หัวข้อ: วิธีลบแก้ไข antivirus ปลอม ชื่อใหม่ MS Removal Tool หรือ Advance Removal Tool ที่เคยโดนในอดีต
เริ่มหัวข้อโดย: เด็กไอทีคลับ ที่ 5, 06 2011, 09:24:01 AM
(http://www.bleepstatic.com/swr-guides/m/ms-removal-tool/ms-removal-tool-warning.jpg)
สืบเนื่องจากกระทู้นี้ครับ http://forum.dekitclub.com/index.php/topic,8962.0.html มีสมาชิกได้สอบถามเข้ามาเกี่ยวกับ ไวรัสตัวหนึ่ง ที่มันจะติดตั้งเข้ามาแล้ว สแกนให้เราเสร็จสรรพ แต่มันจะฟ้องว่าเรื่องเรามี ไวรัส เพียบ!! ให้เรา "ซื้อ version เต็ม เพื่อลบไวรัสนั้น" :aiwebs_008: แผนสูงนะไอ้ห่านี่!!
มาดูหน้าตาของโปรแกรมตัวนี้กัน ใช่แบบที่กำลังโดนกันอยู่หรือป่าว?
(http://www.bleepstatic.com/swr-guides/m/ms-removal-tool/ms-removal-tool.jpg)
ถ้าใช่! จะรอช้าอยู่ใยครับ มาดูวิธีการลบ แก้ไขไวรัสตัวนี้กันต่อเลย บทความข้างล่างนี้ผมเองไม่ใช่คนเขียนขึ้นนะครับ แต่เอาของฝรั่งมาแปรตามความเข้าใจเท่านั้น หากใครต้องการดูเนื้อหาต้นฉบับ สามารถดูได้จาก link นี้ครับ http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool เขาจะบรรยายไว้เยอะมาก (ฝรั่งแม่งแพร่มเก่งวะ พี่เขามาเต็ม!) ข้อความข้างล่างนี้จะอธิบายเกี่ยวกับเจ้าไวรัสตัวนี้ (ฝรั่งเขาชอบเกริ่นให้รู้จักมันก่อนจะรู้วิธีลบมัน) แต่พี่ไทยเราต้องแบบ hardcore :aiwebs_006: (เอาวิธีลบมาให้กูเดี๋ยวนี้)
Remove MS Removal Tool
เจ้า MS Removal Tool มันเป็นไวรัสสายพันธ์เดียวกันกับ Advance Removal Tool และ System Tool แต่จริงๆแล้วมันเองน่ะแหละเป็น spyware ที่แอบอ้างตัวเองว่าเป็น โปรแกรมป้องกันไวรัส (ฮีโธ่~) มันจะแสดง Security Alert และผลการสแกนปลอม เพื่อที่จะทำให้คุณคิดว่าคอมพิวเตอร์ของคุณติดเชื้อ MS Removal Tool มีการติดตั้งผ่านการใช้งานของมัลแวร์ที่จะติดตั้งโปรแกรมลงในคอมพิวเตอร์ของคุณโดยความรู้เท่าไม่ถึงการณ์ของคุณเองน่ะแหละ! เมื่อติดตั้งไฟล์การติดเชื้อจะถูกสร้างขึ้นโดยการ "ชื่อสุ่มโฟลเดอร์" ใน C:\Documents and Settings\All Users\Application Data\ (ใน XP) หรือ C:\Documents and Settings\All Users\Application Data\ (ใน Windows Vista และ Windows 7) มันจะถูกกำหนดค่าให้ run โดยอัตโนมัติเมื่อคุณเปิดเครื่อง
เมื่อมันทำงานมันจะสแกนคอมพิวเตอร์และรายงานว่ามีการติดเชื้อจำนวนมากในเครื่องของคุณ แต่จะไม่อนุญาตให้คุณลบพวกไวรัสจนกว่าคุณจะซื้อโปรแกรม (โอ้ววววสาดดดดดด ทำใจไม่ได้) สิ่งสำคัญคือต้องเข้าใจว่า MS Removal Tool เป็น scripted เพื่อแสดงผลการสแกนปลอมไม่ว่าคอมพิวเตอร์ของคุณติดไวรัสหรือไม่ ดังนั้นโปรดอย่ากังวลหากผลจากโปรแกรมนี้ที่บอกว่าเครื่องคุณติดเชื้อ
MS Removal Tool จะปิด executables ใด ๆ ที่คุณพยายามที่จะทำงานเพื่อปกป้องตัวเองจากการถูกลบ เมื่อคุณพยายามที่จะเรียกใช้โปรแกรมใด ๆ ก็จะยุติการดำเนินการของโปรแกรมที่แล้วแสดงข้อความลักษณะต่อไปนี้ :
เช่นเดียวกันกับผลการสแกน ข้อความนี้ก็เป็นของปลอมอย่าไปสนใจมัน
ในขณะที่ MS Removal Tool ทำงานอยู่ก็จะแสดงการแจ้งเตือน Security Alert และคำเตือนจาก Windows taskbar ของคุณ การแจ้งเตือนเหล่านี้ได้รับการออกแบบเพื่อทำให้ตกใจให้คุณคิดว่าคอมพิวเตอร์ของคุณติดเชื้ออย่างรุนแรงและที่คุณควรซื้อโปรแกรมเพื่อป้องกันตัวเองรวมถึงข้อความเหล่านี้ :
การติดเชื้อนี้ก็จะเปลี่ยน Desktop background ของคุณเพื่อแสดงคำเตือนดังต่อไปนี้:
เป็นข้อความเตือนหลอกๆ เช่นเดียวกับข้างต้น มันเป็นเพียงกลยุทธ์เพื่อหลอกเอาตังส์ของคุณออกจากกระเป๋า ด้วยการแจ้งเตือนให้ตกใจ ว่าเครื่องคุณมีไวรัส เยอะมากเลยนะ คุณต้องลบแล้ว ไม่งั้นข้อมูลของคุณจะไม่ปลอดภัย และคำเตือนที่ทำให้คนขวัญอ่อนยอมควักกระเป๋าจ่ายเงินให้มันอย่างง่ายดาย แต่ไม่ต้องตกใจไป ผมมีวิธีลบไอ้ขี้โกงตัวนี้ให้แล้วครับ แต่จะมีอยู่ 2 วิธีนะครับ คุณจะเอาวิธีไหนก็แล้วแต่คุณเลย แบบฉบับฝรั่ง หรือแบบของ เด็กไอทีคลับ
วิธีลบไวรัส MS Removal Tool แบบฉบับฝรั่ง โดยใช้โปรแกรม Malware Bytes Anti-Malware
-- ขอพักไว้ก่อนนะครับ เพราะผมลองอ่านวิธีของเขาแล้ว มันตั้งเข้า windows แบบ safe mode ซึ่ง!! ถ้าคุณเข้าได้ มันก็ดีใช่มั้ย แต่เท่าที่ผมลองดู มันไม่ได้ครับ แล้วฝรั่งมันก็สอนอีกว่า วิธีเข้า safe mode ทำยังไง ถ้าไม่กด F8 ก็ให้เข้าไปเซ็ตค่าใน msconfig แล้วเช็กที่ /safeboot แต่ก็นั่นละ มันเข้า msconfig ไม่ได้โว้ยยย จะให้ตั้งค่ายังไง!!
ด้วยเหตุนี้ผมจึงขอผลัดวิธีการแก้ไขของฝรั่งไว้ประเดี๋ยว มาว่าด้วยวิธีต่อไปเลยดีกว่าครับ
วิธีลบไวรัส MS Removal Tool แบบฉบับพี่ไทย โดยใช้ Windows PE
1. ไปหาแผ่น boot ที่มี windows PE หรือ miniXP ก็ได้ ตามแต่ถนัด พวกแผ่น HirenBootCD ก็มีครับ (ในนี้ก็มีนะ เคยเห็นคนเอาลิงค์มาโพสไว้หาโหลดกันเอาเองเด้อ)
2. ใส่แผ่น หรือ flash drive (สำหรับเครื่องบูทจาก usb ได้) จากนั้นเข้า WinPE,miniXPE ตามแต่ชื่อของคนทำ
3. รอมันโหลดๆ ให้เข้าหน้า windows
4. เข้าไปลบไฟล์ ที่ชื่อมันแปลกๆ ชื่อสุ่มๆ ชื่อมั่วๆ อ่านไม่ออกว่าเป็นชื่ออะไร ที่นี่ครับ C:\Documents and Settings\All Users\Application Data\{ชื่อสุ่มๆ ลบทั้ง folder เลย}
5. ทีนี้เราก็มาทำการแก้ไข Windows HOSTS ไฟล์ เนื่องจากไอ้เจ้านี่มันจะไปแก้ไข แล้วงุบงิบ เอาไปเป็นของมัน ทำให้เราแก้ไข อะไรมันไม่ได้ ลบก็ไม่ได้ (ผมลองแล้ว) ทำตามวิธีนี้ครับ
โหลดไฟล์นี้ไป hosts-perm.bat Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/bats/hosts-perm.bat)
จากนั้น run มันขึ้นมา เจ้าโปรแกรมตัวนี้มันจะไปแก้ไขการตั้งค่าของ HOSTS ให้เราสามารถเข้าไป เปลี่ยนแปลง แก้ไขได้
6. เข้าไปที่ C:\Windows\System32\Drivers\etc\ (วิธีง่ายๆ คือ ไปที่ start > เลือก run แล้ว copy ข้อความตรงนี้ไปใส่ จากนั้นกด enter หน้านั้นก็จะปรากฏขึ้นมา ไม่ต้องเสียเวลาไปนั่งคลิกๆ ทีละ folder)
7. ลบไฟล์ HOSTS แม่งไปเลย ไม่ต้องสนใจ แล้วโหลดใหม่ จากนี่
* ไม่รู้ว่าเตือนช้าไปมั้ย ใครมีใช้ adobe เถื่อน หรือโปรแกรมอื่นๆที่ ต้องไปแก้ไข HOSTS ไฟล์ ไม่ให้มัน update อาจจะต้องลงโปรแกรมใหม่นะครับ ถ้าคุณลบไฟล์ HOSTS ไป แต่ก็นั่นละ ลองเปิดไฟล์ HOSTS ดูแล้วกัน คุณคิดว่าคุณจะจำได้มั้ยละว่า อันไหนเป็น host ของจริง อันไหนของหลอกๆ ผมลองเปิดดูแล้ว เยอะมากครับ เป็นตับๆๆๆๆๆ หลายตับเลย สรุปแล้ว ลบมันดีกว่า (ไวดี)
โปรแกรมที่อาจต้องใช้งานร่วมกัน
-- Nod32 recovery registry
-- Malware Bytes Antivirus
-- CCean
สืบเนื่องจากกระทู้นี้ครับ http://forum.dekitclub.com/index.php/topic,8962.0.html มีสมาชิกได้สอบถามเข้ามาเกี่ยวกับ ไวรัสตัวหนึ่ง ที่มันจะติดตั้งเข้ามาแล้ว สแกนให้เราเสร็จสรรพ แต่มันจะฟ้องว่าเรื่องเรามี ไวรัส เพียบ!! ให้เรา "ซื้อ version เต็ม เพื่อลบไวรัสนั้น" :aiwebs_008: แผนสูงนะไอ้ห่านี่!!
มาดูหน้าตาของโปรแกรมตัวนี้กัน ใช่แบบที่กำลังโดนกันอยู่หรือป่าว?
(http://www.bleepstatic.com/swr-guides/m/ms-removal-tool/ms-removal-tool.jpg)
ถ้าใช่! จะรอช้าอยู่ใยครับ มาดูวิธีการลบ แก้ไขไวรัสตัวนี้กันต่อเลย บทความข้างล่างนี้ผมเองไม่ใช่คนเขียนขึ้นนะครับ แต่เอาของฝรั่งมาแปรตามความเข้าใจเท่านั้น หากใครต้องการดูเนื้อหาต้นฉบับ สามารถดูได้จาก link นี้ครับ http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool เขาจะบรรยายไว้เยอะมาก (ฝรั่งแม่งแพร่มเก่งวะ พี่เขามาเต็ม!) ข้อความข้างล่างนี้จะอธิบายเกี่ยวกับเจ้าไวรัสตัวนี้ (ฝรั่งเขาชอบเกริ่นให้รู้จักมันก่อนจะรู้วิธีลบมัน) แต่พี่ไทยเราต้องแบบ hardcore :aiwebs_006: (เอาวิธีลบมาให้กูเดี๋ยวนี้)
Remove MS Removal Tool
เจ้า MS Removal Tool มันเป็นไวรัสสายพันธ์เดียวกันกับ Advance Removal Tool และ System Tool แต่จริงๆแล้วมันเองน่ะแหละเป็น spyware ที่แอบอ้างตัวเองว่าเป็น โปรแกรมป้องกันไวรัส (ฮีโธ่~) มันจะแสดง Security Alert และผลการสแกนปลอม เพื่อที่จะทำให้คุณคิดว่าคอมพิวเตอร์ของคุณติดเชื้อ MS Removal Tool มีการติดตั้งผ่านการใช้งานของมัลแวร์ที่จะติดตั้งโปรแกรมลงในคอมพิวเตอร์ของคุณโดยความรู้เท่าไม่ถึงการณ์ของคุณเองน่ะแหละ! เมื่อติดตั้งไฟล์การติดเชื้อจะถูกสร้างขึ้นโดยการ "ชื่อสุ่มโฟลเดอร์" ใน C:\Documents and Settings\All Users\Application Data\ (ใน XP) หรือ C:\Documents and Settings\All Users\Application Data\ (ใน Windows Vista และ Windows 7) มันจะถูกกำหนดค่าให้ run โดยอัตโนมัติเมื่อคุณเปิดเครื่อง
เมื่อมันทำงานมันจะสแกนคอมพิวเตอร์และรายงานว่ามีการติดเชื้อจำนวนมากในเครื่องของคุณ แต่จะไม่อนุญาตให้คุณลบพวกไวรัสจนกว่าคุณจะซื้อโปรแกรม (โอ้ววววสาดดดดดด ทำใจไม่ได้) สิ่งสำคัญคือต้องเข้าใจว่า MS Removal Tool เป็น scripted เพื่อแสดงผลการสแกนปลอมไม่ว่าคอมพิวเตอร์ของคุณติดไวรัสหรือไม่ ดังนั้นโปรดอย่ากังวลหากผลจากโปรแกรมนี้ที่บอกว่าเครื่องคุณติดเชื้อ
MS Removal Tool จะปิด executables ใด ๆ ที่คุณพยายามที่จะทำงานเพื่อปกป้องตัวเองจากการถูกลบ เมื่อคุณพยายามที่จะเรียกใช้โปรแกรมใด ๆ ก็จะยุติการดำเนินการของโปรแกรมที่แล้วแสดงข้อความลักษณะต่อไปนี้ :
อ้างถึง
Warning!
Application cannot be executed. The file cmd.exe is infected.
Please activate your antivirus software.
Application cannot be executed. The file cmd.exe is infected.
Please activate your antivirus software.
เช่นเดียวกันกับผลการสแกน ข้อความนี้ก็เป็นของปลอมอย่าไปสนใจมัน
ในขณะที่ MS Removal Tool ทำงานอยู่ก็จะแสดงการแจ้งเตือน Security Alert และคำเตือนจาก Windows taskbar ของคุณ การแจ้งเตือนเหล่านี้ได้รับการออกแบบเพื่อทำให้ตกใจให้คุณคิดว่าคอมพิวเตอร์ของคุณติดเชื้ออย่างรุนแรงและที่คุณควรซื้อโปรแกรมเพื่อป้องกันตัวเองรวมถึงข้อความเหล่านี้ :
อ้างถึง
MS Removal Tool Warning
Your PC is infected with dangerous viruses. Activate antivirus protection to prevent data loss and avoid the theft of your credit card details.
Click here to activate protection.
MS Removal Tool Warning
Intercepting programs that may compromise your privacy and harm your system have been detected on your PC.
Click here to remove them immediately with MS Removal Tool.
Security Monitor: WARNING!
Attention: System detected a potential hazard (TrojanSPM/LX) on your computer that may infect executable files. Your private information and PC safety is at risk. To get rid of unwanted spyware and keep your computer safe you need to update your current security software.
CLick Yes to download official intrusion detection system (IDS software).
Warning: Your computer is infected
Windows has detected spyware infection!
Click this message to install the last update of Windows security software...
Your PC is infected with dangerous viruses. Activate antivirus protection to prevent data loss and avoid the theft of your credit card details.
Click here to activate protection.
MS Removal Tool Warning
Intercepting programs that may compromise your privacy and harm your system have been detected on your PC.
Click here to remove them immediately with MS Removal Tool.
Security Monitor: WARNING!
Attention: System detected a potential hazard (TrojanSPM/LX) on your computer that may infect executable files. Your private information and PC safety is at risk. To get rid of unwanted spyware and keep your computer safe you need to update your current security software.
CLick Yes to download official intrusion detection system (IDS software).
Warning: Your computer is infected
Windows has detected spyware infection!
Click this message to install the last update of Windows security software...
การติดเชื้อนี้ก็จะเปลี่ยน Desktop background ของคุณเพื่อแสดงคำเตือนดังต่อไปนี้:
อ้างถึง
Warning!
Your're in Danger!
Your Computer is infected with Spyware!
All you do with your computer is stored forever in your hard disk. When you visit sites, send emails... All your actions are logged. And it is impossible to remove them with standard tools. Your data is still available for forensics, and in some cases
For your boss, your friends, your wife, your children. Every site you or somebody or even something, like spyware, opened in your browsers, with all the images, and all the downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could break your life!
Secure yourself right now!
Removal all spyware from your PC!
Your're in Danger!
Your Computer is infected with Spyware!
All you do with your computer is stored forever in your hard disk. When you visit sites, send emails... All your actions are logged. And it is impossible to remove them with standard tools. Your data is still available for forensics, and in some cases
For your boss, your friends, your wife, your children. Every site you or somebody or even something, like spyware, opened in your browsers, with all the images, and all the downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could break your life!
Secure yourself right now!
Removal all spyware from your PC!
เป็นข้อความเตือนหลอกๆ เช่นเดียวกับข้างต้น มันเป็นเพียงกลยุทธ์เพื่อหลอกเอาตังส์ของคุณออกจากกระเป๋า ด้วยการแจ้งเตือนให้ตกใจ ว่าเครื่องคุณมีไวรัส เยอะมากเลยนะ คุณต้องลบแล้ว ไม่งั้นข้อมูลของคุณจะไม่ปลอดภัย และคำเตือนที่ทำให้คนขวัญอ่อนยอมควักกระเป๋าจ่ายเงินให้มันอย่างง่ายดาย แต่ไม่ต้องตกใจไป ผมมีวิธีลบไอ้ขี้โกงตัวนี้ให้แล้วครับ แต่จะมีอยู่ 2 วิธีนะครับ คุณจะเอาวิธีไหนก็แล้วแต่คุณเลย แบบฉบับฝรั่ง หรือแบบของ เด็กไอทีคลับ
วิธีลบไวรัส MS Removal Tool แบบฉบับฝรั่ง โดยใช้โปรแกรม Malware Bytes Anti-Malware
-- ขอพักไว้ก่อนนะครับ เพราะผมลองอ่านวิธีของเขาแล้ว มันตั้งเข้า windows แบบ safe mode ซึ่ง!! ถ้าคุณเข้าได้ มันก็ดีใช่มั้ย แต่เท่าที่ผมลองดู มันไม่ได้ครับ แล้วฝรั่งมันก็สอนอีกว่า วิธีเข้า safe mode ทำยังไง ถ้าไม่กด F8 ก็ให้เข้าไปเซ็ตค่าใน msconfig แล้วเช็กที่ /safeboot แต่ก็นั่นละ มันเข้า msconfig ไม่ได้โว้ยยย จะให้ตั้งค่ายังไง!!
ด้วยเหตุนี้ผมจึงขอผลัดวิธีการแก้ไขของฝรั่งไว้ประเดี๋ยว มาว่าด้วยวิธีต่อไปเลยดีกว่าครับ
วิธีลบไวรัส MS Removal Tool แบบฉบับพี่ไทย โดยใช้ Windows PE
1. ไปหาแผ่น boot ที่มี windows PE หรือ miniXP ก็ได้ ตามแต่ถนัด พวกแผ่น HirenBootCD ก็มีครับ (ในนี้ก็มีนะ เคยเห็นคนเอาลิงค์มาโพสไว้หาโหลดกันเอาเองเด้อ)
2. ใส่แผ่น หรือ flash drive (สำหรับเครื่องบูทจาก usb ได้) จากนั้นเข้า WinPE,miniXPE ตามแต่ชื่อของคนทำ
3. รอมันโหลดๆ ให้เข้าหน้า windows
4. เข้าไปลบไฟล์ ที่ชื่อมันแปลกๆ ชื่อสุ่มๆ ชื่อมั่วๆ อ่านไม่ออกว่าเป็นชื่ออะไร ที่นี่ครับ C:\Documents and Settings\All Users\Application Data\{ชื่อสุ่มๆ ลบทั้ง folder เลย}
5. ทีนี้เราก็มาทำการแก้ไข Windows HOSTS ไฟล์ เนื่องจากไอ้เจ้านี่มันจะไปแก้ไข แล้วงุบงิบ เอาไปเป็นของมัน ทำให้เราแก้ไข อะไรมันไม่ได้ ลบก็ไม่ได้ (ผมลองแล้ว) ทำตามวิธีนี้ครับ
โหลดไฟล์นี้ไป hosts-perm.bat Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/bats/hosts-perm.bat)
จากนั้น run มันขึ้นมา เจ้าโปรแกรมตัวนี้มันจะไปแก้ไขการตั้งค่าของ HOSTS ให้เราสามารถเข้าไป เปลี่ยนแปลง แก้ไขได้6. เข้าไปที่ C:\Windows\System32\Drivers\etc\ (วิธีง่ายๆ คือ ไปที่ start > เลือก run แล้ว copy ข้อความตรงนี้ไปใส่ จากนั้นกด enter หน้านั้นก็จะปรากฏขึ้นมา ไม่ต้องเสียเวลาไปนั่งคลิกๆ ทีละ folder)
7. ลบไฟล์ HOSTS แม่งไปเลย ไม่ต้องสนใจ แล้วโหลดใหม่ จากนี่
- Windows XP HOSTS File Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/misc/host-files/windows-xp/hosts)
- Windows Vista HOSTS File Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/misc/host-files/windows-vista/hosts)
- Windows 2003 Server HOSTS File Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/misc/host-files/windows-2003-server/hosts)
- Windows 2008 Server HOSTS File Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/misc/host-files/windows-2008-server/hosts)
- Windows 7 HOSTS File Download Link (https://www.dekitclub.com/go/http://download.bleepingcomputer.com/misc/host-files/windows-7/hosts)
* ไม่รู้ว่าเตือนช้าไปมั้ย ใครมีใช้ adobe เถื่อน หรือโปรแกรมอื่นๆที่ ต้องไปแก้ไข HOSTS ไฟล์ ไม่ให้มัน update อาจจะต้องลงโปรแกรมใหม่นะครับ ถ้าคุณลบไฟล์ HOSTS ไป แต่ก็นั่นละ ลองเปิดไฟล์ HOSTS ดูแล้วกัน คุณคิดว่าคุณจะจำได้มั้ยละว่า อันไหนเป็น host ของจริง อันไหนของหลอกๆ ผมลองเปิดดูแล้ว เยอะมากครับ เป็นตับๆๆๆๆๆ หลายตับเลย สรุปแล้ว ลบมันดีกว่า (ไวดี)
โปรแกรมที่อาจต้องใช้งานร่วมกัน
-- Nod32 recovery registry
-- Malware Bytes Antivirus
-- CCean