ใครก็ได้ ช่วยด้วย ๆๆๆ ผมติด W32/Netsky.p@MM virus ทำไงดี

อังคาร พ.ค. 25, 2004 8:44 am

ช่วยผมด้วย .... ช่วยผมด้วย ....

ผมใช้ McAfee scan ดูมันก็ไม่เจอ แต่พอผมส่ง E-mail ทาง Hotmail บอกว่ามันมี ดังข้อความข้างล่าง จะใช้โปรแกรมอะไรฆ่ามันได้ ครับ

Virus Scanner found the
Exploit-MIME.gen.c (Malicious Mobile Code) virus
Virus Scanner found the
W32/Netsky.p@MM virus
in the attached file: message.scr

อังคาร พ.ค. 25, 2004 8:51 am

Terminating the Malware Program

This procedure terminates the running malware process from memory. You will need the name(s) of the file(s) detected earlier.

Open Windows Task Manager.
On Windows 95/98/ME systems, press
CTRL+ALT+DELETE
On Windows NT/2000/XP systems, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the malware file or files detected earlier.
Select one of the detected files, then press either the End Task or the End Process button, depending on the version of Windows on your system.
Do the same for all detected malware files in the list of running processes.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
Norton Antivirus AV = "%Windows%\FVProtect.exe"
Note: %Windows% is the default Windows folder, usually C:\Windows or C:\WINNT.

Close Registry Editor.

อังคาร พ.ค. 25, 2004 9:26 am

ผมใช้ Norton Antivirus แสกนเจอครับแต่ต้องดาวน์โลด virus definition มาก่อน คิดว่า McAfee ก็น่าจะหาเจอถ้าพี่ดาว์นโลด virus definition ใหม่มาครับ

-=spider=- · อังคาร พ.ค. 25, 2004 10:31 am

เข้าไปที่ http://thaicert.nectec.or.th แล้วทำตามคำแนะนำที่นั่นครับ

อังคาร พ.ค. 25, 2004 10:32 am

ขอบคุณ คุณ Phaisarn คุณ ayethebing
ของผมใช้ McAfee

รู้สึกมันเกิดอาการนี้ขึ้นหลังจาก เจ้า McAfee มันขึ้นข้อความมาชวนผมไปลงทะเบียน Update ข้อมูล ผมก็เข้าไปลงทะเบียน
แล้วหลังจากนั้น เวลาส่ง E-mail เจ้า Hotmail ก็จะส่งข้อความนี้มาให้

ผมไปดูใน McAfee เกี่ยวกับเจ้าตัวนี้ มันบอกตามข้อความข้างล่างนี้ ตรงข้อความ
Delete the "ICQ Net" value from
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

ที่ให้ไปลบ "ICQ Net" ผมเข้าไปดูแล้วไม่เข้าใจ ไม่เห็นคำนี้ในนั้น เลยไม่รู้จะลบอะไรดี

ผมเลยลอง Remove โปรแกรม McAfee แล้ว Install ใหม่แล้ว ไม่รู้จะหายอาการนี้หรือเปล่า

Removal Instructions

All Users :
Use specified engine and DAT files (or later) for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Manual Removal Instructions
To remove this virus "by hand", follow these steps:

Reboot the system into Safe Mode (hit the F8 key as soon as the Starting Windows text is displayed, choose Safe Mode.
Delete the file WINLOGON.EXE from your WINDOWS directory (typically c:\windows or c:\winnt)
NOTE: Do not delete the file WINLOGON.EXE from the WINDOWS SYSTEM directory as that is a valid Windows system file.
Edit the registry
Delete the "ICQ Net" value from
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_CURRENT_USERS\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Reboot the system into Default Mode
Sniffer Technologies
Sniffer Filters have been developed to filter DNS traffic sent by Netsky.d. Sniffer Filters are available for Sniffer Distributed 4.1/4.2/4.3, Sniffer Portable 4.7/4.7.5, and Netasyst network analyzer. The filters for Netsky.c apply for Netsky.d as well.

W32_Netsky.c@mm Sniffer Filters.zip

McAfee Threatscan

ThreatScan signatures that can detect the W32/Netsky.d@MM virus are available from:

Threatscan 2.5 - ftp.nai.com/pub/security/tsc25/updates/winnt
Threatscan 2.0/2.1 - ftp.nai.com/pub/security/tsc20/updates/winnt
ThreatScan Signature version: 2004-03-01
ThreatScan users can detect the virus by running a ThreatScan task using the following settings:

Select the "Remote Infection Detection" category and "Windows Virus Checks" template.
-or-

Select the "Other" category and "Scan All Vulnerabilities" template.
For additional information:
Run the "ThreatScan Template Report"
Look for module number #4066

อังคาร พ.ค. 25, 2004 10:44 am

พี่ลองเข้าที่ http://thaicert.nectec.or.th แล้วทำตามคำแนะนำ น่าจะมีวิธีแก้นะครับ

อังคาร พ.ค. 25, 2004 3:16 pm

ขอบคุณ คุณ Tan คุณ spider
ผมเข้าไปดุคำแนะนำใน http://thaicert.nectec.or.th แล้ว

และ ได้ ดาวน์โหลดไฟล์ FxNetsky.exe มาตรวจ W32/Netsky.p@MM virus แล้วครับ

ขอบคุณครับ

อังคาร พ.ค. 25, 2004 4:58 pm

พี่ต้องหมั่น update virus definition เป็นประจำนะครับ ทำได้ทุกวันยิ่งดี

Joraka+ · พุธ พ.ค. 26, 2004 7:18 am

ที่นี่เลยครับ สุดยอด scan virus จากค่าย Kasperky จากการแนะนำของคุณ Xoo แห่งห้อง Software ใน Pantip เป็นตัวสแกนเฉยๆ (fix tool) นะครับ เอาไว้สำหรับกำจัดไวรัสโดยเฉพาะ ไม่สามารถทำ real time ได้ แต่ว่ามันเก่งมาก ๆ เลยนะครับ spyware ก็หาเจอ แต่ต้องหมั่นเข้าไปโหลดบ่อยๆ นะครับ (ทุกๆ สัปดาห์เลยก็ดี) วิธีใช้ ก็โหลดมาไว้ในเครื่องแล้วก็ double click ได้เลย (ไม่ต้อง unzip นะครับ)

http://www.mwti.net/antivirus/free_utilities.asp

พุธ พ.ค. 26, 2004 11:27 am

พี่ครรชิตคะ ถ้ามีโอกาสเปลี่ยน พี่ลองดูทางเลือกอื่นๆมั๊ยคะ

โปรแกรม Norton Antivirus
โปรแกรม Panda Platinuium
โปรแกรม AVG Antivirus

ติงๆใช้ Mcafee ทีไร ติดไวรัสทุกทีเลย ไม่รู้ทำไม ตอนนี้เลยใช้ 3 ตัวนี้อยู่
เห็นน้องๆที่อาชีพเขียนโปรแกรม บอกว่า นอร์ตันจะหาไวรัสตัวใหม่ๆเจอได้มากกว่า นายพลแม็คอาฟี่ค่ะ
ส่วนโปรแกรม แพนด้า กับ เอวีจีนั้น หลายๆคนแนะนำว่าแพนด้าค่อนข้างเก่งค่ะ และมีขนาดเล็ก ไม่ค่อยกิน resource เครื่องค่ะ

พุธ พ.ค. 26, 2004 12:56 pm

อ้าว งั้นต้องไปซ์อ norton แล้ว เพราะตอนนี้ใช้ mac อยู่ ขอบคุณติงๆ มากครับ

พุธ พ.ค. 26, 2004 1:45 pm

AVG ได้รางวัลเพียบครับ

ส่วนผมใช้ McAfee อันที่เป็น subscription ซึ่งดาวโหลด definition
ทุกวันเป็นอย่างน้อย (บางทีทุกชั่วโมง) ส่วนใหญ่ก็ดาวโหลดทุกครั้ง
ที่ต่ออินเทอร์เน็ตครับ

อีกอันที่ช่วยได้มากคือ Personal Firewall ครับ มันสามารถดักจับพวก
โปรแกรมที่พยายามต่อเน็ตโดยเราไม่รู้ได้ แถมมีระบบ signature ใน
ตัวที่สามารถเช็คได้ว่า โปรแกรมต่างๆเกิดการเปลี่ยนแปลงหรือไม่
(ซึ่งถ้าไม่ใช่อัพเกรดมักจะมีสาเหตุหลักมาจากไวรัส)

พุธ พ.ค. 26, 2004 2:00 pm

พี่ครรชิตโดนตัวที่ ติดมากที่สุด ใน 24 ชั่วโมงนี้ครับ

http://us.mcafee.com/virusinfo/default. ... eriod_id=1

รายงานโดย mcafee

พุธ พ.ค. 26, 2004 2:21 pm

CK เวลา mcafee update นี่ จะมี ลูกศร หัวกลับ วิ่งลงมาที่เครื่องหมาย M พื้นแดง ตัวอักษร M สีขาว ใช่หรือไม่ครับ

เราจะรู้ได้อย่างไร ว่า mcafee ของเราตอนนี้รู้จักไวรัสตัวร้ายที่พี่ครรชิตติดอยู่

พุธ พ.ค. 26, 2004 3:26 pm

พี่เจ๋งคะ ถ้าใช้นายพลแม็คเหมือนพี่ CK อยู่แล้วไม่มีปัญหาก็ไม่น่าจะเป็นไรนะคะ ถ้าอัพเดทรายชื่อไวรัสบ่อยๆสม่ำเสมอ แต่ถ้าจะลองโปรแกรมอื่นเป็นทางเลือกก็ดีค่ะ ติงติงลง 3 โปรแกรมในเครื่องเดียวเลย ที่จริงมันคงจะไม่ดีนักค่ะที่ลงแบบนี้ แต่คิดเอาเองว่าเหมือนเอาผ้ากรองไว้สองสามชั้น จะได้โดนยากขึ้น อิอิ

ตัว W32.Netsky.S@mm เดือนที่แล้วติงๆโดนจดหมายส่งมาที่ตู้ hotmail บอกว่าเราส่งเมล์มีไวรัสตัวนี้ไปให้เขา เขาก็ตีกลับมา ดูชื่อคนส่งกลับมาก็ไม่รู้จักกันเลยใครไม่รู้ ไม่เคยส่งไปด้วย ก็มีมาแบบนี้วันละหลายฉบับ น้องที่รู้เรื่องเลยบอกว่า ถ้าเช็คเมล์จากโปรแกรม IE อาจเป็นได้ว่าเครื่องเราไม่ได้ติด แต่ว่ามันเอาที่อยู่เราเป็นตัวอ้างและก๊อปปี้ตัวเองส่งต่อไปเรื่อยๆ

W32.Netsky.S@mm ตัวนี้มันแปลงตัวเองเป็นจุด S จุด P และจุดอื่นๆได้ ตอนนี้ จุด P ระบาดหนักสุด ถ้าเราเปิดเครื่องเข้า safemode แล้ว scan ไม่เจอไวรัส ก็แสดงว่าเครื่องเราไม่มี แต่ต้องอัพเดทรายชื่อไวรัสตัวใหม่ล่าสุดก่อนนะคะ ทีนี้ถ้าใครส่งเมล์ต่อว่าแบบนี้มาอีกก็ลบเลย ไม่ต้องเปิดอ่านค่ะ รวมทั้งเมล์จั่วหัวทำนองว่า important!, Hello!, ฯลฯ ให้ลบออกเลยค่ะ

อันนี้ลอกมาจากเวบของ http://www.thaicert.nectec.or.th/ ค่ะ
W32.Netsky.S@mm หนอนชนิดนี้ถูกค้นพบในขณะที่มีอัตราการแพร่กระจายตัวสูงมากและมีลักษณะการทำงานคล้ายกับหนอนชนิดอื่นทั่วไป
คือมีความสามารถในการแพร่กระจายตัวผ่านทางอี-เมล์ นอกจากนั้นยังเปิดพอร์ตประตูลับ6789/TCP และสามารถทำ Denial of Service ไปยังเว็บไซต์ต่างๆ อีกด้วย
ซึ่งรายละเอียดและวิธีการกำจัดหนอนชนิดนี้อยู่ที่
http://www.thaicert.nectec.or.th/adviso ... tsky_s.php

พุธ พ.ค. 26, 2004 4:27 pm

ตอบพี่เจ๋ง ไม่รู้ครับ

ผมเล่นคอมฯ มา 21 ปีแล้ว ไม่เคยติดไวรัสสักตัวครับ

ปรากฎว่า พรุ่งนี้โดนเลย

การป้องกันที่ต้นเหตุสำคัญสุดครับ

1. ไม่อ่านอีเมล์ที่มี attachment แปลกๆ ไม่ว่าจากใครก็ตาม
2. ไม่รันโปรแกรมที่ได้มาจากแหล่งที่เชื่อถือไม่ได้
3. ลงโปรแกรมป้องกันไวรัสและไฟร์วอลล์ก่อนต่อเน็ตทุกครั้ง
4. ถ้ามีเว็บไหนถามว่าจะให้ install อะไรแปลกไหม ตอบ No ทุกครั้ง

เนี่ยฟง · พุธ พ.ค. 26, 2004 4:56 pm

ใช้บริการของ www.symmantec.com ดีมากครับมี removal tool ให้ด้วย

link:

http://securityresponse.symantec.com/av ... [email protected]

อ่านดูนะครับ อ่านไม่หมดก็ scroll ลงไปด้านล่างๆ เลย หาคำว่า removal tool ทำตาม recommendation

อย่าลืมเตรียม formatted floppy A 1 แผ่นไว้ save removal tool นะครับ
ถ้าให้ดีก็ไป download จากเครื่องที่ปลอดภัยแน่ๆจะดีมากครับ

สุดท้ายช่วง2-3 เดือนนี้อย่าเปิดmail จากใครที่ไม่ได้ไปยุ่งด้วยเลย
ถึงแม้จะมีนามสกุลเดียวกันกับที่ที่คุณทำงานอยู่
โดยเฉพาะมันบอกมาด้วยนะว่า save แน่ scan มาแล้ว พวกนี้แถมแน่ๆ

ที่รู้มากเพราะโดนมาแล้ว กว่าแก้ได้ปาไปครึ่งวันแนะครับ
(เพราะscan นาน)

พุธ พ.ค. 26, 2004 6:23 pm

ลองใช้ stinger ดูครับ
มีไวรัสบางตัวที่ mcafeeตรวจเจอแต่ฆ่าไม่ได้ ไม่รู้ทำไมเหมือนกันครับ

stinger เป็นของ mcafee เหมือนกัน แต่เป็นตัวเฉพาะกิจ เพื่อนผมบอกมาว่างั้น

ftp://cindy.cementhai.co.th/virus/dat/stinger227.exe
ไม่รู้โหลดได้รึป่าวนะครับ เพราะผมใช้ระบบintranet ของเครื่อซีเมนต์ไทย
ถ้าไม่ได้ลอง search ดูแล้วกันครับ

ผู้แอบอ่าน · พุธ พ.ค. 26, 2004 9:58 pm

คิดว่าคุณเจ๋งคงจะลงทะเบียนด้วย ถ้าต้องการรู้ว่า Mcfee up to date หรือไม่ก็ให้คลิกที่ตัว M สีแดง แล้วก็เข้าที่ security center ->virus scan -> up to date, เอ!ทาง Mcfee ส่ง Mail ให้เราทราบทุกครั้งไม่ใช่หรือครับว่ามี ไวรัสตัวใหม่เข้ามา แล้วเขาก็จะบอกให้เรา up date ด้วยครับ

พฤหัสฯ. พ.ค. 27, 2004 8:25 am

วันก่อน ผม ดาวน์โหลด งบดุลQ1 ของ scib ปรากฏว่าในนั้น McAfee บอกว่ามีไวรัส แล้ว Maafee ก็จัดการฆ่ามัน แล้วแจ้งคำเตือนออกมาให้ทราบ

ตอนนี้ ข้อความเตือน เรื่อง W32/Netsky.p@MM virus ในคอม. ของผมก็หายแล้ว ครับ