Live Security Platinum มัลแวร์ที่มีการอัพเดทตัวมันเอง พร้อมกับเปลี่ยนที่อยู่ใหม่
ผมสรุปสั้นๆ
1.ลง Malwarebytes Anti-Malware มา
2..รีสตาร์ทคอม เข้าเซฟโหมด ดว้ย ข้อ 2 (Safe Mode with Net working)
3.สแกน ทั้งหมด แล้วสั่งลบ
4.ลง Avast_Free_Antivirus_2012_7014 สแกนอีกรอบ
5 .กู้คืน รีจิสตี้ ด้วย registryfix (หน้าวินโดว์ ทำได้)
28-7-55
บทความนี้ แก้ใขใหม่หลังจากที่รู้ว่าโดนกันเยอะนะครับ
(ไมรู้ว่าโดน กันขนาดนี้ เดี๋ยวจะวางลิ๊งค์ และวิธีการใช้ให้ตามลำดับนะครับ
เพราะ แค่นี้ บางทีที่มันทำไว้ก็ไม่หมด แอนตี้ไวรัส ทุกตัว ควรสแกนในเซฟโหมดนะครับ แก้ใขเบิ้องต้น)
http://www.2shared.com/file/XWJZW7S7/registryfix.html
http://www.2shared.com/file/Ia2TuCRe/iExplore.html
http://www.2shared.com/file/omJLNBz5/rkill.html
http://www.2shared.com/file/ypqm3gtT/HitmanPro36_x64.html
http://www.2shared.com/file/p9_FZ-xS/HitmanPro36.html
1.รีสตาร์ทคอม เข้าเซฟโหมด ดว้น ข้อ 2 (Safe Mode with Net working)
2.เดี๋ยวบมาเพิ่มรูป
3.เดี๋ยวมาเพอ่มรูป
4.กู้คืน รีจิสตี้ ด้วย registryfix (โหลดลำดับที่1)
5.หยุดการทำงานของไวรัสด้วย iExplore หรือ rkill (โหลด ข้อ 2 และ3)
6.สแกนทั้งหมด (ก้ดี) ด้วย Malwarebytes Anti-Malware (ห้องดาวน์โหลดโปรแกรม) อัพเดทล่าสุดด้วย
8. HitmanPro36 (32บิต) HitmanPro36_x64 (64 บิค)
ผมยังไม่มีรูปนะครับ เอาเป็นแนวทางการแก้ใขก่อน
มันจะล็อกทุกอย่าง ทำให้ไม่สามรถใช้โปรแกรมไดๆทั้งสิ้น อธิบายลำบากนิ
ก่อนที่มันจะเข้านะ จะมีข้อความ ประมาณนี้ ละ คลิ๊กปุ๊บ มันคิดตั้งปั๊บ(ไม่คลิ๊ก มันก็จะติดตั้งนั่นแหละ มันจะพยายามปิด ทุกสิ่งทุกอย่างของเรา จนทำงานไม่ได้)
เอาเป็นว่า ถ้าท่านโดนตัวนี้
1.โหลด เมล์แวร์ไบร์ มาลง พร้อมอัพเดทให้ล่าสุด (ถ้าไม่ได้ลงไว้ก่อน ก็ให้ลงใน เซฟโหมดได้) ที่ห้องดาวน์โหลดโปรแกรมมีครับ
เข้าเซฟโหมด รีสตาร์ทคอม แล้ว กดที่ F8 ย้ำๆ เพื่อเข้าเซฟโหมด
2.เมื่อลงโปรแกรมได้แล้ว ให้สแกนทั้งหมดก็ได้ ในเซฟโหมดเท่านั้นที่ทำงานได้ (ใช้เวลาค่อนข้างนานพอควร) ไปนอนจีบกิ๊กก่อน
3.โหมดสอกน แลือก Full สแกนนะ
4.เมื่อได้ผล สแกน สั่งลบ คล้ายๆที่ผม วางกรอบไว้นะ มีอยู่ประมาณ 15 ข้อ ลบให้หมด หายเป็นปลิดทิ้งเลยละ ผมลอง เล่นกับมัน มาหลายรอบละ กว่าจะทำบทความนี้
*******************************************
ถ้าโดนมันละก็ มันไปทั่วเลย
มันไปอยู่ที่นี่บางส่วน
สามารถ ลบได้เลยอันนี้ มันนั่นละ
เจอตัวเลย
เก็บเอาไว้ซะหน่อย เลี้ยงไว้ดูเล่น 555+
อัพเดทมาคราวนี้มันจัดเต็ม(คอมทุกที่)
วันนี้ 27-7-55
ผมพยายาม ตามนะครับ ว่ามันไปอยู่ที่ไหนบ้าง มาอัพเดทกันให้ดู ยังมีอีกนะครับ ทะยอยมา
-อันนี้ Iog
Folders Detected: 10
C:\Documents and Settings\Administrator\Application Data\Baidu (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\Baidu\BaiduSecurity (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\Baidu\BaiduSecurity\Run (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\Baidu\BaiduSecurity\Run\Disable (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\BaiduPcFaster (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Baidu (PUP.Baidu) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Baidu\BaiduSecurity (PUP.Baidu) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Baidu\BaiduSecurity\Run (PUP.Baidu) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Baidu\BaiduSecurity\Run\Disable (PUP.Baidu) -> No action taken.
Files Detected: 18
C:\Documents and Settings\Administrator\Application Data\BaiduPcFaster\user_process_list (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\BaiduPcFaster\user_schtask_list (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\BaiduPcFaster\user_service_list (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\BaiduPcFaster\user_startrun_list (PUP.Baidu) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Application Data\{985f878b-e0f8-2608-d897-48b42476a85a}\n (RootKit.0Access) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temp\101.tmp (Trojan.LameShield) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\DIAFK9TV\soft5[1].exe (RootKit.0Access) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\MJC9HBPD\soft4[1].exe (Trojan.LameShield) -> No action taken.
C:\Documents and Settings\Administrator\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> No action taken.
C:\Qoobox\Quarantine\C\Documents and Settings\Administrator\Local Settings\Application Data\{985f878b-e0f8-2608-d897-48b42476a85a}\n.vir (RootKit.0Access) -> No action taken.
C:\Qoobox\Quarantine\C\Documents and Settings\Administrator\Local Settings\Application Data\{985f878b-e0f8-2608-d897-48b42476a85a}\U\800000cb.@.vir (Rootkit.0Access) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\Installer\{985f878b-e0f8-2608-d897-48b42476a85a}\n.vir (RootKit.0Access) -> No action taken.
C:\System Volume Information\_restore{013D39C8-1753-4B36-B5F8-436DA38FB400}\RP15\A0007729.exe (Trojan.Lameshield) -> No action taken.
C:\System Volume Information\_restore{013D39C8-1753-4B36-B5F8-436DA38FB400}\RP18\A0011823.exe (Trojan.LameShield) -> No action taken.
C:\System Volume Information\_restore{013D39C8-1753-4B36-B5F8-436DA38FB400}\RP18\A0012842.exe (Trojan.LameShield) -> No action taken.
C:\WINDOWS\Installer\{985f878b-e0f8-2608-d897-48b42476a85a}\n (RootKit.0Access) -> No action taken.
C:\WINDOWS\Installer\{985f878b-e0f8-2608-d897-48b42476a85a}\U\800000cb.@ (Rootkit.0Access) -> No action taken.
(end)
