ลบไวรัสกำจัดโทรจันที่มากับโปรแกรมAntivirus Suite

สวัสดีครับ มีใครที่เจอโปรแกรมAntivirus Suite มาบ้าง และใครที่หลงไปซื้อหรือติดตั้งโปรแกรมตัวนี้ลงเครื่องบ้างแล้วครับ

สำหรับโปรแกรมAntivirus Suite นี้ ใครที่เจอหรือหลงไปติดตั้งและซื้อโปรแกรมAntivirus Suite มาแสดงว่าคุณโดนหลอกแล้วหล่ะครับ เพราะมันไม่ใช่โปรแรกมป้องกันและกำจัดไวรัส สปายแวร์ได้จริงๆ ทั้งหมดทั้งมวล มันคือโปรแกรมป้องกันไวรัส กำจัดสปายแวร์ปลอมครับ ถูกสร้างขึ้นมาเพื่อหลอกขายโปรแกรม หรือพูดง่ายๆ ก็คือหลอกเอาเงิน นั่นแหล่ะครับ ซึ่งโปรแกรมAntivirus Suite นี้ ก็เป็นโปรแกรมในตระกูลเดียวกันกับโปรแกรมAntivirus Soft

การทำงานของโปรแกรมAntivirus Suite
โปรแกรมAntivirus Suite นี้ ทำการแฟร่กระจายผ่านทางหน้าเว็บไซต์ หน้าเว็บโฆษณา ป๊อบอัพต่างๆ คล้ายๆกับการแพร่กระจายของโปรแรกมป้องกันไวรัสปลอมอื่นๆ เมื่อผู้ใช้งานหลงไปดาวน์โหลดและติดตั้งลงเครื่อง มันก็จะทำการตั้งค่าให้ตัวเองรันทำงานอัตโนมัติ ทุกครั้งที่เปิดเครื่อง และรันสแกนไวรัส สปายแวร์ให้อัตโนมัติ ซึ่งทำการสร้างไวรัส สปายแวร์ปลอมขึ้นมา เพื่อหลอกผู้ใช้งานให้หลงเชื่อด้วย และเมื่อมันแจ้งผลการสแกนว่าเจอไวรัส สปายแวร์(ที่มันสร้างขึ้นมาเอง ไม่ใช่ไวรัส สปายแวร์จริงๆ) และหากจะทำการลบไวรัส สปายแวร์นั้น จะไม่สามารถทำได้ มันจะแจ้งให้ซื้อโปรแกรมเวอร์ชั่นเต็มก่อน ซึ่งนี่ก็คือหนึ่งในทริกที่จะหลอกให้เหยื่อ หรือผู้ใช้งานหลงเชื่อ แล้วจ่ายตังค์ไป

นอกจากนี้มันยังเข้าทำการยืดโปรแกรมInternet Explorer และแจ้งข้อความว่า Internet Explorer Warning – visiting this web site may harm your computer! ทุกครั้งที่เปิดโปรแกรมInternet Explorer รวมไปถึงมันจะแจ้งข้อความเกี่ยวกับไวรัส สปายแวร์เพื่อหลอกให้ผู้ใช้งานตกใจ หรือหลงไปดาวน์โหลดโปรแกรมหรือไวรัส โทรจันมาลงเครื่องได้โดยที่ไม่รู้ตัว ยกตัวอย่างข้อความเช่น

Antivirus software alert
Infiltration Alert
Your computer is being attacked by an internet virus. It could be a password-stealing attack, a trojan – dropper or similar.
Details
Attack from: ip address, port 39096
Attacked Port: 30516
Threat: Win32/Nuqel.E

Windows Security alert
Windows reports that computer is infected. Antivirus software helps to protect your computer against viruses and other security threats. Click here for the scan you computer. Your system might be at risk now.

Windows Security Alert
Application cannot be executed. The file cmd.exe is infected. Do you want to active your antivirus software now?

วิธีตรวจสอบและลบไวรัสกำจัดโทรจันAntivirus Suiteสามารถทำได้ดังนี้
1. หากรันเช็คด้วยโปรแกรมHijackThis จะพบว่ามี log ดังต่อไปนี้

O4 – HKLM\..\Run: [RANDOM] %UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]sysguard.exe
O4 – HKCU\..\Run: [RANDOM] %UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]sysguard.exe
O4 – HKLM\..\Run: [RANDOM] %UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]ftav.exe
O4 – HKCU\..\Run: [RANDOM] %UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]ftav.exe

2. เปิดไฟที่ My Computer จะพบว่ามีไฟล์และโฟลเดอร์ ดังต่อไปนี้

%UserProfile%\Local Settings\Application Data\[RANDOM]
%UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]sysguard.exe
%UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]ftav.exe
%UserProfile%\Local Settings\Application Data\[RANDOM]\[RANDOM]tssd.exe

3. หากตรวจสอบหรือค้นหาดูใน Windows Registry จะพบว่ามีค่าคีย์ต่อไปนี้

HKEY_CURRENT_USER\Software\AvScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[RANDOM]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[RANDOM]

วิธีลบไวรัสกำจัดโทรจันAntivirus Suiteสามารถทำได้ดังนี้
1. ให้ดาวน์โหลดโปรแกรมHijackThis มาไว้ที่เครื่อง โดยในขณะที่หน้าต่างบันทึกไฟล์ ปรากฏขึ้นมา ให้เปลี่ยนชื่อที่ช่อง File Name จาก HijackThis.exe ไปเป็น MyHJT.exe แล้วกดปุ่ม Save

2. จากนั้นให้ไปดับเบิ้ลคลิกที่ไฟล์ชื่อ MyHJT.exe เพื่อรันโปรแกรมHijackThis เมื่อโปรแกรมHijackThis ถูกเปิดขึ้นมา ให้คลิกที่ปุ่ม Do a system scan only จากนั้นให้มองหาบรรทัดที่มีข้อความ ต่อไปนี้

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O4 – HKLM\..\Run: [arlsknkw] C:\Documents and Settings\user\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
O4 – HKCU\..\Run: [arlsknkw] C:\Documents and Settings\user\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
O4 – HKCU\..\Run: [vcspymsv] “C:\Users\Owner\AppData\Local\bbenmt\badwsftav.exe”
O4 – HKCU\..\Run: [udcqinjy] “C:\Users\Owner\AppData\Local\rhjimj\bogjsftav.exe”
O4 – HKLM\..\Run: [kjwerkje] C:\Documents and Settings\user\Local Settings\Application Data\asdasd\qweqwetssd.exe
O4 – HKCU\..\Run: [qlweklqw] C:\Documents and Settings\user\Local Settings\Application Data\qweqwe\adasdastssd.exe

หมายเหตุ ข้อความที่เจอในเครื่องคุณ อาจจะไม่เหมือนข้างต้น แต่ให้สังเกตว่าถ้ามีไฟล์ชื่อ sysguard.exe หรือ ftav.exe หรือ tssd.exe อยู่ด้านหลัง และมี 04 อยู่ด้านหน้า แสดงว่าเป็นตัวเดียวกันครับ

3. ให้คลิกเครื่องหมายถูกหน้าข้อความข้างต้น แล้วกดปุ่ม fix checked จากนั้นก็ปิดโปรแกรมHijackThis ออกไป

4. จากนั้นให้ดาวน์โหลดและติดตั้งโปรแกรม Malwarebytes Anti-Malware เพื่อรันกำจัดโปรแกรม Antivirus Suite ออกไป ซึ่งสามารถดาวน์โหลดได้ที่:

* Malwarebytes Anti-Malware

และดูไกด์ไลน์หรือขั้นตอนวิธีการ เกี่ยวกับการติดตั้งและใช้งานโปรแกรม Malwarebytes Anti-Malware ได้ที่บทความ รีวิว MalwareBytes Anti-malware โปรแกรมฟรี แอนตี้และกำจัดมัลแวร์

ลองนำวิธีการข้างต้นไปใช้ลบโปรแกรม ลบไวรัส ลบสปายแวร์ที่มากับโปรแกรมAntivirus Suite ออกจากเครื่องดูนะครับ ติดขัดหรือสงสัยประการใด โพสต์คอมเม้นท์ถามได้ครับ :)

Popularity: 1% [?]

Similar Posts

Posted in: virus spyware removal guides, virus spyware removal tools 3,524 views

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading ... Loading ...
Print This Post Print This Post

Tags: , , , , , , , , , , ,





This entry was posted on Tuesday, April 6th, 2010 at 10:58 pm and is filed under virus spyware removal guides, virus spyware removal tools. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

2 Responses to “ลบไวรัสกำจัดโทรจันที่มากับโปรแกรมAntivirus Suite”

bank April 7th, 2010 at 3:36 pm

อยากทราบว่า ต้องทำใน safe mode ใช่ไหมครับ
ผมทำใน safe mode ลบแล้ว ยังไม่หาย
ยังเหมือนเดิมครับ

รบกวนด้วยนะครับ

ขอบคุณครับ  อ้างถึง(Quote)

admin April 7th, 2010 at 5:22 pm

bank: อยากทราบว่า ต้องทำใน safe mode ใช่ไหมครับ
ผมทำใน safe mode ลบแล้ว ยังไม่หาย
ยังเหมือนเดิมครับรบกวนด้วยนะครับขอบคุณครับ  

ในโหมด safe mode with networking ครับ ใช้ HijackThis รันสแกนดู เจอ log ที่บอกไปไหมครับ และในขั้นตอนการสแกนด้วยโปรแกรมMalwarebytes Anti-Malware ก่อนสแกนให้ทำการอัพเดทโปรแกรมMalwarebytes Anti-Malware ให้ล่าสุดก่อนนะครับ  อ้างถึง(Quote)

Leave a Reply

CAPTCHA image
Characters in the image above (required)

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at www.gravatar.com

ไอที | ดาวน์โหลดวิดีโอยูทูป | สร้างไอคอนเว็บฟรี | บอร์ดไอทีสุขภาพ | ฟังเพลงลูกทุ่งใหม่ๆ | ฟังเพลงลูกกรุง | ฟังเพลงเพื่อชีวิต | ฟังเพลงเฮฟวีเมทัล | บึงกาฬ | ไอเลิฟเบราว์เซอร์ | ข้อสอบตำรวจ | ป้ายทวิตเตอร์ | แจ้งโฆษณาฟรี | โปรแกรมคำนวณด้าย | สร้างลายเซ็นต์อีเมล์