Tuesday, 23 June 2015

EXPLORER.EXE(watermask) kill


--------------------------------
Windows ႀကီးကို ဖြင့္လိုက္တယ္ ပံုမွန္အတိုင္းတက္လာတယ္ Login လုပ္ရမယ့္ေနရာမွာ USername and password ၿဖည့္တယ္ ကဲၿပသနာက အဲလိုၿဖည့္ၿပီးတာနဲ ့ Desktop ႀကီးမေပၚလာပဲ အမည္းေရာင္စကရင္ကတာ ႀကီးစိုးေနတယ္.. ဘာဆိုဘာမွကိုမေပၚတာ..

ကဲ အလြယ္တကူေၿဖရွင္းနည္းကေတာ့ ကီးဘုတ္ကေန Ctrl+Shift+Esc ဒီကီး၃ခုကိုႏွိပ္ၿပီး Application ေအာက္က New Task ကိုႏွိပ္ၿပီးexplorer.exe လို ့ရိုက္ၿပီးEnter ႏွိပ္လိုက္တာနဲ ့Desktop ႀကီးက ဟေခ်ာင္းေလာင္းဆိုၿပီးေပၚလာတယ္ ေပ်ာ္ၿပီးထမခုန္ေနနဲ ့ အဲဒါခနပဲေနာက္ပိုင္းwindows တက္တိုင္း ဒီၿပသနာကအၿမဲၿဖစ္ေနမွာ အၿမဲတမ္းလဲ အေပၚကလိုေၿဖရွင္းေနရမယ္ သာမန္user က အဲလိုေၿဖရွင္းနည္းမသိေတာ့ Technician အၿမဲေခၚလုပ္ခိုင္းရတယ္ technician ကလဲ ေၿဖရွင္းနည္းကိုေၿပာၿပလိုက္ၿပီး user ကိုပဲလုပ္ခိုင္းမယ္ဆိုရင္လဲ ဘယ္သူမဆိုဒီလိုႀကီးလုပ္ေနရတာ ဘယ္လိုခ်င္ပါ့မတုန္း.... ဘာေဆာ့၀ဲလ္မ်ားရွိလဲမသိ ရွာၿပီးေၿဖရွင္းႀကည့္မယ္..
မစဥ္းစားေလနဲ ့ နည္းပညာေလာကမွာသိတဲ့အတိုင္းပဲ ပညာ လြန္က်ဴးသူက Virus ကိုဖန္တီးေလတယ္ လူတခ်ိဳ ့ကေတာ့ Virus ႏွိမ္နင္းနဲ ့ ေဆာ့၀ဲလ္ထြင္ၿပီး စီးပြားၿဖစ္တယ္ ...အဲဒီလူတခ်ိဳ ့ကပဲ စီးပြားၿဖစ္...virus ကိုၿပန္ဖန္တီးၿပီး Solution ထုတ္ၿပီး ငါ့ Antivirus ေရာင္းတန္း၀င္ရန္အလို့ငွာ လုပ္ႀကၿပန္တယ္.....

ကဲ ႀကားက user ေတြအိတ္ကပ္ထဲက မန္းနီးမန္းနီးေတြ jumping jumping ၿဖစ္ကုန္တာေပါ့ အေပၚက လူ၂မ်ိဳးထက္ပိုေႀကာက္ဖို့ေကာင္းတာက Freewareေတြ crack ေတြ ..utility software သမားေတြက ပိုေႀကာက္ဖို ့ေကာင္းတယ္ totally free ဆိုၿပီးေပးscan ေလးလုပ္တကယ္ရွင္းမွ registered လုပ္ခိုင္းၿပီး ပိုက္ဆံေတာင္းတာမ်ိဳး တကယ္ေကာင္းရင္မ်ိဳးမေကာင္းပဲ ပိုက္ဆဲေတြခ်ည္းသမသြားတဲ့လူကမ်ားသား...ေနာက္တမ်ိဳးက တကယ္ေကာင္းပါရဲ ့ သူ ့ေဆာ့၀ဲေလး Run ၿပီးခ်ိန္မွာ ကိုယ္မသိလိုက္တဲ့ Background process တခ်ိဳ ့ပါဖြင့္ၿပီး သူတို ့ကို remote ဆက္သြယ္လို့ရမယ့္ port number တခုခုကိုသံုးၿပီးကိုယ့္ကြန္ပ်ဴတာထဲက Bank account လိုမ်ိဳး username and password လိုမ်ိဳး information ေတြကို ယူငင္သြားႀကတယ္...အဲလိုလူမ်ိဳးကမွ ကတယ့္သူေတာ္ေကာင္းမ်က္ႏွာဖံုးနဲ ့ေနာက္ေႀကာ ဓားထိုးတာ သံုးစြဲသူေတြအေနနဲ ့တကယ္သတိထားသင့္ပါတယ္...

ကဲၿပန္ဆက္မယ္ ဘာေဆာ့၀ဲလ္မွ မလိုဘူး...Manually ေၿဖရွင္းလို ့ရတယ္ windows system တခုလံုးမွာ မသလို သံုးမိတာပဲရွိမယ္ ဘာၿဖစ္ၿဖစ္ ေဆာ့၀ဲမလိုပဲရွင္းလို ့ရတဲ့ကိစၥႀကီးပဲ ေသခ်ာတာကေတာ့ ဒီၿပသနာမွာ ပထမဆံုးလုပ္သင့္တာကေတာ့
Run ကိုသြားပါ (Ctrl+r)>Regedit လို ့ရိုက္ၿပီး -Enter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon အဲဒီအထိသြားလိုက္ဗ်ာ...ၿပီးရင္ညာဘက္က Shell ကို၂ခ်က္ႏွိပ္ၿပီး
Browse through the list to \Shell
Value data ေနရာမွာ explorer.exe ၿဖစ္ေနရမယ္ အဲလိုမဟုတ္ပဲ နာမည္တၿခားဟာ သို ့မဟုတ္ explorer.exe chrome.exe လိုမ်ိဳး ေပၚေနရင္အကုန္စာသားေတြဖ်က္ၿပီး explorer.exe လို ့ရိုက္ၿပီး click ok -restart ခ်လိုက္ ကဲ ၁၀၀% ေကာင္းသြားပါၿပီး..ၿပီးင္ေတာ့ကြန္ပ်ဴတာကို antivirus update လုပ္ထားတာနဲ ့ စစ္လိုက္ပါ....Microsoft Security Essential ကေတာ့ တကယ္ေကာင္းပါတယ္ စမ္းသံုးႀကည့္ပါ..
(မွတ္ခ်က္ က်ေတာ့္ကိုင္ရတဲ့စကမွာ chrome ကိုက္ေနေတာ့ chrome.exe လို ့ေပၚေနတာပါ-chrome virus အလြယ္ရွင္းနည္းကေတာ့ Task manager မွာ chrome.exe ကိုပိတ္ေပးပါ run box မွာ msconfig လို ့ရိုက္ၿပီး statrt up မွာchrome.exe ဆိုတာကုိအမွန္ၿဖစ္ၿဖဳတ္ restart ခ်ပါ

chrome တညန္း(gtalk virus) ကိုက္ထားတဲ့စက္ေတြက အမ်ားစု task manager နဲ ့ Folder option and registry ပိတ္ထားတတ္ပါတယ္ ကြ်န္ေတာ္ကေတာ့ အဲဒါေတြ ၿပန္ၿဖည္တဲ့နည္းေရးမေနေတာ့ဘူး ပို့စ္ရွည္ေနမွာစိုးလို ့ အလြယ္တကူပဲ အင္တာနက္ကေနCombofix ဆိုတာေဒါင္းၿပီးrun လိုက္ပါ task manager ,registry ၿပန္ရပါလိမ့္မယ္ folder option ကေတာ့Group policy management ကေန ၿပန္လုပ္ယူလို ့ရပါတယ္ ) ကဲ တခါနည္း chrome ရွင္းနည္းေၿပာခဲ့မယ္ မိတ္ေဆြကြန္ပ်ဴတာက task manager ရပီးလို ့ယူဆလိုက္မယ္ မရေသးလဲ ခုနက msconfig ကေန restart ခ်လို ့ၿပန္တက္လာၿပီးးဆိုရင္ combofix run ပါ..အခုvirus ကိုသတ္ေတာ့မယ္ သူရပ္တည္ေနတာကေတာ့

C: ေအာက္မွာ another partion D:/G:H: တခုခုေအာက္မွာရွိတယ္ chrome.exe သူ့ကိုေမာင္းႏွင္ဖို ့ autorun.inf ဆိုတဲ့ဖိုင္ပါရွိတယ္ တၿခားေနရာကေတာ့C:\windows and C:\windwos\system32 အဲဒီေအာက္မွာရွိတယ္......

ကဲသတ္ေတာ့မယ္ C:D:အစရွိတဲ့drive ေအာက္မွာFolder ေတြကို exe ပြားထားတယ္...Folder.exe သြားမဖ်က္နဲ ့ အလကားပဲ run ေနတဲ့ chrome.exe ကိုမပိတ္ပဲ chrome.exeမဖ်က္ပဲ ဘာမွမထူးဘူးဖ်က္လဲၿပန္ေပၚမွာပဲ

ကဲ taskmanager ရရင္ အဲကေန chrome.exe ကိုend process ေပး မရရင္ေတာ့
Run ကေန cmd ရိုက္ enter..
ၿပီးရင္ taskkill /IM chrome.exe လို ့ရိုက္လိုက္...
ၿပီးရင္ လက္ရွိေရာက္ေနတဲ့ေနရာက အမ်ားစုကေတာ့ C:\Document and setting\User ၿဖစ္တာမ်ားတယ္ အဲကေန cd.. Enter cd.. Enter ဆိုၿပီး၂ခါေလာက္ cd ရိုက္ enter ေခါက္ၿပီး C:/ ေနရာကိုသြား
attrib -s -r -h *.* ရိုက္ enter ေခါက္
Del chrome.exe
လို ့ရိုက္ enter ေခါက္ chrome.exe ကိုိပိတ္ထားၿပီးၿဖစ္တဲ့အတြက္ del autorun.inf လို ့ရိုက္ပီးautorun file ကိုပါဖ်က္ၿပီးရင္ cd windows လို ့ရိုက္ ၿပီးရင္ attrib -s -r -h *.*

Del chrome.exe
ၿပီး cd system32
attrib -s -r -h *.*
del chrome.exe
ကဲၿပီးရင္ D: (မိမိမွာရွိတဲ့ drive ကိုေရြး G ဆိုရင္ G: H ဆိုရင္ H: ဘာမွမရွိရင္ မလိုပါဘူး)
ရွင္ရင္ေတာ့ D: လို ့ရိုက္ enter ေခါက္
attrib -s -r -h *.*
del chrome.exe
del autorun.inf
ကဲဒါဆိုရၿပီး windows ကို restart ခ် မခ်ခင္ run မွာ msconfig လို ့ရိုက္ပီးstartup မွာ chrome.exe ရွိမရွိႀကည့္မရိွရင္ထည့္ေပး အဲလို ေနာက္တာ မထည့္နဲ ့ေနာ္...restartတာခ် ရွိေနရင္အမွန္ၿဖစ္ၿဖဳတ္ ၿပီးrestartခ် ကဲ၀င္းဒိုးၿပန္တက္လာရင္ ခုနကေၿပာတဲ့combofix ကိုသာrunေတာ့ ... ကဲ chrome ကိုက္ထားတဲ့ drive အမ်ားစုကေတာ့ Cမွာကိုက္ေပမယ့္ C က FOlder ေတြကို မပြားဘူး D မွာပဲပြားတယ္ ဒီေအာက္မွာ ၤFolder ေတြကို ေတြ ့မယ္ အဲမွ ႀကည့္ႀကည့္ D ကို၀င္လိုက္တာနဲ ့ Type size date ဆိုတဲ့ title ေတြနဲ ့ Folder or file ေတြအတြက္ ၿမင္ရလိမ့္မယ္ အဲဒီမွာ Folder အစစ္က type ေအာက္မွာ Folder လို ့ပဲေပၚမယ္ virus ကပြားထားတာေတြက size နည္းနည္းနဲ ့ Applicationဆိုၿပီး typeမွာေပၚမယ္ အကုန္ shift+Delete ကဲ D ေအာက္မွာရွင္းၿပီးရင္ D ေအာက္က Folder တစ္ခုခ်င္း၀င္ႀကည့္အဲဖိုဒါနာမည္နဲ့ ပြားထားတာထပ္ေတြ ့မယ္ Application type နဲ ့အကုန္ထပ္ဖ်က္ အဲတာေတာင္ sub folder ေတြရွိေသးရင္၀င္ႀကည့္ ထပ္ပြားထားတာရွိမယ္ အကုန္ဖ်က္ အိုေကအဲဒါဆိုစိတ္ခ်ရၿပီး..

ၿပီးရင္ေတာ့ အေကာင္းဆံုးကေတာ့ profileကိုဖ်က္ၿပီးသံုးေစခ်င္တယ္ ဥပမာ control panel >user account မွာလက္၇ွိသံုးတဲ့အေကာင့္ကိုပိတ္ၿပီး အၿခားအေကာင့္တခုနဲ ့သံုး လက္ရွိသံုးေနတာကိုဖ်က္လိုက္..ဒါအေကာင္းဆံုးပဲ.. windwos repairလုပ္တတ္ရ
င္ CD ထည့္ၿပီးလုပ္လိုက္..antiviurs ကိုupdate ၿဖစ္ေအာင္ထား...

0 comments:

Post a Comment