กรุณาปิด AdBlock!

Cancel your adBlock please.

ขยายหน้าเว็บRegister Login
 โฆษณา
หน้า: [1]  ลงล่าง
  พิมพ์  
topic

วิธีแก้ไวรัส ^_^Anti AntiVirus^_^  (อ่าน 19399 ครั้ง)

ไอที
« เมื่อ: 16, 08 2007, 09:26:44 PM »
1. มันจะสร้างไฟล์ต่างๆ ดังต่อไปนี้
%UserProfile%\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Quick Launch.exe
%CommonProgramFiles%\\default.exe
%System%\\msnmsgr.exe
%Windir%\\msdos.pif
%SystemDrive%\\[FILENAME].exe

หนอนตัวนี้อาจจะทำการสำเนาตัวเองในหลายๆ ครั้งภายใต้ชื่อที่แตกต่างกัน โดยชื่อต่างๆ เหล่านั้นจะเป็นดังนี้ :
Symantec
Mod32
Mcafee
Bitdefender
Sophos
Avast
Panda
Kaspersky
Avg
F-Secure
Security
Music
Books
Love
Star
Games
EBooks
Computer
Pizza
Home
Photos
Shop
Adobe
Internet
Program Files
Sex
NoteBook
Sky
My Pictures
Files
Downloads
Norton
Cartoons
Microsoft
Pacman
KingKong
Windows
Thailand
Zoo
Car

2. หนอนตัวนี้จะเพิ่มบรรทัดคำสั่งของมันเข้าไปที่ %SystemDrive%\\autorun.inf
เมื่อมีการถอดสื่อบันทึกข้อมูลแบบถอดได้จากเครื่องที่มันติดตอยู่ ไปเสียบที่เครื่องอื่นๆ แล้วตัวออโตรันก็จะทำงาน ทำให้มันสามารถแพร่ระบาดไปยังเครื่องอื่นๆ ได้ง่ายมาก
[AutoRun]
Open=[FILENAME].exe
shellexecute=[FILENAME].exe
shell\\Auto\\command=[FILENAME].exe
Shell=Auto

3. มันจะเพิ่มค่าเข้าไปใน Registry ทุกครั้งที่เครื่องเปิด หรือรีสตาร์ทเข้าสู่วินโดวส์ :
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"Shell" = "Explorer.exe %windir%\\msdos.pif"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"MsnMsgr" = "%System%\\msnmsgr.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\"MsnMsgr" = "C:\\WINDOWS\\system32\\msnmsgr.exe"

4. มันจะแก้ไขค่าบางค่าใน Registry ดังต่อไปนี้ :
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System\\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System\\"DisableCMD" = "1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System\\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\"DisableCMD" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\"DisableTaskMgr" = "1"

รวมถึงการปิด(Disable) System Restore:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\"DisableSR" = "1"

และแก้ไขค่าต่างๆ ใน Registry ต่อไปนี้ :
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\"Norun" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\"NoFind" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\"NoSetFolders" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\"NoLogoff" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\"Hidden" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\"Hidden" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\"HideFileExt" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\"HideFileExt" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\"ShowSuperHidden" = "1"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\"ShowSuperHidden" = "0"

4. หนอนตัวนี้จะแสดงข้อความเตือนเป็นข้อผิดพลาด ดังนี้ :
Title:
Application Error
Message:
0xFFFFFFFF

5. หนอนตัวนี้จะเปลี่ยนข้อความใน Title bar ของหน้าต่างที่เปิดขึ้นมา ดังนี้:
[^_^Anti Antivirus^_^]

6. หนอนตัวนี้เมื่อปิด processes บาง processes จะมีข้อความแจ้งบอก และจะมีตัวอักษรเหล่านี้แสดงรวมอยู่ด้วย :
cmd
mconfig
task
Proc
Hex
spy

วิธีแก้ไข
1. ทำการปิด System Restore โดยการคลิ๊กขวาที่ My Computer -->Properties -->System Restore คลิ๊กในช่องสี่เหลี่ยมหน้าข้อความ Tune off System Restore on all Devices ให้มีเครื่องหมายถูกขึ้นมา (ถ้ามีเครื่องหมายถูกอยู่แล้วก็ไม่ต้องไปคลิ๊กครับ) คลิ๊ก OK แล้ว Restart เครื่องครับ
*** อย่าแปลกใจ ถ้ามันจะถูกปิด System Restore อยู่แล้วจากหนอนตัวนี้ ***

2. ทำการติดตั้งโปรแกรมป้องกันไวรัสที่เวอร์ชั่นล่าสุด และทำการ Update ให้ล่าสุดครับ(Update Virus Database(Version of Signature)) ทำการ Full Scan เมื่อตรวจพบ W32.Annew.A หรือ Win32/Wenna.E ก็สามารถ Clean หรือ Delete ได้เลยครับ

3. ทำการดาวน์โหลดไฟล์ UnHookExec.inf ก่อนครับเพื่อทำการรีเซ็ท shell\\open\\command registry keys ที่นี่ครับ

http://data.thammai.com/bank/UnHookExec.inf link
*** ตัวนี้แก้ Link แล้วครับ ดาวน์โหลดได้เลย ***

เมื่อดาวน์โหลดมาแล้ว คลิ๊กขวาแล้วเลือก Install ครับ

4. ไปแก้ไขค่าใน Registry ครับ
คลิ๊ก Start --> Run พิมพ์ regedit แล้วคลิ๊ก OK. ครับ เข้าไปที่สับคีย์
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการลบค่า
"Shell" = "Explorer.exe %windir%\\msdos.pif"

เข้าไปที่สับคีย์
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการลบค่า
"MsnMsgr" = "%System%\\msnmsgr.exe"

เข้าไปที่สับคีย์
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการลบค่า
"MsnMsgr" = "C:\\WINDOWS\\system32\\msnmsgr.exe"

5. เข้าไปที่สับคีย์ต่างๆ เหล่านี้ เพื่อแก้ไขค่าต่างๆ กลับคืนมา :
ในการแก้ไขค่าต่างๆ เหล่านี้ เราสามารถเลือกได้ว่าจะเอาแบบไหนก็ได้
แต่ถ้าต้องการให้ค่ามันกลับมาเป็นเหมือนเดิม ก็คือแก้เป็นค่าตรงกันข้ามครับ จาก 0 เป็น 1 และจาก 1 เป็น 0

** ตัวนี้สำหรับผู้ที่ชื่นชอบความไม่ยุ่งยากครับ ดาวน์โหลดไปแล้วก็ดับเบิ้ลคลิ๊กเพื่อแก้ไขค่าใน Registry ได้เลยครับ สะดวกดี ***
http://data.thammai.com/bank/Regfix3.reg link
(ผมไม่รวมการแก้ค่าคืนของ System Restore ด้วยนะครับ เพราะเห็นว่าเป็นอีกช่องทางหนึ่งที่พวก Malware มักใช้เป็นเครื่องมือในการคืนชีพ แต่ถ้าใครมีความจำเป็นต้องการให้มี Backup ของระบบ ก็สามารถเข้าไปแก้ไขค่าเองใน Registry เพิ่มได้เลยครับ)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableRegistryTools" = "1" แก้เป็น "0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableCMD" = "1" แก้เป็น "0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableTaskMgr" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableRegistryTools" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableCMD" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableTaskMgr" = "1" แก้เป็น "0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableConfig" = "1" แก้เป็น "0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"DisableSR" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"NoFolderOptions" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"Norun" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"NoFind" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"NoSetFolders" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"NoLogoff" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"Hidden" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"Hidden" = "0" แก้เป็น "1"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"HideFileExt" = "0" แก้เป็น "1"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"HideFileExt" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"ShowSuperHidden" = "1" แก้เป็น "0"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\
ในช่องทางด้านขวามือ คลิ๊กขวาแล้วทำการแก้ไขค่า(modify)
"ShowSuperHidden" = "0" แก้เป็น "1"

แล้วออกจาก Registry Editor ครับ

6. Restart เครื่องครับ
เด็กไอทีคลับ
เด็กไอทีตัวพ่อ
เด็กไอทีคลับชั้นเซียน
*
พลังความคิด 89
กระทู้: 3,536
บันทึกการเข้า
หน้า: [1]  ขึ้นบน
  พิมพ์  
 
กระโดดไป: