevo.jdg
Kaspersky 7.0.0.125 2009.09.07 P2P-Worm.Win32.Palevo.jdg
McAfee 5733 2009.09.06 Generic.dx!edo
McAfee+Artemis 5733 2009.09.06 Generic.dx!edo
McAfee-GW-Edition 6.8.5 2009.09.07 Heuristic.LooksLike.Trojan.Refroso.B
Microsoft 1.5005 2009.09.07 Trojan:Win32/Malat
NOD32 4401 2009.09.06 Win32/Peerfrag.BL
Norman 6.01.09 2009.09.04 W32/Malware.IDIQ
nProtect 2009.1.8.0 2009.09.06 Worm/W32.Palevo.111616.C
Panda 10.0.2.2 2009.09.06 W32/P2PWorm.CC.worm
PCTools 4.4.2.0 2009.09.06 -
Prevx 3.0 2009.09.07 High Risk Cloaked Malware
Rising 21.46.00.00 2009.09.07 -
Sophos 4.45.0 2009.09.07 Mal/EncPk-JU
Sunbelt 3.2.1858.2 2009.09.06 -
Symantec 1.4.4.12 2009.09.07 W32.Spybot.Worm
TheHacker 6.3.4.3.396 2009.09.04 W32/Palevo.jdg
TrendMicro 8.950.0.1094 2009.09.07 WORM_PALEVO.AC
VBA32 3.12.10.10 2009.09.06 P2P-Worm.Win32.Palevo.jdg
ViRobot 2009.9.7.1920 2009.09.07 Worm.Win32.P2P-Palevo.111616.B
VirusBuster 4.6.5.0 2009.09.06 -
ข้อมูลจาก Virus Total

usdrive32.exe
a-squared 4.5.0.24 2009.09.05 Net-Worm.Win32.Kolab!IK
AhnLab-V3 5.0.0.2 2009.09.04 -
AntiVir 7.9.1.8 2009.09.04 - > 2009-09-08 >TR/Dldr.Pher.WN

http://analysis.avira.com/samples/details.php?uniqueid=ybsMhJnmcyDSH3JR7bWm8CqhkmCnUZtN&incidentid=365532

Antiy-AVL 2.0.3.7 2009.09.04 Worm/Win32.Kolab.gen
Authentium 5.1.2.4 2009.09.05 W32/Downldr2.GIMN
Avast 4.8.1351.0 2009.09.04 Win32:Spyware-gen
AVG 8.5.0.409 2009.09.04 Worm/Spybot.CND
BitDefender 7.2 2009.09.05 Trojan.Proxy.Slennuga.A
CAT-QuickHeal 10.00 2009.09.05 Trojan.Agent.cuxg
ClamAV 0.94.1 2009.09.05 Trojan.Agent-121821
Comodo 2204 2009.09.05 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.05 BackDoor.IRC.Bot.122
eSafe 7.0.17.0 2009.09.03 -

eTrust-Vet 31.6.6721 2009.09.04 Win32/Spybot.ACL
F-Prot 4.5.1.85 2009.09.04 W32/Downldr2.GIMN
F-Secure 8.0.14470.0 2009.09.04 -
Fortinet 3.120.0.0 2009.09.05 PossibleThreat
GData 19 2009.09.05 Trojan.Proxy.Slennuga.A
Ikarus T3.1.1.72.0 2009.09.05 Net-Worm.Win32.Kolab
Jiangmin 11.0.800 2009.09.05 Worm/Kolab.sz
K7AntiVirus 7.10.836 2009.09.04 -
Kaspersky 7.0.0.125 2009.09.05 Trojan-Downloader.Win32.Pher.wn
McAfee 5731 2009.09.04 -
McAfee+Artemis 5731 2009.09.04 Artemis!42D36DA12AE5
McAfee-GW-Edition 6.8.5 2009.09.05 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.5005 2009.09.05 VirTool:Win32/Injector.gen!AD
NOD32 4397 2009.09.05 - IRC/SdBot (2009-09-09)
Norman 6.01.09 2009.09.04 W32/Spybot.DUYR
nProtect 2009.1.8.0 2009.09.05 Worm/W32.Kolab.75264
Panda 10.0.2.2 2009.09.04 Trj/CI.A
PCTools 4.4.2.0 2009.09.04 -
Prevx 3.0 2009.09.05 High Risk Worm
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.05 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.09.05 -
Symantec 1.4.4.12 2009.09.05 W32.Spybot.Worm
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.04 -

VBA32 3.12.10.10 2009.09.04 Net-Worm.Win32.Kolab.dlq
ViRobot 2009.9.4.1919 2009.09.04 Worm.Win32.Net-Kolab.75264
VirusBuster 4.6.5.0 2009.09.04 Trojan.Ceeinject.Gen
ข้อมูลจาก Virus Total
ข้อมูลที่ได้จาก Microsoft
------------------------------------------------------------------------
เมื่อ virus ทำงาน
ได้สร้างไฟล์ต่างๆดังนี้

C:\RECYCLER\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx\wnzip32.exe (lock)
C:\RECYCLER\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx\Desktop.ini (lock)
C:\RECYCLER\S-1-5-21-S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\RECYCLER\S-1-5-21-S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini
C:\WINDOWS\usdrive32.exe


* หมายเหตุ : หมายเลขใน RECYCLER ในแต่ละเครื่องอาจไม่เหมือนกันจะต้อง Zip ไฟล์ก่อนถึงเห็นไฟล์หรือเปิดด้วย ExplorerXP ถึงจะเห็น ไฟล์ virus ข้างใน ดังตัวอย่าง





สร้างไฟล์ ใน USB Drive
X:\RECYCLER\autorun.exe
X:\autorun.inf (lock)


ถ้าดูด้วยโปรแกรม ExplorerXP จะเห็นไฟล์ที่อยู่ใน recycler ดังภาพ


มีการแก้ไข Registry

Values added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver Setup: "C:\WINDOWS\usdrive32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup: "C:\WINDOWS\usdrive32.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman: "C:\RECYCLER\S-1-5-21-9484861479-2595496117-027757260-9243\wnzip32.exe"
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe:*:C:\WINDOWS\usdrive32.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe:*:C:\WINDOWS\usdrive32.exe"

ใน Temp ชื่อ file ที่มีนามสกุล .exe ที่ virus ได้ download มา อาจมีชื่ออื่นๆ เช่น
752.exe 341.exe 543.exe 123.exe ....................... ฯลฯ

Values modified
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000344
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000344
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000000
-------------------------------------------------------------------------
virus ได้ทำการ ปิดระบบ firewall และไม่สามารถ ติดต่อกับเครื่อง Server ใน network ได้
และ internet ไม่สามารถ ใช้งานได้
virus ได้ทำการ เปิด port 139 และ 445 ถ้าเครื่องไหนไม่ได้ติดต้ง Patch เพื่ออุดช่องโหว่นี้ จะมีข้อความฟ้องเกี่ยวกับ
Generic Host Process Error

-------------------------------------------------------------------------
วิธีกำจัด wnzip.exe, autorun.exe (Win32/Peerflag.BL : Detect by NOD32 )
แบบ Manual
-------------------------------------------------------------------------
Download Virus Remove Tool

ExplorerXP ,Unlocker , Hijack This , NOD32 Recovery Tool , ATF Cleaner

ก่อนอื่น ให้ตัดการเชื่อมต่อ Internet หรือระบบ network ก่อน
1. กดปุ่ม Ctrl + Alt + Del ปิด Process ชื่อ usdrive32.exe
2. ใช้โปรแกรม ExplorerXP เปิดเข้าไปที่ C:\ แล้ว Click ขวา ที่ RECYCLER เลือก Unlocker
จะขึ้นหน้าต่าง unlocker ดังภาพ ให้ click ที่ unlock all
แล้ว จึงค่อย Delete RECYCLER ทั้งสอง (Delete = Shift + Del)




จากนั้นเข้าไปที่ USB Drive แล้ว Click ขวา ที่ไฟล์ Autorun.inf เลือก unlocker
แล้ว Delete ไฟล์ autorun.inf และ delete folder รูป RECYCLER

3. ใช้โปรแกรม hijack This fix checked บรรทัดต่อไปนี้
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\usdrive32.exe
HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\usdrive32.exe
HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\usdrive32.exe


ถ้าสังเกตุให้ดีจะเห็นว่า Hijack this ไม่แสดง Registry ของ virus อยู่ 1 registry คือ
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman: "C:\RECYCLER\S-1-5-21-9484861479-2595496117-027757260-9243\wnzip32.exe


4. Click start > Run พิมพ์ Regedit เข้าไป delete key นี้
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman



จากนั้น กดปุ่ม Ctrl+ F search หาหมายเลขนี้ {645FF040-5081-101B-9F08-00AA002F954E}
ถ้าพบให้ delete ให้หมด

5. ใช้โปรแกรม NOD32 Recovery Tool Fix now เพื่อแก้ไขค่า Firewall
6. ใช้โปรแกรม ATF Cleaner clear Temp ไฟล์ หรือ click Start > Run พิมพ์ %temp%
Delete ไฟล์ ใน temp ให้หมด
7. ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน virus อาศัย Autorun
8. restart เครื่อง 1 ครั้ง
9. ติดตั้ง Update path KB894391 และ KB958644
เพื่อแก้ไข Generic Host process error และอุดช่องโหว่ 139 ,445
หรือ Download Windows Worm Door Cleaner เพื่อปิด Port 139 ,445

Photobucket
------------------------------------------------------------------------
หมายเหตุ :
ถ้าเครื่องไหน firewall ไม่ทำงาน ลองทำตามนี้ครับ
เมื่อ restart เครื่องขึ้นมาแล้ว click ที่ start -> run พิมพ์ cmd แล้ว Enter
ก็จะมีหน้าต่าง command prompt ก็ให้พิมพ์ว่า NETSH FIREWALL RESET
หรือลองเข้าตามนี้ Click Start > Setting > Controlpanel
Double-click ที่ Administrative Tools > Double-click ที่ services
เลื่อน scroll bar หา Windows Firewall/Internet Connection Sharing (ICS)
เมื่อพบ ให้ Double-click แล้วเลือก click start
ในช่อง Startup type : ให้เลือก Automatic แล้ว click OK
Restart 1 ครั้ง


--------------------------------------------------------------------------
Test by PeeTech
OS ที่ใช้ทดสอบ : Windows XP Sp2
จำนวนครั้งที่ทดสอบ : 2 ครั้ง

3 ความคิดเห็น:

  1. vsbntlo พอผมเปิดเครื่องปุ๊บมันจะขึ้นมาเลยครับ

    แล้วพอเปิดอินเตอร์เน็ตเครื่องมันจะ restart เองอัตโนมัติเลยครับ
    ผมจะแก้ปัญหาอย่างไรครับ

    ตอบลบ
  2. ที่บอกว่าเปิดเครื่องปุ๊บแล้วขึ้นมาเลยนั้น คือขึ้นเป็น Process ที่ Run อยุ่
    หรือว่า เป็นข้อความ error ครับ
    เพราะถ้าเป็น Process ที่ Run อยุ่ ก็ให้ kill process ก่อนครับ
    แล้วใช้ Hijack This fix บรรทัดที่มี path มาจาก recycle
    หรือตามที่บอกไว้ในบทความ คือ ใช้โปรแกรม ExplorerXP เปิดหา Recycle bin
    เมื่อพบแล้ว Click ขวา เลือก Unlocker ถ้ามันมี Process ที่ทำงานจากใน recycle โปรแกรม unlocker จะขึ้นหน้าต่างให้ปลด lock ครับ

    vsbntlo.exe นั้นผมไม่แน่ใจว่าเป็นตระกูล Peerflag หรือเปล่านะครับ
    เพราะ ชื่อเหมือนกันแต่อาจเป็นคนตัว หรือการทำงานต่างกันก็ได้ครับ

    หรือลอง เอา Hijack this Scan แล้วส่ง logfile แนบไปที่
    analysis.malware@gmail.com
    อีกอันหนึ่งคือ capture หน้าต่าง โปรแกรม Security Task Manager มาให้ดูด้วยก็ดีครับ


    อีกอย่าง Windows 7 ผมไม่เคยได้ทดสอบซะด้วยครับ
    ผมไม่มี licence ครับ

    แต่ว่ากำลังจะซื้อครับ รอราคามันถูกลงอีกหน่อยครับ

    ตอบลบ

Information

==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode

Popular Posts