| หัวข้อ | เข้าดู |
Thursday, July 30, 2009
วิธีกำจัด Virus : Win32 Kryptik.FT
How to remove vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
Vse432.exe
MD5 : bae4f0d6f9819eddbd2aa8755d39b5f3
SHA1 : 338c247ed534c2aa2ae19ce9dbc42faac61d2879
====================================================
ต่อเนื่องมาจาก virus cfxer.exe ( Win32 AutoRun.KS )
เนื่องจาก virus ตัวนี้ได้ download ไฟล์ ver.exe และเมื่อไฟล์ ver.exe ทำงาน ได้สร้างไฟล์ vse432.exe (Win32 Kryptik.FT) ไว้ใน
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
เพิ่มค่า run ใน registry คือ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
12CFG914-K641-26SF-N32P = "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe"
ซึ่งใน RECYCLER เราจะมองไม่เห็นไฟล์ vse432.exe ต้อง Zip รูป recycle bin หรือต้องใช้โปรแกรม ExplorerXP เปิดดูจึงจะมองเห็นครับ
Virus ตัวนี้ Remote host ไปยัง newss.alwaysproxy.info ทาง port 1199
-------------------------------------------------------------------------------------
วิธีกำจัด virus vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
-------------------------------------------------------------------------------------
1. ตัดการเชื่อมต่อ internet แล้วทำตามขั้นตอนการลบ virus cfxer.exe วิธีลบ
2. เปิดโปรแกรม ExplorerXP เข้าไปที่ C:\RECYCLER แล้ว click รูป Recycle bin หมายเลข
S-1-5-21-0243336031-4052116379-881863308-0851 กดปุ่ม Shift + Del
3. ใช้ ExplorerXP เข้าไปลบไฟล์ ver.exe ที่อยู่ใน C:\Documents and Settings\ชื่อที่ใช้ logon\ver.exe และถ้ามีไฟล์ .exe ตัวอื่นๆอยู่ด้วยให้ลบให้หมดเลยครับ (ลบ = Shift+Del)
4. เปิดโปรแกรม Hijack This ให้ fix check ที่
HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe เพื่อลบค่า Run ใน Registry + Msconfig
5. สุดท้ายอย่าลืม คือ ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน Autorun
ขออภัยที่ไม่มีรูปภาพตัวอย่างนะครับ ไม่เข้าใจตรงไหนโพสต์ถามได้นะครับ
จบแล้วครับวิธีแก้ virus vse432.exe (Win32 Kryptik.FT)
Credit http://www.mk-job.com/bbs
How to remove vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
Vse432.exe
MD5 : bae4f0d6f9819eddbd2aa8755d39b5f3
SHA1 : 338c247ed534c2aa2ae19ce9dbc42faac61d2879
====================================================
ต่อเนื่องมาจาก virus cfxer.exe ( Win32 AutoRun.KS )
เนื่องจาก virus ตัวนี้ได้ download ไฟล์ ver.exe และเมื่อไฟล์ ver.exe ทำงาน ได้สร้างไฟล์ vse432.exe (Win32 Kryptik.FT) ไว้ใน
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
เพิ่มค่า run ใน registry คือ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
12CFG914-K641-26SF-N32P = "C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe"
ซึ่งใน RECYCLER เราจะมองไม่เห็นไฟล์ vse432.exe ต้อง Zip รูป recycle bin หรือต้องใช้โปรแกรม ExplorerXP เปิดดูจึงจะมองเห็นครับ
Virus ตัวนี้ Remote host ไปยัง newss.alwaysproxy.info ทาง port 1199
-------------------------------------------------------------------------------------
วิธีกำจัด virus vse432.exe (Win32 Kryptik.FT : Detect by NOD32)
-------------------------------------------------------------------------------------
1. ตัดการเชื่อมต่อ internet แล้วทำตามขั้นตอนการลบ virus cfxer.exe วิธีลบ
2. เปิดโปรแกรม ExplorerXP เข้าไปที่ C:\RECYCLER แล้ว click รูป Recycle bin หมายเลข
S-1-5-21-0243336031-4052116379-881863308-0851 กดปุ่ม Shift + Del
3. ใช้ ExplorerXP เข้าไปลบไฟล์ ver.exe ที่อยู่ใน C:\Documents and Settings\ชื่อที่ใช้ logon\ver.exe และถ้ามีไฟล์ .exe ตัวอื่นๆอยู่ด้วยให้ลบให้หมดเลยครับ (ลบ = Shift+Del)
4. เปิดโปรแกรม Hijack This ให้ fix check ที่
HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe เพื่อลบค่า Run ใน Registry + Msconfig
5. สุดท้ายอย่าลืม คือ ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน Autorun
ขออภัยที่ไม่มีรูปภาพตัวอย่างนะครับ ไม่เข้าใจตรงไหนโพสต์ถามได้นะครับ
จบแล้วครับวิธีแก้ virus vse432.exe (Win32 Kryptik.FT)
Credit http://www.mk-job.com/bbs
Wednesday, July 29, 2009
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS )
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS )
How to remove cfxer.exe (Win32 AutoRun.KS : Detect by NOD32)
cfxer.exe
MD5 : 215B4DAD03AE4E05F6AB5F61F3106284
SHA1 Hash :E23A4547C2FE7B8DE8D98A6FA0A055A45ED9D7C8
ชื่ออื่นๆ ของแต่ละค่าย
AntiVir > TR/Crypt.XPACK.Gen
Avast > Win32:Trojan-gen {Other}
AVG > Generic12.BIUM
BitDefender > Packer.Krunchy.B
CAT-QuickHeal > Trojan.Pakes.muc
eSafe > Win32.Packed_Krunchy
F-Prot > W32/Heuristic-210!Eldorado
F-Secure > Trojan:W32/Agent.JBO
Kaspersky > Trojan.Win32.Pakes.muc
McAfee > Generic.dx
Microsoft > Trojan:Win32/Ircbrute
NOD32 > Win32 AutoRun.KS
Norman > W32/Packed_Krunchy.A
Panda > Generic TrojanSophos > Mal/Generic-A
Symantec > W32.Spybot.Worm
TrendMicro > TROJ_IRCBRUTE.BT
==================================================
จากการเก็บตัวอย่าง virus มาทดสอบ เมื่อ Run ไฟล์ cfxer.exe พบว่ามีการสร้างไฟล์อยู่ใน recycle bin
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe
c:\ Autorun.inf
คำสั่งภายใน autorun.inf
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeicon=%SystemRoot%\system32\SHELL32.dll,4action=Open folder to view filesshell\open=Openshell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeshell\open\default=1
และมีการสร้าง Registry ขึ้นมาอยู่ที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
มีการ remote host ทาง port 49932 ไปยัง IP 211.95.72.84 ในประเทศจีน
เมื่อวาน 21:58
ใน RECYCLER ถ้าเปิดเข้าไปดูจะไม่เห็นไฟล์อะไรอยู่ในถังขยะ ต้องลอง Zip ไฟล์ ถึงจะเห็นไฟล์ cfxer.exe และ desktop.ini อยู่ใน RECYCLER ดังภาพ ก่อน zip กับ หลัง zip หรือต้องดูด้วยโปรแกรม ExplorerXP จึงจะเห็นครับ
ถ้าเครื่องที่ติด virus นี้ ต่อ internet อยู่ virus จะdownload script ไว้ที่ C:\Documents and Settings\Name (ชื่อที่ใช้ logon) ดังนี้ (ซึ่งถ้าเปลี่ยนชื่อไฟล์เป็น .txt จะเห็น script download virus อยู่ภายใน)
tvs2.exe
uac.exe
ukmx.exe
vmscon.exe
เพื่อโหลด virus ตัวอื่นๆ เช่น Download ver.exe (Win32/Small.NFH)
http://bestphotocard.com.p4.hostingprod.com/na.na
http://bestphotocard.com.p4.hostingprod.com/iefn.jx
http://bestphotocard.com.p4.hostingprod.com/ac.cc
http://zonetech.info/ver.exe ( อย่า download มาเล่นนะครับ เดี๋ยวจะหาว่าไม่เตือน)
และเมื่อไฟล์ ver ถูก run จะสร้างไฟล์ vse432.exe อยู่
c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe(Win32/Kryptik.BF)
ส่วนวิธีแก้ click link นี้ครับ vse432.exe(Win32/Kryptik.BF)
---------------------------------------------------------------------------------
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS : Detect by NOD32 )
---------------------------------------------------------------------------------
ผมจะไม่ค่อยเน้นรูปภาพ ต้องขออภัยนะครับ
1.ตัดการเชื่อมต่อ internet และ เอา flash drive ออกจาก USB port ก่อน
2. ติดตั้งโปรแกรม ExplorerXP และ Unlocker ให้เรียบร้อย
3. เปิดโปรแกรม ExplorerXP เข้าไปที่ไดว์ C:\RECYCLER\ แล้ว click ที่
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\
แล้วเลือกเมนู Unlocker จะขึ้นหน้าต่างดังภาพ ให้ click ที่ explorer แล้ว กดปุ่ม Unlock
4. จากนั้น Click ที่ ถึงขยะเลข S-1-5-21-1482476501-1644491937-682003330-1013 แล้วกดปุ่ม Shift+Del
5. เข้าไปที่ไดว์ C:\ โดยใช้ โปรแกรม ExplorerXP แล้ว Delete autorun.inf
6. ติดตั้งโปรแกรม CPE17 แล้วค่อยเสียบ Flashdrive เพื่อกำจัด autorun.inf และ cfxer.exe ที่อยู่ใน folder RECYCLER
7. Delete folder RECYCLER ใน FlashDrive (ใน FlashDrive ต้องไม่มี RECYCLER ถ้ามีให้สงสัยว่าเป็น virus)
8. click ที่เมนู start > run พิมพ์ regedit เลือกตามนี้
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Delete ส่วนของ StubPath: "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
จบแล้วครับ วิธีแก้ virus cfxer.exe (Win32 AutoRun.KS : detect by NOD32)
คำแนะนำ : อย่าลืม update antivirus ให้เป็นปัจจุบันด้วยนะครับ
Credit http://www.mk-job.com/bbs
คัดลอกไปที่คลิปบอร์ด
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS )
How to remove cfxer.exe (Win32 AutoRun.KS : Detect by NOD32)
cfxer.exe
MD5 : 215B4DAD03AE4E05F6AB5F61F3106284
SHA1 Hash :E23A4547C2FE7B8DE8D98A6FA0A055A45ED9D7C8
ชื่ออื่นๆ ของแต่ละค่าย
AntiVir > TR/Crypt.XPACK.Gen
Avast > Win32:Trojan-gen {Other}
AVG > Generic12.BIUM
BitDefender > Packer.Krunchy.B
CAT-QuickHeal > Trojan.Pakes.muc
eSafe > Win32.Packed_Krunchy
F-Prot > W32/Heuristic-210!Eldorado
F-Secure > Trojan:W32/Agent.JBO
Kaspersky > Trojan.Win32.Pakes.muc
McAfee > Generic.dx
Microsoft > Trojan:Win32/Ircbrute
NOD32 > Win32 AutoRun.KS
Norman > W32/Packed_Krunchy.A
Panda > Generic TrojanSophos > Mal/Generic-A
Symantec > W32.Spybot.Worm
TrendMicro > TROJ_IRCBRUTE.BT
==================================================
จากการเก็บตัวอย่าง virus มาทดสอบ เมื่อ Run ไฟล์ cfxer.exe พบว่ามีการสร้างไฟล์อยู่ใน recycle bin
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe
c:\ Autorun.inf
คำสั่งภายใน autorun.inf
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeicon=%SystemRoot%\system32\SHELL32.dll,4action=Open folder to view filesshell\open=Openshell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeshell\open\default=1
และมีการสร้าง Registry ขึ้นมาอยู่ที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
มีการ remote host ทาง port 49932 ไปยัง IP 211.95.72.84 ในประเทศจีน
เมื่อวาน 21:58
ใน RECYCLER ถ้าเปิดเข้าไปดูจะไม่เห็นไฟล์อะไรอยู่ในถังขยะ ต้องลอง Zip ไฟล์ ถึงจะเห็นไฟล์ cfxer.exe และ desktop.ini อยู่ใน RECYCLER ดังภาพ ก่อน zip กับ หลัง zip หรือต้องดูด้วยโปรแกรม ExplorerXP จึงจะเห็นครับ
ถ้าเครื่องที่ติด virus นี้ ต่อ internet อยู่ virus จะdownload script ไว้ที่ C:\Documents and Settings\Name (ชื่อที่ใช้ logon) ดังนี้ (ซึ่งถ้าเปลี่ยนชื่อไฟล์เป็น .txt จะเห็น script download virus อยู่ภายใน)
tvs2.exe
uac.exe
ukmx.exe
vmscon.exe
เพื่อโหลด virus ตัวอื่นๆ เช่น Download ver.exe (Win32/Small.NFH)
http://bestphotocard.com.p4.hostingprod.com/na.na
http://bestphotocard.com.p4.hostingprod.com/iefn.jx
http://bestphotocard.com.p4.hostingprod.com/ac.cc
http://zonetech.info/ver.exe ( อย่า download มาเล่นนะครับ เดี๋ยวจะหาว่าไม่เตือน)
และเมื่อไฟล์ ver ถูก run จะสร้างไฟล์ vse432.exe อยู่
c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe(Win32/Kryptik.BF)
ส่วนวิธีแก้ click link นี้ครับ vse432.exe(Win32/Kryptik.BF)
---------------------------------------------------------------------------------
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS : Detect by NOD32 )
---------------------------------------------------------------------------------
ผมจะไม่ค่อยเน้นรูปภาพ ต้องขออภัยนะครับ
1.ตัดการเชื่อมต่อ internet และ เอา flash drive ออกจาก USB port ก่อน
2. ติดตั้งโปรแกรม ExplorerXP และ Unlocker ให้เรียบร้อย
3. เปิดโปรแกรม ExplorerXP เข้าไปที่ไดว์ C:\RECYCLER\ แล้ว click ที่
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\
แล้วเลือกเมนู Unlocker จะขึ้นหน้าต่างดังภาพ ให้ click ที่ explorer แล้ว กดปุ่ม Unlock
4. จากนั้น Click ที่ ถึงขยะเลข S-1-5-21-1482476501-1644491937-682003330-1013 แล้วกดปุ่ม Shift+Del
5. เข้าไปที่ไดว์ C:\ โดยใช้ โปรแกรม ExplorerXP แล้ว Delete autorun.inf
6. ติดตั้งโปรแกรม CPE17 แล้วค่อยเสียบ Flashdrive เพื่อกำจัด autorun.inf และ cfxer.exe ที่อยู่ใน folder RECYCLER
7. Delete folder RECYCLER ใน FlashDrive (ใน FlashDrive ต้องไม่มี RECYCLER ถ้ามีให้สงสัยว่าเป็น virus)
8. click ที่เมนู start > run พิมพ์ regedit เลือกตามนี้
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Delete ส่วนของ StubPath: "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
จบแล้วครับ วิธีแก้ virus cfxer.exe (Win32 AutoRun.KS : detect by NOD32)
คำแนะนำ : อย่าลืม update antivirus ให้เป็นปัจจุบันด้วยนะครับ
Credit http://www.mk-job.com/bbs
คัดลอกไปที่คลิปบอร์ด
ตลาดงานออนไลน์ MK-JOB.COM
ยินดีต้อนรับเข้าสู่เว็บไซต์ตลาดงานออนไลน์
www.mk-job.com
งานราชการ งานรัฐวิสาหกิจ งานเอกชน งานฟรีแลนซ์ งานPart-time อัพเดททุกวัน
เข้าสู่เว็บไซต์ Click
www.mk-job.com
งานราชการ งานรัฐวิสาหกิจ งานเอกชน งานฟรีแลนซ์ งานPart-time อัพเดททุกวัน
เข้าสู่เว็บไซต์ Click
Subscribe to:
Posts (Atom)
