Trojan ตัวใหม่ที่ผมเจอ Win32/TrojanDownloader.FakeAlert.BU
posted on 01 Jun 2008 18:43 by genzo00Win32/TrojanDownloader.FakeAlert.BU ชื่อจาก NOD32
อาการ
1. เมื่อโดนโทรจันตัวนี้จะทำให้ Desktop เป็นสีน้ำเงินแล้วจะมีแมลงซึ่งเป็น Screen Server ไต่เทะกินหน้าจอ
2. พอ restart เครื่องจะทำการ Setting ค่าต่างๆของเครื่องเป็นเหมือนตอนลง Windows ใหม่ เช่นตรง Quick Launch ที่มีก็จะหายไป พอเอากลับมาใหม่ก็จะไม่เหมือนเดิมที่ตั้งค่าไว้ รวมทั้งที่หน้าจอ พวก Icon My Computer,Internet Explorer,My Documents ก็จะหายไป
3. ใช้งานไปซักพักจะมี Popup ขึ้นมาบอกว่าเครื่องเราติด Trojan ให้กด Yes เพื่อทำการติดตั้งโปรแกรมกำจัด แต่ผมไม่ได้กด Yes นะครับเลยไม่รู้ว่าเป็นไง แต่คิดว่าคงจะลงโปรแกรมให้แล้วให้เราเสียเงินซื้อครับถ้าไม่เสียเงินก็ทำอะไรไม่ได้ ทำนองนี้ครับเคยเจอทีหนึ่ง อาการที่เจอประมาณนี้ครับ
วิธีแก้ไขนะครับ
1. ทำการโหลด HijackTHis มาก่อนจาก http://www.snapfiles.com/get/hijackthis.html แล้วทำการ install เลยครับ
2. ทำการ Restart เครื่องแล้วกด F8 เพื่อเข้าสู่ Safe Mode นะครับ
3. เปิดโปรแกรม HijackTHis แล้วกด Do a scan only
4. Fix รายการต่อไปนี้ครับ
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\System32\ctfmona.exe
5. เข้าไปลบ file ctfmona.exe,ctfmonb.bmp ใน C:\WINDOWS\System32\
6. เข้าไปแก้ไข register โดยพิม regedit ที่ Run คลิกที่ My Computer เลือก Menu Edit -> Find หาคำว่า ctfmona.exe แล้วลบทิ้ง กด F3 เพื่อหาต่อทำเหมือนกันจนหมด
7. ถ้าใครเปิด System Restore ไว้ก็ได้ใช้งานแล้วครับคราวนี้ โดยเลือก Check Point ที่ใกล้ที่สุดครับก็เสร็จแล้วครับ ส่วนใครที่ไม่ได้เปิด ไว้ก็ทำการตั้งค่าต่างๆของเครื่องใหม่แล้วก็เปิดใช้ System Restore กันไว้ด้วยครับ
edit @ 1 Jun 2008 19:19:14 by Pizza
edit @ 1 Jun 2008 19:23:09 by Pizza