- เมนูหลัก
- กลับหน้าบ้าน
4 เล่นเอมระวัง IM-Worm.Win32.Agent.f
โดย: Yai , วันที่: วันพฤหัสบดีที่ 26 กรกฎาคม พ.ศ. 2550 เวลา 22:38:27 นาฬิกา , ip: 127.0.0.1
วันนี้ขณะที่นั่งอู้งานเล่น MSN (Windows Live Messenger หรือชื่ออื่นๆตามจะเรียก) อย่างสบายใจนั้น ก็มีเพื่อนคนนึงชื่อไอ้คุณพลูได้ทักมาด้วยข้อความนึงโอ้ "Should I put this on facebook/myspace?" งืมๆ แปลกๆวุ้ย ปกติมันไม่ทักด้วยข้อความแบบนี้นี่หว่าสักพักตามด้วยการส่งไฟล์ที่ชื่อ images.zip มา เฮ้ย!!! อาไรฟ่ะ มะกี้ตอนที่ออนเอมน้องสาว(เค้าฝากออนงะ) ก็มีคนทักมาด้วยข้อความแบบนี้นี่หว่าพร้อมด้วยการส่งไฟล์ชื่อ images.zip มาด้วยแต่เราไม่สนใจง่ะแล้วก็ไม่ได้รับนึกว่าเค้าตั้งใจส่งให้น้องเค้า ไม่ใช่แค่รอบเดียวนะรอบ 2 ส่งข้อความมา "LOL, you look so ugly in this picture, no joke..." ผมกะเลยรับไฟล์ของไอ้พลูมาดูด้วยความอยากรู้อยากเห็นง่ะ ทั้งๆที่พอจะเดาออกแล้วล่ะมันคืออะไรแล้วก็ถามมันไปแล้วด้วยว่าโดนไวรัสช่ายมะ มันบอกว่าใช่แล้วมันก็โทรมาบ่นเลยครับ พอรับไฟล์มาเท่านั้นแหละ ไอ้เจ้า kaspersky ที่ผมใช้อยู่ร้องจ๊ากก!!!! เลย ใครใช้อยู่จะรู้ว่าไอ้แอนตี้ไวรัสตัวนี้มันเจอไวรัสแล้วร้องได้อารมย์แค่ไหน *0* มาต่อๆนอกเรื่องแล้ว ด้วยความขี้เกียจผมก็เลยส่งไอ้เจอ kaspersky ให้ไอ้พลูมานแต่ด้วยเน็ตความเร็วเต่าที่ผมใช้อยู่ทำให้นานมากส่งไม่เสร็จซักที(เรื่องของเรื่องเปิดบิตอยู่) ไอ้พลูมันกะเลยโทรมาบ่นหาวิธีแก้แบบแมนนวลได้มะ ก็ได้ฟ่ะหาก็หา เข้าไปดูในเว็ปของ kaspersky มันกะยังไม่มีข้อมูล(แต่มันสะแกนเจอนะ) จากนั้นก็พระเจ้า google ช่วยด้วย พระเจ้าเป็นใจครับแต่ โอ้วววว^&*?-+ มันกลายเป็นบล๊อกของคนจีนไปเสียนี่ใครอยากดู จิ้มตรงนี้ อ่านออกจังนะตรูแต่ก็ยังดีครับเค้าบอกถึงอาการของไวรัสตัวนี้ แต่ไม่บอกวิธีแก้โอ้วอารายว้าบอกก็บอกไม่หมด งืมๆแก้เองกะได้ฟ่ะ
ร่ายซะยาวเลยมาดูอาการมันก่อน มันจะแสดงข้อความแบบนี้จากคนที่เราคุยด้วย
- Should I put this on facebook/myspace?
- LOL, you look so ugly in this picture, no joke...
- LOL, you look so ugly in this picture, no joke...
- มีอีกป่าวมะรุ้ม่ายเจอ
ตามด้วยส่งไฟล์ชื่อ images.zip มาซักพักเอมจากค้างไปเลย
สิ่งที่มันทำกับคอมเรา
[Added process]
C:\WINDOWS\winlog32.exe
C:\WINDOWS\winlog32.exe
[Deleted process]
C:\WINDOWS\system32\wscntfy.exe
[Modified service]
NAME: wscsvc
DISPLAY: Security Center
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs
NAME: wscsvc
DISPLAY: Security Center
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs
[Added file]
C:\WINDOWS\images.zip
C:\WINDOWS\images.zip
- image.zip MD5 -> 1f3809384c5ec47892b2a61de4f587c3,
- image.zip-1/IMG34814.pif MD5 -> fc5415dc9054ee0934e3ff3e587de444
C:\WINDOWS\winlog32.exe
C:\WINDOWS\winlog32.exe
[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=MSN
Data=winlog32.exe
วิธีแก้ใข (เอาเท่าที่ผมทำได้)
1. หยุดการทำงารมันก่อนด้วยการกดปุ่ม Ctrl + Alt + Delete (หรือจะใช้วิธีคลิกขวาที่ Task Bar > Task Manager ก็ไม่ว่ากัน) แล้วไปที่แทป Process มองหา winlog32.exe แล้วจิ้ม End Process ซะ
2. ลบไฟล์มันงับโดยไปที่ C:\Windows ครับถ้าใครใช้ Root อื่นก็ไปตามที่ท่านใช้นั่นแหละครับ มองหาไฟล์ winlog32.exe กับ images.zip แล้วลบมันโลดไม่ต้องเก็บไว้ทำพันธุ์หรอก แนะนำกด Shift + Delete ไปเลย (ถ้าหาไม่เจอหาเปิด hidden ไฟล์ดูครับ)
3. หลังจากนั้น ไปที่ Start > Run แล้วพิมพ์ regedit กด OK ไป จะขึ้นหน้าต่าง Regedit Editor ขึ้นมา แล้วเปิดไปที่HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ตามลำดับครับ ในรายการด้านขวามองหา คีย์ที่ชื่อว่า MSN แล้วมีข้อมูลเป็น winlog32.exe ลบมันทิ้งไปเลยครับไม่ต้องเสียดาย
4. ปิด System Restore ไว้ก่อนกันเหนียว โดยการไปที่Contorl Panel>System>System Restore ไปติกตรง Turn off System Retore on all drives แล้วกด OK ไปครับ
5. Restart คอมซักรอบเป็นอันจบพิธีครับ
อ้างอิง
winlog32.exe:
[ Microsoft ], "Backdoor:Win32/Sdbot.gen!A"
[ Kaspersky ], "IM-Worm.Win32.Agent.f"
[ HBEDV ], "HEUR/Malware"
[ Ewido ], "Backdoor.Bifrose.agk"
images.zip-1/IMG34814.pif:
[ Microsoft ], "Backdoor:Win32/Sdbot.gen!A"
[ Kaspersky ], "IM-Worm.Win32.Agent.f"
[ HBEDV ], "HEUR/Malware"
[ Ewido ], "Backdoor.Bifrose.agk"
ความคิดเห็น
© 2006-2007 PhpStory (Thailand). create by ozone_me. hosting by Thaihostzeed.
php process in 0.0024011135 sec. mysql 8 query process in 0.0002021790 sec.
php process in 0.0024011135 sec. mysql 8 query process in 0.0002021790 sec.