ติด ggdrive32.exeครับ
LSVคลังสมองออนไลน์ "ปีที่21"
มีนาคม 28, 2024, 10:24:35 PM *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
 
   หน้าแรก   ช่วยเหลือ เข้าสู่ระบบ สมัครสมาชิก  
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน หัวข้อ: ติด ggdrive32.exeครับ  (อ่าน 3251 ครั้ง)
green power
Full Member
member
**

คะแนน2
ออฟไลน์ ออฟไลน์

กระทู้: 7


« เมื่อ: กุมภาพันธ์ 24, 2011, 03:12:48 PM »

ขอวิธีแก้ไขครับ ขอบคุณ


บันทึกการเข้า

หลอดไฟ
วีไอพี
member
***

คะแนน246
ออฟไลน์ ออฟไลน์

กระทู้: 1550


อีเมล์
« ตอบ #1 เมื่อ: กุมภาพันธ์ 26, 2011, 09:09:23 AM »

jjdrive32.exeมันมีมานานแล้วเมื่อก่อนแค่ end processมันแล้วตามไปลบไฟล์ทิ้งก็หาย
แต่ตอนนี้มันมาเวอร์ชั่นใหม่ไฉไลกว่าเดิมอาการคือ สามารถแพร่ตัวเองได้ และมันก็จะไปสร้างไฟล์ *.exe
โดยมากจะเป็นตัวเลขเช่น 11.exeไว้ในuser\ Local Settings\temp
user\Local Settings\Temporary Internet Files
และ
\NetworkService\Local Settings\temp
NetworkService\Local Settings\Temporary Internet Files

และมาพร้อมกับ ของแถม
toolbar find404.com

เมื่อติดแล้วจะเล่นเน็ตไม่ได้ เข้าnetworkไม่ได้ map drive ไม่ได้
แต่ดูง่ายว่าติดไวรัสตัวนี้หรือไม่เมื่อกด end taskดูจะเห็น processชื่อว่า jjdrive32.exe ลอยเด่นเป็นสง่า
ที่โปรแกรมไฟล์จะมี โพลเดอร์ IEToolbar404 อยู่

รายงานอย่างเป็นทางการ

Malware Type : Worm
Alias : Worm/Palevo.kbu [Avira], generic!bg.hah [McAfee], WORM_PACK.EG [Trend]
System Affected : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Risk Rating : Low

เค้าให้ LOW แต่ผมให้ High

เมื่อติดไวรัสจะพบไฟล์

%System%\wshost32.exe
%Windows%\jjdrive32.exe

และไฟล์เหล่านี้อยู่ใน โพล์เดอร์ RECYCLER ซึ่ง โพล์เดอร์ RECYCLER จะมองเห็นได้เมื่อคุณสั่งโชว์ all filesเท่านั้น

%Drive letter%\RECYCLER\{Random String}\Desktop.ini
%Drive letter%\RECYCLER\{Random String}\wmfcgr.exe
%Drive letter%\RECYCLER\{Random String}\Desktop.ini
%Drive letter%\RECYCLER\{Random String}\vsbntlo.exe
%Drive letter%\RECYCLER\{Random String}\Desktop.ini
%Drive letter%\RECYCLER\{Random String}\ls888.exe

ติดตั้ง toolbar find404.com ให้

%ProgramFiles%\IEToolbar404\find404.com search engine\tbhelper.dll
%ProgramFiles%\IEToolbar404\find404.com search engine\uninstall.exe
%ProgramFiles%\IEToolbar404\find404.com search engine\version.txt
%ProgramFiles%\IEToolbar404\find404.com search engine\basis.xml
%ProgramFiles%\IEToolbar404\find404.com search engine\find404s.png
%ProgramFiles%\IEToolbar404\find404.com search engine\icons.bmp
%ProgramFiles%\IEToolbar404\find404.com search engine\info.txt
%ProgramFiles%\IEToolbar404\find404.com search engine\ mod_find404_finaaaa aal.dll
%ProgramFiles%\IEToolbar404\find404.com search engine\ mod_find404_finaaaa aal.crc

มันจะเขียนค่าต่อไปนี้ที่ registry

wshost32 = "%System%\wshost32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Update Setup = "%Windows%\jjdrive32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Taskman = "%Drive letter%\RECYCLER\{Random String}\wmfcgr.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Microsoft Update Setup = "%Windows%\jjdrive32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

{Random letter} = "%Drive letter%\RECYCLER\{Random String}\ls888.exe"
{Random letter} = "%Drive letter%\RECYCLER\{Random String}\vsbntlo.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

วิธิการแก้
ก่อนอื่นปิด system restore
จากนั้นก็ show all file เพื่อให้มองเห็น โพล์เดอร์ RECYCLER
เนื่องจาก jjdrive32.exe ทำให้เล่นเน็ตไม่ได้
ให้กด ctrl alt del เพื่อ end process jjdrive32.exe
เมื่อ end process แล้วจะเล่นเน็ตได้
โหลดโปรแกรม unlocker เพื่อใช้ลบโพล์เดอร์ RECYCLER
ติดตั้งโปรแกรมunlocker คลิกขวาที่โพล์เดอร์ RECYCLER เลือก unlocker
ลบโพล์เดอร์ RECYCLER ทิ้ง
จากนั้นก็โหลด superantispyware ทำการติดตั้งและทำการอัพเดทให้เรียบร้อย
จากนั้น restart เครื่อง scanใน save mode ก็เรียบร้อย
เมื่อ scanเสร็จ ไปลบ โฟล์เดอร์ IEToolbar404 ใน ProgramFiles ออก
และลบ temp internet ออกด้วย

ทำไมถึงเลือกใช้ superantispyware เพราะ malwarebyte เอาไม่ออก avira เอาไม่ออก
antivirus ตัวอื่นไม่ได้ลอง น่าจะเป็นแนวทางให้จัดการกับเจ้า jjdrive32.exe ได้
บันทึกการเข้า

ทำวันนี้ให้ดีที่สุด
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1 RC2 | SMF © 2001-2006, Lewis Media

lsv2555Please follow the new website at https://www.pohchae.com

Valid CSS!