IT4X เทคนิคคอมพิวเตอร์ โน๊ตบุค ข่าว IT
ข่าวสาร / ความรู้ => Social Network => ข้อความที่เริ่มโดย: Moshi ที่ พฤศจิกายน 28, 2009, 22:42:37
-
การทำงานและวิธีกำจัดไวรัส Foto - Msn แบบละเอียดยิบ
ข้อมูลนี้ผมนำมาจาก VirietyPC นะครับ เนื่องจากเครื่องผมไม่ได้ติดเลยลองไม่ได้ ดูกันเลยครับ
ฮอตเหลือเกินนะครับช่วงนี้กับไวรัสที่มีมาใน รูปแบบต่างๆ (คนเขียนไวรัสมันขยันเขียนซะจริงๆ) ไม่ว่าจะเป็นไวรัส Autorun, Virus MSN พอดีเห็นมีหลายๆท่านโดนกันเยอะ กับไวรัส MSN ตัวใหม่ แต่ก็ถือว่าไม่ใหม่มากครับ แต่ก็อยากจะลอง จะได้เอามาทำเป็นบทความที่คิดว่าเป็นประโยชน์อย่างมาก ให้สำหรับท่านที่โดนได้แก้ไขกันครับ
Note. เท่าที่ลองใช้โปรแกรมกำจัดไวรัส MSN ที่มีให้ดาวน์โหลดจะไม่สามารถกำจัดพวกมันได้เลยครับ
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-01.gif)
การทำงานของไวรัส MSN foto http://xxx (http://xxx) (Win32/Injector.FB)
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-02.gif)
+ เมื่อไวรัสส่งตัวเองมาจากเครื่องของเพื่อนเรา แล้วเรากดที่ลิงค์จะมีหน้าต่างเปิดขึ้นมาให้ดาวน์โหลดลงเครื่อง โดยไฟล์นี้จะเป็นไฟล์ซิป และเมื่อแตกไฟล์ออก พร้อมกับดับเบิลคลิกเพื่อเปิดไฟล์ จะมีหน้าต่าง Windows Microsoft Viewer เปิดขึ้นมา
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-03.gif)
+ จากรูปด้านล่าง ผมได้จับภาพการทำงานด้วยโปรแกรม ProcessExplorer มันจะเปลี่ยนชื่อตัวเองเป็น burimi.exe
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-04.gif)
+ เมื่อกดปุ่ม OK ปุ๊บ มันจะเปลี่ยนชื่อตัวเองอีกครั้งเป็น fxstaller.exe
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-05.gif)
อาการเครื่องของท่านที่โดนไวรัสตัวนี้เล่นงาน เท่าที่ผมลองให้มันมาเดินเล่นอยู่ในเครื่องอยู่พักใหญ่ และสังเกตดูอาการก็พอจะสรุปได้คร่าวๆดังนี้ครับ
+ เมื่อเรียกใช้งานโปรแกรมต่างๆ จะเปิดโปรแกรมได้ช้ากว่าปกติ
+ เครื่องที่โดนไวรัสตัวนี้เล่นงาน ไวรัสจะส่งตัวเองไปยังทุกรายชื่อที่ออนไลน์ MSN และขณะที่ส่งข้อความหน้าจอจะค้างไปพักใหญ่และจะค้างเป็นระยะๆ จะไม่สามารถเลื่อนเม้าส์หรือเรียกใช้งานโปรแกรมอะไรได้เลย ต้องกดปุ่ม Ctrl + Alt + Delete 1 ครั้งเพื่อเรียกใช้งาน Windows Task Manager ระบบจึงจะกลับมาใช้งานได้
+ เมื่อเปิดเข้าหน้าเว็บไซต์ จะมีหน้าต่าง Google Search ถูกเปิดขึ้นมาเองโดยอัตโนมัติ
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-06.gif)
+ หัวข้อ Home page ในหน้าต่าง Internet Options ก็จะเปลี่ยนเป็นชื่อเว็บแปลกๆโดยที่เราไม่ได้สร้างขึ้นเอง
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-07.gif)
+ และเมื่อเปิดหน้าต่าง Internet Explorer ขึ้นมา โปรแกรมจะเรียกเข้าหน้าเว็บดังกล่าวทันที
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-08.gif)
+ ตัวไวรัสจะเปลี่ยนชื่อลิงค์เว็บไซต์ไปเรื่อยๆไม่ซ้ำกัน อาจจะเพื่อป้องกันไม่ให้ผู้รับเห็นข้อความซ้ำและจับตัวได้
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-09.gif)
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-10.gif)
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-11.gif)
+ ขณะใช้งานโปรแกรมต่างๆหรือเข้าเว็บไซต์จะพบกับหน้าต่าง Command Prompt และเมื่อปิดหน้าต่างนี้ไป ตัวไวรัส MSN ก็จะสร้างไฟล์ขึ้นมาใหม่ลงไปที่ไดร์ว C เพิ่มอีก
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-12.gif)
+ และขณะใช้งานโปรแกรมต่างๆก็จะพบกับไดอะล็อกบ็อกซ์ดังรูปขึ้นมา
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-13.gif)
โดยไม่ว่าท่านจะกดปุ่ม OK หรือ Cancel โปรแกรม Internet Explorer ก็จะเปิดหน้าต่างขึ้นมาใหม่ เพื่อให้เราดาวน์โหลดไวรัสมาเพิ่มเติม
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-14.gif)
ดูการทำงานและอาการที่เกิดมาเยอะแล้วนะครับ ต่อไปนี้เราก็มาเริ่มการกำจัดพวกมันกันเลยดีกว่า
โปรแกรมที่ต้องใช้
+ ProcessExplorer สำหรับปิดการทำงานของไวรัสที่รันตัวเองอยู่ -> Download (http://download.sysinternals.com/Files/ProcessExplorer.zip)
+ HijackThis v2.0.2 สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส -> Download (http://www.afterdawn.com/software/dawnload.cfm?mirror_id=0&version_id=5465&software_id=869)
1.เปิดโปรแกรม ProcessExplorer ขึ้นมา คลิกขวาโปรเซสที่ชื่อ fxstaller.exe เลือก Kill Process หรือจะกดปุ่ม Delete เพื่อหยุดการทำงานของไวรัสตัวนี้ก็ได้ แล้วปิดโปรแกรม
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-15.gif)
2.เรียกใช้งานโปรแกรม HijackThis เพื่อลบรีจิสตรีคีย์แปลกปลอมที่ไวรัสได้เขียนขึ้น โดยหาหรือใส่เครื่องหมายถูกหน้าข้อดังตัวอย่าง แล้วกด Fix Checked เพื่อลบ
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-16.gif)
3.ขณะนี้ไวรัสได้หยุดทำงานแล้ว เราก็มาเริ่มค้นหาไฟล์ตัวเป็นๆของพวกมันกันครับ โดยเปิด Folder Options ขึ้นมาก่อน แล้วตั้งค่าตามรูป
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-17.gif)
4.คลิกขวาที่ My Computer -> เลือก Explore -> คลิกเข้าไดร์ว C จากเมนูด้านซ้าย และที่เมนูด้านขวาจะพบว่ามี 2 ไฟล์ได้นอนแน่นิ่งอยู่คือ ous.exe และ rrrreet.exe ให้เลือกไฟล์ทั้ง 2 แล้วกด Shift+Delete เพื่อลบทิ้งทันทีโดยไม่ต้องให้ไปค้างอยู่ในถังขยะ Recycle Bin (2 ไฟล์นี้ห้ามดับเบิลคลิกเด็ดขาด เพราะไวรัสมันจะกลับมาทำงานใหม่อีกครั้ง)
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-18.gif)
5.คลิก Start -> Run -> พิมพ์ %temp% แล้ว Enter หน้าต่างโฟลเดอร์ Temp จะถูกเปิดขึ้นมา ให้กดปุ่ม Ctrl+A เพื่อเลือกไฟล์ทั้งหมด แล้วกดปุ่ม Shift+Delete เพื่อลบไฟล์ทั้งหมด โดยไม่ให้ไปค้างอยู่ในถังขยะ Recycle Bin
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-19.gif)
6.เข้าไปที่โฟลเดอร์ WINDOWS เพื่อหาไฟล์ที่ชื่อ fxstaller.exe แล้วลบทิ้งทันที
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-20.gif)
หลังจากนี้ให้ท่านทำการอัพเดตโปรแกรม Antivirus ให้ใหม่ล่าสุด แล้วสั่งสแกนไดร์ว C ทั้งไดร์วอีกครั้งครับ
(http://www.varietypc.net/includes/FCKeditor/upload/Image/article/146-21.gif)
Credit : varietypc
-
โอ้ :o
ใช้เวลาเพียงชั่วครู่
คุณท่านก็ไปหาข้อมูลมาซะเยอะแยะปานนี้ ก๊ากกกกกกกกกกกกกกก
เมพขิงๆ พี่เรา
-
- -
เท่านี้ก็สุดๆแล้ว
เก่งชะมัด >>>อิจฉาซะแล้ววว - -*
-
จ้าก!!สุดยอดเลย โดนบ่อยมาก TT.
ขนาดมันออฟไลน์ยังจะส่งมาได้เล้ย ไวรัสตัวนี้แรงจริง ๆ