แจ้งวิธีแก้ปัญหาเครื่องโดนไวรัส

[takumi.9]

ห้ามโพสข้อความใดๆ บนกระทู้นี้เด็ดขาด ถ้าเจอจะลบโดนไม่มีการแจ้งเตือน
ยกเว้นจะเป็นวิธีแก้ปัญหาไวรัส เท่านั้น
เนื่องจากเห็นเพื่อนๆ หลายคนเครื่องติดไวรัสโดย ที่เจ้าตัวไม่รู้ตัว และทำให้เพื่อนๆคนอื่นก็ ติดไวรัสไปด้วยเช่นกัน จึงได้ตั้งกระทู้นี้ขึ้นมาเพื่อแจ้งเตือน หรือ บอกวิธีการแก้ไขไวรัส โดยที่

จะบอกอาการของเครื่องที่ติดไวรัส และวิธีแก้ หรือฆ่าไวรัส
โดยรายชื่อของไวรัส และอาการหลักๆ ดูได้จาก link ด้านล่าง ส่วนรายละเอียดอื่นๆนั้นจะดูได้ที่ link ของไวรัสนั้นๆ

ส่วนถ้าใครจะแจ้ง หรือ ต้องการจะบอกว่า เครื่องตัวเองติดไวรัสแล้วแก้ไม่ได้ ต้องการ วิธีแก้ ให้เข้าไปโพสได้ที่ แจ้งปัญหาไวรัส ที่นี้

-------------------------------------------------------

1. ชื่อ-ไวรัส msn อาการ-msn ของผู้ที่ติดไวรัส จะทำการส่ง link แปลกๆไปให้ เพื่อนที่มีรายชื่ออยู่ใน msn นั้นๆ อ่านรายละเอียด และวิธีฆ่า

[takumi.9]

ไวรัส msn
อาการ -- เครื่องที่ติดไวรัสชนิดนี้ จะทำการ ส่งข้อความ ผ่านทางโปรแกรม msn ไปยังรายชื่อที่มีอยู่ใน msn
โดยข้อความดังกล่าว จะเป็น link ให้กด เมื่อกดรับแล้ว เครื่องของผู้ที่กดรับ ก็จะโดนไวรัสไปด้วย
ดังภาพ
วิธีการสังเกตุ ว่า เพื่อนเราเป็นคนส่งมา หรือไวรัสเป็นตัวส่ง



หมายเลข 1 จุดที่แสดงสถานะ จะขึ้นเป็น Offline หรือ ออฟไลน์
เนื่องจากไวรัสตัวนี้จะทำการ longin เข้าสู่ระบบ msn ของเรา แล้วทำการส่ง link ไปให้ เพื่อนที่อยู่ในรายชื่อ msn และก็จะทำการ logout ออกทันที จึงทำให้เห็นว่า เพื่อนของเราที่ส่ง link มาให้มัน ligout ออกไปแล้ว
ในกรณี ที่เจ้าของเครื่องที่ติดไวรัส login อยู่ ตัวไวรัสเองจะไม่สามารถ login เข้าสู่ระบบได้ เมื่อใดที่เจ้าของเครื่อง logout ออก ตัวไวรัส จะทำการ login และส่ง link ไวรัส ทันที ส่วนจะส่งบ่อยแค่ ไหนนั้น ขึ้นอยู่กับ ว่า เป็นไวรัสอะไร เนื่องจากไวรัสตัวนี้มีหลาย ตระกูล และ ติดไปกี่ตัว ติดไปแล้วก็สามารถติดอีกได้

หมายเลข 2 ข้อความที่ส่งมา ข้อความที่ส่งมา จะเป็นข้อความ ภาษา อังกฤษ และความหมายจะเป็นในแนวทางเชิญชวนให้เข้าไปดู โดยกด link ดังกล่าว

ถ้าเจอตามี่กล่าวมา ห้ามกดรับเด็ดขาด และให้ บอกเพื่อนเราด้วย ว่าโดนไวรัส จะได้ไม่ไปแพร่ระบาด อีก
(เคยเจอบางคนบอกไปแล้ว ไม่เชื่อ ไม่ยอมแก้ไข และก็ส่งมาเรื่อยๆ จนตอนนี้ block มันไปแล้ว)

วิธีแก้ มีหลายวิธีเนื่องจาก มัน กลายพันธุ์ ไปเรื่อยแล้ว ลองดูเอาว่าเป็นวิธีไหน

วิธี แรก ------------------------------------------------------------------------
ทางแก้ ไวรัส images.zip ทาง msn

ข้อมูลไวรัส

ชื่อไวรีส WORM_WURMARK.M
File type: PE
Memory resident: Yes
Size of malware: 75,264 Bytes
Initial samples received on: May 23, 2005
Compression type: UPX
Related to: TSPY_AGENT.C

อาจใช้ชื่อไฟล์หลายๆ ชื่อ

* details.zip
* girls.zip
* image.zip
* love.zip
* message.zip
* music.zip
* news.zip
* photo.zip
* pic.zip
* readme.zip
* resume.zip
* screensaver.zip
* song.zip
* video.zip

ความสามารถในการส่ง E-mail แนบไฟล์ไวรัสไป

ชื่อ Subject: ด้วย คำด้านล่าง
• details
• girls
• image
• love
• message
• music
• news
• photo
• pic
• readme
• resume
• screensaver
• song
• video

แนบไฟล์ไปด้วยชื่อไฟล์ตามด้านล่าง

• details.zip
• girls.zip
• image.zip
• love.zip
• message.zip
• music.zip
• news.zip
• photo.zip
• pic.zip
• readme.zip
• resume.zip
• screensaver.zip
• song.zip
• video.zip

1. กด ctrl + Alt + del เพื่อเรียก task manager

2. ดูที่ process list ว่ามี winlog32.exe หรือไม่ ถ้ามี ให้ end task ไป

3. ไปดูที่ start => run พิมพ์ว่า msconfig แล้ว enter

4. ไปที่ แท๊บ start up ดูหา Winlog32.exe ให้ uncheck มัน แล้ว กด OK ยังไม่ต้อง restart

5. เข้า Start => Search แล้วไป search ที่ drive c: หาไฟล์ winlog32.* ถ้าเจอ winlog32.exe - ให้ลบทิ้งไป

6. restart Windows ทีนึง
-----------------------------------------------------------------------------

[takumi.9]

วิธี ที่ 2 ------------------------------------------------------
วิธีแก้ไขไวรัส pic.zip,pic.rar บน MSN

1.พิมพ์ regedit.exe ที่ start --> run

2.กด Ctrl+F เพื่อค้นหาไฟล์ที่ชื่อ libcintles3.dll ไปที่ไฟล์แล้วลบออก

3.จากนั้น ลบไฟล์เหล่านี้ออก

C:\WINDOWS\system32\libcintles3.dll
C:\WINDOWS\system32\msn.exe
C:\WINDOWS\system32\intlprinters.exe

รีสตาร์ทเครื่อง

4.รีสตาร์ทแล้ว ไปที่ C:\Windows หาไฟล์ชื่อ "photos.zip, album.zip, pic.zip" แล้วลบออกซะ

5.รีสตาร์ตเครื่องอีกครั้ง

---------
1. กด Start--> Run.. พิมพ์ regedit



2.
ไปที่ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windows/RUN
ที่หน้าต่างด้านขวา หาไฟล์ที่มี msnmsg.exe
แล้วลบออกซะ(เตือนนิดนึงนะครับในหน้ารีจีสทรี่นี้อย่าลบมั่วนะครับ
เดี๋ยววินโดว์จะพังเอา)

แล้วไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices หาไฟล์ที่มี msnmsg.exe แล้วลบออกอีกเหมือนกัน



หน้าตาจะประมาณนี้นะครับแต่พอดีว่าผมไม่ติดเชื้อพยายามหารูปที่มีเจ้าตัว msnmsg.exe แล้วหาไม่ได้

3.
กด Start--->search แล้วค้นหาไฟล์ pic.zip
เจอกี่ตัวลบให้หมด(ต้องแน่ใจนะว่าไฟล์ pic.zip
ที่หาเจอไปไม่ใช่ไฟล์ของคุณเอง สังเกตุง่ายๆครับขนาดไฟล์จะประมาณ 130-140
k

4. ลองรีสตาร์ทซักครั้งนึงก็น่าจะปลอดภัย

---------
ปล.image.zip เท่านั้นที่ 40 k

--------
1.ไปที่ run แร้ว พิม msconfig คับ
2.ไปที่ task manager แร้วไปที่ process ปิดตัว msnmsg ทิ้งไปอะครับ
3.ไปที่ startup แร้วclickยกเลิก ไฟล์ที่ชื่อ msnmsg ออก

[takumi.9]

ตัวหนอนนี้จะแพร่กระจายผ่านโพรโตคอล(พอร์ต 1863/tcp)
ที่ให้บริการจากโปรแกรม MSN Messenger
โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่ง ไฟล์ไปยัง
ผู้ที่มีรายชื่ออยู่ใน contact list
ของผู้รับและหากผู้รับ
รับไฟล์และเปิดใช้งานจะทำให้ติดตัวหนอนชนิดนี้ได้
การแพร่กระจายของหนอนชนิดนี้ผ่านไฟล์ในชื่อที่แตกต่างกัน
เช่น
love_me.pif
sexy_bedroom.pif
drunk_lol.pif
naked_party.pif
web_cam.pif
drunk_lol.pif
webcam_004.pif


-วิธีการแพร่กระจาย
------------------------------------

หนอนชนิดนี้สามารถแพร่กระจายผ่านโปรแกรม MSN เป็นหลัก


-ผลกระทบที่เกิดขึ้น
------------------------------------

ส่งไฟล์แนบให้กับผู้ที่มีรายชื่ออยู่ใน contact list
ของผู้รับ : หนอนจะส่งไฟล์ ผ่านโปรแกรม MSN โดยอัตโนมัติ

เครื่องอาจทำงานผิดพลาด :
เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี
ทำให้เครื่องทำงานผิดพลาดได้
หยุดการทำงานโปรแกรมป้องกันไวรัส :
ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย
อาจถูกหนอนชนิดอื่นแพร่กระจายเข้ามาได้


-รายละเอียดทางเทคนิค
------------------------------------

ลักษณะที่อาจจะบ่งให้เห็นว่าติดตัวหนอน

1.ไม่สามารถทำการ click ขวาได้
2.ไม่สามารถใช้งาน task manager ได้ โดยการกด
Ctrl-Alt-Del
3.ตัวหนอนสร้างไฟล์ในเครื่องผู้เสียหายดังนี้
C:\.pif
C:\omc.com
C:\windows\system32\lexplore.exe
4.เครื่องจะพยายามติดต่อ MSN
5.ตัวหนอนจะติดตั้งโปรแกรมโทรจันในเครื่องโดยเปิดพอร์ตชนิด
udp ที่มีหมายเลขที่สูงกว่า 1024 เช่น
44802/udp
9943/udp
2268/udp เป็นต้น
6.เครื่องทำงานช้าลง


-วิธีการแพร่กระจาย
------------------------------------

หนอนชนิดนี้สามารถแพร่กระจายผ่านโปรแกรม MSN เป็นหลัก


-ผลกระทบที่เกิดขึ้น
------------------------------------

ส่งไฟล์แนบให้กับผู้ที่มีรายชื่ออยู่ใน contact list
ของผู้รับ : หนอนจะส่งไฟล์ ผ่านโปรแกรม MSN โดยอัตโนมัติ

เครื่องอาจทำงานผิดพลาด :
เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี
ทำให้เครื่องทำงานผิดพลาดได้
หยุดการทำงานโปรแกรมป้องกันไวรัส :
ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย
อาจถูกหนอนชนิดอื่นแพร่กระจายเข้ามาได้


-วิธีกำจัดหนอนชนิดนี้
------------------------------------

การกำจัดหนอนแบบอัตโนมัติ
1.ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
http://www.trendmicro.com/ftp/products/tsc/sysclean.com



2.ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก
http://www.trendmicro.com/download/pattern.asp


หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

3.แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx
เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com
ที่ได้จากข้อ 1
4.ตัดการเชื่อมต่อเครือข่าย
5.หยุดการทำงานทุกโปรแกรม
รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6.จากนั้นรันไฟล์ Sysclean.com
จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7.เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8.ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้ง เพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

[takumi.9]

อาการ
MSN ของเราจะส่งข้อความออกไปโดยที่เราไม่ทราบ(จะเป็น url ให้กด Link ไปอะคะ) แต่ให้สังเกต url ของเว็บ จะเป็น improfile โหลดโปรแกรม---> โหลดโปรแกรม

[takumi.9]

และอีกหลายวิธี เยอะจัด

สามารถกำจัดได้ทุกชนิด ที่ได้รับการตรวจสอบแล้ว
วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ
  
  
  1. ดาวน์โหลดโปรแกรม Sysclean.com
     จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
     
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip
     จาก http://www.trendmicro.com/download/viruspattern.asp

     
     หมายเหตุ xxx
     แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
     

  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx
     ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1.
     
  4. ตัดการเชื่อมต่อเครือข่าย
     
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
     
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
     
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
     
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
     
  
  

หลังจากที่กำจัดไปแล้ว ในทุกวิธีนั้น ต้องทำการเปลี่ยน รหัสผ่านด้วยทุกครั้ง เพราะตัวไวรัสนั้นได้ทำการ ส่งรหัสผ่านไปให้เจ้าของ ไวรัส หรือ cracker ด้วย

รายละเอียด
เวิร์มตัวนี้แพร่กระจายตัวเองผ่านทาง MSN ทันทีที่มันติดเชื้อเครื่องของเหยื่อแล้ว ไวรัสจะสร้างไฟล์ pic.zip ซึ่งในไฟล์สกุล zip จะมีไฟล์ ชื่อ IMG34814.pif ซึ่งคือเวิร์ม(ไม่ได้บีบอัดไฟล์)ลงในโฟลเดอร์ของระบบและจะส่งไฟล์ไวรัสนี้ ไปยังรายชื่อผู้ติดต่อที่อยู่ใน MSN โดยอาศัยเทคนิคลากแล้ววาง เหมือนผู้ใช้ส่งไฟล์ทั่วไป ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)

"Hey :-), I just took this picture, sexy isnt it :-P?"
"What do you think of my photo editing skills?"
"Which one do you like in this pic, the black one or the blue one?"
"This is what happens when you eat to many chips :-P"
"Look what i made out of cans!! haah :-P!"
":-p this was halarious at that party a while back"
"Hey I have a new pic, what do ya think?"
"Check this out this pic is so freaking cool"
"Hahahaha, do you remember this picture?"
":-O Check this out! Nearly laughed my ass off!!"
"hey wats up.. have you seen this pic of harry potter?"

ตามด้วยไฟล์ของเวิร์มหากผู้ใช้เลือกดาวน์โหลดไฟล์ดังกล่าวมาและรันก็จะทำให้ติด เวิร์มตัวนี้และจะกลายเป็นฐานในการแพร่กระจายไปยังผู้อื่นๆต่อไป ไฟล์เวิร์มมีขนาด 138KB เวิร์มจะยกเลิกการใช้งาน regedit และปิดระบบรักษาความปลอดภัย (Security Center)จากนั้นจะติดต่อไปยัง down.basecore.info ไอพีแอดเดรส 72.249.12.79 ซึ่งการตรวจสอบเส้นทางบนเครือข่าย ปรากฎตำแหน่งของไอพีแอดเดรสนี้อยู่ใกล้ที่สุดกับรัฐ Dallas ของสหรัฐ เวิร์มติดต่อกลับไปที่พอร์ต 1863/tcp ซึ่งจะเห็นว่ามันคือพอร์ตของ MSN แต่แครกเกอร์ที่เขียนเวิร์มจงใจจะอำพรางการทำงาน ในความเป็นจริงพอร์ตนี้ถูกนำมาใช้สำหรับบริการ IRC ซึ่ง IRC เซิร์ฟเวอร์ที่ทำงานอยู่บนเครื่องที่เวิร์มตัวนี้ติดต่อกลับไปคือ Unreal 3.2-beta19 ทำงานอยู่บนระบบปฏิบัติการ Windows 2003 เวิร์มจะสุ่ม nickname ขึ้นมา และใช้รหัสผ่าน letmein ในการล็อกอินเข้าใช้งาน เมื่อเวิร์มส่งไฟล์ แล้ว จะรายงานกลับไปยังเซิร์ฟเวอร์ดังกล่าว ว่าได้ส่งไฟล์ไปให้เหยื่อใหม่ไปแล้วกี่รายจากนั้นจะรอคำสั่งจากแฮกเกอร์ เซิร์ฟเวอร์ดังกล่าวยังเปิดพอร์ต 1864/tcpไว้เป็นบริการ IRC เพิ่มเติม พอร์ต 4643/tcp,139/tcp NetBios และ 21/tcp FTP Server เวิร์มลักษณะนี้มีโอกาสที่จะได้รับการพัฒนาการทำงานใหม่ๆได้ตลอดเวลา จากแครกเกอร์ อย่างไรก็ตามคาดว่าอาจจะมีการขโมยข้อมูลสำคัญๆ ของผู้ใช้ตามมาได้ ในอนาคตเมื่อเวิร์มตัวนี้ติดเชื้อเครื่องคอมพิวเตอร์ได้มาก เช่น รหัสผ่าน หมายเลขบัตรเครดิตรวมไปถึงข้อมลส่วนบุคคล เนื่องจากตรวจพบการพยายามของเวิร์มที่จะดาวน์โหลดไฟล์จากอินเตอร์เน็ตและรัน ไฟล์ดังกล่าวบนเครื่องเหยื่อ ซึ่งคำสั่งดังกล่าวนี้แครกเกอร์สามารถควบคุมผ่านทาง IRC เซิร์ฟเวอร์ได้

[takumi.9]

หรือเข้าไปที่ www.thaicert.org

[Nichapat.1]

อืมม...ขอบใจมากเลยเนส ตอนนี้มี msn หลายคนติดไวรัสหน่ะ เจ้าตัวอาจจะยังไม่รู้ตัวรึป่าวนะ จะส่งข้อความมาอัตโนมัติตอนที่ออนเอ็มอ่ะ

หรือใครเจอแบบนี้ก็อย่าไปคลิ๊กลิงค์ที่ส่งมาทาง msn ละกันนะ ^^

[Bee.13]

ทำยากจังเนส งง พยายามทำตามอยู่นะนิ

[toe.4]

เพิ่มเติมที่นี่

Virus MSN แก้ง่ายนิดเดียว

Credit: www.notebookspec.com

[takumi.9]

ทางที่ดีต้อง ฆ่าไวรัสที่เครื่องด้วยนะ เพราะต่อให้เปลี่ยน รหัสผ่านไปแต่ ถ้ายังมีไวรัสอยู่ในเครื่อง และมันยังทำงานอยู่ มันก็สามารถที่จะเอา รหัสผ่านเรามาได้อยู่ดี