not-a-virus:Adware.win32.virtumond.id or something

  • warning: Illegal string offset 'data' in /home/ctcDruP2565/web/ctc.kbu.ac.th/public_html/drupal/includes/tablesort.inc on line 110.
  • warning: Illegal string offset 'data' in /home/ctcDruP2565/web/ctc.kbu.ac.th/public_html/drupal/includes/tablesort.inc on line 110.

สำหรับบางท่านที่ติดเชื้อโทรจันตัวนี้ เครื่องคอมพิวเตอร์จะทำงานช้า ถึงแม้จะใช้ HijackThis ช่วยก็ไม่สามารถเอามันออกได้ หรือต้องการลบไฟล์มันตรงๆ มันก็ไม่ยอมให้ลบ หรือกด delete ก็ไม่มีผลกับมัน ซะใจมันมาก แต่รำคาญสำหรับผู้ใช้งานหรือผู้ดำเนินการแก้ไข

อาการของเครื่องที่ติดเชื้อและผลของมัน
1.เครื่องทำงานช้า
2.ใช้ Internet Explorer มันจะทำงานทันที โดย Pop-up IE. windows เรื่อยๆ ไม่มีหยุด แต่ละหน้าจะเป็น http:\\\ (Firefox ไม่มีผล) จน windows ออกอาการ
3.ผลจากการ pop-up มันจะสร้างไฟล์ pos*.tmp ที่ drive c:\ไปเรื่อยๆ บางเครื่องมันสร้างไปแล้วเป็น หลักพัน ไฟล์ ลบไม่ได้ รู้สึกเข้า safe mode มันช้ามาก ไม่ไหว เลยเข้า์ Normal mode ดีกว่า
4.ไฟล์ที่มันกกดานชั่วคราวจะอยู่ที่ windows\system32\xxx.dll หลายตัว อาทิ

D:\WINDOWS\system32\awtqq.dll
D:\WINDOWS\system32\bktsaloc.dll
D:\WINDOWS\system32\bouxojmx.dll
D:\WINDOWS\system32\cjecijed.dll
D:\WINDOWS\system32\cueljjas.dll
D:\WINDOWS\system32\dhgnmyrb.exe
D:\WINDOWS\system32\fhmkdmem.exe
D:\WINDOWS\system32\idsplxhp.dll
D:\WINDOWS\system32\iifghhf.dll
D:\WINDOWS\system32\ikwctbuw.dll
D:\WINDOWS\system32\jminxeex.exe
D:\WINDOWS\system32\jskargbd.dll
D:\WINDOWS\system32\lrmsuhpp.exe
D:\WINDOWS\system32\mmehdmbp.dll
D:\WINDOWS\system32\mtwylkwc.dll
D:\WINDOWS\system32\oypqhadx.exe
D:\WINDOWS\system32\pciafspj.dll
D:\WINDOWS\system32\phnnhttm.dll
D:\WINDOWS\system32\qjqcbanm.dll
D:\WINDOWS\system32\qqtwa.bak1
D:\WINDOWS\system32\qqtwa.bak2
D:\WINDOWS\system32\qqtwa.ini
D:\WINDOWS\system32\tfrdocph.dll
D:\WINDOWS\system32\ueskmwut.dll
D:\WINDOWS\system32\ugohflil.dll
D:\WINDOWS\system32\wncywmsa.exe

...วิธีการง่ายๆ ไปทำการ download remove tool สำหรับ Trojan ตัวนี้ได้ตามไฟล์ที่แนบข้างล่างครับ

* Double-click VundoFix.exe to run it.
* When VundoFix re-opens, click the Scan for Vundo button.
* Once it's done scanning, click the Remove Vundo button.
* You will receive a prompt asking if you want to remove the files, click YES
* Once you click yes, your desktop will go blank as it starts removing Vundo.
* When completed, it will prompt that it will reboot your computer, click OK.

เมื่อรีสตาร์ทขึ้นมา หากไฟล์ Vundo ที่ทำการสแกนก่อนหน้านี้ยังไม่ถูกกำจัดหมด ตัว โปรแกรมนี้ก็จะออโต้รันขึ้นมาอีก
ให้เราคลิกปุ่ม “Scan for Vundo” ตามด้วย “Remove Vundo”ทำเหมือนเดิม จนกระทั่งเรารีสตาร์ทแล้ว โปรแกรมไม่ขึ้นมาอีก

จากนั้นไปลบไฟล์ Cookie ใน IE และ Browser อื่น ๆ
ใน IE หรือ Internet Explorer
1. ให้ปิดหน้าต่างอินเตอร์เน็ตและโปรแกรม Outlook
2. ไปที่ Control Panel > Internet Option > General tab
3. นำเมาส์คลิกที่ปุ่ม Delete Cookies
4. จากนั้นก็คลิกที่ ปุ่ม “Delete Files”
5. รอจนสถานะว่าง คือเม้าส์สามารถคลิกได้อีก ก็ให้ไปเช็คเครื่องหมายถูกในหน้าข้อความว่า “Delete all offline content” แล้วก็คลิก OK

สำหรับท่านที่ใช้งาน Firefox ก็สามารถลบ Cookies ได้ดังนี้
1. เปิด Firefox ขึ้นมาแล้วไปที่ Tool > Options
2. เลือกแท็บ Privacy
3. คลิกปุ่ม Clear เพื่อลบข้อมูลทั้งหมด ก็จะมีหน้าต่างเล็ก ๆ ขึ้นมา ให้ทำการเลือกว่าจะลบอะไรบ้าง ซึ่งจะมีทั้ง History, Cookies, Cache
4. คลิก OK แล้วออกจาก Option แล้วก็ปิด Firefox

สุดท้ายก็เคลียร์หรือลบพวก Temporary Files และ Files ในถังขยะ เพราะพวกประตูนรกบางตัวชอบอาศัยช่องทางนี้เพื่อหลบหลีกการจับกุมแล้วย้อนมาทำร้ายเราภายหลัง
1. ไปที่ Start > run และพิมพ์คำว่า “cleanmgr” เสร็จแล้ว คลิก OK
2. ปล่อยให้ระบบทำการสแกนและลบไฟล์ทิ้ง
3. ตรวจสอบสิ่งที่จะลบว่าเราคลิกเครื่องหมายถูกทุกอัน
4. เมื่อตรวจสอบแล้วก็คลิก OK ทำการลบทั้งหมด
และอย่าลืมไปลบไฟล์ที่มันสร้างขึ้นมาด้วย (pos*.tmp) ตามที่ระบุไว้

Thanks:
http://www.atribune.org
http://www.magmareport.com/webboard_detail.php?WBTopic_ID=9&PHPSESSID=cb...

AttachmentSize
VundoFix.exe129.5 KB
Posted In