Saturday, July 7, 2007
Hacked by ILLUSION-86E272
วิธีการแก้ไขเมื่อติดไวรัส Hacked by ILLUSION-86E272:
1. ดับเบิ้ลคลิก ไอคอน My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กเลือก Show Hidden files and folders
2. ปลดเครื่องหมายถูกหน้า Hide extensions for known file types และ Hide protected operating system files ออก
คลิก OK
3. กดปุ่ม [Ctrl+Alt+Delete] ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกแท็ป Processes คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว) คลิกปุ่ม End Process
4. เปิดไดรฟ์ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดรฟ์ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดรฟ์ที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย
5. เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
6. ไปที่ปุ่ม Start --> Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์ [HKEY_LOCAL_MACHINE\Software\Current Version\Run] ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
7. เข้าไปที่คีย์ [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] ลบไฟล์ที่ Window Title Hacked by ILLUSION-86E272 (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
8. คลิกปุ่ม Start --> Run พิมพ์ gpedit.msc กดปุ่ม OK คลิกเลือก [User Configuration --> Administrative Templates --> System] ดับเบิ้ลคลิกไฟล์ Turn Off Autoplay เลือก Enabled เลือก All drives คลิก OK เพื่อป้องกันการเปิดอัตโนมัติ ในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
9. คลิกปุ่ม Start --> Run พิมพ์ msconfig กดปุ่ม OK คลิกแท็ป Startup ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close) เลือก Exit Without Restart
10. ดับเบิ้ลคลิกไอคอน My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กถูกหน้า Hide extensions ..... และหน้า Hide protected operating system files คลิก OK
11. คลิกขวาที่ไอคอน Recycle Bin เลือกคำสั่ง Empty Recycle Bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง
Friday, June 15, 2007
W32/Rontokbro.b@mm
อาการ :
- เข้า regedit (กด enter แต่แจ้งว่า “เราไม่ใช่ admin เราไม่สามารถเข้าได้”)
- เข้า msconfig (กด enter ปุ๊บ restart ปั๊บ)
- Folder Option ใน Explorer หายไป
- เปิด Folder หรือ Shortcut ไม่ได้หรืออ้างอิงผิดตำแหน่งจะโยงมา My Document
ชนิด : หนอนอินเตอร์เน็ต (Worm)
ชื่ออื่น : W32.Rontokbro.B@mm, W32/Rontokbro, Win32/Robknot.B!Worm
ยารักษา :
หนอนชนิดหนึ่งที่แพร่กระจายอยู่ในอินเตอร์เน็ต ซึ่งมีผลทำให้เราไม่สามารถจะเข้า Registry Editor โดยการพิมพ์ regedit หรือไม่สามารถที่จะพิมพ์ msconfig เพื่อเข้า system ConfigurationUtility
โดยที่ไวรัสตัวนี้ จะเข้ามาอยู่ในระบบและรบกวนการทำงานของuser
ไอ้เจ้าไวรัสตัวนี้ชื่อW32/Rontokbro.b@mm
แนวทางรักษา
1. ให้ปิด system restore (windowsXP)
คลิกขวาที่ My Computer เลือกที่ Properties
คลิกที่แท็บ System Restore และให้ทำการติ๊กถูกที่ Turn off System Restore
คลิกที่ Apply และเมื่อมีกรอบขึ้นมาถามว่า Do you want to turn off System Restore? ใหคลิก Yes
ทำการ ปิด Share Folder ที่เปิดไว้ และ ดึงสาย Lan ออก
ทำการ Reboot เครื่องใหม่
2. เข้า safe mode
(การเข้า Safe Mode ทำได้โดยเมื่อกดสวิตช์เปิดเครื่องแล้ว หลังเสียงบี๊บของเครื่องดัง 1 ครั้ง ให้กดคีย์บอร์ด F8 ย้ำรอหลาย ๆ ครั้ง จนหน้าจอขึ้นข้อความที่มี Menu ให้เลือก กดปุ่มคีย์บอร์ดลูกศรชี้ขึ้นไปที่คำว่า Safe Mode กด Enter)
3. เข้า msconfig (start-->run พิมพ์ msconfig-->OK เลือก startup)
เอาเครื่องหมายหน้าไฟล์เหล่านี้ออกครับ
- norBtok
- smss
4. boot เครื่องใหม่ตามปกติ
หลังจากนี้ virus จะหยุดทำงานแล้วครับ ต่อไปเราจะตามลบมันออกให้หมด
5. โหลด file UnHookExec.inf
****เตรียมไว้ให้ดาวน์โหลดกัน..ด้านบนแล้วครับ****
เมื่อโหลดเสร็จให้ คลิ๊กขวาที่คำว่า install นะครับ
6. เข้า regestry Editor (start-->run พิมพ์ regedit )
เข้าไปที่
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
Explorer
ลบ NoFolderOptions ออก (อันนี้ virus มันซ่อน menu Options...ไว้ครับ)
7. search ใน my computer (My computer/search...)
หาไฟล์ *.exe
โดยใช้ filter
--> what size is it?
specify size
at most 85 kb (เผื่อไว้หน่อย)
จากผลลัพย์ที่ได้ กด คอลัมน์ size แล้วดู ให้ลบไฟลที่ความจุ 80 kb ที่ icon
จะเป็นรูป คล้ายกับ Folder มาก ลบทิ้งเลยครับ (อย่าเผลอไปดับเบิ้ลคลิ๊กหล่ะ ต้องเริ่มข้อ 1
ใหม่เลยนะครับ หุหุ เตือนไว้ก่อน)
8. ลบไฟล์ เหล่านี้ด้วยครับ
%UserProfile%TemplatesA.kotnorB.com
%Windir%inf orBtok.exe
%Windir%system32 3D Animation.scr
9. Restart เครื่องใหม่
10. เพื่อความปลอดภัยใช้ Antivirus (ที่อัพเดทแล้ว) แสกนอีกรอบ
****อีก 1 วิธีง่าย ๆ****
พอเสร็จขั้นตอนที่ 6 ให้ดาวน์โหลดไฟล์ Brontok.com (ด้านบน) เป็นไฟล์สำเร็จจัดการได้เลยครับ
****และอีก 1 วิธที่ีง่ายที่ซู๊ดดดดด....****
1. ไปดาวน์โหลดตัวฆ่ามันมาซะเลย...ชื่อโปรแกรม CS_DevEvil
2. รันโปรแกรม CS_DevEvil แล้วคลิก start เพื่อเริ่มกำจัดไวรัส
3. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel
4. รันโปรแกรม anti-virus เช่น Macfee , NOD32 , Avast แล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่
หมายเหตุ: ทั้ง 3 ขั้นตอนต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส
Worm Blaster : Virus
อาการ : เครื่อง restart ตัวเองบ่อย ๆ
ขณะนี้มีไวรัสชนิดหนึ่งที่แพร่กระจายอยู่ในอินเตอร์เน็ต ซึ่งมีผลทำให้เครื่องคอมพิวเตอร์ที่ใช้ Windows XP - รีสตาร์ทเอง โดยที่ไวรัสตัวนี้ จะเข้ามาอยู่ในระบบ พร้อมกับทำงานแบบอัตโนมัติ โดยจะแสดงตัวว่า "ระบบจะปิดทำงานในเวลา 59 วินาที" หลังจากนั้นไวรัส จะเริ่มนับถอยหลัง จนกระทั่งระบบ Windows XP ถูกรีสตาร์ท....ไอ้เจ้าไวรัสตัวนี้ชื่อWorm.Bluster
แนวทางรักษา
1. Click Start ---> click Run. (The Run dialog box จะปรากฏขึ้น)
2. พิมพ์ regedit และ click OK. (เพื่อเปิด Registry Editor)
ไปที่ key ตามนี้ครับ :
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
ในกล่องด้านขวามือให้มองหาค่านี้ครับ
----> "windows auto update"="msblast.exe"
ถ้าไม่พบค่าดังกล่าว...ก็ขอแสดงความยินดีด้วยครับ...
แต่ถ้าคุณพบ...ให้รีบ Delete มันออกไปซะ......เพราะมันคือไอ้ตัววายร้าย....
เมื่อ Delete เสร็จแล้วให้ออกจาก Registry Editor เลยครับ
ขั้นตอนต่อไป
ไปดาวน์โหลดไฟล์ที่เว็บไซท์ของ Microsoft
หาชื่อไฟล์ WindowsXP-KB823980-x86-ENU.exe
**** สำหรับใครที่ใช้ Xp(pro) หรือ home ผมฝากไฟล์ไว้...ให้
ดาวน์โหลดได้เลยครับ ****
เมื่อ ดาวน์โหลด มาแล้วให้ทำตามขั้นตอนดังนี้
1. ดับเบิ้ลคลิกที่ไฟล์ (ไฟล์ที่ดาวน์โหลดมา)
2. คลิก I Agree
3. คลิก Next จนกว่าจะรีสตาร์ท
4. เมื่อเครื่องคอมฯ บูทเครื่องแล้ว ก็สามารถใช้งานได้ปกติ
Friday, May 18, 2007
รวบรวม virus และตัวแก้
รายชื่อไวรัสต่าง ๆ ที่รวบรวมไว้จากคุณtrackerx90
achi.dll.vbs
ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์วบนเครื่อง ชื่อไฟล์ไวรัสคือ achi.dll.vbs จะสร้างไฟล์ achi.htm และแก้ไขค่าในรีจิสทรีเพื่อทำให้หน้าแรกของ Internet Explorer แสดงข้อความในไฟล์ดังกล่าว ไวรัสแพร่กระจายตัวผ่านทางแฮนดี้ไดร์ว ได้รับการดัดแปลงมาจากไวรัสตระกูล vbs รุ่นแรกๆ อย่างไรก็ตามไวรัสไม่ได้สร้างความเสียหายแก่เครื่องที่ติดเชื้อ
happy.vbs
ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์วบนเครื่อง โดยจะสร้างไฟล์ autorun พร้อมคัดลอกไฟล์ไวรัส happy.vbs ไปด้วย ไวรัสจะยกเลิกการใช้งาน regedit.exe ซ่อนไอคอน My Computer ทำให้ไม่สามารถใช้ My Computer เนื่องจากจะมองไม่เห็นไดร์ว ยกเลิกสิทธิ์ในการเข้าถึงแชร์โฟลเดอร์ของผู้ดูแลระบบ ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer เป็น ORIGINAL SILLE.B run on GAME ONLINE และตั้งค่าหน้าแรกไปที่ http://www.sille.net/gamesonline.htm และแสดงกล่องข้อความ "VIRUS SILLE RUN ON GAMES ONLINE"
killVBS.vbs
ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว โดยจะสร้างไฟล์ autorun ลงบนแฮนดี้ไดร์ว พร้อมคัดลอกไฟล์ไวรัส killVBS.vbs ไปด้วย ไวรัสจะไม่แพร่กระจายตัวเองทางการแชร์ไฟล์ในเครือข่ายเหมือนกับไวรัสตระกูลเดียวกันที่เคยทำ เพื่อทำให้ผู้ใช้ตรวจพบยากขึ้น ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer และหน้าแรกเป็นค่าว่างเปล่า
HELLO WORLD i am VB
ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว โดยจะสร้างไฟล์ autorun ลงบนทุกๆไดร์ว พร้อมคัดลอกไฟล์ไวรัส RUNDLL64.dll.vbs ไปด้วย ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer เป็น HELLO WORLD i am VB นอกจากนี้ไวรัสจะทำการซ่อนแทบ All Programs ใน Start Menu ทำให้เกิดความไม่สะดวกในการเรียกใช้งานโปรแกรมต่างๆผ่านทาง Start Menu รวมไปถึงการยกลิกการใช้งาน Windows Task Manager ซึ่งทำให้ผู้ใช้ไม่สามารถจัดการกับโปรเซสบนเครื่องได้
^_^Anti AntiVirus^_^ (Win32/Wenna.E worm)
ไวรัสถูกเขียนโดยใช้ Borland Delphi เชื่อว่าคนที่เขียนไวรัสตัวนี้ คือคนๆเดียวกับที่เขียนไวรัส data.exe เนื่องจากพบโค้ดที่เป็นของไวรัส data.exe ปรากฏอยู่ ไวรัสตัวนี้จะทำการแก้ไข Windows Title ให้เป็น ^_^Anti AntiVirus^_^ ตลอดเวลา สามารถติดเชื้อแฮนดี้ไดร์วโดยใช้ไฟล์ auto run ไวรัสจะแก้ไขค่าในรีจิสทรีที่เกี่ยวกับไฟล์นามสกุล exe ให้ไวรัสเป็นผู้จัดการแทนระบบปฏิบัติการ ด้วยเหตุนี้อาจทำให้เปิดไฟล์ exe ไม่ได้ ไวรัสจะยกเลิกฟังก์ชั่นที่เกี่ยวกับการแก้ไขปรับแต่งระบบปฏิบัติการ
Hacked by 8BITS (VBS/Butsur.C worm)
ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว ไวรัสถูกเขียนโดยใช้ Visual Basic Script โดยจะสร้างไฟล์ autorun ลงบนทุกๆไดร์ว พร้อมคัดลอกไฟล์ไวรัส kernel32.dll.vbs ไปด้วย ไวรัสจะแก้ไขไตเติลบาร์ของ IE เป็น Hacked by 8BITS ในโด้ดไวรัสมีคำสั่งที่เรียกใช้โปรแกรมที่ใช้ในการควบคุมเปิดปิดเครื่องของระบบปฏิบัติการ ดังนั้นเครื่องที่ติดเชื้อมีโอกาสปิดลง โดยไม่มีการแจ้งเตือน
Data.exe (Win32.Worm.Tellsky)
ไวรัสตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ www.Atom-Soft.com ผ่านทาง http และ ftp เชื่อว่ามีการเขียนขึ้นมา 3 รุ่น ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 213 KB,221KB และ 224 KB ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป นอกจากนี้ไวรัสตัวนี้มีฟังก์ชั่นในการทำลายข้อมูลบนฮาร์ดดิสด้วย
.MS32DLL.dll.vbs (VBS/Pica.NAA virus)
ไวรัสตัวนี้เชื่อว่ามาจากการดัดแปลงไฟล์ไวรัสต้นแบบที่ชื่อ VBS.Godzilla ไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์ว แล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ โดยจะใช้ชื่อไฟล์เป็น .MS32DLL.dll.vbs เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน ไวรัสพยายามซ่อนตัวเองโดยการปรับแต่งรีจิสทรีและการเปลี่ยนสกุลไฟล์ไวรัสเป็น boot.ini เพื่อหลบซ่อนในระบบด้วย
Toy.exe (Win32/Agent.WJ trojan)
ไวรัสตัวนี้เริ่มแพร่ระบาดมานานแล้ว โปรแกรมแอนตี้ไวรัสที่อัพเดตสามารถตรวจจับมันได้เกือบทั้งหมด แต่ก็ยังพบปัญหาในการกำจัด ไวรัสติดเชื้อแฮนดี้ไดร์วโดยใช้เทคนิค auto run ตัวแก้นี้จะทำการแก้ไขไวรัสแบบสมบูรณ์ ไวรัสตัวนี้ไม่ได้ทำลายข้อมูล เพียงแต่ก่อกวน โดยสังเกตที่หน้าจอในตอนที่ล็อกออนเข้าใช้งาน จะมีข้อความเกี่ยวกับการสร้างโลกของพระเจ้า หรือรู้จักไวรัสตัวนี้กันดีในชื่อไวรัสภาษาจีน
music.exe (Win32/VB.NIV worm)
ไวรัสตัวนี้รู้จักกันดีในชื่อ music.exe ติดเชื้อผ่านทางแฮนดี้ไดร์วโดยเทคนิค auto run ไวรัสถูกเขียนโดยใช้ภาษา Visual Basic จะทำการลบไฟล์ นามสกุล *.mp3 และ *.dat ทุกไฟล์ที่พบบนเครื่อง ไวรัสพยายามใช้คำสั่งที่มีวิธีการเหมือนผู้ใช้ทำปกติ แทนที่การเขียนโค้ดโดยตรงเพื่อหลบการวิเคราะห์ไฟล์ของโปรแกรมแอนติไวรัส ไวรัสทำการคัดลอกตัวเองโดยใช้ชื่อโฟลเดอร์ที่พบ มีนามสกุลเป็น *.exe ตลอดเวลาทำให้เครื่องประมวลผลงานอื่นๆช้าลง แต่ไม่พบฟังก์ชั่นที่เปิดทางให้แฮ็กเกอร์ควบคุม คาดว่าไวรัสตัวนี้ถูกเขียนมาเพื่อทำลายข้อมูล สร้างความเสียหายโดยเฉพาะ
iexp1ore.exe (Win32/Agent.P worm)
ไวรัสตัวนี้ติดต่อผ่านทางแฮนดี้ไดร์ว โดยใช้วิธี auto runเมื่อผู้ใช้ดับเบิลคลิกเข้าใช้งานในเครื่องที่ฟังก์ชั่นเล่นอัตโนมัติทำงานอยู่ไวรัสจะติด เข้าสู่เครื่องทันที ไวรัสจะคัดลอกตัวเองไปในโฟลเดอร์โปรแกรม Internet Explorerโดยพยายามทำตัวเองเป็นเสมือนโปรแกรม Internet Explorer ทำการแก้ไขทางลัดทุกทางที่จะเรียกใช้โปรแกรมให้ชี้ไปที่ไวรัสแทน โปรเซสของไวรัสมีชื่อว่า iexp1ore.exe โดยไวรัสจะไม่สร้างความ ผิดปกติใดๆบนเครื่องที่ติดเชื้อทำให้ผู้ใช้ที่ไม่สังเกต ไม่สามารถตรวจพบได้
sxs.exe (Win32/PSW.QQRob trojan)
โปรแกรมนี้จะกำจัดไวรัส sxs.exe ในแฮนดี้ไดร์วและบนเครื่องที่ติดเชื้อ ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run ลงในทุกๆไดร์วเพื่อเรียก ตัวเองขึ้นทำงานทุกครั้งที่มีการดับเบิลคลิกที่ไดร์วนั้นๆ ไวรัสจะทำการปรับแต่งเครื่องเหยื่อโดยใช้โปรแกม net.exe และ sc.exe ยังไม่ แน่ใจว่ามันทำอะไรเพราะผู้เขียนไวรัสได้เข้ารหัสไฟล์ไว้ทำให้ยากต่อการทำความเข้าใจโค้ดในไฟล์ไวรัส อาการเครื่องที่ติดก็คือจะดับเบิล คลิกเปิดเข้าไดร์วต่างๆไม่ได้ แต่สามารถเข้า ใช้งานไดร์ว C:ได้ การกำจัดสามารถเชื่อมต่อแฮนดี้ไดร์วที่ต้องสงสัยเข้ากับเครื่องแล้วรันตัว แก้เพื่อกำจัดไวรัสบนเครื่องและในแฮนดี้ไดร์วพร้อมๆกันได้
Monaliza
ไวรัสตัวนี้ติดผ่านทางแฮนดี้ไดร์วได้ นอกจากนี้ยังสามารถติดเชื้อผู้ใช้ผ่านทาง msn เป็นไวรัสที่เริ่มแพร่กระจายมาสักระยะหนึ่งแล้วโดยจะ ใช้เทคนิค auto run สำหรับการติดเชื้อแฮนดี้ไดร์วตามเคย โปรแกรมนี้จะทำการคืนค่าที่ไวรัสทำไว้ทั้งหมด ผู้ใช้สามารถเชื่อมต่ออุปกรณ์ แฮนดี้ไดร์วเข้ากับเครื่อง เพื่อกำจัดไวรัสที่อยู่ในอุปกรณ์ได้พร้อมๆกัน
คลิปVDO.exe (Win32/Agent.NAG worm)
ไวรัสตัวนี้ความรุนแรงของมันไม่มากแต่ก็เป็นโปรแกรมที่มีความสามารถในการแพร่กระจายตัวเองจากเครื่องหนึ่งไปอีกเครื่องหนึ่งโดย จะสร้างไฟล์ คลิปVDO.exe ลงบนทุกๆไดร์วโดยทำไอคอนของมันเป็นแบบ Folder สร้างความรำคาญแก่ผู้ใช้
Hacked By Godzilla (VBS/Butsur.B worm)
โปรแกรมนี้จะทำการกำจัดไวรัสที่แก้ไขไตเติลบาร์ของ IE เป็น "Hacked By Godzilla" ออกจากเครื่องที่ติดเชื้อพร้อมทั้งกำจัด ไวรัสที่อยู่ในแฮนดี้ไดร์วด้วยดังนั้นผู้ใช้สามารถรันโปรแกรมนี้เพื่อกำจัดมันได้ในครั้งเดียว ทำให้สะดวกมากยิ่งขึ้น โชคไม่ดีที่ไวรัสประเภทนี้ สามารถเขียนขึ้นได้อย่างง่ายดาย ซึ่งไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์วแล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ ทำให้ เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน
AdobeR.exe (Win32/RJump.B worm)
โปรแกรมนี้จะกำจัดไวรัส AdobeR ในแฮนดี้ไดร์ว ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run เพื่อใช้ในการรันตัวมันเองเข้าสู่ระบบดังนั้นเวลา ที่ผู้ใช้ทำการดับเบิลคลิกไดร์ว เพื่อเข้าใช้งาน จะทำให้ไวรัสถูกเรียกขึ้นมาทำงาน จากการทดลองพบว่าไวรัสตัวนี้อาจเขียนขึ้นอย่างเร่ง รีบเนื่องจากพบข้อผิดพลาดในระหว่างการทำงาน อย่างไรก็ตามยังพบการแพร่กระจายอยู่ โปรแกรมนี้จะทำการลบไฟล์ที่ไวรัสสร้างขึ้น เพื่อใช้ในการทำงานของมันทั้งหมด ด้วยวิธีนี้จะทำให้อุปกรณ์ของผู้ใช้สามารถใช้งานได้ตามปกติ โดยข้อมูลทั้งหมดยังคงอยู่ไม่สูญหาย
Flashy.exe (Win32/Disabler.I trojan)
โปรแกรมนี้ใช้กำจัดไวรัส Flashy.exe ซึ่งไวรัสตัวนี้จะเปิดบริการ telnet ซึ่งส่งผลให้ผู้ไม่หวังดีควบคุมเครื่องของเหยื่อจากระยะไกล ไวรัสจะคัดลอกตัวเองลงแฮนดี้ไดร์วตลอดเวลาและซ่อนโฟลเดอร์จริงจากนั้นจะทำตัวเองเลียนแบบโฟลเดอร์เพื่อให้เหยือรันตัวมันเข้าสู่ ระบบโปรแกรมนี้จะดำเนินการแก้ไขค่าทุกอย่างให้เหมือนเดิมทุกประการรวมทั้งถอดรหัสของ administrator ให้ว่างเปล่า รวมทั้งกำจัด ไวรัส Flashy.exe ในแฮนดี้ไดร์วและแสดงโฟลเดอร์จริงขึ้นมาด้วย
ดาวน์โหลดตัวแก้ไวรัสต่าง ๆ
หมายเหตุ (ก่อน run ตัวแก้ให้ปิดโปรแกรมแอนตี้ไวรัสก่อนครับ)
Saturday, February 24, 2007
มาตรวจสอบไวรัสกันเถอะ
สร้างภูมิคุ้มกัน..Virus..Trojan..Spyware..
1. สแกนคอมพิวเตอร์ของคุณ..ด้วยโปรแกรม Antivirus ซึ่งนั่นหมายความว่าต้องUpdate ให้เป็นปัจจุบันที่สุด
และหากจะกวาดล้างให้สิ้นซาก...แนะนำให้สแกนในโหมด Save Mode..
(การเข้าSave Mode ให้ กด F8 ตอนรีสตาร์ทเครื่องก่อนเข้าหน้าวินโดว์..)
ซึ่งเราสามารถเลือกจะเข้าsave mode แบบต่อเน็ทหรือไม่ก็ได้...
2. ถ้าหากไม่มีโปรแกรมแอนตี้ไวรัสหรือแอนตี้สปายแวร์ติดไว้บนเครื่องคุณแล้วล่ะก้อ
ให้ลองหาเว็บไซต์ที่รับสแกนฟรีๆๆๆ..ตรวจสอบดูก็ได้....หรือไม่ก็...
ให้ตรวจสอบและสังเกตุจาก Windows Task Manager (Ctrl+Alt+Del)ก็ได้
เมื่อเปิดTaskBar Manager ขึ้นมาแล้วให้เลือกที่แทบProcesses คุณก็จะเห็นพลังการทำงานของCPUของคุณว่ามันหนักหนาสากันอย่างไร...
ทีนี้..ลองสังเกตุด้วยตาดูว่า...มีชื่อโปรแกรมหรืออะไรแปลกๆให้เห็นบ้าง...หากมี
ก็ลองSearch..หาในGoogle...
หากรู้ว่าเป็นไฟล์ไวรัสหรือเกี่ยวกับสปายแวร์แล้วล่ะก็...
เราก็มาSearch หากันว่า..มันอยู่ที่ไหนบนเครื่องเราบ้าง..(ให้เสิร์ชตามรูป)
หมายเหตุ...บางครั้งอาจเจอตัวอักษรแปลกๆ..เช่น..ñsrss.exe.ซึ่งเราไม่สามารถพิมพ์อักษร
ในเสิร์ชได้..อย่างนี้ล่ะก้อ
เราก็คงต้องอาศัยเครื่องมือ(บนXP..เราเนี่ยล่ะ)เราเรียกมันว่า...“Character Map”
Start => All Programs => Accessories => System Tools => Character Map
แล้วหาตัวอักษรที่ต้องการ...เลือก...และมาpaste ลงในเสิร์ชอีกที...และจัดการมันซะ..
3. ต่อไป..ค้นหาSpyware..กัน..
ส่วนมากเจาพวกไวรัสหรือสปายแวร์เหล่านี้มันจะไปฝังตัวเกาะกินอยู่ที่ระบบของคอม
ในส่วนของกุญแจระบบ(Registry)โดยมันมักจะสร้างค่าใหม่ๆขึ้น
ให้กับระบบของเรา...ให้เข้าไปดูที่ System Registry
Start => Run => regedit
ตรวจสอบดูที่
HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows => CurrentVersion => Run
HKEY_CURRENT_USER => SOFTWARE => Microsoft => Windows => CurrentVersion => Run
เมื่อตรวจสอบไฟล์แปลกปลอม..หรือค่าRegistry..แปลกๆ แล้วก็จัดการลบมันออกไปซะ(อ้อ..อย่าลืมแบ็คอัพไว้ก่อนก็ดีนะครับ)
Sunday, February 4, 2007
อาการติดเชื้อ
Story : ไวรัส - วายร้าย
by : Clickdog
อาการที่คอมพิวเตอร์ของเราจากที่มันเคยดี ๆ ไม่งอแง..แต่อยู่มาวันนึง..มันทะแม่งๆ..มันจะติดไวรัสหรือเปล่าหว่า...
เท่าที่สังเกตุด้วยตัวเองแล้ว...คอมฯมักจะมีปัญหา(เกี่ยวกับไวรัส)เบื้องต้น...ดังนี้
อาการเบื้องต้นของเครื่องติดเชื้อ
1. คอมมีอาการช้าลง...เหมือนกะว่ามันมีงาน.busy..ตลอดเวลาเลย
2. กำแพงไฟ(Firewall)..ถามความยินยอมที่จะอนุญาตให้โปรแกรมบางตัว(ที่ไม่รู้จัก)
และจะให้เราทำการAccess..บ่อยๆ (น่าเบื่อมั่กๆ)
3. เมื่อสังเกตุเห็นว่า..Desktop..ของคุณมีอาการเปลี่ยนแปลงไปซะแย๊วววว.....ว
4. เมื่อStart Windows แล้ว..มีโปรแกรมที่เราไม่รู้จักหรือ Processes แปลกๆ มาวิ่งเพ่นพ่านบนเครื่องของคุณ
5. Policy ถูกเปลี่ยนแปลงโดยไม่รู้ตัว...
6. Windows Task Manager ถูกระงับ.(disabled)
7. โปรแกรมจำนวนหนึ่งไม่ทำงาน..เช่น..IE
8. มี Pop-Ups ขึ้นพรึบพรับไปหมด..บางครั้งจนตาลาย
ยังไง ๆ ก็ลองสำรวจเครื่องของคุณดูนะครับ..ถ้ามีอาการข้างต้น
ก็ลองหาโปรแกรมแอนตี้ไวรัส มาสแกนไวรัสดูนะครับ...
by : Clickdog
อาการที่คอมพิวเตอร์ของเราจากที่มันเคยดี ๆ ไม่งอแง..แต่อยู่มาวันนึง..มันทะแม่งๆ..มันจะติดไวรัสหรือเปล่าหว่า...
เท่าที่สังเกตุด้วยตัวเองแล้ว...คอมฯมักจะมีปัญหา(เกี่ยวกับไวรัส)เบื้องต้น...ดังนี้
อาการเบื้องต้นของเครื่องติดเชื้อ
1. คอมมีอาการช้าลง...เหมือนกะว่ามันมีงาน.busy..ตลอดเวลาเลย
2. กำแพงไฟ(Firewall)..ถามความยินยอมที่จะอนุญาตให้โปรแกรมบางตัว(ที่ไม่รู้จัก)
และจะให้เราทำการAccess..บ่อยๆ (น่าเบื่อมั่กๆ)
3. เมื่อสังเกตุเห็นว่า..Desktop..ของคุณมีอาการเปลี่ยนแปลงไปซะแย๊วววว.....ว
4. เมื่อStart Windows แล้ว..มีโปรแกรมที่เราไม่รู้จักหรือ Processes แปลกๆ มาวิ่งเพ่นพ่านบนเครื่องของคุณ
5. Policy ถูกเปลี่ยนแปลงโดยไม่รู้ตัว...
6. Windows Task Manager ถูกระงับ.(disabled)
7. โปรแกรมจำนวนหนึ่งไม่ทำงาน..เช่น..IE
8. มี Pop-Ups ขึ้นพรึบพรับไปหมด..บางครั้งจนตาลาย
ยังไง ๆ ก็ลองสำรวจเครื่องของคุณดูนะครับ..ถ้ามีอาการข้างต้น
ก็ลองหาโปรแกรมแอนตี้ไวรัส มาสแกนไวรัสดูนะครับ...
Subscribe to:
Posts (Atom)