ใครเจอตัวนี้แล้วบ้างครับ พอดีน้องที่ office แจ้งมาวันนี้เอง อาการเบื้องต้นตามรูปครับ
http://pic.citecclub.org/out.php/i982_ietitle.jpg

ผม Analyst เบื้องต้น เป็นไว้รัสทำงานแบบ 16 bit, น่าจะมีลักษณะเหมือน Rootkit (เพราะโหลดเกียวกับ Driver เยอะ) และ pack ด้วย yoda....

ตอนนี้ Anti-virus ยังไม่รู้จักครับ NOD32 ไม่มีปฏิกริยา ทดสอบที่ virustotal ไม่มีเจ้าไหนเจอเลย (ทดสอบวันนี้) ผมแนบตัวอย่างมาให้ด้วยเผื่อใครอยากจะเอาไปช่วยวิเคราะห์ (เปลี่ยนนามสกุลเป็น exe ก่อนนะครับ)

**Hidden Content: Check the thread to see hidden data.**

ใครทราบวิธีแก้ไข รบกวนแจ้งด้วยนะครับ

ขอบคุณครับ

ปล. อันตรายนะครับ ควรจะไปรันใน VMWare!!!!!!

ผมว่าไวรัสที่ท่านโดน น่าจะ พวก vbs มากกว่า ที่ท่าน เอามามันมีแค่ นี้เอง

[{BE098140-A513-11D0-A3A4-00C04FD706EC}]..iconarea_image=C:\WINDOWS\Web\Wallpaper\VistaBliss.jpg..iconarea_text=0x00FFFFFF..


มันขนาดแค่ 124 bytes ท่านเอาไฟล์ผิดมาหรือเปล่าครับ :D

ขอ Log จากโปรแกรม Hijackthis ด้วยนะครับ
ทำตามนี้
http://citecclub.org/forum/index.php?showtopic=16741

ส่วนเบื่องต้นลอง taskmgr ดูว่าเจอ Process แปลกๆไหมถ้าไม่เจอก็ลองเอาโปรแกรม Process Explorer ลงแล้วหาดูอีกทีมัีนจะช่วยบอกว่าแต่ละโปรแกรมมาจากไหนของใครทำอะไร
ให้ดู Dependency ของ IE ด้วยว่ามีการโหลดโปรแกรมอะไรแปลกๆไหม (แต่ผมเดาว่าคงไม่เพราะมันคงแค่ไปแก้ทับ File Default Home page ของ IE)

นอกจากนั้นให้ลองเอา .exe หรือ ทั้ง Folder ใหม่ของ IE มาทับดูว่าหายไหม

ขอบคุณทั้งสองท่านนะครับ : )

บอกตรงๆ ไม่ใช่เครื่องผมหรอกครับ เครื่องน้องที่ Office ทีแรกผมก็คิดว่าเป็นแค่ VBS ธรรมดาครับ เลยให้น้องส่งเมล์ให้
มันส่งตัวนี้มา (ส่งใสเครื่องนั้นจะมีไวรัสหลายตัว : ))

ผมก็สงสัยว่าจะผิดไฟล์จริงๆ อย่างที่ท่าน neoclassic บอกนั่นแหละ ผมให้ Regmon, Filemon ดูแล้วก็ไม่เห็นมีเขี่ยนไฟล์หรือ
Reg เกี่ยวกับ IE เลย

แต่ตัวที่ส่งมาให้นี่ ผมคิดว่าก็เป็นไวรัสเหมือนกัน แต่อาจจะไม่ใช่ตัวที่ไปเปลี่ยน Default ของ IE


พรุ่งนี้คงต้องไปดูที่เครื่อง ต้นเหตุอีกครับ

ขอบคุณครับ

เป็นอย่างที่ท่าน neoclassic ว่าจริงๆ : )
นี่เป็นต้วค่าได้มาจากที่อืนอีกที...

http://file.citecclub.org/download.php?id=BCD4ADEF

เป็น .Net นะครับ ต้องมี DotNet Framework ก่อน