เข้าไปค้นหาต้นตอ แล้วจัดการลบ ไฟล์นี้ด่วน
Files:
C:\Documents and Settings\Administrator\Application Data\ntuser.dat
C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE
How to quickly detect malware presence?
Registry: HKCU\Software\Microsoft\Widows\CurrentVersion\Run\Microsoft Firewall 2.9
Value: “C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE”
Value: “C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE”
Files:
วิธีเข้า regedit นั้น ให้คลิกตรงปุ่ม Start ตรงปุ่มล่างซ้าย แล้วเลื่อนขึ้นไปคลิกปุ่ม Run ในช่องข้อความพิมพ์ว่า regedit แล้ว Enter
vbinject.iv
ประเภท : หนอน
Alias : win32/vbinject.iv, malware.ramnit, w32.ramnit.b!inf, virus.win32.nimnul.a, w32/ngvck, virus:win32/ramnit.gen!b, virus.win32.ramnit
คำอธิบาย : VBInject.IV เป็นหนอนสำหรับแพลตฟอร์ม VBInject.IV มีฟังก์ชันให้ทำงานโดยอัตโนมัติและสร้างแฟ้มข้อมูลในระบบ
Files
- C:\Documents and Settings\user-account-name\Local Settings\Temp\swo4.exe
- C:\Documents and Settings\user-account-name\Local Settings\Temp\MSFW.exe
- appdatadir%\WMPRWISE.EXE
Registry Values
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Firewall 2.9
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Firewall 2.9
Name: Microsoft Firewall 2.9
Filename: WMPRWISE.EXE
ommand: %AppData%\WMPRWISE.EXE
Description: Added by the Troj/Agent-ROB Trojan.
File Location: %AppData%
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.
HijackThis Category: O4 Entry
Note: %AppData% refers to the current users Application Data folder. By default, this is C:\Documents and Settings\\Application Data for Windows 2000/XP. For Windows Vista and Windows 7 it is C:\Users\\AppData\Roaming or C:\Users\\AppData\Local.
Removal Instructions: How to remove a Trojan, Virus, Worm, or other Malware
++++++++++++นี่คือข้อมูลที่หาเจอจากเวบอื่นๆ++++++
คือไม่รู้ว่ามันติดมาได้ยังไงอะครับ
เพิ่งเป็นเมื่อคืน ใช้งาน facebook / msn / เล่นเว็บตามปกติ
สักพักก็จะมีหน้าจอ Help and Support Center เด้งขึ้นมา
แล้ว CPU จะทำงาน 100% หนักที่ตัวที่ชื่อว่า bonjour.exe
แล้วก็จะหายไป โปรแกรม anti-virus ก็จะแจ้งเตือนว่าเจอไวรัส
ชื่อ hiddenexr/crypted ก็เลยกดลบไป
แล้วมันจะเด้งหน้าต่าง error ของ WMPRWISE.EXE ขึ้นมา
มันจะเป็นแบบนี้ซ้ำไปซ้ำมาเรื่อยๆ นานๆ 10-20 นาทีครั้งอะครับ
ขอความช่วยเหลือจากผู้รู้หน่อยครับ เครื่องผมใช้ีร่มแดง สแกนไม่เจอเลย
+++++++++++++++++
WMPRWISE.EXE – trojan Nedsym
We checked up the file WMPRWISE.EXE and found it hazardous.
The file WMPRWISE.EXE must be deleted from the system immediately.
Kill the process WMPRWISE.EXE and remove WMPRWISE.EXE from the Windows startup.
Malware Analysis of WMPRWISE.EXE
Executed: C:\sand-box\23.exe
Removed: WMPRWISE.EXE. Full path: C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE
—————————————————————————————————————————-Detected by UnHackMe:
Item Name: Microsoft Firewall 2.9
Author: Unknown
Related File: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\WMPRWISE.EXE
Type: Registry Run
Item Name: WMPRWISE.EXE
Author: Unknown
Related File: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\WMPRWISE.EXE
Type: Running Processes
Removal Results: Success
Number of reboot: 1
—————————————————————————————————————————-
How to quickly detect malware presence?
Registry: HKCU\Software\Microsoft\Widows\CurrentVersion\Run\Microsoft Firewall 2.9
Value: “C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE”
Files:
C:\Documents and Settings\Administrator\Application Data\ntuser.dat
C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE
—————————————————————————————————————————-
Classification:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| F-Secure | 9.0.16160.0 | 2011.03.01 | Gen:Variant.Kazy.8275 |
| Kaspersky | 7.0.0.125 | 2011.03.01 | Trojan.Win32.Pakes.oqu |
| Microsoft | 1.6603 | 2011.03.01 | Trojan:Win32/Nedsym.G |
| NOD32 | 5915 | 2011.02.28 | a variant of Win32/Extats.A |
MD5 e481c289782427f8122f393b9411a494
SHA1 3dd55afd31c31978650a23133b3612d62422ec3a
SHA256 c5b0a7ca9e8db7fd4091e06f232f4e6d853df87ed492d50e2deaa0a0ceb07ef5
—————————————————————————————————————————-
ไม่มีความคิดเห็น:
แสดงความคิดเห็น