|
หัวข้อ: เกร็ดความรู้เล็กๆ น้อยๆ เกี่ยวกับไวรัส เริ่มหัวข้อโดย: ++NEAR++ ที่ 21, 04 2009, 10:50:35 AM เกร็ดความรู้เล็กๆ น้อยๆ เกี่ยวกับไวรัสตัวนี้
การทำงานของไวรัส MSN foto http://xxx (Win32/Injector.FB) + เมื่อไวรัสส่งตัวเองมาจากเครื่องของเพื่อนเรา แล้วเรากดที่ลิงค์จะมีหน้าต่างเปิดขึ้นมาให้ดาวน์โหลดลงเครื่อง โดยไฟล์นี้จะเป็นไฟล์ซิป และเมื่อแตกไฟล์ออก พร้อมกับดับเบิลคลิกเพื่อเปิดไฟล์ จะมีหน้าต่าง Windows Microsoft Viewer เปิดขึ้นมา + จากรูปด้านล่าง ได้จับภาพการทำงานด้วยโปรแกรม ProcessExplorer มันจะเปลี่ยนชื่อตัวเองเป็น burimi.exe + เมื่อกดปุ่ม OK ปุ๊บ มันจะเปลี่ยนชื่อตัวเองอีกครั้งเป็น fxstaller.exe อาการเครื่องของท่านที่โดนไวรัสตัวนี้เล่นงาน เท่าที่ลองให้มันมาเดินเล่นอยู่ในเครื่องอยู่พักใหญ่ และสังเกตดูอาการก็พอจะสรุปได้คร่าวๆดังนี้ + เมื่อเรียกใช้งานโปรแกรมต่างๆ จะเปิดโปรแกรมได้ช้ากว่าปกติ + เครื่องที่โดนไวรัสตัวนี้เล่นงาน ไวรัสจะส่งตัวเองไปยังทุกรายชื่อที่ออนไลน์ MSN และขณะที่ส่งข้อความหน้าจอจะค้างไปพักใหญ่และจะค้างเป็นระยะๆ จะไม่สามารถเลื่อนเม้าส์หรือเรียกใช้งานโปรแกรมอะไรได้เลย ต้องกดปุ่ม Ctrl + Alt + Delete 1 ครั้งเพื่อเรียกใช้งาน Windows Task Manager ระบบจึงจะกลับมาใช้งานได้ + เมื่อเปิดเข้าหน้าเว็บไซต์ จะมีหน้าต่าง Google Search ถูกเปิดขึ้นมาเองโดยอัตโนมัติ + หัวข้อ Home page ในหน้าต่าง Internet Options ก็จะเปลี่ยนเป็นชื่อเว็บแปลกๆโดยที่เราไม่ได้สร้างขึ้นเอง + และเมื่อเปิดหน้าต่าง Internet Explorer ขึ้นมา โปรแกรมจะเรียกเข้าหน้าเว็บดังกล่าวทันที + ตัวไวรัสจะเปลี่ยนชื่อลิงค์เว็บไซต์ไปเรื่อยๆไม่ซ้ำกัน อาจจะเพื่อป้องกันไม่ให้ผู้รับเห็นข้อความซ้ำและจับตัวได้ + ขณะใช้งานโปรแกรมต่างๆหรือเข้าเว็บไซต์จะพบกับหน้าต่าง Command Prompt และเมื่อปิดหน้าต่างนี้ไป ตัวไวรัส MSN ก็จะสร้างไฟล์ขึ้นมาใหม่ลงไปที่ไดร์ว C เพิ่มอีก + และขณะใช้งานโปรแกรมต่างๆก็จะพบกับไดอะล็อกบ็อกซ์ดังรูปขึ้นมา โดยไม่ว่าท่านจะกดปุ่ม OK หรือ Cancel โปรแกรม Internet Explorer ก็จะเปิดหน้าต่างขึ้นมาใหม่ เพื่อให้เราดาวน์โหลดไวรัสมาเพิ่มเติม ดูการทำงานและอาการที่เกิดมาเยอะแล้ว ต่อไปนี้เราก็มาเริ่มการกำจัดพวกมันกันเลยดีกว่า โปรแกรมที่ต้องใช้ + ProcessExplorer สำหรับปิดการทำงานของไวรัสที่รันตัวเองอยู่ + HijackThis สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส 1.เปิดโปรแกรม ProcessExplorer ขึ้นมา คลิกขวาโปรเซสที่ชื่อ fxstaller.exe เลือก Kill Process หรือจะกดปุ่ม Delete เพื่อหยุดการทำงานของไวรัสตัวนี้ก็ได้ แล้วปิดโปรแกรม 2.เรียกใช้งานโปรแกรม HijackThis เพื่อลบรีจิสตรีคีย์แปลกปลอมที่ไวรัสได้เขียนขึ้น โดยหาหรือใส่เครื่องหมายถูกหน้าข้อดังตัวอย่าง แล้วกด Fix Checked เพื่อลบ 3.ขณะนี้ไวรัสได้หยุดทำงานแล้ว เราก็มาเริ่มค้นหาไฟล์ตัวเป็นๆของพวกมันกันครับ โดยเปิด Folder Options ขึ้นมาก่อน แล้วตั้งค่าตามรูป 4.คลิกขวาที่ My Computer -> เลือก Explore -> คลิกเข้าไดร์ว C จากเมนูด้านซ้าย และที่เมนูด้านขวาจะพบว่ามี 2 ไฟล์ได้นอนแน่นิ่งอยู่คือ ous.exe และ rrrreet.exe ให้เลือกไฟล์ทั้ง 2 แล้วกด Shift+Delete เพื่อลบทิ้งทันทีโดยไม่ต้องให้ไปค้างอยู่ในถังขยะ Recycle Bin (2 ไฟล์นี้ห้ามดับเบิลคลิกเด็ดขาด เพราะไวรัสมันจะกลับมาทำงานใหม่อีกครั้ง) 5.คลิก Start -> Run -> พิมพ์ %temp% แล้ว Enter หน้าต่างโฟลเดอร์ Temp จะถูกเปิดขึ้นมา ให้กดปุ่ม Ctrl+A เพื่อเลือกไฟล์ทั้งหมด แล้วกดปุ่ม Shift+Delete เพื่อลบไฟล์ทั้งหมด โดยไม่ให้ไปค้างอยู่ในถังขยะ Recycle Bin 6.เข้าไปที่โฟลเดอร์ WINDOWS เพื่อหาไฟล์ที่ชื่อ fxstaller.exe แล้วลบทิ้งทันที หลังจากนี้ให้ท่านทำการอัพเดตโปรแกรม Antivirus ให้ใหม่ล่าสุด แล้วสั่งสแกนไดร์ว C ทั้งไดร์วอีกครั้ง สำหรับคนที่ต้องการโปรแกรมข้างบน ^^ >>ProcessExplorer << >> HijackThis << แต่สำหรับใครที่คิดว่าวิธีข้างบนมันยุ่งยางเกินจะทำ = =;; มาลองดูวิธีอื่นก็ได้ค่ะ ขนมาหลายวิธีมากมาย เริ่มจากวิธีแรก 1. http://www.sosvirus.changelog.fr/MSNFix.zip โหลด เจ้า ตัว msn fix 2. ทําการแตกไฟล์ลงในโฟลเดอร์ในก้ได้ในคอมของคุณ 3. คลิกที่ไฟล์ msnfix.bat 4. โปรแกรมจะเข้าหน้าต่าง dos กดเลือกตามคำถามทีขึ้นมา 5. พิม E [English] แล้วกด Enter 6. พิม R [search] แล้วกด Enter 7. รอเวลามันสแกน อาจใช้เวลาสักครู 8. มันจะขึ้นว่าพบไวรัส แล้วกด ตัวอักษรที่มัน delete (หรืออาจจะตัวอื่นที่มันเกี่ยวกับลบ) แล้วก็ enter 9. รีสตาร์ทคอม วิธีที่ 2 [ credit : มารจอมยุทธ อสรพิษหมื่นปี] วิธีกำจัดหนอนชนิดนี้ การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1 ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1 ตัดการเชื่อมต่อเครือข่าย หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2 ดาวน์โหลดไฟล์ FxBeagle.exe จาก http://securityresponse.symantec.com/avcenter/FxBeagle.exe ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้างบน ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME) จากนั้นทำการรันไฟล์ FxBeagle.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start รีสตาร์ทเครื่อง แล้วรัน FxBeagle.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ สแกนหาไวรัสทั้งระบบดูอีกครั้ง วิธีที่ 3 [credit พี่แดง ] http://www.thaiware.com/main/info.php?id=1949 เข้าลิ้งนี้และไปโหลดตัวแสกน และกดสแกน โปรแกรม เพิ่มเติม [ credit : มารจอมยุทธ อสรพิษหมื่นปี] MSNCleaner 1.5.6 http://www.MegaShare.com/373356 วิธีใช้ก็กดที่ปุ่ม Analyst ถ้าเจอก็กดปุ่ม Delete ไปก็จบ =========================== อ่า...หวังว่าไวรัสเจ้าตัวนี้คงสิ้นซากไปจากคอมทุกๆ ท่าน ^^" เครดิตความรู้ดีๆ วิธีเจ๋งๆ รูปจ๊าบๆ จากเว็บ varietypc.net และ soccersuck.com ^^ ที่มา http://board.snsd-supergirls.com/index.php?topic=1077.0;wap2 หัวข้อ: Re: เกร็ดความรู้เล็กๆ น้อยๆ เกี่ยวกับไวรัส เริ่มหัวข้อโดย: BenTen ที่ 21, 04 2009, 03:03:41 PM ขอบคุณคับไม่บอกผมไม่รู้เรืองเลยนะคับอิอิ :aiwebs_027:
|