รวมวิธีการแก้ไวรัสทุกชนิด: พฤษภาคม 2012

วันศุกร์ที่ 25 พฤษภาคม พ.ศ. 2555

โดนไวรัส Shortcut หรอ มาทางนี้

วิธีกำจัดไวรัส Shortcut

จาก การใช้งานคอมพิวเตอร์และอินเตอร์เน็ตในปัจจุบันนี้ ผู้ใช้หลายๆคนอาจเคยสัมผัส กับไวรัสตัวใหม่ตัวหนึ่งซึ่งเราอาจจะได้ยินในนามของ ไวรัส “Shortcut ” การทำงานงานของไวรัสตัวนี้ ง่ายดายมากๆ โดยหลักการคร่าวๆ ก็คือ
เมื่อ ไวรัส ทำงาน
1. มันจะทำการสร้าง Shortcut ที่เป็นชื่อเดียวกันกับ Folder ทั้งหมดที่มี
2. มันจะทำการเปลี่ยน Attribute ของ Folder ปกติ ให้เป็น Hiden และ System File (มันเรื่มจะร้าย..Hiden ยังไม่พอยังหลอกว่าเป็น System File อีก)
3. มันจะสร้างไฟล์ ชื่อ autorun.inf เพื่อเรียกใช้ตัวมันเอง
4. มันจะสร้าง Folder ชื่อ RECYCLER เพื่อจะเก็บ Temp File ของมัน ชื่อ 13BBDBD53FAFE530CE07086B186FB686.exe
อ่านรายละเอียดเพิ่มเติม…»

โปรแกรม และ เรื่องที่เกี่ยวข้อง:

"โปรแกรมสแกนไวรัสฟรีๆ ดีๆ กับ AVG Anti-Virus Free Edition เวอร์ชั่น 2012.0.1873"

"โปรแกรมสแกนไวรัส Spyware และ Malware : Malwarebytes Anti-Malware 1.60.0.1800"

"BitDefender USB Immunizer โปรแกรมสแกนไวรัส USB/Flashdrive จากผู้ผลิตแอนตี้ไวรัส BitDefender"

"โปรแกรมสแกนไวรัสและกำจัดสปายแวร์ PC Tools"

Posted in ความรู้ แอนตี้ไวรัส |

Tags: autorun.inf, Unhidden.exe, วิธีกำจัดไวรัส Shortcut, วิธีกำจัดไวรัส Shortcut และวิธีป้องกันไวรัส Shortcut แบบเด็ดขาด, วิธีป้องกันไวรัส Shortcut, สร้าง shortcut ใน FlashDrive, แก้ปัญหา ไวรัส shortcut, แก้ไวรัส Shortcut, ไวรัส Shortcut ซ่อนไฟล์ |

No Comments »

ทิปป้องกันไม่ให้ไวรัส autorun.inf แฝงอยู่ใน Handy Drive ของเราได้

October 21st, 2011 |

Author: โปรแกรมสแกนไวรัส

ทิปป้องกันไม่ให้ไวรัส autorun.inf แฝงอยู่ใน Handy Drive ของเราได้

ทุกวันนี้เกือบทุกคนจะต้องมี Handy Drive ไว้ใช้งานกันแทบทุกคนเพราะใช้ง่ายและพังยากแต่เพราะความใช้ง่ายนี่แหละที่ไป ไหนๆ ก็ต้องเชื่อมต่อเข้ากับคอมเครื่องอื่นๆ ได้สะดวก ซึ่งทำให้เจ้าไวรัส autorun แทรกซึมเข้าสู้ USB ของเราได้ง่ายๆ เช่นกัน ถึงแม้ปัจจุบันจะมีโปรแกรมสแกนไวรัสดีๆ ที่สามารถกำจัดและป้องกันไวรัส autorun ได้แต่ถ้าเราป้องกันได้ก็จะดีกว่า อย่างน้อยเราจะได้ไม่ต้องคอยระวังเจ้าไวรัสตัวนี้ตลอดเวลา ถ้าสนใจละก็ เรามาเริ่มกันเลยครับ…

ที่มา http://www.antivirus.memysoft.com/tag/autorun-inf/

กำจัดสารพัดตระกูลออโตรัน autorun.inf

มันเป็นอะไรที่น่ารำคาญมากๆ สำหรับเวิร์มตระกูลนี้
ปัญหามันไม่ได้อยู่ที่ไฟล์ออโตรันคือไวรัส แต่อยู่ที่ไวรัสตัวนั้นๆสร้างไฟล์ออโตรัน (แล้วมันก็หลาตัวเสียเหลือเกิน)
ขยันออกกันหลายเวอร์ชั่น หลายอดิตชั่นซะจริงๆ

ล่าสุดที่เจอ คือ ckvo (ในสตาร์ทอัพ จะมีเซอร์วิสนี้) ไวรัสต้นเหตุ nq0cq.cmd หรือ sq.com อาจจะมีชื่ออื่น แต่ก็ราวๆนี้
ความซวยมันอยู่ที่ คาสเปอกี้ บิตดีเฟนเดนท์   แอนติเวอร์ น็อด32 เอวีจี เอามันไม่อยู่สักตัว
แล้วยังตระกูล vbs อีก

ลองมาประมวลวิธีแก้กันอย่างรวบรัด ไม่กล่าวถึงการแก้รีจีสตรีให้ตาลายเสียเส้น

1. สร้างไฟล์ autorun.infจากโน๊ตเพจ เก็บไว้ในแฟลชไดรว์ทั้งหลาย แล้วซ่อนไฟล์นี้เสีย
   ป้องกันได้เฉพาะตัวที่จะสร้างไฟล์ออโตรัน แต่บางตัวมันไม่สร้างไฟล์นี้
   แต่สร้างไฟล์อื่น วิธีนี้ก็ช่วยอะไรได้ไม่มาก

   รวมถึงการหาโปรแกรมประเภทแอนติออโตรันมาประจำการในเครื่อง
   ซึ่งจำเป็นมากสำหรับเครื่องคอมที่จะต้องมีการใช้แฟลชไดรว์บ่อยๆและหลากหลาย ที่มี เช่นเครื่องส่วนกลางในออฟฟิศ เครื่องตามร้านถ่ายรูป
   หากไม่ป้องกันโอกาสติดแทบจะเต็มร้อย เพราะเราไม่รู้ว่าแฟลชไดรว์พวกนั้นไปมั่วที่ไหนมาบ้าง
   เครดิต http://cpe17.com
   ดาวน์โหลด   http://cpe17.com/yabb/Attachment/cpe17antiautorun1330.exe
   ได้ไฟล์มาแล้ว ให้ก็อบปี้ไปวางไว้ที่   C:\Documents and Settings\........ยูสเซอร์......\Start Menu\Programs\Startup
   ไฟล์จะทำงานทุกครั้งที่เราเปิดเครื่อง

2. กรณีที่ติดมาแล้ว มันยังไม่สร้างความเสียหายมากนัก เครื่องเราก็แค่ติดและอาจเป็นตัวเผยแพร่เท่านั้น
นั่นคือมันยังไม่ได้เข้าไปใช้งานเซอร์วิส wscript
เครื่องยังสามารถเปิดดูไฟล์ซ่อนได้ เมื่อเจอออโตรันก็ลบมันซะพร้อมทั้งไฟล์ไวรัสด้วย (ชิพ+ดีลีท)
ความเสียหายที่อาจจะยังคงค้างไว้ก็คือ ไดรว์อาจจะยังดับเบิลคลิกไม่ได้

3. หากไม่สามารถเปิดดูการซ่อนไฟล์ได้ ให้ใช้ NOD32 Registry Recovery
ดาวน์โหลด http://www.nod32th.com/component/option,com_docman/task,doc_details/gid,18/Itemid,290/lang,en/
รันโปรแกรมเพื่อทำการฟื้นฟูรีจีสตรี แล้วก็ลองเปิดการซ่อนการ หากเจอก็ลบมันซะ หากยังไม่เจอ ก็ต้องมาว่ากันต่อ

4. เครื่องมือที่ใช้กำจัดและแก้ไขอาการดับเบิลคลิกไม่ได้ ตามข้อ 1-2-3 มีให้ดาวน์โหลดมาใช้มากมาย
   แต่ที่จะแนะนำเอาไว้คือ
   NOD32 Registry Recovery ตามข้อ 3
   Anti_Hacked By 1BYTE.exe
   Anti_Hacked By 1BYTE.exe เวอร์ชั่น 2

5. หากวิธีการตามข้อ 4 ไม่สามารถแก้ปัญหาได้ ซึ่งนั่นอาจจะไม่ใช่แค่ไวรัสตัวเดียวที่มันนอนอยู่ในเครื่องเรา
อาการและความเสียหายอาจจะหลากหลายมากขึ้น เช่นปิดการทำงานรีจีสตรีบางตัว ซีพียูรัน 100 เปอเซน
แนะนำให้ใช้ตัวนี้ ComboFix ซึ่งสามาใช้ได้กับหนอนตระกูล startdrv รวมถึง ออโตรันทั้งหลายแหล่
ที่มา bleepingcomputer.com
ดาวน์โหลด http://download.bleepingcomputer.com/sUBs/ComboFix.exe

เข้าเซฟโหมดแล้วรันไฟล์ที่ได้มา เครื่องจะรีสตาร์ทเข้าโหมดปกติ
จากนั้นก็ไล่สำรวจหาหนอนในแต่ละไดรว์

จากนั้นก็อย่าลืมใช้ cpe17 ตามข้อ 1 แค่นี้ก็น่าจะเพียงพอต่อการกำจัดและป้องกันหนอนกะหลั่วๆพวกนี้ได้

วิธียกเลิก Autorun เพื่อไม่ให้ไฟล์ autorun.inf

วิธียกเลิก Autorun เพื่อไม่ให้ไฟล์ autorun.inf ที่ติดมากับ Flash Drive , Handy Drive ทำงานอัตโนมัติ
เพื่อป้องกันไม่ให้ไวรัสทำงานอัตโนมัติทุกครั้งที่เปิดใช้ Flash Drive- Handy Drive

1. Click Start --> Run แล้วพิมพ์ gpedit.msc
2. จะได้หน้าตาแบบนี้

3. ให้คลิกที่เครื่องหมายบวก ที่ Administrative Template ของ User Configuration

4. ให้คลิกที่ System

5. หน้าต่างด้านขวามือจะมี Turn Off Autoplay
ให้ Double click ที่ Turn Off Autoplay นี้

6. จะได้หน้าต่างขึ้นมาใหม่
ให้คลิกที่ Enabled
ให้คลิกลูกศรลง Turn off Autoplay on: เพื่อเลือก All Drives เสร็จแล้วคลิก Apply คลิก OK เสร็จสิ้นขั้นตอน

7. คลิกเครื่องหมาย X เพื่อปิด Group Policy

Folder Autorun.inf ไอเดียดีๆ ที่ขอปรบมือให้ครับ

ที่ Office ผมได้เอา ตัว Scan Virus ของพี่น้องอุลตร้า มาลง (อยากบอกว่า มันชอบเพราะตอนที่เวลามัน Scan จะมีรูปอุลตร้าแมน มายิงแสง ติ๊วๆๆๆๆ ไม่ได้ชอบความสามารถแต่ประการใด)

แล้วก็มีติดใจอยู่อย่างหนึ่งคือ เจ้าโปรแกรมตัวนี้ จะมีการสร้าง Folder ชื่อ Autorun.inf ไว้ใน Root ของแต่ละ Drive แล้วเขียนอธิบายว่า ห้ามลบ เพื่อป้องกันอะไรซักอย่างนี่ละ

ประเด็น อยู่ที่ว่า มันเป็นเรื่องง่ายๆ แต่ใช้ได้ดีเหลือเชื่อเลย เพราะว่าใน File แต่ละ File จะมีตัวขยาย หรือถ้าคนเรียนคอมฯ แบบโบราณหน่อยอย่างผม เรียกมันว่านามสกุล เช่น นามสกุล .EXE นามสกุล .DOC

และ หากเรามีการสร้าง Folder ที่ใส่จุด แล้วตามด้วยอักษรแบบนี้ Windows จะแยกไม่ออกว่า ที่มีอยู่นี้ มันเป็น File หรือ Folder !!!

คำ ว่าแยกไม่ออกนี้ หมายความว่า หากมีการสร้าง File ที่มีชื่อเดียวกับ Folder ที่มี .xxx นี้แล้ว Windows จะบอกว่า อ๊ะๆ คุณกำลังสร้างไฟล์ที่มีชื่อซ้ำอยู่แล้ว กรุณาเปลี่ยนชื่อใหม่ ทั้งๆ ที่สร้างไว้นั้นเป็น Folder

แล้วเขาก็เลยเอามาใช้กับการป้องกัน Virus ที่ทำงานผ่าน Autorun.inf ซึ่งมักจะติดใน Flash Drive ต่างๆ ซะงั้น แล้วก็เขียน desktop.ini เพื่อให้แสดง Folder เป็นรูปอุลตร้าแมน

การ ที่สร้าง Folder Autorun.inf ขึ้นมา ทำให้ไวรัสที่ทำงานกับ Flash Drive แบบที่มีการสร้าง Autorun.inf เพื่อให้เวลาที่เอา Flash Drive ไปเสียบเครื่องอื่น แล้วติด Virus นั้น ไม่สามารถสร้างไฟล์ Autorun.inf ขึ้นมาได้ นอกจากนั้น ใช้คำสั่งลบไฟล์เก่าก็ไม่ได้ เพราะคำสั่งที่ใช้ในการลบ File กับ Folder นั้น จะต่างกัน

สรุปคือ หากจะเขียนไวรัส ให้สามารถติด Flash Drive ที่สร้าง Folder Autorun.inf ต้องมีคำสั่งลบ Folder autorun.inf และ File autorun.inf ทั้งสองคำสั่ง จึงจะสามารถติดได้

ดังนั้น เทคนิคที่น่าสนใจสำหรับคนที่ใช้ Flash Drive หลายๆ ที่ ก็คือ สร้าง Folder ชื่อ Autorun.inf ขึ้นมา 1 Folder ครับ แค่นี้ Flash Drive ของคุณ ก็ปลอดภัย ขึ้นมาอีกระดับแล้ว เย้…..

วันพุธที่ 9 พฤษภาคม พ.ศ. 2555

สุดยอดรวมวิธีกำจัด,แก้ไข,ฆ่าไวรัสในเครื่องของคุณให้หมดไป

วิธีแก้ไวรัส
คลิปVDO.exe (Win32/Agent.NAG worm)
ไวรัสตัวนี้ความรุนแรงของมันไม่มากแต่ก็เป็นโปรแกรมที่มีความสามารถในการ แพร่กระจายตัวเองจากเครื่องหนึ่งไปอีกเครื่องหนึ่งโดย จะสร้างไฟล์ คลิปVDO.exe ลงบนทุกๆไดร์วโดยทำไอคอนของมันเป็นแบบ Folder สร้างความรำคาญแก่ผู้ใช้

ตัวโปรแกรมดาวน์โหลดhttp://www.ziddu.com/download/13389449/Anti_VDO.zip.html

วิธีแก้ไวรัส
Flashy.exe (Win32/Disabler.I trojan)

โปรแกรมนี้ใช้กำจัดไวรัส Flashy.exe ซึ่งไวรัสตัวนี้จะเปิดบริการ telnet ซึ่งส่งผลให้ผู้ไม่หวังดีควบคุมเครื่องของเหยื่อจากระยะไกล ไวรัสจะคัดลอกตัวเองลงแฮนดี้ไดร์วตลอดเวลาและซ่อนโฟลเดอร์จริงจากนั้นจะทำ ตัวเองเลียนแบบโฟลเดอร์เพื่อให้เหยือรันตัวมันเข้าสู่ ระบบโปรแกรมนี้จะดำเนินการแก้ไขค่าทุกอย่างให้เหมือนเดิมทุกประการรวมทั้ง ถอดรหัสของ administrator ให้ว่างเปล่า รวมทั้งกำจัด ไวรัส Flashy.exe ในแฮนดี้ไดร์วและแสดงโฟลเดอร์จริงขึ้นมาด้วย

ดาวน์โหลด โปรแกรมนี้ได้ www.ziddu.com/download/13389416/flashy_killer.zip.html

วิธีแก้ไวรัส
Monaliza

ไวรัสตัวนี้ติดผ่านทางแฮนดี้ไดร์วได้ นอกจากนี้ยังสามารถติดเชื้อผู้ใช้ผ่านทาง msn เป็นไวรัสที่เริ่มแพร่กระจายมาสักระยะหนึ่งแล้วโดยจะ ใช้เทคนิค auto run สำหรับการติดเชื้อแฮนดี้ไดร์วตามเคย โปรแกรมนี้จะทำการคืนค่าที่ไวรัสทำไว้ทั้งหมด ผู้ใช้สามารถเชื่อมต่ออุปกรณ์ แฮนดี้ไดร์วเข้ากับเครื่อง เพื่อกำจัดไวรัสที่อยู่ในอุปกรณ์ได้พร้อมๆกัน ดาวน์โหลดโปรแกรม คลิก ที่นี่ครับ

วิธีจัดการไวรัสและฆ่าไวรัสให้หายไปจากเครื่องคอมพิวเตอร์ฆ่าจัดการและฆ่าไวรัสทุกชนิด..ย้ำทุกชนิดครับผม

กำจัดไวรัสทุกชนิดไฟล์ที่1*****

http://www.ziddu.com/download/13408831/killvirus1.rar.html

กำจัดไวรัสทุกชนิดไฟล์ที่2*****

http://www.ziddu.com/download/13409028/killvirus2.rar.html

วิธีการแก้ ไวรัส MSN

วิธีการแก้ไข ไวรัส images.zip ทาง msn

ข้อความที่ได้รับจากเพื่อนๆ วิธีการแก้ ไวรัส MSN (กำลังระบาดหนัก)

โดยวิธีการติดไวรัสอันนี้ ดูได้จากรูปประกอบครับ
หลังจากก่อนหน้านี้เคยเกิดไวรัสทางโปรแกรม Instant Message อย่าง MSN Messenger ระบาดมาบ้างแล้วกับรูปแบบคล้ายๆ กันคือ มีข้อความจากคนในลิสต์ MSN ของเราขึ้นมาว่าได้ส่งไฟล์บางอย่างมาให้ ให้เรากด รับ (Accept) ซึ่งพอกดรับมาแล้วเปิดดูปุ๊บ ไวรัสก็จะทำการติดตั้งในเครื่อง แล้วทำการส่งไฟล์รูปแบบเดียวกันจากเราไปยังคนในลิสต์ของเราเรื่อยๆ โดยอัตโนมัติ
โดยตอนนี้ก็ได้เกิดไวรัสรูปแบบนี้ขึ้นอีกอย่างหนัก โดยไฟล์ที่ส่งมาจากเพื่อนของเราจะเป็นไฟล์ชื่อ images.zip หรือ photo.zip หรืออื่นๆ

วิธีป้องกัน

1. อย่ารับไฟล์ใดๆ ถ้าไม่แน่ใจ ถามคนที่เราคุยด้วยก่อนว่าส่งไฟล์อะไรมาหรือเปล่า ถ้าส่งมาไฟล์นั้นชื่ออะไร
2. กลับไปอ่านข้อ 1. อีกที
3. โปรแกรมแอนตี้ ไวรัสอาจจะช่วยได้ ถ้ามีการอัพเดทที่ดีพอ
1. กด ctrl + Alt + del เพื่อเรียก task manager
2. ดูที่ process list ว่ามี winlog32.exe หรือไม่ ถ้ามี ให้ end task ไป
3. ไปดูที่ start => run พิมพ์ว่า msconfig แล้ว enter
4. ไปที่ แท๊บ start up ดูหา Winlog32.exe ให้ uncheck มัน แล้ว กด OK ยังไม่ต้อง restart
5. เข้า Start => Search แล้วไป search ที่ drive c: หาไฟล์ winlog32.* ถ้าเจอ winlog32.exe - ให้ลบทิ้งไป
6. restart Windows หนึ่งที

วิธีแก้ไวรัส Hacked

Hacked เป็นไวรัสตัวใหม่ที่กำลังระบาดอยู่ จัดเป็น spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล โดยจะเป็นการติดผ่าน Handy Drive และ Floppy Disk เท่านั้น ลักษณะอาการ
1. เครื่องจะไม่สามารถดับเบิ้ลคลิกเปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1. ดับเบิ้ลคลิก ไอคอน My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กเลือก Show Hidden files and folders
2. ปลดเครื่องหมายถูกหน้า Hide extention… และ Hide protected operating system file ออก คลิก OK
3. กดปุ่ม [Ctrl+Alt+Delete] ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกแท็ป Processes คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว) คลิกปุ่ม End Process
4. เปิดไดร์ฟ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย
5. เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
6. ไปที่ปุ่ม Start->Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์ [HKEY_LOCAL_MACHINE\Software\Current Version\Run] ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
7. เข้าไปที่คีย์ [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] ลบไฟล์ที่ Window Title “Hacked by Godzilla” (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
8. คลิกปุ่ม Start->Run พิมพ์ gpedit.msc กดปุ่ม OK คลิกเลือก [User Configuration->Administrative Templates->System] ดับเบิ้ลคลิกไฟล์ Turn Off Autoplay เลือก Enabled เลือก All drives คลิก OK เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติ ในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
9. คลิกปุ่ม Start->Run พิมพ์คำสั่ง msconfig กดปุ่ม OK คลิกแท็ป Startup ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close) เลือก Exit Without Restart
10. ดับเบิ้ลคลิกไอคอน Mycomputer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กถูกหน้า Hide extention… และ Hide protected operating system file คลิก OK
11. คลิกขวาที่ไอคอน Recycle bin เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง

ทิปจาก : Group Ok_click_Ok

วันพุธที่ 2 พฤษภาคม พ.ศ. 2555

วิธีแก้ไวรัส sality.NAR W32/Sality.ag Win32/Sality.NAM. win32.Sality.z

วิธีแก้ไวรัส
sality.NAR W32/Sality.ag Win32/Sality.NAM. win32.Sality.z

* จัด NOD32 Registry Recovery ไปก่อนเลย
* จัด anti_antivirus ไปอีก 1 ตัว
* จัด toy_fix, mygirl_fix, VBS. fix, kill autorun fix

* สุดท้าย ตบด้วย NOD32 3.x.x Business Edition
* จัด UPDATE ไปก่อน เอาฤกษ์เอาชัย (สำคัญมากครับ antivirus ถ้าไม่ update มันก็เหมือน win98 ที่ไม่รู้จักแม้แต่ driver modem!!)

* สแกน เรียบ ตายคารังไปเลยพวกเมิงงงงง

ที่ NOD32 ตัวเวอร์ชั่น 3.x มันหาเจอเพราะมันมี anti stealth technology!! เจ้าตัวนี้แหละ ที่แม้แต่ยานล่องหนของสหรัฐ เราก็หาเจอ 555+

Virus.Win32.Sality.a (Kaspersky Lab) is also known as: Win32.Sality.a (Kaspersky Lab), W32/Sality.a (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.29032 (Doctor Web), W32/Sality-A (Sophos), PE_ROSEC.A (Trend Micro), W32/Sality.A (FRISK), Win32:V-29032 (ALWIL), Win32/Sality.A (Grisoft), Win32.Sality.A (SOFTWIN), W32/Sality.A (Panda), Win32/Sality.A (Eset) win32.Sality.z W32/Sality.ag Win32/Sality.NAM.

ท่านใดที่ใช้antivirus ที่รู้จักไวรัสตัวนี้แล้วก็ไม่น่าห่วงครับ แต่เน้นไว้ก่อนนะครับ ว่า antiviirus ต้อง update ไม่งันก็เสร็จโจน เหมือนกันครับ เหมือนมี มีด แต่ไม่ลับอ่ะครับ

การแพร่พันธ์

Sality is a portable executable (ติดทาง flash dirve, handy drive หรือ trumb drive แล้วแต่จะเรียกครับ )(PE is the standard executable format for 32-bit Windows files) virus. PE viruses infect executable Windows files by incorporating their code into these files such that they are executed when the infected files are opened.

PE viruses may have other capabilities. Many PE viruses keylogging and open backdoor access ports that allow remote users to manipulate affected systems(เหมือนโจรมันมาแอบเปิดประตูบ้านเราไว้อ่ะครับ 6 - - เพื่อเพือนโจรคนอื่นจะแวะมาทักทายเพิมเติม); some can spread into other computers. (ทำเครื่องตัวเองติดไม่พอ ยังจะพยายามจะขยายพันธ์ข้ามเครื่องอีก เฮอะๆ)

Files infected by PE viruses are typically cleanable - they can be reverted back to their clean states. However, restoring affected systems may require procedures other than scanning with an antivirus program.

OS ที่เป็นแหล่งเพราะพันธ์ทีดีครับ
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

วิธีแก้ไวรัส Shortcut

ไวรัส Shortcut

แจ้งเตือนการระบาดของไวรัสช๊อตคัต (Shortcut)

เป็นไวรัสตัวใหม่ที่กำลังแพร่กระจายผ่านทางแฮนดี้ไดร์ฟและระบบเครือข่ายไวรัสถูกเขียนโดยคำสั่งสคริปต์ (Script) โดยจะสร้างไฟล์ช็อตคัต ลงในแฮนดี้ไดร์ฟพร้อมคัดลอกไฟล์ไวรัส .Trash-500 และ “h3ojKiH9lvFefFO0mG6HlXplgLV3LYYJVHdZr3dtLhEN80DniEPQXQY2sziakx2TnS4SA044lSPkbMnv9Qm”ซึ่งจะมีผลทำให้เครื่องมีประสิทธิภาพในการทำงานลดลง เป็นแหล่งแพร่กระจาย

ของไวรัสไปยังเครื่องอื่นๆ หรือเปิดใช้งานไม่ได้เลย

รูปแบบและลักษณะของไวรัส

หลักการทำงาน

เมื่อเสียบแฮนดี้ไดร์ฟที่มีไวรัสตัวนี้ ในแฮนดี้ไดร์ฟจะมีไฟล์ไวรัสซึ่งจะแฝงตัวอยู่และมีลักษณะเป็นโฟลเดอร์แบบช็อตคัต ตามรูปที่1 ซึ่งในช็อตคัตก็จะแฝงชุดคำสั่ง เพื่อเรียกการทำงานของไวรัส
เมื่อดับเบิลคลิกที่โฟลเดอร์ต่างๆ ที่มีลักษณะเป็นช็อตคัตภายในแฮนดี้ไดร์ฟ ไวรัสตัวนี้ก็จะทำงานโดยการก๊อปปี้ตัวเองลงไปในเครื่อง
ไวรัสจะทำการแพร่กระจายตัวเองไปในระบบเครือข่ายและดาวน์โหลดไวรัสมาเพิ่ม
เมื่อมีการเสียบแฮนดี้ไดร์ฟที่เครื่องที่ติดไวรัส ไวรัสจะทำการแอบซ่อนโฟล์เดอร์ที่มีอยู่ในแฮนดีไดร์ฟและคัดลอกตัวเองลงในแฮนดี้ไดร์ฟพร้อมกับเปลี่ยนชื่อให้เหมือนกับโฟลเดอร์ที่เคยมีอยู่ เพื่อหลอกให้ผู้ใช้ดับเบิลคลิกและแพร่กระจายไวรัสต่อไปเรื่อยๆ

วิธีการป้องกันและกำจัดไวรัสช็อตคัต

อุปกรณ์แฮนดี้ไดร์ฟ หรือสื่อบันทึกข้อมูลแบบพกพา จะมีโฟลเดอร์ที่เป็นช็อตคัตและโฟลเดอร์แบบปกติจะถูกแอบซ่อน หรือทำให้มองไม่เห็น
หน้าแรก(Homepage) ของเว็บบราวเซอร์ จะถูกเปลี่ยนเป็นเว็บไซต์ที่มีตัวอักษรแปลกๆ ซึ่งตรวจสอบพบว่าจะมีการไปโหลดไวรัสมาเพิ่มเมื่อเข้าเว็บไซต์
เครื่องมีอาการผิดปกติ เช่น เครื่องจะทำงานช้า เข้าเว็บไซต์ไม่ได้ มีเสียง “ติ๊ดๆ” ดังเป็นระยะ
เข้าใช้งานวินโดวส์ไม่ได้ โดยมีลักษณะโหลดหน้าต่างก่อนเข้าวินโดวส์ซ้ำๆ

***หมายเหตุ*** เมื่อแฮนดี้ไดร์ฟ ติดไวรัสนี้แล้ว อย่า!!!!! คลิกเพื่อเปิดไฟล์หรือดับเบิ้ลคลิกไฟล์ที่กลายเป็น shortcut เด็ดขาด ไม่เช่นนั้น เครื่อง คอมพิวเตอร์เครื่องนั้นจะกลายเป็นแหล่งแพร่ไวรัสทันที

วิธีการใช้งานโปรแกรม SPKAutorunKiller (จัดการไวรัสในแฮนดี้ไดร์ฟเท่านั้น)

ดาวน์โหลดโปรแกรมได้จาก SPK Autokiller V2.4

เมื่อดาวน์โหลดเสร็จสิ้น สามารถติดตั้งโปรแกรมได้ 2 วิธี
1. คลิกเลือกที่ปุ่ม Run ----> Install เพื่อติดตั้งโปรแกรม
2. ดับเบิลคลิกที่ไฟล์ SPKAutokillerV2.4.exe -----> Run -----> Install เพื่อติดตั้งโปรแกรม
3. หากติดตั้งโปรแกรมแล้วเครื่องเตือนว่ามีerror บางอย่างและไม่มีสัญลักษณ์ SPK ขึ้นที่มุมล่างขวา
  ให้ดาวน์โหลด โปรแกรม DOTNET ซึ่งเป็นตัวเสริมมาติดตั้งเพิ่มและดิบเบิลคลิกที่ไอค่อน Spk ที่หน้าจออีกครั้ง
โปรแกรมจะถูกติดตั้งไว้ในเครื่อง และทำการลบไวรัสโดยอัตโนมัติเมื่อมีการเสียบแฮนดี้ไดร์ฟ หรือสื่อบันทึกข้อมูลแบบพกพา

การแก้ไขกรณี แฮนดี้ไดร์ฟ โดนไวรัสแล้ว ต้องการให้แสดงไฟล์ข้อมูลที่โดนซ่อนออกมาโหลดโปรแกรม Unhidden.rar และ Unhidden2.rar

วิธีใช้งานเบื้องต้น
1. แตกไฟล์ทั้ง 2 อัน
2.นำไฟล์ Unhidden v2.exe และ Unhidden.exe ใส่ไปที่ FlashDrive ที่ติด ไวรัส
****วิธีนำไฟล์ลง Flashdirve ให้ คลิกขวาเลือก Send To น่ะครับ
3.ดับเบิ้ลคลิกที่ไฟล์ในข้อ 2 ที่ละไฟล์

ไฟล์แรก Unhidden.exe

ไฟล์ที่ 2 Unhidden2.exe

4.ลบไฟล์ที่เป็น ShortCut ออกให้หมด

กรณีคิดว่าเครื่องคอมพิวเตอร์เครื่องนั้นเป็นตัวแพร่เชื้อ

1.ให้ติดตั้งโปรแกรม SPK Autokiller
2.ให้ใช้โปรแกรม ComboFix จัดการไวรัสในเครื่อง

****การใช้งาน ComboFix แนะนำให้ใช้งานบน SeftMode นะครับ เพื่อให้ได้ผลที่แน่นอนกว่า แต่ตัว ComboFix อาจจะมีปัญหากับการจัดการไวรัสที่แผงตัวเข้าสู่ระบบ Windows หรือไฟล์ System ดังนั้นก่อนการใช้งาน ComboFix แนะนำให้ Backup ข้อมูลที่สำคัญก่อนนะครับ เพราะถ้าไวรัสติดไฟล์ระบบแล้ว หากComboFIx ทำงาน ก็อาจจะลบไฟล์ระบบนั้นทิ้งทันที จึงทำให้ WIndows อาจจะล่มได้นะครับ (เตือนแล้วนะ) ดังนั้น ComboFix ขอให้เป็นทางเลือกสุดท้ายนะครับ แต่ครูลองดูแล้ว เครื่องก้ไม่มีปัญหา แต่กับเครื่องอื่นไม่รับประกันครับ

Download Programs

1. SPK Autokiller V2.4
2. Unhidden.rar และ Unhidden2.rar3. Sophos Windows Shortcut Exploit Protection Tool.rar
4. ComboFix

แหล่งข้อมูลอ้างอิง

- http://www.spk-soft.tk/index2.html

- http://www.symantec.com