Secure - วิธีทำลายล้าง VX2
posted on 24 Jan 2005 12:56 by roticagas in Secureวันนี้จะพูดถึงเจ้า spyware ที่เพิ่งโดนเล่นงานมาเมื่อวันก่อนสดๆ ร้อนๆ
บางคนคงไม่เข้าใจว่า VX2 คืออะไร ?
VX2 ก็เป็นโปรแกรมจำพวก spyware พวกหนึ่งที่จะเปิดหน้า IE เข้าไปหน้าโฆษณาต่างๆ
จริงแล้วก็ไม่มีอะไร แต่มันรำคาญ ไอ้เรากำลังอยากเล่น O2Jam เจอยังงี้เลยต้องรีบแก้ แต่แก้ไปแก้มาเจอตออยู่อัน หมดเวลาไปร่วมสองชั่วโมง
เอาหล่ะ เพื่อความรวดเร็ว มาเริ่มกันดีกว่า วิธีที่จะลงต่อไปนี้เป็นวิธีที่ค้นมาหลังจาก Lavasoft Adaware ไม่สามารถรันในตอนที่จะเริ่มต้นวินโดว์ได้ (ง่ายๆ คือ หมดทางลบ)
0. url ที่เกี่ยวข้อง
- Lavasoft
- dllcompare โปรแกรมเปรียบเทียบ dll ใน system32 ว่าเป็น VX2 ใข่หรือไม่(version 1.0.0.127)
- killbox โปรแกรมลบไฟล์ (version 2.0.0.76)
- วิธีแก้(eng)
1. ตรวจสอบโดย Ad-aware โดยไปโหลดตัวโปรแกรมได้จาก Lavasoft (ฟรี) แล้วอัพเดทข้อมูลให้ถึงล่าสุด พอแสกนเครื่องไปมันก็จะขึ้นมาเลยว่าชื่อ VX2
2 หาไฟล์ต้องสงสัยใน system32 ให้รันโปรแกรม dllcompare (โหลดมาไว้ในเครื่องก่อนนะ - -) กด [Run locate.com] จนขึ้น Completed the scan, Click Compare to Continue แล้วกด [Compare] รอจนขึ้น Completed แล้วกด [Make a Log of what was Found]
ให้เอาผลที่รันได้จาก Ad-aware มาใส่ไว้ใน log ด้วย ไฟล์ส่วนใหญ่ จะเป็นชื่อที่ประกอบด้วย ตัวอักษรและตัวเลขปนๆ กันไม่ค่อยมีความหมาย เช่น oabcp32r.dll ขนาดประมาณ 220 KB
3. ถึงเวลาลงดาบ รันโปรแกรม killbox (โหลดมาไว้ในเครื่องก่อนอีกหน่ะแหละ) ให้เช็คก่อนว่าเวอร์ชั่นอะไร โดยกด About (ควรจะเป็น 2.0.0.76) ต่อไปเลือก option Replace on Reboot
4. ใส่ชื่อไฟล์ที่ได้จากใน log (เช่น C:\WINDOWS\SYSTEM32\dad8.dll ) ลงในกล่องข้อความอันบนสุด แล้วเลือก option Use Dummy แล้วกดปุ่มกากบาทสีแดง
5. ทำให้ครบทุกไฟล์ที่ได้จากใน log แล้วทำแบบเดียวกับ C:\Windows\System32\Guard.tmp เป็นไฟล์สุดท้าย (ควรจะกด browse เลือกไฟล์ด้วยตัวเองนะครับ)
6. reboot
7. ใช้ dllcompare อีกรอบ ซึ่งควรจะไม่มีรายชื่อไฟล์ต้องสงสัยโผล่ออกมา ถ้ามีอีกให้มันข้อ 3 4 5 อีกรอบ
8. ไฟล์ C:\WINDOWS\SYSTEM32\guard.tmp จะยังมีอยู่ คราวนี้ใช้โปรแกรม killbox เหมือนเดิมแต่เลือก option เป็น Standard File Kill แทน แล้วก็กดกากบาทสีแดง
9. ตอนนี้ recycle bin เราจะเพี้ยน ให้ใช้ killbox แล้วกดเลือก C:\RECYCLER ซึ่งพอเลือกแล้ว มันจะขึ้นว่า Directory แล้วก็กดกากบาทสีแดงอีกที
คงจบแล้วละมั้ง ถ้ายังไม่ครบเดี๋ยวผมคงมา comment เพิ่มเองแหละ
edit @ 2005/04/25 01:53:31