Thaiadmin

วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง

 :D  สรุป ให้ฟังคร่าว นะครับ ส่วนที่ผม ใช้งานแก้ไขให้ User  :D
หรือ เลื่อนลงไปดูที่ ความคิดเห็นที่ 27 ครับ


กระทู้ อ่านเสริมกันไป นะครับ การใช้งาน SCS Scanner Tool เพื่อหาเครื่องที่ติด Conficker


อ้างถึง

การแก้ไข อย่างเป็นทางการจาก Website microsoft  O0
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker

สืบเนื่องจาก กระทู้
    
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
http://www.thaiadmin.org/board/index.php?topic=95481.0

Windows Security Patch ที่โดนโจมตี และการใช้งาน Sysclean ของ Trend Officescan
http://www.thaiadmin.org/board/index.php?topic=95202.0

อ้างถึง
ชื่อ ของ ไวรัส
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)


ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากรเครือข่ายเพื่อทำการแพร่ระบาด

ขั้นตอนที่ 2. ทำการหยุดบริการ Server service เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์
**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่

จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services

การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)

http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)

ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้นตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้นตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จแล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
**Note
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง

ขั้นตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง

ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK

ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

ขั้นตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico

ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK

ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL

ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK

ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
AT /Delete /Yes
ขั้นตอนที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/) ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ห้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/) ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

ขั้นตอนที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal


ขอขอบคุณ
Manual Remove Conficker Downadup Virus
© 2009 Thai Windows Administrator, All Rights Reserved.
« แก้ไขครั้งสุดท้าย: 21 เมษายน 2011, 15:48:24 โดย นิค ณ ระยอง »
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ TechToy

  • ***
  • 166
  • 2
  • เพศ: ชาย
  • อยากรู้ ต้องลอง
    • counterserviceonline
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #1 เมื่อ: 22 มกราคม 2009, 13:12:02 »
เพิ่มเติมให้ครับ O0
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
ไมโครซอฟท์รวมถึงบริษัทด้านความปลอดภัยคอมพิวเตอร์หลายแห่งได้ประกาศเตือนให้ผู้ใช้ระบบวินโดวส์ระวังการระบาดของไวรัส W32/Conflicker หรือ W32/Downadup.AL

ไวรัส W32/Conflicker หรือ W32/Downadup.AL (โปรแกรมป้องกันไวรัสบางตัวเรียกว่า Net-Worm.Win32.Kido) จะโจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว

สำหรับสาเหตุที่เกิดการระบาดของเวิร์ม W32/Conflicker หรือ W32/Downadup.AL อย่างหนักนั้น ส่วนหนึ่งเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติดตั้งแพตช์ นอกจากนี้ในบางสายพันธุ์ของไวรัส W32/Conflicker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง

รายละเอียดของไวรัส W32/Conflicker หรือ W32/Downadup.AL
W32/Downadup.AL หรือ W32/Downadup.AL เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเวิร์ม ซึ่งแพร่ระบาดเข้าติดเครื่องคอมพิวเตอร์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าหากเวิร์มเข้าติดเครื่องคอมพิวเตอร์สำเร็จและระบบมีการเปิดใช้งานการแชร์ มันก็จะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัส นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ด้วย หลังจากไวรัสเข้าติดเครื่องคอมพิวเตอร์แล้ว มันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟล์มัลแวร์จากอินเทอร์เน็ต

ชื่อ: W32/Conflicker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Win32.Worm.Downadup.Gen (BitDefender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)
Confickr
ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems

การทำงานของไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อไฟล์ไวรัสถูกเอ็กซีคิวต์ มันจะทำงานต่างๆ ดังนี้

• ทำการสำเนาคัวเองลงในโฟลเดอร์ต่างๆ ดังนี้
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp

โดยไฟล์แต่ละไฟล์จะถูกแก้ไขไทมแสตมป์ให้ตรงกับไฟล์ %System%\kernel32.dll จากนั้นเวิร์มจะทำการสร้างค่ารีจีสทรีเพื่อให้วินโดวส์ทำการเอ็กซีคิวต์เวิร์มทุกครั้งที่ระบบสตาร์ท

• อาจจะทำการสร้างไฟล์บนไดร์ฟเก็บข้อมูลแบบพกพาดังนี้
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf

• ทำการแอทแทชตัวมันเองกับโปรเซสต่างๆ ดังนี้
svchost.exe
explorer.exe
services.exe

• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้
- Windows Automatic Update Service (wuauserv)
- Background Intelligent Transfer Service (BITS)
- Windows Security Center Service (wscsvc)
- Windows Defender Service (WinDefend)
- Error Reporting Service (ERSvc)
- Windows Error Reporting Service (WerSvc)

• ทำการรันคำสั่งเพื่อปิดการทำงาน TCP/IP auto-tuning บน Windows Vista ดังนี้
netsh interface tcp set global autotuning=disabled

• ทำการฮุค API เพื่อบล็อคการแอคเซสโดเมนยาวๆ ดังนี้
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

• เกิด Account lockout เนื่องจากไวรัสทำการแก้ไขรีจีสทรีเพื่อให้ทำการโจมตีระบบเครือข่ายดังนี้
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"

• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet

hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้ Windows Automatic Update Service (wuauserv), Background Intelligent Transfer Service (BITS), Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Error Reporting Service (ERSvc) และ Windows Error Reporting Service (WerSvc)
• เกิด Account lockout
• เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองเครื่องลูกข่ายช้าผิดปกติ
• ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้

วิธีการแพร่ระบาด
ไวรัส W32/Conflicker หรือ W32/Downadup.AL นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพา (บนระบบที่มีการเปิดใช้งาน AutoPlay)

วิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวลจากเว็บไซต์ http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์อัพเดท http://update.microsoft.com/microsoftupdate


การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
• Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive

• Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet

วิธีการแก้ไข
สำหรับท่านที่โดนเวิร์ม W32/Conflicker หรือ W32/Downadup.AL เล่นงาน สามารถแก้ไขโดยโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Downadup ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• FSMRT ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Malicious Software Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html


แหล่งข้อมูลอ้างอิง
http://www.f-secure.com/weblog/archives/00001576.html
http://support.microsoft.com/kb/962007
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

ที่มา:http://thaiwinadmin.blogspot.com/2009/01/kb037.html
คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #2 เมื่อ: 26 มกราคม 2009, 08:32:58 »
Removal Tool สำหรับแก้ไวรัส Conficker หรือ Downadup
สำหรับ ท่านที่โดนไวรัส Conficker หรือ Downadup เล่นงาน สามารถดาวน์โหลดเครื่องมีอ Removal Tool สำหรับแก้ไขได้จากเว็บไซต์ต่างๆ ดังนี้


• F-Secure
ดาวน์โหลด F-Downadup ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
ดาวน์โหลด FSMRT ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

• Microsoft
ดาวน์โหลด Malicious Software Removal Tool (MSRT)ได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830

• BitDefender
ดาวน์โหลด BitDefender Removal Tool ได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

• McAfee
ดาวน์ โหลด McAfee Stinger ได้ที่เว็บไซต์ http://vil.nai.com/vil/stinger/ หรือ http://download.nai.com/products/mcafee-avert/stinger10000482.exe

• Symantec
ดาวน์โหลด W32.Downadup Removal Tool ได้ที่เว็บไซต์
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

• Norman
ดาวน์โหลด Conficker Removal Tool ได้ที่เว็บไซต์
http://www.norman.com/Virus/Virus_removal_tools/54879/ หรือ http://download.norman.no/public/Norman_Conficker_Cleaner.exe

ดาวน์โหลดอัพเดท 958644 (MS08-067)
    สามารอ่านรายละเอียดการดาวน์โหลดอัพเดท 958644 (MS08-067) ของวินโดวส์ทุกระบบได้ที่เว็บไซต์ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx หรือดาวน์โหลดอัพเดทได้ตามรายละเอียดด้านล่าง
Windows XP SP2 และ Windows XP SP3
Windows Server 2003 SP1 และ Windows Server 2003 SP2
Windows Vista และ Windows Vista SP1


W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup Removal Tool

© 2009 Thai Windows Administrator, All Rights Reserved.
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

anuchap

Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #3 เมื่อ: 28 มกราคม 2009, 20:04:30 »
ผมใช้ Endpoint Solution 11.0.4000.2295 (ล่าสุด)
พบว่าใน Application Log พบ file 'xxxxxx' และลบไปแล้ว
แต่ยังพบ log รายการดังกล่าว อยู่หลาย ๆ ข้อความในแต่ละวัน

พยายามหาไฟล์ .dll แล้ว แต่ไม่พบเลย จะทำอย่างไรดีครับ

รบกวนผู้รู้ให้คำแนะนำด้วยครับ

anuchap

Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #4 เมื่อ: 28 มกราคม 2009, 20:06:44 »
ขอบคุณสำหรับข้อมูล มีประโยชน์มากครับ

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
การรับมือ และ การจัดการ ไวรัส W32.Conficker.C หรือ W32.Downandup.C
« ตอบกลับ #5 เมื่อ: 29 มกราคม 2009, 08:09:47 »
การรับมือ และ การจัดการ ไวรัส W32.Conficker.C หรือ W32.Downandup.C

เผยแพร่โดย ThaiCERT
http://www.thaicert.org/advisory/alert/conficker.php

ชื่อ : W32.Conficker.C หรือ W32.Downandup.C
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : W32/Conficker.C [Microsoft, CA], W32.Downandup.C [Symantec], Mal/Conficker-B [Sophos], Worm:W32/Downadup.DY [F-Secure], Trojan-Downloader.Win32.Kido.a [Kaspersky]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
วิเคราะห์และเรียบเรียงโดย: กิติศักดิ์ จิรวรรณกูล


---------------------------------------------------

ข้อมูลทั่วไป

อ้างถึง
ประกาศ โปรดดำเนินการโดยเร่งด่วน

ต้องดำเนินการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ก่อนวันที่ 1 เมษายน 2552 เพื่อป้องกันการแพร่กระจายของหนอนชนิดนี้ และป้องกันไม่ให้หนอนทำการเชื่อมต่อไปยังเว็บไซต์ภายนอก
โปรดอ่านรายละเอียดเพิ่มเติมที่ MS08-067 หรือ CA-2008-29


    W32.Conficker.C หรือ W32.Downandup.C เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29 ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service) รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย [1][2]

    หนอนชนิดนี้ยังมีความสามารถในการหยุดการเข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส รวมทั้งเว็บไซต์ของ CERT ต่างๆ จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552 หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix) [2]


ภาพแสดงโค้ดของหนอนที่บ่งบอกถึงการทำงานของหนอนในวันที่ 1 เมษายน 2552 (ภาพจากเว็บไซต์ [3])

วิธีการแพร่กระจาย

    หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ที่ MS08-067 ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์ที่ใช้รหัสผ่านที่อ่อนแอ

ผลกระทบที่เกิดขึ้น
  - เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษาความปลอดภัยด้วย
  - เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์
  - เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Conficker.C หรือ W32.Downandup.C ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้


วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ

1. ดาวน์โหลดไฟล์ FixDwndp.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
2. เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
3. ปิดการทำงานทุกโปรแกรม
4. ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
5. ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน ดังรายละเอียดเพิ่มเติมของ ME และ XP
6. ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
7. รีสตาร์ทเครื่อง
8. รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
9. เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
10 เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของระบบปฏิบัติการตามประกาศของไมโครซอฟท์หมายเลข MS08-067
2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
3. สแกนไฟล์ในไดร์ฟ USB ก่อนเปิดใช้งานทุกครั้ง
4. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
5. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์


เอกสารอ้างอิง

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.C
http://mtc.sri.com/Conficker/addendumC/
http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx
http://www.f-secure.com/weblog/archives/00001636.html
http://news.cnet.com/8301-1009_3-10204590-83.html?tag=newsLeadStoriesArea.1
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=77976
http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99
 

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***


เผยแพร่โดย ThaiCERT
http://www.thaicert.org/advisory/alert/conficker.php
« แก้ไขครั้งสุดท้าย: 31 มีนาคม 2009, 11:32:54 โดย นิค ณ.ระยอง ™ »
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

anuchap

Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #6 เมื่อ: 29 มกราคม 2009, 23:23:22 »
.dll ที่ว่า

อาจอยู๋ใน C:\Windows\System32

ลองเรียง Modify Date ดู

เดี๋ยวจะลองไล่หาดูทีละไฟล์อีกทีครับ

แต่วันนี้ ดูว่าจะเงียบไปหลังจากที่เข้าไปลบ Task ใน Scheduler ออกไปทั้งหมดแล้ว

ผมใช้วิธีจากกระทู้นี้ ไปตรวจสอบขั้นสุดท้าย ว่ายังมีหรือไม่ (โดยเฉพาะกลุ่ม Servers  ถ้าลงใหม่คงจะใช้เวลามากทีเดียว)
ซึ่งเป็นประโยชน์มาก เพราะทำให้มั่นใจว่ามาถูกทางแล้ว
ขอบคุณมาก ๆ ครับ

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #7 เมื่อ: 30 มกราคม 2009, 09:35:49 »
Task ใน Scheduler
ผม ไม่ได้ใช้ หน่ะ ที่Office เลย Disable Service ทั้งแต่ ทำ Master เครื่องแล้ว
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

soontron7

Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #8 เมื่อ: 30 มกราคม 2009, 14:05:54 »
การลบไวรัส Conficker หรือ Downadup.AL  ใช้ลบ Win32/Conficker.AB worm ได้หรือเปล่าคับ ใช่ไวรัสตัวเดียวกันหรือเปล่าคับ
 ขอบคุณคับ

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #9 เมื่อ: 30 มกราคม 2009, 14:12:59 »
การลบไวรัส Conficker หรือ Downadup.AL  ใช้ลบ Win32/Conficker.AB worm ได้หรือเปล่าคับ ใช่ไวรัสตัวเดียวกันหรือเปล่าคับ
 ขอบคุณคับ

ถูกต้อง  ต้อง Update Microsoft Security Patch ก่อนนะครับ
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ hodkum

  • ****
  • 125
  • 0
  • เพศ: ชาย
  • " ถ้าคิดจะล้มควาย จงอย่าเสียดายเกลือ "
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #10 เมื่อ: 2 กุมภาพันธ์ 2009, 09:37:35 »
ทำไมผมใช้ Removal Tool ของ Symantec  ไม่หายนะ

วิธีทำของผม
1ดาวน์โหลดและทำการติดตั้งแพตซ์ 958644 (MS08-067)แล้วมาติดตั้ง
2.ใช้ Removal Tool ของ Symantec  scan
 ก็ยังไม่สามารถเข้า web พวก • ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ได้ เช่น microsoft symantec ตกหล่นตรงไหนเปล่าครับเป็นที่ server 2003R2  Pack2
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #11 เมื่อ: 2 กุมภาพันธ์ 2009, 10:01:43 »
ทำไมผมใช้ Removal Tool ของ Symantec  ไม่หายนะ

วิธีทำของผม
1ดาวน์โหลดและทำการติดตั้งแพตซ์ 958644 (MS08-067)แล้วมาติดตั้ง
2.ใช้ Removal Tool ของ Symantec  scan
 ก็ยังไม่สามารถเข้า web พวก • ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ได้ เช่น microsoft symantec ตกหล่นตรงไหนเปล่าครับเป็นที่ server 2003R2  Pack2


Virus คนละตัว กันหรือเปล่า
จริงๆ Antivirus ทุกตัว ตอนนี้ น่าจะรู้จักไวรัสตัวนี้หมดแล้วนะ
อีกอย่าง สามารถ Clean ได้ด้วย

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ hodkum

  • ****
  • 125
  • 0
  • เพศ: ชาย
  • " ถ้าคิดจะล้มควาย จงอย่าเสียดายเกลือ "
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #12 เมื่อ: 2 กุมภาพันธ์ 2009, 10:30:48 »
ผมเข้าพวก web antivirusและ microsoft  ไม่ได้เลยทำให้ไม่สามารถอัป ตัวsacnvirus ได้


มีรูปที่stinger1000 จับเจอแต่ทำไรไม่ได้นะยังscan ไม่หมด
« แก้ไขครั้งสุดท้าย: 2 กุมภาพันธ์ 2009, 10:47:43 โดย hodkum »
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #13 เมื่อ: 2 กุมภาพันธ์ 2009, 11:06:02 »
ก่อหน้านี้ เมื่อ ปลายปี Confricker มีออกมา เหมือนกัน
MS Patch ต้องติดตั้งด้วย

ผม Up หมด
KB894391
KB921883
KB927891
KB958644
KB957097
KB835732
IE 6-7-KB960714
KB958687
KB957095
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ hodkum

  • ****
  • 125
  • 0
  • เพศ: ชาย
  • " ถ้าคิดจะล้มควาย จงอย่าเสียดายเกลือ "
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #14 เมื่อ: 2 กุมภาพันธ์ 2009, 16:37:33 »
สรุป nod32 จับเจอและสามารถ del ได้ตอนนี้สามารถ เข้า web update windows ได้แล้วไม่รู้มาก่อนเลยนะว่าที่นี่คือแหล่งกบดาบของมัน SERVER ของเราคือที่อยู่ที่แสนดีของมันไปเลย
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ เป่า

  • *****
  • 492
  • 1
  • เพศ: ชาย
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #15 เมื่อ: 2 กุมภาพันธ์ 2009, 16:41:50 »
สรุป nod32 จับเจอและสามารถ del ได้ตอนนี้สามารถ เข้า web update windows ได้แล้วไม่รู้มาก่อนเลยนะว่าที่นี่คือแหล่งกบดาบของมัน SERVER ของเราคือที่อยู่ที่แสนดีของมันไปเลย

ใช้ Nod V3 ขึ้นแบบนี้เหมือนกันครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #16 เมื่อ: 2 กุมภาพันธ์ 2009, 16:44:42 »
ของผม ที่เอาไปให้ Office เพื่อ ใช้ ลอง ลง Server ดู

เขียน Policy คุม NOD32 แบบ เต็มๆ เลยนะ
มัน work มากครับ
ใช้มา จะ ปีแล้ว ยังไม่พบว่า มีหลุด  ดู จาก log แล้ว
ปกติ ดี ครับ
จับไฟล์แชร์ User ได้เพียบเลย
ตอนนี้ DISK จะเต็มแล้ว user เอาหลัง ไปใส่ เอาไวรัส ไปปล่อย เฮ๋อๆๆ
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ CREATIVE

  • ***
  • 216
  • 1
  • เพศ: ชาย
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #17 เมื่อ: 10 กุมภาพันธ์ 2009, 11:07:27 »
เจอแล้วครับท่านทั้งหลายเจ้งกานไปๆๆๆๆๆ
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #18 เมื่อ: 16 กุมภาพันธ์ 2009, 14:44:19 »
Malicious Software Removal Tool - Update ครับใช้กำจัดได้
http://www.microsoft.com/security/malwareremove/default.mspx

หลังจากเข้าหน้าเว็บให้เลือกที่ Skip the details and download the tool เพื่อที่จะทำการดาวน์โหลด Tools กำจัดมา
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ เป่า

  • *****
  • 492
  • 1
  • เพศ: ชาย
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #19 เมื่อ: 16 กุมภาพันธ์ 2009, 16:25:17 »
ของผมโหลดมาแล้วก็เอาไม่อยู่เหมือนเดิมนะครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #20 เมื่อ: 16 กุมภาพันธ์ 2009, 17:00:26 »
ต้องเข้าใจ ครับ
ใน Network และ Internet ยังคงมีการยิงเข้ามาเรื่อยๆ ครับ

ถ้าจะ ดู กัน จริงๆ ลำบากหน่อยนะ ต้อง Moniter log เอาว่า มันยิงมาจากเครื่องไหน

ลองดู
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #21 เมื่อ: 16 กุมภาพันธ์ 2009, 17:21:43 »
แนะนำครับถ้าหากว่ามีงบนิดหน่อยให้ทำ Firewall ด้วย Linux เลยดีกว่าครับตัวไหนก็ได้ อย่าใช้ ISA เด็ดขาดเพราะ ISA มันก็ยังต้องอ้างอิงกับ Windows อยู่ดี อาจนำพวก SmoothWall หรือ Endian Firewall มาวางกั้นก่อนออกเน็ตไว้เลยครับ  สามารถกันได้ถ้าเป็นจากภายนอกเพราะเคยใช้อยู่พักนึง (แต่ตอนนี้เอา FortiGate มาวางไว้หน้า SmoothWall อีกทีนึง เอาไว้กันคนละอย่าง)
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #22 เมื่อ: 18 กุมภาพันธ์ 2009, 10:27:28 »
วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง



**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่



ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

คุณนิคครับ

ปกติทุกครึ่งชั่วโมง bitdefender ของผมจะป๊อบอัพเตือนว่าถูกโจมดี

ผมเลยทำตามขั้นตอนที่คุณนิคให้มา ทั้ง patch ทั้งแก้ registry ก็โอเค ดูสงบ ไม่มีเตือน

ใช้งาน server ได้ตามปกติ print ผ่าน network ก็ได้ เล่น net รับเมล์ เจ๋งเลย

แต่พอเปิด service server เท่านั้นแหละ โดนอีกจนได้ เป็นเพราะอะไรครับ



ส่วนที่โคว้ตสีแดงมา ผมไม่เจอค่านั้นครับ เป็นเพราะตรงนี้รึเปล่า หรือยังมี patch ตัวไหนที่ผมตกหล่นครับนอกจากตัว 985644

เพราะไม่เคยอัพเดทเลยครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #23 เมื่อ: 18 กุมภาพันธ์ 2009, 10:29:49 »
ชะอุ่ย

charin_rrr

แนะนำให้ Download Patch

KB894391
KB921883
KB927891
KB958644
KB957097
KB835732
KB958687
KB957095
KB96071

ผมเล่นยก Patch
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #24 เมื่อ: 18 กุมภาพันธ์ 2009, 11:45:31 »
ขอบคุณครับ

เดี๋ยวพรุ่งนี้จะลองครับ

ได้ผลยังไงจะมาเล่าให้ฟัง

เพราะเห็นบางคนโพสต์ว่าแก้ไม่ได้เหมือนกันครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ AppleNaKin

  • **
  • 103
  • 0
  • เพศ: หญิง
  • ผู้ด้อยประสบการณ์ แต่ ความพยายามสูงงง....
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #25 เมื่อ: 20 กุมภาพันธ์ 2009, 23:05:16 »
ขอบคุณม๊าก ๆ ค่ะสำหรับขขอมูลและ คำแนะนำดี ๆ เช่นนี้ ว่าแต่ว่า เก่งจังค่ะ O0 .... :D  ได้ใชทันตาเห็นเลยค่ะ เพราะสถานะตอนนี้ ติดอยู่ ทั้ง Domain 30 กว่าเครื่องเห็นจะได้ เงออออ เราควรเริ่มจากตรงไหนดีค่ะ ที่เครื่อง server ต้องปิด อันดับแรก ใช่ไหมค่ะ ต่อมาคงไล่ทำเครื่องลูก ๆ แต่ละเครื่องให้หมด แล้วจะรู้ได้งัยค่ะว่ามันหายแล้ว จริง ๆ สงสัยค่ะ
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #26 เมื่อ: 21 กุมภาพันธ์ 2009, 01:38:03 »
ขอบคุณม๊าก ๆ ค่ะสำหรับขขอมูลและ คำแนะนำดี ๆ เช่นนี้ ว่าแต่ว่า เก่งจังค่ะ O0 .... :D  ได้ใชทันตาเห็นเลยค่ะ เพราะสถานะตอนนี้ ติดอยู่ ทั้ง Domain 30 กว่าเครื่องเห็นจะได้ เงออออ เราควรเริ่มจากตรงไหนดีค่ะ ที่เครื่อง server ต้องปิด อันดับแรก ใช่ไหมค่ะ ต่อมาคงไล่ทำเครื่องลูก ๆ แต่ละเครื่องให้หมด แล้วจะรู้ได้งัยค่ะว่ามันหายแล้ว จริง ๆ สงสัยค่ะ

ถ้าเป็นไปได้ให้ทำเป็น Email แจ้ง พนง. ก่อน ว่าจะทำการ Down ระบบ ช่วงเวลาไหน เพื่อ อะไร กระทบกับอะไรบ้างในช่วงที่ Down

จากนั้น เริ่มต้นที่ Server Antivirus ก่อนเลย Update Patch ตั้งแต่ Server
เมื่อ Server ขึ้นได้แล้ว ต้อง Clean ด้วย
ให้ ทำการ Deploy จาก AD อาจทำเป็น Logon Script Deploy Patch
และ แนะนำให้ Scan Antivirus ที่ Client ตาม

ทำ ครั้งเดียว เสียวทั้งระบบ
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
สรุปการแก้ Conficker หรือ Downadup
« ตอบกลับ #27 เมื่อ: 3 มีนาคม 2009, 16:05:51 »
สรุป ให้ฟังคร่าว นะครับ ส่วนที่ผม ใช้งานแก้ไขให้ User

1. ให้ Admin ทำการ Download Patch ของ Microsoft ทั้งหมดที่เกี่ยวข้อง ไม่ว่า จะเป็น For Windows Server หรือ Windows Client
ปล. Patch ที่ใช้เขียน Batch Files ไว้ Run dos ที่ผม โยนไปให้ User  คือ
* L:\ คือ Drive Share นะครับ ตอนใช้ อาจเพิ่ม คำสั่ง @net use L: \\IP_Server\share_drive เข้าไปก็ได้
** KBxxxxx ผมไม่พูดถึงนะครับ ให้ไป Search Download กันเอง ไม่น่ายากแค่เอาชื่อ KB ไป Search ก็ได้แล้ว ผมรวมแหลกครับ
โค๊ด: [Select]
@echo. Security Update for Windows XP.
@net use L: \\192.168.1.200\kb
@start /wait L:\KB894391.exe /quiet /norestart
@start /wait L:\KB921883.exe /quiet /norestart
@start /wait L:\KB927891.exe /quiet /norestart
@start /wait L:\KB958644.exe /quiet /norestart
@start /wait L:\KB957097.exe /quiet /norestart
@start /wait L:\KB835732.exe /quiet /norestart
@start /wait L:\KB958687.exe /quiet /norestart
@start /wait L:\KB957095.exe /quiet /norestart
@start /wait L:\WindowsXP-IE7-KB960714-x86-ENU.exe /quiet /norestart
@start /wait L:\IE7-WindowsXP-KB961260-x86-ENU.exe /quiet /norestart
@start /wait L:\WindowsXP-IE6-KB960714-x86-ENU.exe /quiet /norestart
@net use L: /delete /Yes

2. จัดการ ยิงให้ User
- ใช้ Domain เป็นตัว Deploy ครับ ทำเป็น Script Login เช้าๆ User Login เข้า Domain มันก็จะมี หน้า Dos ขึ้นมา ก็แจ้ง User ให้ทราบก่อนแล้วกันว่า IT มีการ Update โปรแกรม นะครับ  User เขาจะได้ ไม่ปิด หน้าต่าง นั้น
- ใช้วิธี เดิน Admin พบประชาชน เข้าไป Update Patch โดยวิธี เดิน เข้าไปคุย อันนี้ ผมคงไม่ทำอ่ะ เหนื่อยเปล่า แต่ถ้าเครื่องน้อย ทำได้ครับ
แนะนำเพิ่ม สำหรับการเดิน
ให้ รวมๆ ไฟล์ ไว้ที่เดียวกัน แล้ว ใช้ WInrar Zip เป็น EXE นะครับ
วิธีทำลองไป อะแด๊ปจาก http://www.com-th.net/webboard/index.php?topic=19380.0
แต่ผมจะใช้ วิธีกด Accep แล้ว แตกไฟล์ลง C:\MSFixIT แล้วให้ใช้ ไฟล์ bat ข้างบน เป้นตัวเรียก ติดตั้ง อีกครั้งนึง


เมื่อ ติดตั้ง Update Patch Client เสร็จแล้ว
เราก็มาถึงการทำการ Scan Virus กัน
มีทางเลือก ให้ 3 ทาง
1. ใช้ Antivirus ที่คุณใช้งาน สั่ง Scan Client ได้เลย
2. ใช้ Tools Fix ต่างๆ เข้ามาช่วย
3. ใช้ Microsoft Windows Malicious Software Removal Tool  ตาม KB ชื่อ kb890830

มาทำการ SCAN แต่ในเนื้อหานี้ ผมขอเสนอ การใช้งาน การ Scan จาก ข้อ 3 นะครับ
ลำดับแรก เรื่อมด้วยการ เขียน Batch files dos ก่อนครับ ตาม code นี้
* เงื่อนไข การแชร์ไฟล์
\\192.168.1.200\kb\ เอาไว้เก็บ KB ชือ่ windows-kb890830-v2.7.exe   <---Permission = Everyone  Read only
\\192.168.1.200\log\ เอาไว้ เก็บ log Virus ที่ scan มา เก็บไว้ ดู ย้อนหลัง <--- Permission Everyone Full Read/Write

โค๊ด: [Select]
@echo off

if exist "%windir%\debug\mrt.log" del "%windir%\debug\mrt.log"

eventcreate /l APPLICATION /so MSRT /t INFORMATION /id 1000 /d " Malicious Software Removal Tool (KB890830): Deleted old log file if exists. Next starting new scan."

Start /wait \\192.168.1.200\kb\windows-kb890830-v2.7.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12

eventcreate /l APPLICATION /so MSRT /t INFORMATION /id 1000 /d " Malicious Software Removal Tool (KB890830) did not report an error and should be executing. Next command is sleep 600"

sleep.exe 600


copy %windir%\debug\mrt.log \\192.168.1.200\log\%computername%_%username%_mrt.log
eventcreate /l APPLICATION /so MSRT /t INFORMATION /id 1000 /d " Malicious Software Removal Tool (KB890830) should have copied the log file to the server."
Goto end


:error13
Ismif32.exe –f MaliciousSoftwareRemovalTool –p KB890830-MaliciousSoftwareRemovalTool –d " text about error 13"
eventcreate /l APPLICATION /so MSRT /t ERROR /id 1000 /d " Malicious Software Removal Tool (KB890830) had error 13"
Goto end


:error 12
Ismif32.exe –f MaliciousSoftwareRemovalTool –p KB890830-MaliciousSoftwareRemovalTool –d " text about error 12"
eventcreate /l APPLICATION /so MSRT /t ERROR /id 1000 /d " Malicious Software Removal Tool (KB890830) had error 12"
Goto end

:end

หนทางการเอาไปใช้งาน
1. Admin จะส่ง email ตัว Script Batch file ไปให้ user run ก้ได้ครับ แต่ user ต้อง ต่อ network  ก่อนนะครับ ถ้าอยู่ บ้าน คง ต้อง VPN เข้ามาแล้วหล่ะ
2. หรือจะใช้ Domain ทำการ deploy เหมือน กับการ Patch ก็ได้
3. หรือ จะใช้วิธี Admin IT พบประชาชน ก็ได้ ครับ จะได้หูชากันไป

Log ที่ได้จากการ Scan จะได้มาเป็น text ไฟล์ ให้ Admin เปิดดู พิจารณา นะครับ ว่ามีการ Clean Virus ให้ด้วยหรือเปล่า ตัวอย่าง

โค๊ด: [Select]

---------------------------------------------------------------------------------------

Microsoft Windows Malicious Software Removal Tool v2.6, January 2009
Started On Wed Feb 04 09:51:43 2009

Quick Scan Results:
----------------
Found virus: Worm:Win32/Conficker.B in file://C:\WINDOWS\system32\dhliu.dll

Quick Scan Removal Results
----------------
Start 'remove' for service://rfjqrbgj
Operation succeeded !

Start 'remove' for file://\\?\C:\WINDOWS\system32\dhliu.dll
Operation was scheduled to be completed after next reboot.


Results Summary:
----------------
For cleaning Worm:Win32/Conficker.B, the system needs to be restarted.

Return code: 10
Microsoft Windows Malicious Software Removal Tool Finished On Wed Feb 04 09:52:34 2009

Clean เรียบร้อย ครับ


ในส่วนทั้งหมด ที่กล่าวมา นะครับ
เป็นเพียงการป้องกัน ระดับนึง
ส่วนการทำงาน จริงๆ 365 วัน คุณจะมาป้องกัน หรือ แก้ไขปัญหา แบบนี้ จริงๆ คงไม่ไหว
โปรแกรม Antivirus ดีๆ และ การจัดการ ที่ดีๆ จะช่วยลดภาระ ในส่วนนี้ได้เยอะครับ

ก่อนการตัดสินใจซื้อโปรแกรมองกรณ์ ใดใด แนะนำให้ ท่าน ทำ demo เพื่อในการตัดสิน ด้วยนะครับ


หากมีปัญหา สงสัย ตรงส่วนใด สอบถามเพิ่มเติมได้ครับ

อ้างถึง
เพิ่ม Link สำหรับท่านที่ติดปัญหา Win32/Conficker.b ไป Disable user บน AD
http://support.microsoft.com/kb/962007
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
« แก้ไขครั้งสุดท้าย: 11 มีนาคม 2009, 12:24:07 โดย นิค ณ.ระยอง »
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ นิค ณ ระยอง

  • *****
  • 1,539
  • 19
  • เพศ: ชาย
  • นิค ณ ระยอง
    • My Facebook
Files ที่ใช้ ทำ Batch และ install
« ตอบกลับ #28 เมื่อ: 3 มีนาคม 2009, 16:17:10 »
Files ที่ใช้ ทำ Batch และ install

จะพยายาม นำมาให้ ครับ

อ้างถึง

http://www.mediafire.com/?sharekey=10ea0cde48f85b2072fe51beb8fb6bfb79d731a14ac698f1
Disk Share by Media Files
nick@na-man.com

1. FixDownadup Tools Fix ของ Symantec
2. Malicious Software Removal Tool (KB890830) + สคริป สำหรับ ทำ log Viewer Virus
3. MSPatch เป็นตัว ติดตั้ง อัตโนมัติ สำหรับ เอาไว้เดิน ไปพบประชาชน
4. ScriptLoginDomain สคริป Login


*** ขออภัย Admin ด้วย เพราะ เนื้อหา มันยาว ขอ ซอยกระทู้ นะครับ ***
คนอื่น จะได้แบ่ง คอลั่มถูก
« แก้ไขครั้งสุดท้าย: 3 มีนาคม 2009, 16:36:51 โดย นิค ณ.ระยอง »
ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

ออฟไลน์ poy_local

  • ****
  • 173
  • 1
  • ^^หนุ่มสุรินทร์เหลา^^
Re: วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง
« ตอบกลับ #29 เมื่อ: 5 มีนาคม 2009, 23:44:37 »
ผมก็โดนไอ้ตัวนี้เหมือนกันคับ ปวดหัวไปวันหนึ่งเต็ม ๆ  มันทำให้ระบบแชร์ปริ้น ไม่ทำงาน user ปริ้นไม่ออก ที่ทำงานผม ปริ้นทั้งวันด้วยซิ เดียวก็โทรมาแระ ไม่ออก
อีกแล้ว เดินทั้งวัน เลยไปได้เจ้าตัว  WWDC มีปิดพอร์ต ไว้ดูใน Log ของ Nod ก็เจอ ลองทำเครืองไหม่ 12 ตัวพร้อมกัน  ด้วย systemrescuecd
เสร็จแล้วตั้งเครืองไหม่เลย ประมาณชั่วหนึ่งมาอีกแระ หาไปแต่ละทีทยอยลบไปเรื่อย ไม่หมดสักที
คราวนี้รายงาน it manager ขอเข้าไปดูที่ samba ของ linux เกรงว่าจะอยู่ในนั้น โดนหัวหน้าสวนมาซะยับเลย
ทั้งด่า ทั้งสั่งสอน บอกมันคนละ OS กัน มันจะไปอยู่ได้ คิดหน่อยนะ หัวสมองนะ  ผมนี้    :-X   เซงเลย

พี่ช่วยตอบผมหนอ่ยซิคับ  มันเป็นไปได้มั่ย กับที่ผมคิดว่ามันอยู่ใน samba น้อยใจนิดๆ กำลังมองหาที่ไหม่ๆ ที่เจ้านายใจกว้างกว่านี้หน่อย
เป็น helpdesk แต่ไม่มีสิทธิ์เข้าห้อง  server เวลาเน็ต down ก็ต้องวิ่งหาที่ telnet ssh ตามโต๊ะ user  เฮ้อ ขอระบายนิดหน่อยนะคับ
เข้าห้อง server เป็นสิทธิ์ของ วิศวะไอที จะ restart network แต่ละทีวิ่งมาถาม helpdesk ว่าลืมแล้ว ใช้คำสั่งอะไร    :P  บอกหน่อย
แล้วอยู่ไปเราจะรุ่งหรือจะจมเนี้ย    สู้ๆๆ