Saturday, July 7, 2007

Hacked by ILLUSION-86E272


วิธีการแก้​ไขเมื่อติดไวรัส​ Hacked by ILLUSION-86E272:


1. ​ดับเบิ้ลคลิก​ ​ไอคอน​ My Computer ​ที่​เดสก์ท็อป​ ​ที่​เมนู​ Tools ​เลือก​ Folder Options ​คลิกแท็ป​ View ​ติ๊กเลือก​ Show Hidden files and folders

2. ​ปลดเครื่องหมายถูกหน้า​ Hide extensions for known file types ​และ​ Hide protected operating system files ​ออก
คลิก​ OK

3. ​กดปุ่ม​ [Ctrl+Alt+Delete] ​ที่คีย์บอร์ด​ ​เพื่อเรียก​ Task Manager ​คลิกแท็ป​ Processes ​คลิกเลือกเมนู​ Image Name (เพื่อ​ sort File) ​คลิกเลือกไฟล์​ wscript.exe (ทีละตัว) ​คลิกปุ่ม​ End Process

4. ​เปิดไดรฟ์​ ​(​โดย​คลิกขวา​เลือก​ Explore ​ห้ามดับเบิ้ลคลิกไดรฟ์​ ) ​ทำ​การลบไฟล์​ autorun.inf ​และ​ MS32DLL.dll.vbs ​ออก​ ​(​โดย​กด​ Shift+Delete ) ​ทุกไดรฟ์ที่มี​อยู่​ใน​เครื่องคอมพิวเตอร์​ซึ่ง​รวม​ทั้ง​ Handy Drive ​และ​ Floppy disk ​ด้วย

5. ​เปิดโฟลเดอร์​ C:\WINDOWS ​เพื่อลบไฟล์​ MS32DLL.dll.vbs ​ออก​ ​(​โดย​กด​ Shift+Delete )

6. ​ไปที่ปุ่ม​ Start --> Run ​พิมพ์​ regedit ​คลิก​ OK ​เข้า​ไปที่คีย์​ [HKEY_LOCAL_MACHINE\Software\Current Version\Run] ​ลบไฟล์​ MS32DLL ​(​โดย​การกดปุ่ม​ Delete ​ที่คีย์บอร์ด​ )

7. ​เข้า​ไปที่คีย์​ [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] ​ลบไฟล์ที่​ Window Title Hacked by ILLUSION-86E272 ​(​โดย​การกดปุ่ม​ Delete ​ที่คีย์บอร์ด​ )

8. ​คลิกปุ่ม​ Start --> Run ​พิมพ์​ gpedit.msc ​กดปุ่ม​ OK ​คลิกเลือก​ [User Configuration --> Administrative Templates --> System] ​ดับเบิ้ลคลิกไฟล์​ Turn Off Autoplay ​เลือก​ Enabled ​เลือก​ All drives ​คลิก​ OK ​เพื่อป้อง​กัน​การเปิดอัตโนมัติ​ ​ใน​กรณีที่นำ​แผ่นซีดี​ ​หรือ​ Handy Drive ​มา​ใช้​งาน​ซึ่ง​เป็น​ช่องทางที่​จะ​ทำ​ให้​เกิดการติดไวรัส​ได้​ง่ายขึ้น

9. ​คลิกปุ่ม​ Start --> Run ​พิมพ์​ msconfig ​กดปุ่ม​ OK ​คลิกแท็ป​ Startup ​ปลดเครื่องหมายถูกหน้า​ MS32DLL ​ออก​ ​คลิกปุ่ม​ Apply ​คลิกปุ่ม​ OK ​(​หรือ​ Close) ​เลือก​ Exit Without Restart

10. ​ดับเบิ้ลคลิกไอคอน​ My Computer ​ที่​เดสก์ท็อป​ ​ที่​เมนู​ Tools ​เลือก​ Folder Options ​คลิกแท็ป​ View ​ติ๊กถูกหน้า​ Hide extensions ..... ​และ​หน้า​ Hide protected operating system files ​คลิก​ OK

11. ​คลิกขวาที่​ไอคอน​ Recycle Bin ​เลือกคำ​สั่ง​ Empty Recycle Bin ​เพื่อยืนยันการลบไฟล์​ไวรัสออก​จาก​เครื่องคอมพิวเตอร์อีกครั้ง

Friday, June 15, 2007

W32/Rontokbro.b@mm


อาการ :
- เข้า regedit (กด​ enter ​แต่​แจ้งว่า​ “​เรา​ไม่​ใช่​ admin ​เรา​ไม่​สามารถ​เข้า​ได้​”)
- เข้า msconfig (กด​ enter ​ปุ๊บ​ restart ​ปั๊บ)
- Folder Option ​ใน​ Explorer ​หายไป
- ​เปิด​ Folder ​หรือ​ Shortcut ​ไม่​ได้​หรือ​อ้างอิงผิดตำ​แหน่ง​จะ​โยงมา​ My Document
ชนิด​ ​ : หนอนอินเตอร์​เน็ต​ (Worm)
ชื่อ​อื่น​ : W32.Rontokbro.B@mm, W32/Rontokbro, Win32/Robknot.B!Worm
ยารักษา :


หนอนชนิดหนึ่งที่​แพร่กระจาย​อยู่​ใน​อินเตอร์​เน็ต​ ​ซึ่ง​มีผลทำ​ให้​เราไม่สามารถจะเข้า Registry Editor โดยการพิมพ์ regedit หรือไม่สามารถที่จะพิมพ์ msconfig เพื่อเข้า system ConfigurationUtility
​โดย​ที่​ไวรัสตัวนี้​ ​จะ​เข้า​มา​อยู่​ใน​ระบบ​และรบกวนการทำงานของuser
ไอ้เจ้าไวรัสตัวนี้ชื่อW32/Rontokbro.b@mm

แนวทางรักษา

1. ให้ปิด system restore (windowsXP)

คลิกขวาที่​ My Computer ​เลือกที่​ Properties
คลิกที่​แท็บ​ System Restore ​และ​ให้​ทำ​การติ๊กถูกที่​ Turn off System Restore
คลิกที่​ Apply และ​เมื่อมีกรอบขึ้นมาถามว่า​ Do you want to turn off System Restore? ใหคลิก​ Yes
ทำ​การ​ ​ปิด​ Share Folder ที่​เปิด​ไว้​ ​และ​ ​ดึงสาย​ Lan ออก
ทำ​การ​ Reboot เครื่อง​ใหม่

2. ​เข้า​ safe mode
(การ​เข้า​ Safe Mode ​ทำ​ได้​โดย​เมื่อกดสวิตช์​เปิดเครื่อง​แล้ว​ ​หลังเสียงบี๊บของเครื่องดัง​ 1 ​ครั้ง​ ​ให้​กดคีย์บอร์ด​ F8 ​ย้ำ​รอหลาย​ ​ๆ​ ​ครั้ง​ ​จนหน้าจอขึ้นข้อ​ความ​ที่มี​ Menu ​ให้​เลือก​ ​กดปุ่มคีย์บอร์ดลูกศรชี้ขึ้นไปที่คำ​ว่า​ Safe Mode ​กด​ Enter)

3. ​เข้า​ msconfig (start-->run พิมพ์ msconfig-->OK เลือก startup)
​เอา​เครื่องหมายหน้า​ไฟล์​เหล่านี้ออกครับ
- norBtok
- smss

4. boot ​เครื่อง​ใหม่​ตามปกติ
​หลัง​จาก​นี้​ virus ​จะ​หยุดทำ​งาน​แล้ว​ครับ​ ​ต่อไปเรา​จะ​ตามลบมันออก​ให้​หมด

5. ​โหลด​ file ​UnHookExec.inf

****เตรียมไว้ให้ดาวน์โหลดกัน..ด้านบนแล้วครับ****
​เมื่อโหลดเสร็จ​ให้​ ​คลิ๊กขวาที่คำ​ว่า​ install ​นะครับ

6. ​เข้า​ regestry Editor (start-->run พิมพ์ regedit )
​เข้า​ไปที่​
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
Explorer

ลบ​ NoFolderOptions ​ออก​ (อันนี้​ virus ​มันซ่อน​ menu Options...​ไว้​ครับ)

7. search ​ใน​ my computer (My computer/search...)

​หา​ไฟล์​ *.exe
​โดย​ใช้​ filter
--> what size is it?
specify size
at most 85 kb (เผื่อ​ไว้​หน่อย)
​จาก​ผลลัพย์ที่​ได้​ ​กด​ ​คอลัมน์​ size ​แล้ว​ดู​ ​ให้​ลบไฟลที่​ความ​จุ​ 80 kb ​ที่​ icon ​
จะ​เป็น​รูป​ ​คล้าย​กับ​ Folder ​มาก​ ​ลบทิ้งเลยครับ​ (อย่า​เผลอไป​ดับเบิ้ลคลิ๊กหล่ะ​ ​ต้อง​เริ่มข้อ​ 1
​ใหม่​เลยนะครับ​ ​หุหุ​ ​เตือน​ไว้​ก่อน)

8. ​ลบไฟล์​ ​เหล่านี้​ด้วย​ครับ

%UserProfile%TemplatesA.kotnorB.com
%Windir%inf orBtok.exe
%Windir%system32 3D Animation.scr

9. Restart เครื่อง​ใหม่

10. เพื่อความปลอดภัยใช้​ Antivirus (ที่อัพเดทแล้ว) ​แสกนอีกรอบ

****อีก 1 วิธีง่าย ๆ****

พอเสร็จขั้นตอนที่ 6 ให้ดาวน์โหลดไฟล์ Brontok.com (ด้านบน) เป็นไฟล์สำเร็จจัดการได้เลยครับ


****และอีก 1 วิธที่ีง่ายที่ซู๊ดดดดด....****

1. ไปดาวน์โหลดตัวฆ่ามันมาซะเลย...ชื่อโปรแกรม CS_DevEvil
Download : CS_DevEvil
2. ​รันโปรแกรม​ CS_DevEvil ​แล้ว​คลิก​ start ​เพื่อเริ่มกำ​จัดไวรัส​
3. ​โปรแกรม​จะ​ถาม​ให้​ Restart ​ให้​ตอบ​ Cancel
4. ​รันโปรแกรม​ anti-virus ​เช่น​ Macfee , NOD32 , Avast ​แล้ว​ทำ​การ​ scan drive ​เพื่อ​ค้น​หา​ไวรัส​ใน​แต่ละ​ Folder ​ที่หลงเหลือ​อยู่​
​หมายเหตุ​: ​ทั้ง​ 3 ​ขั้นตอน​ต้อง​ทำ​ต่อ​กัน​ ​และ​ควรปิดโปรแกรม​อื่นๆ​ ​ก่อนเริ่มกำ​จัดไวรัส​

Worm Blaster : Virus


อาการ : เครื่อง restart ตัวเองบ่อย ๆ

ขณะนี้มี​ไวรัสชนิดหนึ่งที่​แพร่กระจาย​อยู่​ใน​อินเตอร์​เน็ต​ ​ซึ่ง​มีผลทำ​ให้​เครื่องคอมพิวเตอร์ที่​ใช้​ Windows XP - ​รีสตาร์ท​​เอง ​โดย​ที่​ไวรัสตัวนี้​ ​จะ​เข้า​มา​อยู่​ใน​ระบบ​ ​พร้อม​กับ​ทำ​งานแบบอัตโนมัติ​ ​โดย​จะ​แสดงตัวว่า​ "ระบบ​จะ​ปิดทำ​งาน​ใน​เวลา​ 59 ​วินาที​" ​หลัง​จาก​นั้น​ไวรัส​ ​จะ​เริ่มนับถอยหลัง​ ​จนกระทั่งระบบ​ Windows XP ​ถูกรีสตาร์ท....ไอ้เจ้าไวรัสตัวนี้ชื่อWorm.Bluster

แนวทางรักษา

1. Click Start ---> click Run. (The Run dialog box จะปรากฏขึ้น)
2. พิมพ์ regedit และ click OK. (เพื่อเปิด Registry Editor)

ไปที่ key ตามนี้ครับ :

HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run

ในกล่องด้านขวามือให้มองหาค่านี้ครับ

----> "windows auto update"="msblast.exe"
ถ้าไม่พบค่าดังกล่าว...ก็ขอแสดงความยินดีด้วยครับ...
แต่ถ้าคุณพบ...ให้รีบ Delete มันออกไปซะ......เพราะมันคือไอ้ตัววายร้าย....
เมื่อ Delete เสร็จแล้วให้ออกจาก Registry Editor เลยครับ

ขั้นตอนต่อไป

ไปดาวน์​โหลดไฟล์ที่​เว็บไซท์ของ​ Microsoft
​หาชื่อไฟล์​ WindowsXP-KB823980-x86-ENU.exe ​

**** สำหรับใครที่ใช้ Xp(pro) หรือ home ผมฝากไฟล์ไว้...ให้
ดาวน์โหลดได้เลยครับ ****



เมื่อ​ ​ดาวน์​โหลด ​มา​แล้ว​ให้​ทำ​ตามขั้นตอนดังนี้​

1. ​ดับเบิ้ลคลิกที่​ไฟล์​ (ไฟล์ที่ดาวน์​โหลดมา)
2. ​คลิก​ I Agree
3. ​คลิก​ Next ​จนกว่า​จะ​รีสตาร์ท​
4. ​เมื่อเครื่องคอมฯ​ ​บูทเครื่อง​แล้ว​ ​ก็​สามารถ​ใช้​งาน​ได้​ปกติ

Friday, May 18, 2007

รวบรวม virus และตัวแก้


รายชื่อไวรัสต่าง ๆ ที่รวบรวมไว้จากคุณtrackerx90

achi.dll.vbs

​ไวรัสถูกเขียน​โดย​ใช้​ Visual Basic Script ​ไวรัส​จะ​คัดลอกตังเองลง​ใน​ทุกๆ​ไดร์วบนเครื่อง​ ​ชื่อไฟล์​ไวรัสคือ​ achi.dll.vbs ​จะ​สร้างไฟล์​ achi.htm ​และ​แก้​ไขค่า​ใน​รีจิสทรี​เพื่อทำ​ให้​หน้า​แรกของ​ Internet Explorer ​แสดงข้อ​ความ​ใน​ไฟล์ดังกล่าว​ ​ไวรัสแพร่กระจายตัวผ่านทางแฮนดี้​ไดร์ว​ ​ได้​รับการดัดแปลงมา​จาก​ไวรัสตระกูล​ vbs ​รุ่นแรกๆ​ ​อย่างไรก็ตามไวรัส​ไม่​ได้​สร้าง​ความ​เสียหายแก่​เครื่องที่ติดเชื้อ

happy.vbs

​ไวรัสถูกเขียน​โดย​ใช้​ Visual Basic Script ​ไวรัส​จะ​คัดลอกตังเองลง​ใน​ทุกๆ​ไดร์วบนเครื่อง​ ​โดย​จะ​สร้างไฟล์​ autorun ​พร้อมคัดลอกไฟล์​ไวรัส​ happy.vbs ​ไป​ด้วย​ ​ไวรัส​จะ​ยกเลิกการ​ใช้​งาน​ regedit.exe ​ซ่อนไอคอน​ My Computer ​ทำ​ให้​ไม่​สามารถ​ใช้​ My Computer ​เนื่อง​จาก​จะ​มอง​ไม่​เห็นไดร์ว​ ​ยกเลิกสิทธิ์​ใน​การ​เข้า​ถึง​แชร์​โฟลเดอร์ของ​ผู้​ดู​แลระบบ​ ​ไวรัส​จะ​แก้​ไขไตเติลบาร์ของ​ Internet Explorer ​เป็น​ ORIGINAL SILLE.B run on GAME ONLINE ​และ​ตั้งค่าหน้า​แรกไปที่​ http://www.sille.net/gamesonline.htm ​และ​แสดงกล่องข้อ​ความ​ "VIRUS SILLE RUN ON GAMES ONLINE"

killVBS.vbs

​ไวรัสถูกเขียน​โดย​ใช้​ Visual Basic Script ​ไวรัสตัวนี้​แพร่กระจายผ่านทางแฮนดี้​ไดร์ว​ ​โดย​จะ​สร้างไฟล์​ autorun ​ลงบนแฮนดี้​ไดร์ว​ ​พร้อมคัดลอกไฟล์​ไวรัส​ killVBS.vbs ​ไป​ด้วย​ ​ไวรัส​จะ​ไม่​แพร่กระจายตัวเองทางการแชร์​ไฟล์​ใน​เครือข่ายเหมือน​กับ​ไวรัสตระกูลเดียว​กัน​ที่​เคยทำ​ ​เพื่อทำ​ให้​ผู้​ใช้​ตรวจพบยากขึ้น​ ​ไวรัส​จะ​แก้​ไขไตเติลบาร์ของ​ Internet Explorer ​และ​หน้า​แรก​เป็น​ค่าว่างเปล่า​

HELLO WORLD i am VB

​ไวรัสถูกเขียน​โดย​ใช้​ Visual Basic Script ​ไวรัสตัวนี้​แพร่กระจายผ่านทางแฮนดี้​ไดร์ว​ ​โดย​จะ​สร้างไฟล์​ autorun ​ลงบนทุกๆ​ไดร์ว​ ​พร้อมคัดลอกไฟล์​ไวรัส​ RUNDLL64.dll.vbs ​ไป​ด้วย​ ​ไวรัส​จะ​แก้​ไขไตเติลบาร์ของ​ Internet Explorer ​เป็น​ HELLO WORLD i am VB ​นอก​จาก​นี้​ไวรัส​จะ​ทำ​การซ่อนแทบ​ All Programs ​ใน​ Start Menu ​ทำ​ให้​เกิด​ความ​ไม่​สะดวก​ใน​การเรียก​ใช้​งานโปรแกรมต่างๆ​ผ่านทาง​ Start Menu ​รวมไป​ถึง​การยกลิกการ​ใช้​งาน​ Windows Task Manager ​ซึ่ง​ทำ​ให้​ผู้​ใช้​ไม่​สามารถ​จัดการ​กับ​โปรเซสบนเครื่อง​ได้​

^_^Anti AntiVirus^_^ (Win32/Wenna.E worm)

​ไวรัสถูกเขียน​โดย​ใช้​ Borland Delphi ​เชื่อว่าคนที่​เขียนไวรัสตัวนี้​ ​คือคนๆ​เดียว​กับ​ที่​เขียนไวรัส​ data.exe ​เนื่อง​จาก​พบโค้ดที่​เป็น​ของไวรัส​ data.exe ​ปรากฏ​อยู่​ ​ไวรัสตัวนี้​จะ​ทำ​การแก้​ไข​ Windows Title ​ให้​เป็น​ ^_^Anti AntiVirus^_^ ​ตลอดเวลา​ ​สามารถ​ติดเชื้อแฮนดี้​ไดร์ว​โดย​ใช้​ไฟล์​ auto run ​ไวรัส​จะ​แก้​ไขค่า​ใน​รีจิสทรีที่​เกี่ยว​กับ​ไฟล์นามสกุล​ exe ​ให้​ไวรัส​เป็น​ผู้​จัดการแทนระบบปฏิบัติการ​ ​ด้วย​เหตุนี้อาจทำ​ให้​เปิดไฟล์​ exe ​ไม่​ได้​ ​ไวรัส​จะ​ยกเลิกฟังก์ชั่นที่​เกี่ยว​กับ​การแก้​ไขปรับแต่งระบบปฏิบัติการ​

Hacked by 8BITS (VBS/Butsur.C worm)

​ไวรัสตัวนี้​แพร่กระจายผ่านทางแฮนดี้​ไดร์ว​ ​ไวรัสถูกเขียน​โดย​ใช้​ Visual Basic Script ​โดย​จะ​สร้างไฟล์​ autorun ​ลงบนทุกๆ​ไดร์ว​ ​พร้อมคัดลอกไฟล์​ไวรัส​ kernel32.dll.vbs ​ไป​ด้วย​ ​ไวรัส​จะ​แก้​ไขไตเติลบาร์ของ​ IE ​เป็น​ Hacked by 8BITS ​ใน​โด้ดไวรัสมีคำ​สั่งที่​เรียก​ใช้​โปรแกรมที่​ใช้​ใน​การควบคุมเปิดปิดเครื่องของระบบปฏิบัติการ​ ​ดัง​นั้น​เครื่องที่ติดเชื้อมี​โอกาสปิดลง​ ​โดย​ไม่​มีการแจ้งเตือน​

Data.exe (Win32.Worm.Tellsky)

​ไวรัสตัวนี้​ ​ติดเชื้อเครื่องผ่านทางแฮนดี้​ไดร์ว​ ​จะ​ทำ​การเขียนแก้​ไขค่า​ใน​รีจีสทรีที่ระบบปฏิบัติการ​ใช้​รัน​ MSN Messenger ​ใน​ตอนเริ่มบูตเครื่อง​ด้วย​วิธีนี้ทำ​ให้​ไวรัสถูกเรียกขึ้นมาทำ​งานทุกครั้งที่​ ​เปิดเครื่อง​ ​ใน​ไฟล์​ไวรัสปรากฏโค้ดที่พยายามติดต่อ​กับ​ www.Atom-Soft.com ​ผ่านทาง​ http ​และ​ ftp ​เชื่อว่ามีการเขียนขึ้นมา​ 3 ​รุ่น​ ​ไวรัส​จะ​แพร่กระจายตัวเองไปทุกๆ​ไดร์ว​และ​โฟลเดอร์​ ​โดย​อาศัยช่วงเวลาที่​ผู้​ใช้​ทำ​งาน​ใน​โฟลเดอร์​นั้น​ ​ทำ​การเลียนแบบชื่อโฟลเดอร์​ ​แล้ว​คัดลอกตัวเอง​เป็น​ไฟล์นามสกุล​ exe ​มีขนาด​ 213 KB,221KB ​และ​ 224 KB ​ยกเว้นโฟลเดอร์​ program files ​และ​ desktop ​ไวรัส​จะ​ไม่​ติดเชื้อ​ ​ไวรัสอาจ​ overwrite ​ไฟล์​ exe ​บนเครื่อง​ได้​ ​เมื่อชื่อโฟลเดอร์ที่​เก็บไฟล์​ ​เป็น​ชื่อเดียว​กับ​ไฟล์​ ​ซึ่ง​จะ​ทำ​ให้​ไฟล์สูญหายไป​ ​นอก​จาก​นี้​ไวรัสตัวนี้มีฟังก์ชั่น​ใน​การทำ​ลายข้อมูลบนฮาร์ดดิส​ด้วย​

.MS32DLL.dll.vbs (VBS/Pica.NAA virus)

​ไวรัสตัวนี้​เชื่อว่ามา​จาก​การดัดแปลงไฟล์​ไวรัสต้นแบบที่ชื่อ​ VBS.Godzilla ​ไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้​ไดร์ว​ ​แล้ว​จะ​สร้างไฟล์​ auto run ​ลง​ใน​ทุกๆ​ไดร์วบนเครื่องเหยื่อ​ ​โดย​จะ​ใช้​ชื่อไฟล์​เป็น​ .MS32DLL.dll.vbs ​เมื่อ​ผู้​ใช้​ดับเบิลคลิก​จะ​เรียกไวรัสขึ้นมาทำ​งาน​ ​ไวรัสพยายามซ่อนตัวเอง​โดย​การปรับแต่งรีจิสทรี​และ​การเปลี่ยนสกุลไฟล์​ไวรัส​เป็น​ boot.ini ​เพื่อหลบซ่อน​ใน​ระบบ​ด้วย​

Toy.exe (Win32/Agent.WJ trojan)

​ไวรัสตัวนี้​เริ่มแพร่ระบาดมานาน​แล้ว​ ​โปรแกรมแอนตี้​ไวรัสที่อัพเดต​สามารถ​ตรวจจับมัน​ได้​เกือบ​ทั้ง​หมด​ ​แต่ก็​ยัง​พบปัญหา​ใน​การกำ​จัด​ ​ไวรัสติดเชื้อแฮนดี้​ไดร์ว​โดย​ใช้​เทคนิค​ auto run ​ตัวแก้นี้​จะ​ทำ​การแก้​ไขไวรัสแบบสมบูรณ์​ ​ไวรัสตัวนี้​ไม่​ได้​ทำ​ลายข้อมูล​ ​เพียงแต่ก่อกวน​ ​โดย​สังเกตที่หน้าจอ​ใน​ตอนที่ล็อกออน​เข้า​ใช้​งาน​ ​จะ​มีข้อ​ความ​เกี่ยว​กับ​การสร้างโลกของพระ​เจ้า​ ​หรือ​รู้จักไวรัสตัวนี้​กัน​ดี​ใน​ชื่อไวรัสภาษาจีน​

music.exe (Win32/VB.NIV worm)

​ไวรัสตัวนี้รู้จัก​กัน​ดี​ใน​ชื่อ​ music.exe ​ติดเชื้อผ่านทางแฮนดี้​ไดร์ว​โดย​เทคนิค​ auto run ​ไวรัสถูกเขียน​โดย​ใช้​ภาษา​ Visual Basic ​จะ​ทำ​การลบไฟล์​ ​นามสกุล​ *.mp3 ​และ​ *.dat ​ทุกไฟล์ที่พบบนเครื่อง​ ​ไวรัสพยายาม​ใช้​คำ​สั่งที่มีวิธีการเหมือน​ผู้​ใช้​ทำ​ปกติ​ ​แทนที่การเขียนโค้ด​โดย​ตรงเพื่อหลบการวิ​เคราะห์​ไฟล์ของโปรแกรมแอนติ​ไวรัส​ ​ไวรัสทำ​การคัดลอกตัวเอง​โดย​ใช้​ชื่อโฟลเดอร์ที่พบ​ ​มีนามสกุล​เป็น​ *.exe ​ตลอดเวลาทำ​ให้​เครื่องประมวลผลงาน​อื่นๆ​ช้าลง​ ​แต่​ไม่​พบฟังก์ชั่นที่​เปิดทาง​ให้​แฮ็กเกอร์ควบคุม​ ​คาดว่า​ไวรัสตัวนี้ถูกเขียนมา​เพื่อทำ​ลายข้อมูล​ ​สร้าง​ความ​เสียหาย​โดย​เฉพาะ​

iexp1ore.exe (Win32/Agent.P worm)

​ไวรัสตัวนี้ติดต่อผ่านทางแฮนดี้​ไดร์ว​ ​โดย​ใช้​วิธี​ auto run​เมื่อ​ผู้​ใช้​ดับเบิลคลิก​เข้า​ใช้​งาน​ใน​เครื่องที่ฟังก์ชั่นเล่นอัตโนมัติทำ​งาน​อยู่​ไวรัส​จะ​ติด​ ​เข้า​สู่​เครื่องทันที​ ​ไวรัส​จะ​คัดลอกตัวเองไป​ใน​โฟลเดอร์​โปรแกรม​ Internet Explorer​โดย​พยายามทำ​ตัวเอง​เป็น​เสมือนโปรแกรม​ Internet Explorer ​ทำ​การแก้​ไขทางลัดทุกทางที่​จะ​เรียก​ใช้​โปรแกรม​ให้​ชี้​ไปที่​ไวรัสแทน​ ​โปรเซสของไวรัสมีชื่อว่า​ iexp1ore.exe ​โดย​ไวรัส​จะ​ไม่​สร้าง​ความ​ ​ผิดปกติ​ใดๆ​บนเครื่องที่ติดเชื้อทำ​ให้​ผู้​ใช้​ที่​ไม่​สังเกต​ ​ไม่​สามารถ​ตรวจพบ​ได้​

sxs.exe (Win32/PSW.QQRob trojan)

​โปรแกรมนี้​จะ​กำ​จัดไวรัส​ sxs.exe ​ใน​แฮนดี้​ไดร์ว​และ​บนเครื่องที่ติดเชื้อ​ ​ซึ่ง​ไวรัสตัวนี้​จะ​สร้างไฟล์​ auto run ​ลง​ใน​ทุกๆ​ไดร์วเพื่อเรียก​ ​ตัวเองขึ้นทำ​งานทุกครั้งที่มีการดับเบิลคลิกที่​ไดร์ว​นั้นๆ​ ​ไวรัส​จะ​ทำ​การปรับแต่งเครื่องเหยื่อ​โดย​ใช้​โปรแกม​ net.exe ​และ​ sc.exe ​ยัง​ไม่​ ​แน่​ใจว่ามันทำ​อะ​ไร​เพราะ​ผู้​เขียนไวรัส​ได้​เข้า​รหัสไฟล์​ไว้​ทำ​ให้​ยากต่อการทำ​ความ​เข้า​ใจโค้ด​ใน​ไฟล์​ไวรัส​ ​อาการเครื่องที่ติดก็คือ​จะ​ดับเบิล​ ​คลิกเปิด​เข้า​ไดร์วต่างๆ​ไม่​ได้​ ​แต่​สามารถ​เข้า​ ​ใช้​งานไดร์ว​ C:​ได้​ ​การกำ​จัด​สามารถ​เชื่อมต่อแฮนดี้​ไดร์วที่​ต้อง​สงสัย​เข้า​กับ​เครื่อง​แล้ว​รันตัว​ ​แก้​เพื่อกำ​จัดไวรัสบนเครื่อง​และ​ใน​แฮนดี้​ไดร์วพร้อมๆ​กัน​ได้​

Monaliza

​ไวรัสตัวนี้ติดผ่านทางแฮนดี้​ไดร์ว​ได้​ ​นอก​จาก​นี้​ยัง​สามารถ​ติดเชื้อ​ผู้​ใช้​ผ่านทาง​ msn ​เป็น​ไวรัสที่​เริ่มแพร่กระจายมาสักระยะหนึ่ง​แล้ว​โดย​จะ​ ​ใช้​เทคนิค​ auto run ​สำ​หรับการติดเชื้อแฮนดี้​ไดร์วตามเคย​ ​โปรแกรมนี้​จะ​ทำ​การคืนค่าที่​ไวรัสทำ​ไว้​ทั้ง​หมด​ ​ผู้​ใช้​สามารถ​เชื่อมต่ออุปกรณ์​ ​แฮนดี้​ไดร์ว​เข้า​กับ​เครื่อง​ ​เพื่อกำ​จัดไวรัสที่​อยู่​ใน​อุปกรณ์​ได้​พร้อมๆ​กัน​

คลิป​VDO.exe (Win32/Agent.NAG worm)

​ไวรัสตัวนี้​ความ​รุนแรงของมัน​ไม่​มากแต่ก็​เป็น​โปรแกรมที่มี​ความ​สามารถ​ใน​การแพร่กระจายตัวเอง​จาก​เครื่องหนึ่งไปอีกเครื่องหนึ่ง​โดย​ ​จะ​สร้างไฟล์​ ​คลิป​VDO.exe ​ลงบนทุกๆ​ไดร์ว​โดย​ทำ​ไอคอนของมัน​เป็น​แบบ​ Folder ​สร้าง​ความ​รำ​คาญแก่​ผู้​ใช้​

Hacked By Godzilla (VBS/Butsur.B worm)

​โปรแกรมนี้​จะ​ทำ​การกำ​จัดไวรัสที่​แก้​ไขไตเติลบาร์ของ​ IE ​เป็น​ "Hacked By Godzilla" ​ออก​จาก​เครื่องที่ติดเชื้อพร้อม​ทั้ง​กำ​จัด​ ​ไวรัสที่​อยู่​ใน​แฮนดี้​ไดร์ว​ด้วย​ดัง​นั้น​ผู้​ใช้​สามารถ​รันโปรแกรมนี้​เพื่อกำ​จัดมัน​ได้​ใน​ครั้งเดียว​ ​ทำ​ให้​สะดวกมากยิ่งขึ้น​ ​โชค​ไม่​ดีที่​ไวรัสประ​เภทนี้​ ​สามารถ​เขียนขึ้น​ได้​อย่างง่ายดาย​ ​ซึ่ง​ไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้​ไดร์ว​แล้ว​จะ​สร้างไฟล์​ auto run ​ลง​ใน​ทุกๆ​ไดร์วบนเครื่องเหยื่อ​ ​ทำ​ให้​ ​เมื่อ​ผู้​ใช้​ดับเบิลคลิก​จะ​เรียกไวรัสขึ้นมาทำ​งาน​

AdobeR.exe (Win32/RJump.B worm)

​โปรแกรมนี้​จะ​กำ​จัดไวรัส​ AdobeR ​ใน​แฮนดี้​ไดร์ว​ ​ซึ่ง​ไวรัสตัวนี้​จะ​สร้างไฟล์​ auto run ​เพื่อ​ใช้​ใน​การรันตัวมันเอง​เข้า​สู่ระบบดัง​นั้น​เวลา​ ​ที่​ผู้​ใช้​ทำ​การดับเบิลคลิกไดร์ว​ ​เพื่อ​เข้า​ใช้​งาน​ ​จะ​ทำ​ให้​ไวรัสถูกเรียกขึ้นมาทำ​งาน​ ​จาก​การทดลองพบว่า​ไวรัสตัวนี้อาจเขียนขึ้นอย่างเร่ง​ ​รีบ​เนื่อง​จาก​พบข้อผิดพลาด​ใน​ระหว่างการทำ​งาน​ ​อย่างไรก็ตาม​ยัง​พบการแพร่กระจาย​อยู่​ ​โปรแกรมนี้​จะ​ทำ​การลบไฟล์ที่​ไวรัสสร้างขึ้น​ ​เพื่อ​ใช้​ใน​การทำ​งานของมัน​ทั้ง​หมด​ ​ด้วย​วิธีนี้​จะ​ทำ​ให้​อุปกรณ์ของ​ผู้​ใช้​สามารถ​ใช้​งาน​ได้​ตามปกติ​ ​โดย​ข้อมูล​ทั้ง​หมด​ยัง​คง​อยู่​ไม่​สูญหาย​

Flashy.exe (Win32/Disabler.I trojan)

​โปรแกรมนี้​ใช้​กำ​จัดไวรัส​ Flashy.exe ​ซึ่ง​ไวรัสตัวนี้​จะ​เปิดบริการ​ telnet ​ซึ่ง​ส่งผล​ให้​ผู้​ไม่​หวังดีควบคุมเครื่องของเหยื่อ​จาก​ระยะ​ไกล​ ​ไวรัส​จะ​คัดลอกตัวเองลงแฮนดี้​ไดร์วตลอดเวลา​และ​ซ่อนโฟลเดอร์จริง​จาก​นั้น​จะ​ทำ​ตัวเองเลียนแบบโฟลเดอร์​เพื่อ​ให้​เหยือรันตัวมัน​เข้า​สู่​ ​ระบบโปรแกรมนี้​จะ​ดำ​เนินการแก้​ไขค่าทุกอย่าง​ให้​เหมือนเดิมทุกประการรวม​ทั้ง​ถอดรหัสของ​ administrator ​ให้​ว่างเปล่า​ ​รวม​ทั้ง​กำ​จัด​ ​ไวรัส​ Flashy.exe ​ใน​แฮนดี้​ไดร์ว​และ​แสดงโฟลเดอร์จริงขึ้นมา​ด้วย​


ดาวน์โหลดตัวแก้ไวรัสต่าง ๆ

หมายเหตุ (ก่อน run ตัวแก้ให้ปิดโปรแกรมแอนตี้ไวรัสก่อนครับ)

Saturday, February 24, 2007

มาตรวจสอบไวรัสกันเถอะ


สร้างภูมิคุ้มกัน..Virus..Trojan..Spyware..

1. สแกนคอมพิวเตอร์ของคุณ..ด้วยโปรแกรม Antivirus ซึ่งนั่นหมายความว่าต้องUpdate ให้เป็นปัจจุบันที่สุด
และหากจะกวาดล้างให้สิ้นซาก...แนะนำให้สแกนในโหมด Save Mode..
(การเข้าSave Mode ให้ กด F8 ตอนรีสตาร์ทเครื่องก่อนเข้าหน้าวินโดว์..)
ซึ่งเราสามารถเลือกจะเข้าsave mode แบบต่อเน็ทหรือไม่ก็ได้...

2. ถ้าหากไม่มีโปรแกรมแอนตี้ไวรัสหรือแอนตี้สปายแวร์ติดไว้บนเครื่องคุณแล้วล่ะก้อ
ให้ลองหาเว็บไซต์ที่รับสแกนฟรีๆๆๆ..ตรวจสอบดูก็ได้....หรือไม่ก็...
ให้ตรวจสอบและสังเกตุจาก Windows Task Manager (Ctrl+Alt+Del)ก็ได้

Photobucket - Video and Image Hosting

เมื่อเปิดTaskBar Manager ขึ้นมาแล้วให้เลือกที่แทบProcesses คุณก็จะเห็นพลังการทำงานของCPUของคุณว่ามันหนักหนาสากันอย่างไร...
ทีนี้..ลองสังเกตุด้วยตาดูว่า...มีชื่อโปรแกรมหรืออะไรแปลกๆให้เห็นบ้าง...หากมี
ก็ลองSearch..หาในGoogle...
หากรู้ว่าเป็นไฟล์ไวรัสหรือเกี่ยวกับสปายแวร์แล้วล่ะก็...
เราก็มาSearch หากันว่า..มันอยู่ที่ไหนบนเครื่องเราบ้าง..(ให้เสิร์ชตามรูป)

Photobucket - Video and Image Hosting

หมายเหตุ...บางครั้งอาจเจอตัวอักษรแปลกๆ..เช่น..ñsrss.exe.ซึ่งเราไม่สามารถพิมพ์อักษร
ในเสิร์ชได้..อย่างนี้ล่ะก้อ
เราก็คงต้องอาศัยเครื่องมือ(บนXP..เราเนี่ยล่ะ)เราเรียกมันว่า...“Character Map”
Start => All Programs => Accessories => System Tools => Character Map
แล้วหาตัวอักษรที่ต้องการ...เลือก...และมาpaste ลงในเสิร์ชอีกที...และจัดการมันซะ..

3. ต่อไป..ค้นหาSpyware..กัน..
ส่วนมากเจาพวกไวรัสหรือสปายแวร์เหล่านี้มันจะไปฝังตัวเกาะกินอยู่ที่ระบบของคอม
ในส่วนของกุญแจระบบ(Registry)โดยมันมักจะสร้างค่าใหม่ๆขึ้น
ให้กับระบบของเรา...ให้เข้าไปดูที่ System Registry
Start => Run => regedit

ตรวจสอบดูที่

HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows => CurrentVersion => Run

HKEY_CURRENT_USER => SOFTWARE => Microsoft => Windows => CurrentVersion => Run

Photobucket - Video and Image Hosting

เมื่อตรวจสอบไฟล์แปลกปลอม..หรือค่าRegistry..แปลกๆ แล้วก็จัดการลบมันออกไปซะ(อ้อ..อย่าลืมแบ็คอัพไว้ก่อนก็ดีนะครับ)

Sunday, February 4, 2007

อาการติดเชื้อ

Story : ไวรัส - วายร้าย
by : Clickdog


อาการที่คอมพิวเตอร์ของเราจากที่มันเคยดี ๆ ไม่งอแง..แต่อยู่มาวันนึง..มันทะแม่งๆ..มันจะติดไวรัสหรือเปล่าหว่า...
เท่าที่สังเกตุด้วยตัวเองแล้ว...คอมฯมักจะมีปัญหา(เกี่ยวกับไวรัส)เบื้องต้น...ดังนี้

อาการเบื้องต้นของเครื่องติดเชื้อ

1. คอมมีอาการช้าลง...เหมือนกะว่ามันมีงาน.busy..ตลอดเวลาเลย
2. กำแพงไฟ(Firewall)..ถามความยินยอมที่จะอนุญาตให้โปรแกรมบางตัว(ที่ไม่รู้จัก)
และจะให้เราทำการAccess..บ่อยๆ (น่าเบื่อมั่กๆ)
3. เมื่อสังเกตุเห็นว่า..Desktop..ของคุณมีอาการเปลี่ยนแปลงไปซะแย๊วววว.....ว
4. เมื่อStart Windows แล้ว..มีโปรแกรมที่เราไม่รู้จักหรือ Processes แปลกๆ มาวิ่งเพ่นพ่านบนเครื่องของคุณ
5. Policy ถูกเปลี่ยนแปลงโดยไม่รู้ตัว...
6. Windows Task Manager ถูกระงับ.(disabled)
7. โปรแกรมจำนวนหนึ่งไม่ทำงาน..เช่น..IE
8. มี Pop-Ups ขึ้นพรึบพรับไปหมด..บางครั้งจนตาลาย

ยังไง ๆ ก็ลองสำรวจเครื่องของคุณดูนะครับ..ถ้ามีอาการข้างต้น
ก็ลองหาโปรแกรมแอนตี้ไวรัส มาสแกนไวรัสดูนะครับ...