[จับไวรัส] ltzqai.exe , Syscr.exe


Results 1 to 3 of 3

ชื่อกระทู้: [จับไวรัส] ltzqai.exe , Syscr.exe

  1. #1
    สมัครไว้แต่โพสไม่มีสาระ Hitzuja's Avatar
    สมัคร
    May 2006
    สถานที่
    กำลังเล่นเกมตู้อยู่ครับ
    โพส
    3,255
    Downloads
    0
    Uploads
    0
    Blog Entries
    27
    Rep Power
    0

    [จับไวรัส] ltzqai.exe , Syscr.exe

    วันที่ : Sat. 17-7-2553
    ชื่อ Malware : ltzqai.exe , Syscr.exe

    เล่าให้ฟัง

    วันนี้ผมเจอไวรัสตัวหนึ่งในเครื่องพี่ที่เรียน ป.โท ด้วยกัน เป็นไวรัสที่แปลก มันจะคอยเอาภาษาไทยออกไปจากระบบ ทุกครั้งเวลาเปลี่ยนภาษาเราก็แค่กดปุ่มตัวหนอน แต่มาคราวนี้กดเท่าไหร่ก็ไม่เปลี่ยน พอไปดูใน Region and Language แล้วก็เจอว่าภาษาไทยหายไปต้องมา Add กันใหม่เรื่อยๆ
    ดูแล้วผมก็คิดว่ามันต้องมีไวรัสแน่ๆ เลยเข้า Regedit ไปดูก็ไปเจอว่า TaskMan มี Value ที่ไม่ใช่ของมัน เพราะมันไปเรียก ltzqai.exe มาตั้งแต่ Logon แล้วผมก็ตามที่อยู่มันไปจนเจอว่าอยู่ใน Administrator\Application Data\ รู้ว่าจะลบธรรมดาคงไม่ออกเลยต้องใช้คำสั่ง Force มาช่วยแต่ Windows ไม่อนุญาติ
    แต่ยังมีอีกตัวชื่อ Syscr.exe อาศัยอยู่ใน Recycle ของ C: ซึ่งไม่อาจเห็นได้แม้จะปรับให้แสดง System-Hidden Files ก็ตาม

    แนวคิดและวิธีแก้

    ถ้าหากไวรัสตัวนี้มีการเรียกใช้ตั้งแต่ตอน Logon แสดงว่ามันจะกลายเป็นส่วนหนึ่งในกระบวนการของ explorer.exe ดังนั้นจะลบไวรัสตัวนี้ต้องปิด explorer.exe ก่อน

    (๑) Task Manager แล้ว Explorer.exe ต้อง End Process Tree

    ลำบากหน่อยเวลาที่ไม่มี Explorer ดังนั้นการจะทำอะไรก็ตามต้องอาศัย Task Manager เท่านั้น

    (๒) Task Manager แล้ว New Task ใส่ว่า regedit

    ไวรัสหลายๆชนิดมักอาศัยการเปิดตัวเองไปพร้อมๆกับกลไก การ Logon ของ Windows

    (๓) Registry Editor ไปที่ My Computer\HKEY_LOCAL\MACHINE\Software\Microsoft\Win dows NT\CurrentVersion\Winlogon

    แล้วเราจะพอ TaskMan อยู่ทางขวามือซึ่งจะมี Value ว่า C:\Document and Setting\Administrator\Application Data\ltzqai.exe ให้ล้างค่า Value ให้ว่างเปล่า
    ถ้า explorer.exe ยังไม่ถูกปิดลงจะไม่สามารถปรับค่าได้อย่างถาวร นี่คือจุดอ่อนของไวรัสตัวนี้

    (๔) Task Manager แล้ว New Task ใส่ว่า cmd

    ไปตามที่อยู่ของ Value ที่ไวรัสสร้างไว้ให้ Taskman ด้วยคำสั่ง

    cd C:\Document and Setting\Administrator\Application Data\

    และลบมันด้วย

    del ltzqai.exe /a /f

    สำหรับอีกตัว

    cd C:\RECYCLER\S-1-5-21- .... -2494\

    และ

    del Syscr.exe /a /f

    (๕) Task Manager แล้ว New Task ใส่ว่า msconfig

    เพื่อให้ระบบมีความปลอดภัย จำเป็นต้องตรวจสอบใหเดีว่ายังมีหลงเหลือใน Startup บ้างหรือไม่ แต่สำหรับไวรัสตัวนี้ไม่มีในนี้

    เรื่องน่ารู้

    ทั้ง ltqzai.exe และ Syscr.exe ใช้การติดต่อผ่านทาง Flashdrive เป็นหลัก บางครั้งก็มี autorun.inf แต่บางครั้งก็ไม่มี กลไกการกระจายตัวของมันไม่จำเป็นต้องมีการ Execute (Run) ก่อนเพียงเชื่อมต่อ Flashdrive เข้าสู่ระบบกลไกก็จะทำงานทันที นั่นหมายถึงมีการทำงานโดยตรงกับ explorer.exe ดังนั้นจำเป็นต้องหยุด explorer.exe ก่อนจะลบ Malware ทั้ง 2 ได้

    - Hitzuja : ต่อไปเวลาผมเจอและจับไวรัสตัวไหนๆได้ผมก็จะมาเล่าวิธ ีลบให้ฟังกันอีกนะครับ แล้วก็จะรวบรวมไว้ใน Hitzuja 's Knowledge-based ของผมในครั้งต่อๆไป
    Hitzuja 's Home



  2. #2
    สมาชิก TG รุ่นพี่ teechoo's Avatar
    สมัคร
    Mar 2008
    สถานที่
    @๑~ท้องนภาที่แสนกว้างใหญ่|BlueSky|~๑@
    โพส
    623
    Downloads
    0
    Uploads
    0
    Rep Power
    0
    ขอบคุณสำหรับความรู้นะครับ
    DotA 2 Player ::
    Computer Science ::

    ทำดีโดยไม่หวังสิ่งตอบแทน ::
    ถ้าโพสดีก็ช่วยกด ด้วยนะครับ ::

  3. #3
    สมาชิก TG แรกเริ่ม pan125543951's Avatar
    สมัคร
    May 2010
    โพส
    229
    Downloads
    0
    Uploads
    0
    Rep Power
    0
    ขอบคุณสำหรับความรู้ใหม่ๆครับ

กฎการส่งข้อความ

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
Thaigaming.com
Thailand Biggest Gaming Communities
ขณะนี้ กำลัง ปรับปรุง อัพเกรดระบบ อาจพบ ปัญหาระบบยังไม่สมบูรณ์
Join us