วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS )
How to remove cfxer.exe (Win32 AutoRun.KS : Detect by NOD32)
cfxer.exe
MD5 : 215B4DAD03AE4E05F6AB5F61F3106284
SHA1 Hash :E23A4547C2FE7B8DE8D98A6FA0A055A45ED9D7C8
ชื่ออื่นๆ ของแต่ละค่าย
AntiVir > TR/Crypt.XPACK.Gen
Avast > Win32:Trojan-gen {Other}
AVG > Generic12.BIUM
BitDefender > Packer.Krunchy.B
CAT-QuickHeal > Trojan.Pakes.muc
eSafe > Win32.Packed_Krunchy
F-Prot > W32/Heuristic-210!Eldorado
F-Secure > Trojan:W32/Agent.JBO
Kaspersky > Trojan.Win32.Pakes.muc
McAfee > Generic.dx
Microsoft > Trojan:Win32/Ircbrute
NOD32 > Win32 AutoRun.KS
Norman > W32/Packed_Krunchy.A
Panda > Generic TrojanSophos > Mal/Generic-A
Symantec > W32.Spybot.Worm
TrendMicro > TROJ_IRCBRUTE.BT
==================================================
จากการเก็บตัวอย่าง virus มาทดสอบ เมื่อ Run ไฟล์ cfxer.exe พบว่ามีการสร้างไฟล์อยู่ใน recycle bin
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe
c:\ Autorun.inf
คำสั่งภายใน autorun.inf
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeicon=%SystemRoot%\system32\SHELL32.dll,4action=Open folder to view filesshell\open=Openshell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeshell\open\default=1
และมีการสร้าง Registry ขึ้นมาอยู่ที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
มีการ remote host ทาง port 49932 ไปยัง IP 211.95.72.84 ในประเทศจีน
เมื่อวาน 21:58
ใน RECYCLER ถ้าเปิดเข้าไปดูจะไม่เห็นไฟล์อะไรอยู่ในถังขยะ ต้องลอง Zip ไฟล์ ถึงจะเห็นไฟล์ cfxer.exe และ desktop.ini อยู่ใน RECYCLER ดังภาพ ก่อน zip กับ หลัง zip หรือต้องดูด้วยโปรแกรม ExplorerXP จึงจะเห็นครับ
ถ้าเครื่องที่ติด virus นี้ ต่อ internet อยู่ virus จะdownload script ไว้ที่ C:\Documents and Settings\Name (ชื่อที่ใช้ logon) ดังนี้ (ซึ่งถ้าเปลี่ยนชื่อไฟล์เป็น .txt จะเห็น script download virus อยู่ภายใน)
tvs2.exe
uac.exe
ukmx.exe
vmscon.exe
เพื่อโหลด virus ตัวอื่นๆ เช่น Download ver.exe (Win32/Small.NFH)
http://bestphotocard.com.p4.hostingprod.com/na.na
http://bestphotocard.com.p4.hostingprod.com/iefn.jx
http://bestphotocard.com.p4.hostingprod.com/ac.cc
http://zonetech.info/ver.exe ( อย่า download มาเล่นนะครับ เดี๋ยวจะหาว่าไม่เตือน)
และเมื่อไฟล์ ver ถูก run จะสร้างไฟล์ vse432.exe อยู่
c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe(Win32/Kryptik.BF)
ส่วนวิธีแก้ click link นี้ครับ vse432.exe(Win32/Kryptik.BF)
---------------------------------------------------------------------------------
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS : Detect by NOD32 )
---------------------------------------------------------------------------------
ผมจะไม่ค่อยเน้นรูปภาพ ต้องขออภัยนะครับ
1.ตัดการเชื่อมต่อ internet และ เอา flash drive ออกจาก USB port ก่อน
2. ติดตั้งโปรแกรม ExplorerXP และ Unlocker ให้เรียบร้อย
3. เปิดโปรแกรม ExplorerXP เข้าไปที่ไดว์ C:\RECYCLER\ แล้ว click ที่
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\
แล้วเลือกเมนู Unlocker จะขึ้นหน้าต่างดังภาพ ให้ click ที่ explorer แล้ว กดปุ่ม Unlock
4. จากนั้น Click ที่ ถึงขยะเลข S-1-5-21-1482476501-1644491937-682003330-1013 แล้วกดปุ่ม Shift+Del
5. เข้าไปที่ไดว์ C:\ โดยใช้ โปรแกรม ExplorerXP แล้ว Delete autorun.inf
6. ติดตั้งโปรแกรม CPE17 แล้วค่อยเสียบ Flashdrive เพื่อกำจัด autorun.inf และ cfxer.exe ที่อยู่ใน folder RECYCLER
7. Delete folder RECYCLER ใน FlashDrive (ใน FlashDrive ต้องไม่มี RECYCLER ถ้ามีให้สงสัยว่าเป็น virus)
8. click ที่เมนู start > run พิมพ์ regedit เลือกตามนี้
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Delete ส่วนของ StubPath: "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"
จบแล้วครับ วิธีแก้ virus cfxer.exe (Win32 AutoRun.KS : detect by NOD32)
คำแนะนำ : อย่าลืม update antivirus ให้เป็นปัจจุบันด้วยนะครับ
Credit http://www.mk-job.com/bbs
คัดลอกไปที่คลิปบอร์ด
No comments:
Post a Comment