เว็บมอนสเตอร์บล็อก – ข่าวไอที ไอที คอมพิวเตอร์ทิป อินเตอร์เน็ตทิป โปรแกรมฟรี ซอร์ฟแวร์ฟรี ฟรีแวร์ วินโดวส์ทิป ไฟร์ฟ๊อกซ์ทิป อีเมล์ทิป ไอทีทิป วินโดวส์ทิป วินโดวส์เทคนิค การใช้งานวินโดวส์ การใช้งานอินเตอร์เน็ต วิธีแก้ไขปัญหาไวรัส วิธีแก้ไขปัญหาสปายแวร์ วิธีการแก้ไขปัญหาคอมพิวเตอร์

ลบไวรัสสปายแวร์ที่มากับโปรแกรมSecurity Antivirus

มีใครเคยเจอหรือหลงไปดาวน์โหลดโปรแกรมSecurity Antivirus มาติดตั้งลงเครื่องมั่งครับ แล้วแน่ใจหรือเปล่าว่ามันเป็นโปรแกรมลบและกำจัดไวรัส สปายแวร์ได้จริงๆ

สำหรับโปรแกรมSecurity Antivirus นี้ มันก็เป็นโปรแกรมป้องกันและกำจัดไวรัสปลอมอีกหนึ่งโปรแกรมนะครับ ซึ่งมีการปรับปรุง เปลี่ยนแปลงมาจากโปรแกรม Virus Doctor, PC Live Guard, Live PC Care โดยโปรแกรมSecurity Antivirus นี้ มีการแพร่กระจายผ่านหน้าเว็บโฆษณา ป๊อบอัพ หรือเว็บสแกนไวรัสออนไลน์ปลอม ซึ่งมีการฝังพวกโทรจันเอาไว้ด้วย ซึ่งเมื่อผู้ใช้งานหรือเหลื่อหลงเชื่อ และหลงไปสแกนออนไลน์เข้า มันก็จะทำการติดตั้งโปรแกรมSecurity Antivirus ลงเครื่อง และตั้งค่าให้มันรันอัตโนมัติทุกครั้งที่เปิดเครื่อง รวมทั้งฝังพวกมัลแวร์ต่างๆลงไปด้วย ยกตัวอย่างเช่น

%UserProfile%\Recent\ANTIGEN.drv
%UserProfile%\Recent\ANTIGEN.exe
%UserProfile%\Recent\cid.dll
%UserProfile%\Recent\CLSV.drv
%UserProfile%\Recent\DBOLE.sys
%UserProfile%\Recent\ddv.dll
%UserProfile%\Recent\ddv.sys
%UserProfile%\Recent\energy.tmp
%UserProfile%\Recent\FS.drv
%UserProfile%\Recent\gid.drv
%UserProfile%\Recent\PE.drv
%UserProfile%\Recent\PE.exe
%UserProfile%\Recent\PE.sys
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\runddlkey.dll
%UserProfile%\Recent\std.exe
%UserProfile%\Recent\tjd.drv
%UserProfile%\Recent\tjd.sys

พร้อมกันนั้น มันก็ยังทำการแก้ HOSTS ไฟล์ เพื่อบล๊อกไม่ให้เหยื่อค้นหา หรือเล่นเน็ต เข้าเว็บที่เกี่ยวเนื่องกับแจ้งข่าว เตือนไวรัส เว็บป้องกันไวรัส ต่างๆ รวมทั้งเว็บค้นหาข้อมูลอย่าง google, yahoo, bing ก็จะเข้าไม่ได้ แต่มันจะส่งให้เหยื่อไปที่หน้าเว็บ findgala.com แทน ซึ่งคำสั่งที่มันแก้ไฟล์ HOSTS มีตัวอย่างดังนี้

74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
95.211.99.110 www.google.com
95.211.99.110 google.com
95.211.99.110 www.google-analytics.com
95.211.99.110 www.bing.com
95.211.99.110 search.yahoo.com
95.211.99.110 www.search.yahoo.com

และทุกครั้งที่เปิดเครื่องด้วยมันก็จะรันสแกนไวรัส สปายแวร์อัตโนมัติ และหากเจอไวรัส(ที่มันสร้างขึ้นมาเอง) ก็จะไม่สามารถลบหรือกำจัดออกไปได้ ต้องทำการซื้อโปรแกรมSecurity Antivirus ก่อน(สรุปง่ายๆ ก็คือ หลอกขายโปรแกรมให้เหยื่อ นั่นเอง) รวมทั้งจะมีป๊อบอัพข้อความขึ้นมาแจ้งเตือนให้รำคาญใจ เช่น

Potentially harmful programs have been detected in your system and need to be dealt with immediately. Click here to remove them using Security Antivirus.
Your PC may still be infected with dangerous viruses. Security Antivirus protection is needed to prevent data loss and avoid theft of your personal data and credit card details. Click here to activate protection.

Malicious applications, which may contain Trojans, were found on your computer and are to be removed immediately. Click here to remove these potentially harmful items using Security Antivirus.
No real-time malware, spyware and virus protection was found. Click here to activate.

และหากตรวจสอบดูเครื่องจะพบว่า
1. ลองดาวน์โหลดและใช้โปรแกรม HijackThis รันสแกนดู จะพบว่า log ดังนี้

O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 www.getavplusnow.com
O1 – Hosts: 74.125.45.100 safebrowsing-cache.google.com
O1 – Hosts: 74.125.45.100 urs.microsoft.com
O1 – Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 – Hosts: 74.125.45.100 paysoftbillsolution.com
O1 – Hosts: 74.125.45.100 protected.maxisoftwaremart.com
O1 – Hosts: 95.211.99.110 www.google.com
O1 – Hosts: 95.211.99.110 google.com
O1 – Hosts: 95.211.99.110 www.google-analytics.com
O1 – Hosts: 95.211.99.110 www.bing.com
O1 – Hosts: 95.211.99.110 search.yahoo.com
O1 – Hosts: 95.211.99.110 www.search.yahoo.com
O4 – HKCU\..\Run: [Security Antivirus] “C:\Documents and Settings\All Users\Application Data\345d567\SA345d.exe” /s /d

2. เปิดไปที่ My Computer แล้วเห็นไฟล์หรือโฟลเดอร์ดังต่อไปนี้

c:\Documents and Settings\All Users\Application Data\345d567\
c:\Documents and Settings\All Users\Application Data\345d567\72.mof
c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
c:\Documents and Settings\All Users\Application Data\345d567\SA345d.exe
c:\Documents and Settings\All Users\Application Data\345d567\SAV.ico
c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
c:\Documents and Settings\All Users\Application Data\345d567\BackUp
c:\Documents and Settings\All Users\Application Data\345d567\BackUp\Adobe Reader Speed Launch.lnk
c:\Documents and Settings\All Users\Application Data\345d567\BackUp\Adobe Reader Synchronizer.lnk
c:\Documents and Settings\All Users\Application Data\345d567\Quarantine Items\
c:\Documents and Settings\All Users\Application Data\345d567\SAVSys\
c:\Documents and Settings\All Users\Application Data\345d567\SAVSys\vd952342.bd
c:\Documents and Settings\All Users\Application Data\SADFIOPODIV\SAAKDUPV.cfg
c:\Program Files\Mozilla Firefox\searchplugins\search.xml
%UserProfile%\Application Data\Security Antivirus
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk
%UserProfile%\Application Data\Security Antivirus\cookies.sqlite
%UserProfile%\Desktop\Security Antivirus.lnk
%UserProfile%\Recent\ANTIGEN.drv
%UserProfile%\Recent\ANTIGEN.exe
%UserProfile%\Recent\cid.dll
%UserProfile%\Recent\CLSV.drv
%UserProfile%\Recent\DBOLE.sys
%UserProfile%\Recent\ddv.dll
%UserProfile%\Recent\ddv.sys
%UserProfile%\Recent\energy.tmp
%UserProfile%\Recent\FS.drv
%UserProfile%\Recent\gid.drv
%UserProfile%\Recent\PE.drv
%UserProfile%\Recent\PE.exe
%UserProfile%\Recent\PE.sys
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\runddlkey.dll
%UserProfile%\Recent\std.exe
%UserProfile%\Recent\tjd.drv
%UserProfile%\Recent\tjd.sys
%UserProfile%\Start Menu\Security Antivirus.lnk
%UserProfile%\Start Menu\Programs\Security Antivirus.lnk

3. ตรวจสอบที่ Registry Editor ของวินโดวส์ แล้วพบคีย์ต่อไปนี้

HKEY_CLASSES_ROOT\SA345d.DocHostUIHandler
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=195&q={searchTerms}”
HKEY_CURRENT_USER\Software\3
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=195&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer “PRS” =”http://127.0.0.1:27777/?inj=%ORIGINAL%”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform “App/7.00195″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Security Antivirus”

ถูกเพิ่มเข้ามา แสดงว่าเครื่องของคุณกำลังโดนไวรัส โทรจันที่มากับโปรแกรมSecurity Antivirus เล่นงานแล้วหล่ะครับ แล้วมีวิธีจัดการกับมันไหม?

วิธีลบไวรัส กำจัดโทรจัน สปายแวร์ที่มากับโปรแกรมSecurity Antivirus สามารถทำได้ดังนี้

วิธีที่ 1. ให้ดาวน์โหลดและติดตั้งโปรแกรม Malwarebytes Anti-Malware เพื่อรันกำจัดโปรแกรม Security Antivirus ออกไป ซึ่งสามารถดาวน์โหลดได้ที่:

* Malwarebytes Anti-Malware

และดูไกด์ไลน์หรือขั้นตอนวิธีการ เกี่ยวกับการติดตั้งและใช้งานโปรแกรม Malwarebytes Anti-Malware ได้ที่บทความ รีวิว MalwareBytes Anti-malware โปรแกรมฟรี แอนตี้และกำจัดมัลแวร์

วิธีที่ 2. ให้ดาวน์โหลดและติดตั้งโปรแกรม Spyware Doctor เพื่อรันกำจัดโปรแกรม Security Antivirus ออกไป ซึ่งสามารถดาวน์โหลดได้ที่:

* ดาวน์โหลด Spyware Doctor

ลองนำวิธีการข้างต้นไปใช้ลบโปรแกรม ลบไวรัส ลบสปายแวร์ Security Antivirus ออกจากเครื่องดูนะครับ ติดขัดหรือสงสัยประการใด โพสต์คอมเม้นท์ถามได้ครับ :)

Popularity: 1% [?]

Similar Posts

• วิธีลบไวรัส กำจัดสปายแวร์ Windows PC Defender
• วิธีลบไวรัส กำจัดสปายแวร์ที่มากับโปรแกรม Ghost Antivirus
• ลบไวรัสกำจัดโทรจันที่มากับโปรแกรมAntivirus Suite
• วิธีลบไวรัส กำจัดสปายแวร์ Internet Antivirus Pro
• ลบไวรัสกำจัดโทรจันprotectguru.com Antivirus Soft Antivirus Live

Posted in: virus spyware removal guides, virus spyware removal tools 5,707 views

 Print This Post

Tags: how to remove Security Antivirus, remove Security Antivirus, Security Antivirus removal, uninstall Security Antivirus, กำจัด Security Antivirus, กำจัดสปายแวร์, ถอดถอน Security Antivirus, รีมูฟ Security Antivirus, ลบ Security Antivirus, ลบโทรจัน, ลบโปรแกรม Security Antivirus, ลบโปรแกรมปลอม, โปรแกรมกำจัดสปายแวร์ปลอม, โปรแกรมกำจัดไวรัสปลอม, โปรแกรมลบสปายแวร์ปลอม, โปรแกรมลบไวรัสปลอม

This entry was posted on Sunday, February 21st, 2010 at 10:56 pm and is filed under virus spyware removal guides, virus spyware removal tools. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.