วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS )

วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS )
How to remove cfxer.exe (Win32 AutoRun.KS : Detect by NOD32)

cfxer.exe
MD5 : 215B4DAD03AE4E05F6AB5F61F3106284
SHA1 Hash :E23A4547C2FE7B8DE8D98A6FA0A055A45ED9D7C8

ชื่ออื่นๆ ของแต่ละค่าย
AntiVir > TR/Crypt.XPACK.Gen
Avast > Win32:Trojan-gen {Other}
AVG > Generic12.BIUM
BitDefender > Packer.Krunchy.B
CAT-QuickHeal > Trojan.Pakes.muc
eSafe > Win32.Packed_Krunchy
F-Prot > W32/Heuristic-210!Eldorado
F-Secure > Trojan:W32/Agent.JBO
Kaspersky > Trojan.Win32.Pakes.muc
McAfee > Generic.dx
Microsoft > Trojan:Win32/Ircbrute
NOD32 > Win32 AutoRun.KS
Norman > W32/Packed_Krunchy.A
Panda > Generic TrojanSophos > Mal/Generic-A
Symantec > W32.Spybot.Worm
TrendMicro > TROJ_IRCBRUTE.BT

==================================================

จากการเก็บตัวอย่าง virus มาทดสอบ เมื่อ Run ไฟล์ cfxer.exe พบว่ามีการสร้างไฟล์อยู่ใน recycle bin
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe
c:\ Autorun.inf

คำสั่งภายใน autorun.inf
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeicon=%SystemRoot%\system32\SHELL32.dll,4action=Open folder to view filesshell\open=Openshell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exeshell\open\default=1

และมีการสร้าง Registry ขึ้นมาอยู่ที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"

มีการ remote host ทาง port 49932 ไปยัง IP 211.95.72.84 ในประเทศจีน

29-7-2009 21:58

ใน RECYCLER ถ้าเปิดเข้าไปดูจะไม่เห็นไฟล์อะไรอยู่ในถังขยะ ต้องลอง Zip ไฟล์ ถึงจะเห็นไฟล์ cfxer.exe และ desktop.ini อยู่ใน RECYCLER ดังภาพ ก่อน zip กับ หลัง zip หรือต้องดูด้วยโปรแกรม ExplorerXP จึงจะเห็นครับ

29-7-2009 21:58

ถ้าเครื่องที่ติด virus นี้ ต่อ internet อยู่ virus จะdownload script ไว้ที่ C:\Documents and Settings\Name (ชื่อที่ใช้ logon) ดังนี้ (ซึ่งถ้าเปลี่ยนชื่อไฟล์เป็น .txt จะเห็น script download virus อยู่ภายใน)
tvs2.exe
uac.exe
ukmx.exe
vmscon.exe
เพื่อโหลด virus ตัวอื่นๆ เช่น Download ver.exe (Win32/Small.NFH)
http://bestphotocard.com.p4.hostingprod.com/na.na
http://bestphotocard.com.p4.hostingprod.com/iefn.jx
http://bestphotocard.com.p4.hostingprod.com/ac.cc
http://zonetech.info/ver.exe ( อย่า download มาเล่นนะครับ เดี๋ยวจะหาว่าไม่เตือน)
และเมื่อไฟล์ ver ถูก run จะสร้างไฟล์ vse432.exe อยู่
c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe(Win32/Kryptik.BF)
ส่วนวิธีแก้ click link นี้ครับ vse432.exe(Win32/Kryptik.BF)



---------------------------------------------------------------------------------
วิธีกำจัด virus cfxer.exe ( Win32 AutoRun.KS : Detect by NOD32 )
---------------------------------------------------------------------------------

ผมจะไม่ค่อยเน้นรูปภาพ ต้องขออภัยนะครับ
1.ตัดการเชื่อมต่อ internet และ เอา flash drive ออกจาก USB port ก่อน
2. ติดตั้งโปรแกรม ExplorerXP และ Unlocker ให้เรียบร้อย
3. เปิดโปรแกรม ExplorerXP เข้าไปที่ไดว์ C:\RECYCLER\ แล้ว click ที่
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\
แล้วเลือกเมนู Unlocker จะขึ้นหน้าต่างดังภาพ ให้ click ที่ explorer แล้ว กดปุ่ม Unlock

29-7-2009 21:58

4. จากนั้น Click ที่ ถึงขยะเลข S-1-5-21-1482476501-1644491937-682003330-1013 แล้วกดปุ่ม Shift+Del
5. เข้าไปที่ไดว์ C:\ โดยใช้ โปรแกรม ExplorerXP แล้ว Delete autorun.inf
6. ติดตั้งโปรแกรม CPE17 แล้วค่อยเสียบ Flashdrive เพื่อกำจัด autorun.inf และ cfxer.exe ที่อยู่ใน folder RECYCLER

29-7-2009 21:58

7. Delete folder RECYCLER ใน FlashDrive (ใน FlashDrive ต้องไม่มี RECYCLER ถ้ามีให้สงสัยว่าเป็น virus)
8. click ที่เมนู start > run พิมพ์ regedit เลือกตามนี้
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
Delete ส่วนของ StubPath: "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cfxer.exe"

จบแล้วครับ วิธีแก้ virus cfxer.exe (Win32 AutoRun.KS : detect by NOD32)
คำแนะนำ : อย่าลืม update antivirus ให้เป็นปัจจุบันด้วยนะครับ


Credit

1. http://hotzone-it.blogspot.com

คัดลอกไปที่คลิปบอร์ด