Thaigaming Network the 10th: evolution of the future.

สมัครสมาชิก | รายชื่อสมาชิก | Social Groups | ปฏิทิน | ค้นหา | ข้อความใหม่วันนี้ | ทำสัญลักษณ์ว่าอ่านแล้ว |


กลับไป   Thaigaming > Computer and Technology > Computer


  • วันนี้ท่านสามารถ ใช้โทรศัพท์ หรือ Tablet ของท่านเล่น TG : Portal Game Mobile ได้แล้ววันนี้ เพียงเข้าทาง m.thaigaming.com


  • ตอบ
     
    Share คำสั่งเพิ่มเติม แสดงผล
    เก่า 19 Jul 2010, 14:25   #1 (permalink)
    สมัครไว้แต่โพสไม่มีสาระ
     
    Hitzuja's Avatar
     
    สมัคร: May 2006
    สถานที่: กำลังเล่นเกมตู้อยู่ครับ
    โพส: 3,255
    Blog Entries: 27
    รับคำขอบคุณ: 962
    ดาวโหลด: 72
    อัพโหลด: 2
    Rep Power: 0
    Hitzuja auraHitzuja auraHitzuja auraHitzuja aura
    Hitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja auraHitzuja aura
    ส่งข้อความผ่าน MSN ถึง Hitzuja Send a message via Skype™ to Hitzuja
    [จับไวรัส] ltzqai.exe , Syscr.exe

    วันที่ : Sat. 17-7-2553
    ชื่อ Malware : ltzqai.exe , Syscr.exe

    เล่าให้ฟัง

    วันนี้ผมเจอไวรัสตัวหนึ่งในเครื่องพี่ที่เรียน ป.โท ด้วยกัน เป็นไวรัสที่แปลก มันจะคอยเอาภาษาไทยออกไปจากระบบ ทุกครั้งเวลาเปลี่ยนภาษาเราก็แค่กดปุ่มตัวหนอน แต่มาคราวนี้กดเท่าไหร่ก็ไม่เปลี่ยน พอไปดูใน Region and Language แล้วก็เจอว่าภาษาไทยหายไปต้องมา Add กันใหม่เรื่อยๆ
    ดูแล้วผมก็คิดว่ามันต้องมีไวรัสแน่ๆ เลยเข้า Regedit ไปดูก็ไปเจอว่า TaskMan มี Value ที่ไม่ใช่ของมัน เพราะมันไปเรียก ltzqai.exe มาตั้งแต่ Logon แล้วผมก็ตามที่อยู่มันไปจนเจอว่าอยู่ใน Administrator\Application Data\ รู้ว่าจะลบธรรมดาคงไม่ออกเลยต้องใช้คำสั่ง Force มาช่วยแต่ Windows ไม่อนุญาติ
    แต่ยังมีอีกตัวชื่อ Syscr.exe อาศัยอยู่ใน Recycle ของ C: ซึ่งไม่อาจเห็นได้แม้จะปรับให้แสดง System-Hidden Files ก็ตาม

    แนวคิดและวิธีแก้

    ถ้าหากไวรัสตัวนี้มีการเรียกใช้ตั้งแต่ตอน Logon แสดงว่ามันจะกลายเป็นส่วนหนึ่งในกระบวนการของ explorer.exe ดังนั้นจะลบไวรัสตัวนี้ต้องปิด explorer.exe ก่อน

    (๑) Task Manager แล้ว Explorer.exe ต้อง End Process Tree

    ลำบากหน่อยเวลาที่ไม่มี Explorer ดังนั้นการจะทำอะไรก็ตามต้องอาศัย Task Manager เท่านั้น

    (๒) Task Manager แล้ว New Task ใส่ว่า regedit

    ไวรัสหลายๆชนิดมักอาศัยการเปิดตัวเองไปพร้อมๆกับกลไก การ Logon ของ Windows

    (๓) Registry Editor ไปที่ My Computer\HKEY_LOCAL\MACHINE\Software\Microsoft\Win dows NT\CurrentVersion\Winlogon

    แล้วเราจะพอ TaskMan อยู่ทางขวามือซึ่งจะมี Value ว่า C:\Document and Setting\Administrator\Application Data\ltzqai.exe ให้ล้างค่า Value ให้ว่างเปล่า
    ถ้า explorer.exe ยังไม่ถูกปิดลงจะไม่สามารถปรับค่าได้อย่างถาวร นี่คือจุดอ่อนของไวรัสตัวนี้

    (๔) Task Manager แล้ว New Task ใส่ว่า cmd

    ไปตามที่อยู่ของ Value ที่ไวรัสสร้างไว้ให้ Taskman ด้วยคำสั่ง

    cd C:\Document and Setting\Administrator\Application Data\

    และลบมันด้วย

    del ltzqai.exe /a /f

    สำหรับอีกตัว

    cd C:\RECYCLER\S-1-5-21- .... -2494\

    และ

    del Syscr.exe /a /f

    (๕) Task Manager แล้ว New Task ใส่ว่า msconfig

    เพื่อให้ระบบมีความปลอดภัย จำเป็นต้องตรวจสอบใหเดีว่ายังมีหลงเหลือใน Startup บ้างหรือไม่ แต่สำหรับไวรัสตัวนี้ไม่มีในนี้

    เรื่องน่ารู้

    ทั้ง ltqzai.exe และ Syscr.exe ใช้การติดต่อผ่านทาง Flashdrive เป็นหลัก บางครั้งก็มี autorun.inf แต่บางครั้งก็ไม่มี กลไกการกระจายตัวของมันไม่จำเป็นต้องมีการ Execute (Run) ก่อนเพียงเชื่อมต่อ Flashdrive เข้าสู่ระบบกลไกก็จะทำงานทันที นั่นหมายถึงมีการทำงานโดยตรงกับ explorer.exe ดังนั้นจำเป็นต้องหยุด explorer.exe ก่อนจะลบ Malware ทั้ง 2 ได้

    - Hitzuja : ต่อไปเวลาผมเจอและจับไวรัสตัวไหนๆได้ผมก็จะมาเล่าวิธ ีลบให้ฟังกันอีกนะครับ แล้วก็จะรวบรวมไว้ใน Hitzuja 's Knowledge-based ของผมในครั้งต่อๆไป
    __________________
    Hitzuja 's Home
      ตอบพร้อมอ้างอิงข้อความเดิม
    สมาชิกจำนวน 2 คน ที่ได้ขอบคุณ Hitzuja สำหรับโพสที่มีประโยชน์นี้
    เก่า 19 Jul 2010, 16:04   #2 (permalink)
    สมาชิก TG รุ่นพี่
     
    teechoo's Avatar
     
    สมัคร: Mar 2008
    สถานที่: @๑~ท้องนภาที่แสนกว้างใหญ่|BlueSky|~๑@
    โพส: 623
    รับคำขอบคุณ: 29
    ดาวโหลด: 362
    อัพโหลด: 0
    Rep Power: 0
    teechoo aurateechoo aurateechoo aurateechoo aura
    ส่งข้อความผ่าน MSN ถึง teechoo
    ขอบคุณสำหรับความรู้นะครับ
    __________________
    DotA 2 Player ::
    Computer Science ::

    ทำดีโดยไม่หวังสิ่งตอบแทน ::
    ถ้าโพสดีก็ช่วยกด Click the image to open in full size.ด้วยนะครับ ::
    Click the image to open in full size.
      ตอบพร้อมอ้างอิงข้อความเดิม
    เก่า 31 Jul 2010, 11:04   #3 (permalink)
    สมาชิก TG แรกเริ่ม
     
    pan125543951's Avatar
     
    สมัคร: May 2010
    โพส: 229
    รับคำขอบคุณ: 49
    ดาวโหลด: 15
    อัพโหลด: 0
    Rep Power: 0
    pan125543951 aurapan125543951 aurapan125543951 aurapan125543951 aurapan125543951 aurapan125543951 aura
    ขอบคุณสำหรับความรู้ใหม่ๆครับ
      ตอบพร้อมอ้างอิงข้อความเดิม
    ตอบ



    คำสั่งเพิ่มเติม
    แสดงผล

    กฎการส่งข้อความ
    You may not post new threads
    You may not post replies
    You may not post attachments
    You may not edit your posts

    BB code is ใช้ได้
    Smilies are ใช้ได้
    [IMG] code is ใช้ได้
    HTML code is งดใช้
    Trackbacks are ใช้ได้
    Pingbacks are ใช้ได้
    Refbacks are งดใช้


    Home | News | Event | Article | Howto | Preview | Review | Cheat | Play | Anime | Club | Download | Blog | Group | Service | Forum

    Copyright © 2000-2013 Thaigaming Network. All Right Reserved.