Trojan.W32.Looksky

โหลดเกมมาเล่น ... Alice greenfingers
เป็นเกมเกี่ยวกับฟาร์ม เกมน่ารัก ๆ แต่มีเวลาเล่นแค่ 60 นาที
เลยแวะไปค้นหาแครกและไฟล์ตัวเต็มมาจากเวบแบบว่า แล้วไปติดเชื้อมา
ไม่แน่ใจว่าจากเวบไหน ไปมาหลายเวบ
เท่าที่เจอเวบแบบนั้นก็เข้าได้ไม่ง่ายเหมือนเมื่อก่อน ต้องจ่ายตังค์จึงจะโหลดได้ แถมไวรัสให้อีกเพียบ



Alice greenfingers เป็นเกมที่น่าจะฮิตมากในปี 50 เพราะจากการค้นกระทู้หนึ่งในพันทิป
พบว่ามีคนเข้าไปขอ SN เกมนี้ยาวถึง 700 กว่าความเห็น


วันที่ไปค้นแครก มันมั่ว ๆ หน่อยเพราะไม่ได้ทำนานแล้ว ไปมาหลายเวบ
(เปิดWin Zip Win Rare ยังลืมเลยว่าเอาไฟล์ออกมายังไง)
ได้เกมมาก็ดีใจ นั่งเล่นจนดึก
เช้ามา เปิดคอมได้ก็เจอดี



---------------------------
Windows Security Alert
---------------------------
Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful
viruses. Run full system scan now to protect your PC from
Internet attacks, hijacking attempts and spyware! Click here
to download spyware remover for total protection.


(ข้อความนี้เป็นตัว code ที่ใช้ค้นหาผู้ที่ประสบปัญหาเดียวกัน
ไวรัสหรือโทรจันแต่ละตัว ก็จะมีลักษณะอาการที่เฉพาะตัวของเขา
ผู้ที่ประสบปัญหาอย่าตกใจ
จดรายละเอียดทุกตัวอักษรให้ดี
แล้วค้นข้อความเหล่านี้ในเน็ท)


คำเตือนนี้จะโผล่มาถี่มาก
และจะมีรูปกากบาทสีแดงขึ้นที่ task bar ตลอดเวลา


ปล.ถึงตอนที่นั่งเขียนบล๊อกอยู่นี้ คอมก็ยังมีอาการอยู่บ้าง
ร้ายจริง ๆ






จากรูปนี้อย่าคลิก yes
ให้คลิกปิดที่ X มุมบนด้านขวามือ






Create Date : 07 เมษายน 2551
Last Update : 7 เมษายน 2551 18:48:45 น. 16 comments
Counter : 954 Pageviews.

 

อาการเมื่อคลิก Yes
ที่สังเกตเห็นได้ง่าย คือ icon ส่วนหนึ่งในหน้าจอจะหายไป


1. มีกากบาทแดงเตือนที่ task bar ตลอดเวลา ตามมาด้วยข้อความเตือนด้านบน

---------------------------
Windows Security Alert
---------------------------
Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful viruses


2. และตามมาด้วย
pop up ที่แสดงข้อมูล spyware alert ด้านบน


3. เมื่อคลิก yes จะมี icon ของโปรแกรม 3 ตัวปรากฏที่ desk top ลบออกได้
แต่เมื่อเปิดเครื่องขึ้นมาใหม่ ก็จะพบ icon 3 ตัวนี้อีก
เป็น icon ที่ไม่แสดงตำแหน่งในคอม แต่มาจากเวบ


4. จะมี pop up แสดงให้เชื่อมต่ออินเตอร์เน็ทตลอดเวลา
..."No connection to the Internet is currently available. To view Internet content that has been saved on your computer click Work Offline"


5.เข้า task manager ไม่ได้


6. เมื่อเปิดเวบบราวเซอร์ จะแสดงสถานะ work offline ทุกครั้ง
เมื่อ internet option จะพบว่าหน้า homepage ถูกเปลี่ยนเป็นเวบ //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2


เมื่อตรวจสอบในส่วน regedit พบ main, start page ถูกเปลี่ยน
HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, Start Page = //softwarereferral.com/jump.php ?wmid=6010&mid ? Wmid = 6010 & mi 6010&mid=MjI6Ojg5&lid Mi = 6010 & MjI6Ojg5 & couvercle MjI6Ojg5&lid MjI6Ojg5 & couvercle MjI6Ojg5&lid=2 MjI6Ojg5 & couvercle = 2



6. เมื่อเปิดเวบเพจไประยะหนึ่ง จะมีหน้าต่าง IE เปิดไปเข้าเวบ //www.system-defender.com/freeware/2 เตือนให้ update security
เมื่อคลิกปิด
เวบนี้จะกลับมาอีกทุก1-2 นาที
และถ้าตั้ง block หน้าเวบนี้ไว้ใน IE
จะมีการบุกไปยึดครองหน้าจอ desk top
ดังภาพนี้....





โดย: มน ๆ กลม ๆ วันที่: 7 เมษายน 2551 เวลา:17:35:26 น.  

 
เป็นอาการร่วมของ Trojan.W32.Looksky


แต่ตัวที่คอมจับได้เป็น
Trojan.Winup
จับได้ที่ C:WINDOWS/SYSTEM32 /WIN32.DLL




การแก้ไข

download SmitfraudFix (by S!Ri)
//siri.urz.free.fr/Fix/SmitfraudFix.zip

Extract the content (a folder named SmitfraudFix) to your Desktop.
Next, please reboot your computer in Safe Mode by doing the following :

• Restart your computer
• After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually;
• Instead of Windows loading as normal, a menu with options should appear;
• Select the first option, to run Windows in Safe Mode, then press "Enter".
• Choose your usual account.
Once in Safe Mode, open the SmitfraudFix folder again and double-click smitfraudfix.cmd
Select option #2 - Clean by typing 2 and press "Enter" to delete infected files.
You will be prompted: "Registry cleaning - Do you want to clean the registry?"; answer "Yes" by typing Y and press "Enter" in order to remove the Desktop background and clean registry keys associated with the infection.
The tool will now check if wininet.dll is infected. You may be prompted to replace the infected file (if found); answer "Yes" by typing Y and press "Enter".
The tool may need to restart your computer to finish the cleaning process; if it doesn't, please restart it into Normal Windows.
A text file will appear onscreen, with results from the cleaning process; please copy/paste the content of that report into your next reply.
The report can also be found at the root of the system drive, usually at C:\\rapport.txt
Warning: running option #2 on a non infected computer will remove your Desktop background.
==============================
Download Superantispyware (SAS) free home version
//www.superantispyware.com/supe...freevspro.html
Install it and double-click the icon on your desktop to run it.
• It will ask if you want to update the program definitions, click Yes.
• Under Configuration and Preferences, click the Preferences button.
• Click the Scanning Control tab.
• Under Scanner Options make sure the following are checked:
o Close browsers before scanning
o Scan for tracking cookies
o Terminate memory threats before quarantining.
o Please leave the others unchecked.
o Click the Close button to leave the control center screen.
• On the main screen, under Scan for Harmful Software click Scan your computer.
• On the left check C:\\Fixed Drive.
• On the right, under Complete Scan, choose Perform Complete Scan.
• Click Next to start the scan. Please be patient while it scans your computer.
• After the scan is complete a summary box will appear. Click OK.
• Make sure everything in the white box has a check next to it, then click Next.
• It will quarantine what it found and if it asks if you want to reboot, click Yes.


ขออนุญาตในการแปะข้อความทั้งหมด
ท่านผู้นี้ อธิบายวิธีการได้อย่างละเอียดมาก
ถ้าทำตามทุกขั้นตอน
จะไม่เจอภาพหน้าจอแดง ๆ เหมือนในความเห็น 1 อีก



ขอขอบคุณค่ะ


โดย: มน ๆ กลม ๆ วันที่: 7 เมษายน 2551 เวลา:17:57:20 น.  

 

หลังการทำลายโทรจันด้วยวิธีด้านบนครบขั้นตอน พร้อมกับใช้ windows washer ลบข้อมูลซ้ำ(เลือกไฟล์ที่มีการเขียนทับมากกว่า 2ครั้ง)
เมื่อวานนี้ในขณะที่เข้าเน็ทได้สักระยะ เจ้าเวบขายโปรแกรม security alert ได้พยายามเข้ามาทีเครื่องอีก
สังเกตได้คือ เหมือนมีการโหลดอะไรผ่านหน้าจอแว้บเข้ามา


เมื่อจะใช้ task manager เพื่อดูการรันโปรแกรมต่าง ๆ กลับพบว่ามีการโหลดหน้าเวบขายโปรแกรม security alert ขึ้นมาทันที
และสังเกตเห็นการเปิดตัวเองของโปรแกรม DAP (ซึ่งเป็นโปรแกรมที่ถูกโทรจันทำลาย desk top ไปในครั้งก่อนด้วย)

ที่จอการทำงานของ DAP จะพบการโหลดไฟล์ที่แสดงชื่อเวบหนึ่ง
เจ้าเวบขายโปรแกรม ได้เปลี่ยนตัวเองมาใน url อื่น
เมื่อตาม properties พบว่าจะไปฝังตัวที่ temp ของ DAP จึงตามไปลบไฟล์อื่น ๆ ที่นั่นก่อน
clear history , cookie , และลบไฟล์ทุกอย่างในเน็ททิ้ง
ใช้โปรแกรมตัวเดิมจับได้อีก 1 ตัว

เพื่อความแน่ใจจึงเข้าเน็ทอีก
และใช้ ปุ่ม Ctrl alt del เพื่อดูความผิดปกติของคอม
ขณะที่คลิกสองปุ่ม คือ Ctrl Alt พบว่า 2 ปุ่มนี้คือตัวดึงหน้าเวบนั้นขึ้นมาเองทันที
ได้ทำการทดสอบซ้ำจนแน่ใจ...ว่าเกี่ยวข้องกับ 2 ปุ่มนี้แน่
Ctrl Alt


ปิดเน็ทและใช้โปรแกรมลบโทรจันอีกครั้ง
ตามด้วยการแสกนไวรัส
จบด้วย การใช้ windows washer ลบไฟล์ทุกประเภทในระดับการเขียนไฟล์ครั้งแรก
ลองเข้าเน็ทเมื่อวานนี้ยังไม่พบปัญหาอะไร



หลังการแปะข้อความนี้
หวังไว้ว่าคงไม่เจอเวบอะไรอีก
ถ้าเจอ ต้องนับถือเลยว่า
มันเก่งจริง ๆ



โดย: ไม่ได้ log in IP: 118.174.206.21 วันที่: 9 เมษายน 2551 เวลา:21:10:32 น.  

 

ไม่อยากบอกว่าโหลดหน้านี้ปุ๊บ เวบนั้นก็เปิดตามมาด้วย

ตอนนี้แก้ปัญหาไม่ได้
เหมือนจะไม่อันตรายมาก แต่กวนใจทุกครั้งที่เข้าเน็ท
ถ้าพยายามปิดเวบนั้นในขณะเล่นเน็ท ท่านยิ่งรุกราน



เจ๋งจริง ๆ


โดย: ขี้เกียจ log in IP: 203.172.112.239 วันที่: 10 เมษายน 2551 เวลา:19:19:02 น.  

 

มันคล้ายการ hack คอมมั้ย
ที่ start menu > programs พบ remote assistance

ลองดูการทำงานก็ไม่ได้ตั้งค่าอะไรไว้
ปิดการทำงานของ remote ไว้เกือบทั้งหมด


ลองรัน spyware อย่างละเอียดอีกครั้ง มีบางไฟล์อยู่ที่ temp ของ IE 5

ทำอะไรไม่ได้มาก ก็ตั้งค่า no cookies ไว้

นาน ๆ เวบนั้นจะแวะมาเยี่ยมที
10 นาทีครั้ง
บางครั้งก็ทิ้ง desktop สีแดงตัวบนไว้ให้ดูต่างหน้า.. ก็คลิกปิดไป
นับว่ายังมีเมตตาอยู่บ้างที่ทำที่ปิด desktop ไว้ให้ : )

เมื่อกี้เห็น process แว้บ ๆ
เหมือนเขียนว่า cmd.exe อะไรสักอย่าง


เค้าว่ากันว่า
ผูสร้างโปรแกรมต้าน คือผู้สร้างไวรัส


จริงมั้ย


โดย: ขี้เกียจ log in IP: 118.174.204.135 วันที่: 12 เมษายน 2551 เวลา:15:45:36 น.  

 

นั่งอ่านดูแล้วคนที่มีอาการเดียวกันเยอะนะ
แต่ไม่พบวิธีแก้ที่แน่นอน (ส่วนใหญ่จะได้คำตอบแบบด้านบน ๆ )

เล่นเกม alice จนจบ
แต่ยังแก้ pop up ตัวนี้ไม่ได้เลย


วันนี้จะลอง Panda Anti-Rootkit 1.08.00


โดย: ขี้เกียจ log in IP: 118.174.200.211 วันที่: 13 เมษายน 2551 เวลา:14:00:08 น.  

 
จากรูปในความเห็น 1 มีคนพูดถึง
C:\\WINDOWS\\privacy_danger
แวะไปดูก็เจอจริง ๆ ด้วย



และวันนี้มีคนพูดถึง malwareจากเวบไซต์เดียวกันนี้
...The website posted tries to get users to download and install Code:
//www.system-defender.com/download/6010/MjI6Mzc6MTgxNjM=/SystemDefender_Installer.exe
which is malware known as TrojanDownloader:Win32/Adload.AX (Microsoft).




โดย: ขี้เกียจ log in IP: 118.174.10.123 วันที่: 14 เมษายน 2551 เวลา:1:00:35 น.  

 
แต่อันที่จริง
เค้าก็ชื่อ win32.netbooster นะ



โดย: ขี้เกียจ log in IP: 118.174.10.123 วันที่: 14 เมษายน 2551 เวลา:1:19:10 น.  

 

... ตัว prosess.exe ใน SmitfraudFix ถูก nod 32 จับเป็นไวรัสนะ....



ตอนนี้อาการรบกวนหายไปได้นานพอดูแล้ว
ไม่ได้โหลดโปรแกรมอะไรมากำจัดเพิ่มเติม
ใช้ Superantispyware สลับกับ nod 32 บ่อย ๆ ทุกครั้งหลังเข้าเน็ท

Superantispyware จะมี option ให้ปรับซ่อมแซมค่าต่าง ๆ ด้วย

ตั้งค่าเวบแบบ no cookie
เจอเวบนั้น ภาพนั้นเมื่อไหร่ก็เคลียร์ทันที
clear temp ทุกครั้ง
disable การตั้งค่าพวก remote ทั้งหลาย(วิธีนี้ประเมินแล้ว... เอาไม่ค่อยอยู่หรอก )
ตั้งค่า internet monitor ใน nod 32 ไว้




ไม่รู้เพราะอะไร
แต่ก็ได้ผลดี


โดย: ok. IP: 118.174.244.242 วันที่: 14 เมษายน 2551 เวลา:12:02:07 น.  

 

อ้อ... เจ้า pop up ที่ชอบบอกให้เชื่อมต่ออินเตอร์เน็ทตลอดเวลา

..."No connection to the Internet is currently available. To view Internet content that has been saved on your computer click Work Offline"

จะไม่สามารถแก้ไขได้โดยการ

Click on Start>Settings>ControlPanel>InternetOptions>Connections>LanSettings. Select "Automatically Detect Settings" and click on OK.

Now start Internet Explorer. Once it's started and has loaded your home page, close Internet Explorer. Now go back to that same auto setting and remove the check mark and click on OK.


หรือ


HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\WebCheck





เพราะตัวนี้จะสร้างหน้าเวบเพจ work offline ไว้ใน MY IE 2 ด้วย(จำไม่ได้แล้วว่าในโฟลเดอร์ไหน)
ทุกครั้งที่คลิกเปิด MY IE 2 โดยที่ไม่ต่อเน็ทเจ้าเวบเพจ work offline นี้ จะดึง pop up ตัวที่ว่าขึ้นมาด้วย
ต้องลบเวบเพจที่ว่าออก




คนสร้างไวรัสหรือ spyware นี่
ขยันจริง ๆ


โดย: บทส่งท้าย IP: 118.174.244.242 วันที่: 14 เมษายน 2551 เวลา:12:25:57 น.  

 
ลองใช้nod 32แล้วเห็นในC:WINDOWS/SYSTEM32 /WIN32.DLL
ลบแล้วยังขึ้นมาอีกหลังจากนั้นเจ้งเลยครับลงวินใหม่เลยครับ


โดย: do IP: 61.19.66.21 วันที่: 25 เมษายน 2551 เวลา:9:40:13 น.  

 
หาทางแก้ไขอยู่


โดย: โดนเหมือนกัน IP: 203.144.224.34 วันที่: 24 มิถุนายน 2551 เวลา:12:07:29 น.  

 
หน้านี้เขียนปัญหาตอนเจอไวรัส โทรจันคราวละหลาย ๆ ตัว
จึงออกจะมั่ว ๆ นิดหน่อย



สรุปกรณีด้านบนทั้งหมดนี้คือ
ใช้ Super antispyware คืนค่าของ task manager ก่อน

แล้วโหลดไฟล์ UnHookExec
มาเปิดการใช้งาน regedit


สแกนหาโทรจันแล้วส่งไปไว้ที่ แฟ้มการันตี
ซึ่งจะให้รีสตาร์ทก่อนลบเพื่อสร้างไฟล์สำรองไว้
ถ้าลบก่อน restart วินโดว์อาจมีปัญหา (โดนมาแล้ว จนต้องใช้ system restore กลับไปช่วงมีโทรจันเพื่อให้ได้วินโดว์คืน
แล้วมาสู้กันใหม่ )


หลังจากนั้นจึงเป็นการสแกนไวรัส ด้วยโปรแกรมต้านไวรัสที่อัพเดพข้อมูลล่าสุด




ท่านใดไม่มีไฟล์ UnHookExec
แจ้งทางหลังไมค์ หรือ email ที่ให้ไว้ใน profile ได้ค่ะ



ปล. อย่าลืมทำ system restore จุดที่ดีไว้ เพื่อใช้คืนค่าให้คอมในยามที่เจอปัญหา


เป็นกำลังใจให้ทุกท่านนะคะ


โดย: มน ๆ กลม ๆ วันที่: 12 กรกฎาคม 2551 เวลา:19:40:44 น.  

 
เราไม่มีไฟล์ ขอด้วย
air123456air@hotmail.com


โดย: airman IP: 222.123.138.202 วันที่: 13 สิงหาคม 2551 เวลา:12:24:24 น.  

 
ส่งไฟล์ทางเมล์ไม่ได้นะคะ hotmail ไม่รับไฟล์นี้เนื่องจากเป็นไฟล์อันตราย(ไฟล์ระบบ)

up ไว้ให้แล้วที่เวบ you send it
สามารถคลิกเข้าดาวน์โหลดได้ภายใน 7 วัน


//www.yousendit.com/transfer.php?action=batch_download&batch_id=Q01IaUNKTlExUUEwTVE9PQ

คลิกเพื่อ download


โดย: มน ๆ กลม ๆ วันที่: 17 สิงหาคม 2551 เวลา:7:38:29 น.  

 
ใช้ stingEr ของ mcafEe คับ


โดย: Earn2click IP: 124.121.73.93 วันที่: 11 กันยายน 2552 เวลา:21:16:48 น.  

ชื่อ :
Comment :
  *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 

เต้าหู้ไซซี
Location :
อุบลราชธานี Thailand

[ดู Profile ทั้งหมด]

ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]




Group Blog
 
 
เมษายน 2551
 12345
6789101112
13141516171819
20212223242526
27282930 
 
7 เมษายน 2551
 
All Blogs
 
Friends' blogs
[Add เต้าหู้ไซซี's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.