"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่ค่อยได้มีการ update หรือทดสอบ virus ตัวใหม่ๆ เนื่องจากภาระหน้าที่การงาน"

Alert


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker

9/10/2552

Win32/VB.NOW

How to remove Win32/VB.NOW (Detect by NOD32)

DXGDIALOG.EXE , .EXE
CRC32: FC870C5E
MD5: 90B63A092673615E839FAA768613214C
SHA-1: 67C09D97437AA1F569A464FE47DE24515C48B667
------------------------------------------------------------------------
Aliases:
a-squared 4.5.0.24 2009.09.11 Virus.Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.09.10 Win-Trojan/Xema.variant
AntiVir 7.9.1.14 2009.09.10 TR/VB.das.23
Antiy-AVL 2.0.3.7 2009.09.10 Trojan/Win32.VB.gen
Authentium 5.1.2.4 2009.09.11 W32/Trojan2.EXOK
Avast 4.8.1351.0 2009.09.10 Win32:VB-LCD
AVG 8.5.0.412 2009.09.10 Generic11.RUG
BitDefender 7.2 2009.09.11 Win32.Worm.VB.NXV
CAT-QuickHeal 10.00 2009.09.10 Trojan.VB.das
ClamAV 0.94.1 2009.09.11 -
Comodo 2279 2009.09.11 Worm.Win32.AutoRun.~HE
DrWeb 5.0.0.12182 2009.09.10 Win32.HLLW.Autoruner.4287
eSafe 7.0.17.0 2009.09.10 -
eTrust-Vet 31.6.6730 2009.09.10 Win32/SillyAutorun.JZ
F-Prot 4.5.1.85 2009.09.10 W32/Trojan2.EXOK
F-Secure 8.0.14470.0 2009.09.11 Trojan.Win32.VB.udb
Fortinet 3.120.0.0 2009.09.10 -
GData 19 2009.09.11 Win32.Worm.VB.NXV
Ikarus T3.1.1.72.0 2009.09.10 Virus.Trojan.Win32.VB
Jiangmin 11.0.800 2009.09.10 Backdoor/Hupigon.qb
K7AntiVirus 7.10.841 2009.09.10 Trojan.Win32.VB.das
Kaspersky 7.0.0.125 2009.09.11 Trojan.Win32.VB.udb
McAfee 5737 2009.09.10 W32/Autorun.worm.h
McAfee+Artemis 5737 2009.09.10 W32/Autorun.worm.h
McAfee-GW-Edition 6.8.5 2009.09.10 Trojan.VB.das.23
Microsoft 1.5005 2009.09.10 Worm:Win32/Autorun.gen!BE
NOD32 4415 2009.09.10 a variant of Win32/VB.NOW
Norman 6.01.09 2009.09.10 W32/Obfuscated.H3!genr
nProtect 2009.1.8.0 2009.09.10 Trojan/W32.Agent.110592.Z
Panda 10.0.2.2 2009.09.10 W32/Autorun.AQX.worm
PCTools 4.4.2.0 2009.09.10 Trojan.VB.das
Prevx 3.0 2009.09.11 Medium Risk Malware
Rising 21.46.34.00 2009.09.10 Worm.Win32.VB.sz
Sophos 4.45.0 2009.09.11 W32/Autorun-WO
Sunbelt 3.2.1858.2 2009.09.10 -
Symantec 1.4.4.12 2009.09.11 Trojan Horse
TheHacker 6.3.4.4.400 2009.09.10 -
TrendMicro 8.950.0.1094 2009.09.10 TROJ_VB.HGC
VBA32 3.12.10.10 2009.09.10 Trojan.Win32.VB.das
ViRobot 2009.9.10.1928 2009.09.10 Trojan.Win32.VB.110592.E
VirusBuster 4.6.5.0 2009.09.10 Trojan.VB.EFEB
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ ดังนี้

C:\WINDOWS\system32\DXGDIALOG.EXE
C:\Documents and Settings\[User Name]\Desktop\.EXE

ใน USB DRIVE
X:\DXGDIALOG.EXE
X:\autorun.inf

มีการแก้ไข Registry ดังนี้
Values added
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMIAPSRV\0000\Control\
ActiveService: "WmiApSrv"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMIAPSRV\0000\Control\
ActiveService: "WmiApSrv"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
MSconfigs: "C:\WINDOWS\system32\DXGDIALOG.EXE


Values modified
HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent\: 0x00000014
HKLM\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000014
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden: 0x00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoFolderOptions: 0x00000001

สร้าง Folder ปลอม ที่มีนามสกุล .exe และซ่อน Folder บาง Folder
Folder option หาย และ ไม่สามารถ Show hidden file ได้

------------------------------------------------------------------------
วิธีแก้ DXGDIALOG.EXE (Win32/VB.NOW)
------------------------------------------------------------------------
ก่อนอื่นให้ตัดการเชื่อมต่อ internet ก่อน และเสียบ USB driver กับ computer

1. เปิดโปรแกรม Kill Process หา folder ที่มีนามสกุล .exe แล้ว ปิด Process ให้หมดทุกตัว

Photobucket



2. Delete ไฟล์ DXGDIALOG.EXE ใน system32 และ .exe ที่ Desktop

3. เปิดโปรแกรม DKDC_Hash เลือกไฟล์ต้นฉบับ ในที่นี้ผมเลือก DXGDIALOG.EXE ใน USB Drive

Photobucket



4. ใช้ Hijack This fix checkedHKCU\..\Run: [MSconfigs] C:\WINDOWS\system32\DXGDIALOG.EXE

Photobucket



5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Folder option และ Show hidden file

Photobucket
*ถ้าใครลองใช้ NOD32 Recovery Tool แล้ว Folder Option ไม่แสดง ให้ Restart เครื่อง 1 ครั้ง
หรือ Run โปรแกรม Explorestart 1 ครั้ง

สุดท้ายให้ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน virus อาศัย autorun ในการทำงาน
Update virus signature database ของ Antivirus ให้ทันสมัยอยู่เสมอ
------------------------ Test by PeeTech ----------------------------
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
OS ที่ใช้ทดสอบ : Windows XP SP2
ไฟล์ที่ใช้ทดสอบ : DXGDIALOG.EXE
เขียนโดย ที่
ป้ายกำกับ:

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)

Information

==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode

Popular Posts

  • AVDB-006 Update
    ------------------------------------------------------------------------- PeeTechFix-Win32/PSW.OnlineGames 2.0.5 AVDB-006 (update 20/10/2009...
  • Quick checklist for ransomware protection
    Instead, take the time see how to avoid ransomware attacks with this essential sheet. How many check marks can you score?
  • How to remove qkm.exe
    qkm.exe , herss.exe Files size 93.5 KB (95,744 bytes) MD5: 652FA41E1F599F3AFBD88B1D01F28241 SHA-1: 0DF2874A9D44873D7EF038F48C20CC229D7B447C ...
  • AVDB-013 Update
    16/11/2009 PeeTechFix-win32/PSW.OnlineGame 2.0.5 AVDB-013 ============================================= 39ua6nvk.cmd 3nh99cah.exe 82i.cmd 8...
  • Virus: Win32/Induc.A
    How to remove Win32/Induc.A (Detect by NOD32) Aliases: Virus.Win32.Induc.a (Kaspersky), W32/Induc (McAfee), Virus:Win32/Induc.A (Microsoft) ...
  • Virus Remove Tool
    Tool สำหรับ กำจัด virus ต่างๆ ------------------------------------------------------------------------- PeeTech Fix Tool + Other Virus Remo...
  • How to remove m.exe, herss.exe
    m.exe , herss.exe File size: 115319 bytes MD5: BDCC9DE9880F15A961A265CA7A11C2D4 ============================================== Aliases: a-sq...
  • How to remove 9rfpp.exe
    9rfpp.exe , nodqq.exe File size: 110080 bytes MD5 : 812fcfca131c043ccdf5d0fdab53c2b7 SHA1 : 9bec221ae1d8fa3e221f6dc21b408da9442829 46 =====...
  • AVDB-005 Update
    new update 05/10/2009 ! ------------------------------------------------------------------------ AVDB-005 (05/10/2009) ---------------------...
  • Malware Remove Tool and Utilities Tool
    #Malware Remove Tool# Process and Task Manager Tool 1. ExplorerXP Download link 1 hot !   2. Process Explorer Download link...