ไวรัส Surabaya

อาการ
1. Task Manager จะมีไฟล์ Adobe update.com และ Adobe Online.com ทำงานอยู่แต่ไม่สามารถ End Process ได้
2. ในไดร์ฟต่าง ๆ จะมีไฟล์ Thumbs.com, Thumbs .db, Autorun.inf เมื่อลบจะเกิดใหม่ทันที
3. เมื่อบูตเครื่องก่อนเข้าวินโดว์จะมีข้อความ
81u3f4nt45y - 24.01.2007 Surabaya
Surabaya in my birthday
Don't kill me, i'm just send message from your computer
Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0
ขึ้นมาให้เรากด OK
4. เมื่อเสียบแฟล๊ตไดร์จะติดเชื้อทันที
5. จะเปิดโชว์นามสกุลใน Folder Options...ไม่ได้
6. มันจะสร้างโฟลเดอร์เลียนแบบและชื่อเดียวกับโฟลเดอร์เดิมทั้งหมด แล้วซ่อนโฟลเดอร์เดิมไว้ในระดับ System

วิธีแก้
ก่อนอื่นควรปิด Systems Restore ก่อน

1. ลบ autoexec.bat ในไดร์ c

2. ลบ autorun.info ใน drive c:
โดยพิมพ์ที่ command line
attrib autorun.inf -s -h -r press Enter
DEL autorun.inf

3. รัน regedit
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\WinLogon

ลบ 2 ไฟล์นี้ เพื่อ ลบข้อความที่แสดงตอนเปิดเครื่องเข้า Windows
LegalNoticeCaption
LegalNoticeText

4.วิธีโชว์ Show Hidden files

Start --- Run --- regedit --- OK แล้วไปที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL
CheckedValue = "0"
เปลี่ยนค่าให้เป็น 1 ก็ใช้ได้แล้ว
แต่ถ้ายังแก้ไม่ได้ ให้อัปเดทโปรแกรมแอนตี้ไวรัสแล้วแสกนจัดการ

Nod32 Recovery Tools สำหรับคนที่มีปัญหาเปิด Folder

วิธีการใช้งาน NOD32 Registry Recovery Tool
ดาวน์โหลด
NOD32 Registry Recovery Tool มีไว้สำหรับแก้ไขค่า Registry ที่ถูกเปลี่ยนแปลงจาก Virus ที่ทำให้เครื่องของท่านอาจจะผิดปกติไปจากเดิม โดย Tool นี้จะแก้ไข

1. เปิดการใช้งาน Folder Options
2. แสดงไฟล์ที่ถูกซ่อนไว้
3. แสดงนามสกุลของไฟล์
4. เปิดการใช้งานเมนู Run ใน Start Menu
5. เปิดการใช้งานคลิ๊กเม๊าส์ขวา
6. เปิดการใช้งาน Registry Editor
7. เปิดการใช้งาน Task Manager
8. เปิดการใช้งาน Command Prompt
9. ตั้งค่า Homepage ใน IE ให้เป็น Blank
10. ปิดการรันโปรแกรมโดยอัตโนมัติ เมื่อมีการใช้งาน Flash Drive
11. ลบไฟล์ Autorun.inf (เฉพาะไดร์ฟที่เลือก)

วิธีใช้งาน
1. เมื่อคุณ download ลงมาแล้วจะได้รับไฟล์ NOD32 Registry Recovery Tool
2. ให้คุณทำการ double click ที่ไฟล์ NOD32 Registry Recovery Tool เพื่อเริ่มการทำงานของโปรแกรม
3. ให้คุณอ่านและทำความเข้าใจ License agreement แล้วกด I Agree
4. เมื่อถึงหน้าต่าง Choose Componentย จะมีหัวข้อที่ท่านต้องการจะแก้ไขให้เลือก 12 หัวข้อ ให้เลือกหัวข้อที่ท่านต้องการแก้ไข
- Scan and clean with NOD32 ทำการสแกนเครื่องของคุณด้วย NOD32 อีกครั้ง
5. จากข้อ 4 . แนะนำให้คุณเลือกทั้ง 12 ข้อครับแต่ถ้าคุณไม่มีโปรแกรม NOD32 อยู่ให้เลือกข้อ 1-11 แล้วกด Do it now
6. จากนั้นให้คุณทำการ restart เครื่องของคุณ

ที่มา : http://www.nod32th.com

ไวรัส win32.sality.og

เป็นสายพันธุ์ของไวรัส
Sarity --> Mcafee
Tanatos --> AVG v8.0

อาการ
- จะทำให้ไฟล์ซ่อน ไม่ยอมแสดงไฟล์
- เลือก Show hidden files and folders ไม่ได้
- เลือก Hide protected operating system files (Recommended) ไม่ได้
- กด Ctrl+Alt+Del ก็ไม่ได้ ไม่ขึ้น Windows Task Manager
- เข้า F8 (Save Mode) ไม่ได้
- Anti Virus ใช้การไม่ได้
- ติดไฟล์นามสกุล .EXE ทุกตัว
- มันสร้างไฟล์ virus และ autorun.inf ลง flash dirve โดยสร้างแบบ random หลาย นามสกุล

วิธีแก้

1.Win32/Sality
rmsality.exe
rmsality.nt
rmsality.dos
โหลด rmsality.exe, rmsality.nt, rmsality.dos
ลงเครื่องแล้ว scan

2.Win32/Tanatos - A, H, I, M variants
virus-removal.ndi-90825
rmtanat.exe
โหลด rmtanat.exe ลงเครื่องแล้ว scan

Antivirus and Fix Tools

Free Antivirus
- Avast! Home Edition
- Antivirus 2008
- AVG Free Antivirus
- Avira Antivir Personal Edition Classic
- Avirax'08 anti-virus for Mobile Phone
- Bitdefender Free Edition
- ClamAV Antivirus
- Cyberdefender Free
- PC Tools AntiVirus Free Edition
- ThreatFire AntiVirus Free Edition
- PcClear Plus
- Rising Antivirus Free Edition
- ClamWin for Windows Server
- Comodo Antivirus
- (Portable) ClamWin
- Symantec Mobile Threats Removal Tool

Anti Spyware Utility Tools

- Explorerxpsetup.zip
- Power Toys
- Regfix TaskManager
- Regfix Folder Options
- IE Antivirus Removal
- SmitFraudFix v2.336
- Super AntiSpyware 4.15
- kill.sys Automatic Detection
- ComboFix
- Cleaner
- All in one V4.bat
- TrojanHunter
- CPE17AutoRun Killer
- AHDV
- Spybot Search & Destroy
- Ad-Aware
- Remove Hot Bar
- HijackThis
- Trojan Remover
- Advanced WindowsCare Personal
- Malwarebytes Anti-Malware
- McAfee Stinger
- Howto Enable Task Manager
- Sysclean Removal Tool
- Master PC Autorun Checking
- SpywareBlaster
- Remove Restrictions Tool

Computer Utility Tools
- Hiren's BootCD
- Nod32 Registry Recovery-V1.1
- CPU-Z
- Everest Home Edition
- Sisoft Sandra
- Riva Tuner
- WCPUID
- CPU Mark 99
- Remove AntiSpyCheck
- Norton Removal Tool
- IECacheViewer
- Deep Freeze
- TuneUp Utilities 2008
- HP Drive Key Boot Utility
- Cobian Backup
- Anti Net Cut