Thaigaming Network the 10th: evolution of the future.
19 Jul 2010, 14:25
| #1 (permalink) |
| สมัครไว้แต่โพสไม่มีสาระ   สมัคร: May 2006 สถานที่: กำลังเล่นเกมตู้อยู่ครับ
โพส: 3,255
 Blog Entries: 27 ดาวโหลด: 72 อัพโหลด: 2    | [จับไวรัส] ltzqai.exe , Syscr.exe วันที่ : Sat. 17-7-2553 ชื่อ Malware : ltzqai.exe , Syscr.exe เล่าให้ฟัง วันนี้ผมเจอไวรัสตัวหนึ่งในเครื่องพี่ที่เรียน ป.โท ด้วยกัน เป็นไวรัสที่แปลก มันจะคอยเอาภาษาไทยออกไปจากระบบ ทุกครั้งเวลาเปลี่ยนภาษาเราก็แค่กดปุ่มตัวหนอน แต่มาคราวนี้กดเท่าไหร่ก็ไม่เปลี่ยน พอไปดูใน Region and Language แล้วก็เจอว่าภาษาไทยหายไปต้องมา Add กันใหม่เรื่อยๆ ดูแล้วผมก็คิดว่ามันต้องมีไวรัสแน่ๆ เลยเข้า Regedit ไปดูก็ไปเจอว่า TaskMan มี Value ที่ไม่ใช่ของมัน เพราะมันไปเรียก ltzqai.exe มาตั้งแต่ Logon แล้วผมก็ตามที่อยู่มันไปจนเจอว่าอยู่ใน Administrator\Application Data\ รู้ว่าจะลบธรรมดาคงไม่ออกเลยต้องใช้คำสั่ง Force มาช่วยแต่ Windows ไม่อนุญาติ แต่ยังมีอีกตัวชื่อ Syscr.exe อาศัยอยู่ใน Recycle ของ C: ซึ่งไม่อาจเห็นได้แม้จะปรับให้แสดง System-Hidden Files ก็ตาม แนวคิดและวิธีแก้ ถ้าหากไวรัสตัวนี้มีการเรียกใช้ตั้งแต่ตอน Logon แสดงว่ามันจะกลายเป็นส่วนหนึ่งในกระบวนการของ explorer.exe ดังนั้นจะลบไวรัสตัวนี้ต้องปิด explorer.exe ก่อน (๑) Task Manager แล้ว Explorer.exe ต้อง End Process Tree ลำบากหน่อยเวลาที่ไม่มี Explorer ดังนั้นการจะทำอะไรก็ตามต้องอาศัย Task Manager เท่านั้น (๒) Task Manager แล้ว New Task ใส่ว่า regedit ไวรัสหลายๆชนิดมักอาศัยการเปิดตัวเองไปพร้อมๆกับกลไก การ Logon ของ Windows (๓) Registry Editor ไปที่ My Computer\HKEY_LOCAL\MACHINE\Software\Microsoft\Win dows NT\CurrentVersion\Winlogon แล้วเราจะพอ TaskMan อยู่ทางขวามือซึ่งจะมี Value ว่า C:\Document and Setting\Administrator\Application Data\ltzqai.exe ให้ล้างค่า Value ให้ว่างเปล่า ถ้า explorer.exe ยังไม่ถูกปิดลงจะไม่สามารถปรับค่าได้อย่างถาวร นี่คือจุดอ่อนของไวรัสตัวนี้ (๔) Task Manager แล้ว New Task ใส่ว่า cmd ไปตามที่อยู่ของ Value ที่ไวรัสสร้างไว้ให้ Taskman ด้วยคำสั่ง cd C:\Document and Setting\Administrator\Application Data\ และลบมันด้วย del ltzqai.exe /a /f สำหรับอีกตัว cd C:\RECYCLER\S-1-5-21- .... -2494\ และ del Syscr.exe /a /f (๕) Task Manager แล้ว New Task ใส่ว่า msconfig เพื่อให้ระบบมีความปลอดภัย จำเป็นต้องตรวจสอบใหเดีว่ายังมีหลงเหลือใน Startup บ้างหรือไม่ แต่สำหรับไวรัสตัวนี้ไม่มีในนี้ เรื่องน่ารู้ ทั้ง ltqzai.exe และ Syscr.exe ใช้การติดต่อผ่านทาง Flashdrive เป็นหลัก บางครั้งก็มี autorun.inf แต่บางครั้งก็ไม่มี กลไกการกระจายตัวของมันไม่จำเป็นต้องมีการ Execute (Run) ก่อนเพียงเชื่อมต่อ Flashdrive เข้าสู่ระบบกลไกก็จะทำงานทันที นั่นหมายถึงมีการทำงานโดยตรงกับ explorer.exe ดังนั้นจำเป็นต้องหยุด explorer.exe ก่อนจะลบ Malware ทั้ง 2 ได้ - Hitzuja : ต่อไปเวลาผมเจอและจับไวรัสตัวไหนๆได้ผมก็จะมาเล่าวิธ ีลบให้ฟังกันอีกนะครับ แล้วก็จะรวบรวมไว้ใน Hitzuja 's Knowledge-based ของผมในครั้งต่อๆไป
__________________ Hitzuja 's Home
|
|  |
| สมาชิกจำนวน 2 คน ที่ได้ขอบคุณ Hitzuja สำหรับโพสที่มีประโยชน์นี้ |
|
19 Jul 2010, 16:04
| #2 (permalink) |
| สมาชิก TG รุ่นพี่   สมัคร: Mar 2008 สถานที่: @๑~ท้องนภาที่แสนกว้างใหญ่|BlueSky|~๑@
โพส: 623
รับคำขอบคุณ: 29 ดาวโหลด: 362 อัพโหลด: 0 |
ขอบคุณสำหรับความรู้นะครับ
__________________ DotA 2 Player :: Computer Science :: ทำดีโดยไม่หวังสิ่งตอบแทน :: ถ้าโพสดีก็ช่วยกด  ด้วยนะครับ :: |
|
| |
 |
« กระทู้ที่แล้วมา
|
กระทู้ถัดไป »
| คำสั่งเพิ่มเติม | |
| แสดงผล | |
Linear Mode
| |
