--------------------------- Windows Security Alert --------------------------- Windows has detected an Internet attack attempt... Somebody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection.
1. มีกากบาทแดงเตือนที่ task bar ตลอดเวลา ตามมาด้วยข้อความเตือนด้านบน
--------------------------- Windows Security Alert --------------------------- Windows has detected an Internet attack attempt... Somebody's trying to infect your PC with spyware or harmful viruses
2. และตามมาด้วย pop up ที่แสดงข้อมูล spyware alert ด้านบน
4. จะมี pop up แสดงให้เชื่อมต่ออินเตอร์เน็ทตลอดเวลา ..."No connection to the Internet is currently available. To view Internet content that has been saved on your computer click Work Offline"
5.เข้า task manager ไม่ได้
6. เมื่อเปิดเวบบราวเซอร์ จะแสดงสถานะ work offline ทุกครั้ง เมื่อ internet option จะพบว่าหน้า homepage ถูกเปลี่ยนเป็นเวบ //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
เมื่อตรวจสอบในส่วน regedit พบ main, start page ถูกเปลี่ยน HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, Start Page = //softwarereferral.com/jump.php ?wmid=6010&mid ? Wmid = 6010 & mi 6010&mid=MjI6Ojg5&lid Mi = 6010 & MjI6Ojg5 & couvercle MjI6Ojg5&lid MjI6Ojg5 & couvercle MjI6Ojg5&lid=2 MjI6Ojg5 & couvercle = 2
Extract the content (a folder named SmitfraudFix) to your Desktop. Next, please reboot your computer in Safe Mode by doing the following :
Restart your computer After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually; Instead of Windows loading as normal, a menu with options should appear; Select the first option, to run Windows in Safe Mode, then press "Enter". Choose your usual account. Once in Safe Mode, open the SmitfraudFix folder again and double-click smitfraudfix.cmd Select option #2 - Clean by typing 2 and press "Enter" to delete infected files. You will be prompted: "Registry cleaning - Do you want to clean the registry?"; answer "Yes" by typing Y and press "Enter" in order to remove the Desktop background and clean registry keys associated with the infection. The tool will now check if wininet.dll is infected. You may be prompted to replace the infected file (if found); answer "Yes" by typing Y and press "Enter". The tool may need to restart your computer to finish the cleaning process; if it doesn't, please restart it into Normal Windows. A text file will appear onscreen, with results from the cleaning process; please copy/paste the content of that report into your next reply. The report can also be found at the root of the system drive, usually at C:\\rapport.txt Warning: running option #2 on a non infected computer will remove your Desktop background. ============================== Download Superantispyware (SAS) free home version //www.superantispyware.com/supe...freevspro.html Install it and double-click the icon on your desktop to run it. It will ask if you want to update the program definitions, click Yes. Under Configuration and Preferences, click the Preferences button. Click the Scanning Control tab. Under Scanner Options make sure the following are checked: o Close browsers before scanning o Scan for tracking cookies o Terminate memory threats before quarantining. o Please leave the others unchecked. o Click the Close button to leave the control center screen. On the main screen, under Scan for Harmful Software click Scan your computer. On the left check C:\\Fixed Drive. On the right, under Complete Scan, choose Perform Complete Scan. Click Next to start the scan. Please be patient while it scans your computer. After the scan is complete a summary box will appear. Click OK. Make sure everything in the white box has a check next to it, then click Next. It will quarantine what it found and if it asks if you want to reboot, click Yes.
เพื่อความแน่ใจจึงเข้าเน็ทอีก และใช้ ปุ่ม Ctrl alt del เพื่อดูความผิดปกติของคอม ขณะที่คลิกสองปุ่ม คือ Ctrl Alt พบว่า 2 ปุ่มนี้คือตัวดึงหน้าเวบนั้นขึ้นมาเองทันที ได้ทำการทดสอบซ้ำจนแน่ใจ...ว่าเกี่ยวข้องกับ 2 ปุ่มนี้แน่ Ctrl Alt
ปิดเน็ทและใช้โปรแกรมลบโทรจันอีกครั้ง ตามด้วยการแสกนไวรัส จบด้วย การใช้ windows washer ลบไฟล์ทุกประเภทในระดับการเขียนไฟล์ครั้งแรก ลองเข้าเน็ทเมื่อวานนี้ยังไม่พบปัญหาอะไร
และวันนี้มีคนพูดถึง malwareจากเวบไซต์เดียวกันนี้ ...The website posted tries to get users to download and install Code: //www.system-defender.com/download/6010/MjI6Mzc6MTgxNjM=/SystemDefender_Installer.exe which is malware known as TrojanDownloader:Win32/Adload.AX (Microsoft).
โดย: ok. IP: 118.174.244.242 วันที่: 14 เมษายน 2551 เวลา:12:02:07 น.
อ้อ... เจ้า pop up ที่ชอบบอกให้เชื่อมต่ออินเตอร์เน็ทตลอดเวลา
..."No connection to the Internet is currently available. To view Internet content that has been saved on your computer click Work Offline"
จะไม่สามารถแก้ไขได้โดยการ
Click on Start>Settings>ControlPanel>InternetOptions>Connections>LanSettings. Select "Automatically Detect Settings" and click on OK.
Now start Internet Explorer. Once it's started and has loaded your home page, close Internet Explorer. Now go back to that same auto setting and remove the check mark and click on OK.
เพราะตัวนี้จะสร้างหน้าเวบเพจ work offline ไว้ใน MY IE 2 ด้วย(จำไม่ได้แล้วว่าในโฟลเดอร์ไหน) ทุกครั้งที่คลิกเปิด MY IE 2 โดยที่ไม่ต่อเน็ทเจ้าเวบเพจ work offline นี้ จะดึง pop up ตัวที่ว่าขึ้นมาด้วย ต้องลบเวบเพจที่ว่าออก
อาการเมื่อคลิก Yes
ที่สังเกตเห็นได้ง่าย คือ icon ส่วนหนึ่งในหน้าจอจะหายไป
1. มีกากบาทแดงเตือนที่ task bar ตลอดเวลา ตามมาด้วยข้อความเตือนด้านบน
---------------------------
Windows Security Alert
---------------------------
Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful viruses
2. และตามมาด้วย
pop up ที่แสดงข้อมูล spyware alert ด้านบน
3. เมื่อคลิก yes จะมี icon ของโปรแกรม 3 ตัวปรากฏที่ desk top ลบออกได้
แต่เมื่อเปิดเครื่องขึ้นมาใหม่ ก็จะพบ icon 3 ตัวนี้อีก
เป็น icon ที่ไม่แสดงตำแหน่งในคอม แต่มาจากเวบ
4. จะมี pop up แสดงให้เชื่อมต่ออินเตอร์เน็ทตลอดเวลา
..."No connection to the Internet is currently available. To view Internet content that has been saved on your computer click Work Offline"
5.เข้า task manager ไม่ได้
6. เมื่อเปิดเวบบราวเซอร์ จะแสดงสถานะ work offline ทุกครั้ง
เมื่อ internet option จะพบว่าหน้า homepage ถูกเปลี่ยนเป็นเวบ //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
เมื่อตรวจสอบในส่วน regedit พบ main, start page ถูกเปลี่ยน
HKCU \\ Software \\ Microsoft \\ Internet Explorer \\ Main, Start Page = //softwarereferral.com/jump.php ?wmid=6010&mid ? Wmid = 6010 & mi 6010&mid=MjI6Ojg5&lid Mi = 6010 & MjI6Ojg5 & couvercle MjI6Ojg5&lid MjI6Ojg5 & couvercle MjI6Ojg5&lid=2 MjI6Ojg5 & couvercle = 2
6. เมื่อเปิดเวบเพจไประยะหนึ่ง จะมีหน้าต่าง IE เปิดไปเข้าเวบ //www.system-defender.com/freeware/2 เตือนให้ update security
เมื่อคลิกปิด
เวบนี้จะกลับมาอีกทุก1-2 นาที
และถ้าตั้ง block หน้าเวบนี้ไว้ใน IE
จะมีการบุกไปยึดครองหน้าจอ desk top
ดังภาพนี้....