|
หัวข้อ: ติด ggdrive32.exeครับ เริ่มหัวข้อโดย: green power ที่ กุมภาพันธ์ 24, 2011, 03:12:48 pm ขอวิธีแก้ไขครับ thank2
หัวข้อ: Re: ติด ggdrive32.exeครับ เริ่มหัวข้อโดย: หลอดไฟ ที่ กุมภาพันธ์ 26, 2011, 09:09:23 am jjdrive32.exeมันมีมานานแล้วเมื่อก่อนแค่ end processมันแล้วตามไปลบไฟล์ทิ้งก็หาย
แต่ตอนนี้มันมาเวอร์ชั่นใหม่ไฉไลกว่าเดิมอาการคือ สามารถแพร่ตัวเองได้ และมันก็จะไปสร้างไฟล์ *.exe โดยมากจะเป็นตัวเลขเช่น 11.exeไว้ในuser\ Local Settings\temp user\Local Settings\Temporary Internet Files และ \NetworkService\Local Settings\temp NetworkService\Local Settings\Temporary Internet Files และมาพร้อมกับ ของแถม toolbar find404.com เมื่อติดแล้วจะเล่นเน็ตไม่ได้ เข้าnetworkไม่ได้ map drive ไม่ได้ แต่ดูง่ายว่าติดไวรัสตัวนี้หรือไม่เมื่อกด end taskดูจะเห็น processชื่อว่า jjdrive32.exe ลอยเด่นเป็นสง่า ที่โปรแกรมไฟล์จะมี โพลเดอร์ IEToolbar404 อยู่ รายงานอย่างเป็นทางการ Malware Type : Worm Alias : Worm/Palevo.kbu [Avira], generic!bg.hah [McAfee], WORM_PACK.EG [Trend] System Affected : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Risk Rating : Low เค้าให้ LOW แต่ผมให้ High เมื่อติดไวรัสจะพบไฟล์ %System%\wshost32.exe %Windows%\jjdrive32.exe และไฟล์เหล่านี้อยู่ใน โพล์เดอร์ RECYCLER ซึ่ง โพล์เดอร์ RECYCLER จะมองเห็นได้เมื่อคุณสั่งโชว์ all filesเท่านั้น %Drive letter%\RECYCLER\{Random String}\Desktop.ini %Drive letter%\RECYCLER\{Random String}\wmfcgr.exe %Drive letter%\RECYCLER\{Random String}\Desktop.ini %Drive letter%\RECYCLER\{Random String}\vsbntlo.exe %Drive letter%\RECYCLER\{Random String}\Desktop.ini %Drive letter%\RECYCLER\{Random String}\ls888.exe ติดตั้ง toolbar find404.com ให้ %ProgramFiles%\IEToolbar404\find404.com search engine\tbhelper.dll %ProgramFiles%\IEToolbar404\find404.com search engine\uninstall.exe %ProgramFiles%\IEToolbar404\find404.com search engine\version.txt %ProgramFiles%\IEToolbar404\find404.com search engine\basis.xml %ProgramFiles%\IEToolbar404\find404.com search engine\find404s.png %ProgramFiles%\IEToolbar404\find404.com search engine\icons.bmp %ProgramFiles%\IEToolbar404\find404.com search engine\info.txt %ProgramFiles%\IEToolbar404\find404.com search engine\ mod_find404_finaaaa aal.dll %ProgramFiles%\IEToolbar404\find404.com search engine\ mod_find404_finaaaa aal.crc มันจะเขียนค่าต่อไปนี้ที่ registry wshost32 = "%System%\wshost32.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Update Setup = "%Windows%\jjdrive32.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run Taskman = "%Drive letter%\RECYCLER\{Random String}\wmfcgr.exe" HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Microsoft Update Setup = "%Windows%\jjdrive32.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run {Random letter} = "%Drive letter%\RECYCLER\{Random String}\ls888.exe" {Random letter} = "%Drive letter%\RECYCLER\{Random String}\vsbntlo.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run วิธิการแก้ ก่อนอื่นปิด system restore จากนั้นก็ show all file เพื่อให้มองเห็น โพล์เดอร์ RECYCLER เนื่องจาก jjdrive32.exe ทำให้เล่นเน็ตไม่ได้ ให้กด ctrl alt del เพื่อ end process jjdrive32.exe เมื่อ end process แล้วจะเล่นเน็ตได้ โหลดโปรแกรม unlocker เพื่อใช้ลบโพล์เดอร์ RECYCLER ติดตั้งโปรแกรมunlocker คลิกขวาที่โพล์เดอร์ RECYCLER เลือก unlocker ลบโพล์เดอร์ RECYCLER ทิ้ง จากนั้นก็โหลด superantispyware ทำการติดตั้งและทำการอัพเดทให้เรียบร้อย จากนั้น restart เครื่อง scanใน save mode ก็เรียบร้อย เมื่อ scanเสร็จ ไปลบ โฟล์เดอร์ IEToolbar404 ใน ProgramFiles ออก และลบ temp internet ออกด้วย ทำไมถึงเลือกใช้ superantispyware เพราะ malwarebyte เอาไม่ออก avira เอาไม่ออก antivirus ตัวอื่นไม่ได้ลอง น่าจะเป็นแนวทางให้จัดการกับเจ้า jjdrive32.exe ได้ |