27 พ.ย. 2552

ผมติดไวรัส cvasds0.dll

ผมใช้ ESAT smart security 4
Virus definition version 20091124 ก็ยังติด

ไวรัสชื่อ

Kaspersky เรียกว่า Trojan-GameThief.Win32.Magania.cjqd
NOD32 เรียกว่า Win32/Pacex.Gen
Symantec เรียกว่า W32.SillyFDC
================================

อาการ

-massenger ใช้ไม่ได้ ขึ้น error ว่า
AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: cvasds0.dll
ModVer: 0.0.0.0 Offset: 000225db


-ไม่สามารถดูไพล์ หรือ โพลเดอร์ที่ซ่อน ไว้ได้
================================

การทำงานของไวรัส

มันจะสร้าง ค่า ใน registry ให้เรา เพื่อให้ทำงานทุกครั้งที่ restart และ เมื่อมันทำงาน มันจะมีการ download
ไพล์ มาที่เครื่องเรา ถ้ามันได้รันแล้ว ก็ไป endtask มันก็จะกลับมาใหม่อีกเรื่อยๆ ผมติดไวรัสจาก Handdy drive

================================

วิธีแก้

เข้าไปที่ Regedit ไปลบข้อมูลข้างใน folder เหล่านี้ (ถ้ามี)
----------------------------------
HKLM\SOFTWARE\Classes\CLSID\MADOWN\urlinfo: "dsa2xsa.j"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\herss.exe"

----------------------------------
แก้ไขค่า เป้น 1 (decimal)
----------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000001

----------------------------------
ลบไพล์ข้างล่างถ้าเจอ เข้า safemode ก่อนนะ แล้วใช้ command dos ลบ ผมใช้แบบนี้ (#del /a /f cvasds0.dll)
----------------------------------
C:\Documents and Settings\Administrator\Local Settings\Temp\cvasds0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\cvasds1.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\herss.exe
C:\autorun.inf
C:\nds0q.exe

----------------------------------
Files deleted:1
----------------------------------
C:\sand-box\01277CD6DA369314229E5650F3E9737F.exe

และสุดท้าย ไวรัสจะ download ไพล์มาที่เครื่องเราด้วย ตามลิ้งนี้
ถ้ามีไพร์วอลล์ ก้ควร block link นี้
http://www.yahoo7j9.com/1mg/am1.rar
http://www.yahoo7j9.com/1mg/am.rar

ไม่มีความคิดเห็น:

แสดงความคิดเห็น