SVCHOST.EXE သတ်နည်း
SVCHOST.EXE က Flash Drive များမှတဆင့် မိမိကွန်ပျူတာဆီသို့ အချိန်မရွေးရောက်နိုင်ပါတယ် သူတိုက်ခိုက်ခြင်းခံရရင် Signature တွေအနေနဲ့ ဒီလိုပြလေ့ရှိပါတယ်ကွန်ပျူတာစဖွင့်လိုက်တာနဲ့
1. အဲဒီအချိန်က သုံးခဲ့တဲ့ Flash Drive ကိုပြန်တောင်းနေတတ်ပါတယ်..
2. Windows Directory ကိုမခေါ်ပဲနဲ့ တက်လာပါတယ်..
ဒါဆိုရင်တော့ SVCHOST.EXE ရဲ့ တိုက်ခိုက်ခြင်းကိုခံနေရပြီလို့ မှတ်ယူနိုင်ပါတယ်.. တကယ်တော့ SVCHOST ဆိုတာ ကျွန်တော်တို့ရဲ့ System ထဲမှာအမှန်တကယ် အလုပ်လုပ်နေတဲ့ File ပါ. ခုပြောတဲ့ SVCHOST.EXE ကတော့ သူလို့ထင်ယောင်ထင်မှားဖြစ်အောင် ပုံမှားရိုက်တာပေါ့.. Process ထဲကနေ သူ့ကို Kill မယ်ဆို အမှန်တကယ်အလုပ်လုပ်နေတဲ့ System File နဲ့မှားယွင်းတတ်ပါတယ် အချို့ကတော့ သူ့ကို Process ကနေ Kill လိုက်ပေမယ့် ကွန်ပျူတာပြန်ဖွင့်လိုက်တာနဲ့ သူကပြန်တက်လာပါတယ်.. Antivirus ကလည်းသူ့ကိုရှာမတွေ့နိုင်ပါဘူး.. ဘာကြောင့်လဲဆိုတော့ သူက System File ယောင်ဆောင်ထားတာကိုး ကျွန်တော့်မှာတော့ သူ့ကိုသတ်စရာ နည်းလေးရှိပါတယ် အကယ်လို့များ မိမိ ကွန်ပျူတာမှာ ဝင်နေရင် စမ်းကြည့်ကြပါလား အောက်ကအဆင့်လေးတွေ တဆင့်ချင်း လုပ်ကြည့်ပါနော်..
1. Task Manager ခေါ်ပြီး Process Tab အောက်က svchost.exe ကို End Process လုပ်လိုက်ပါ... svchost.exe တွေကတော့အများကြီးဖြစ်နေပြီ.. ဘယ်တစ်ခုကို End ရမှန်းမသိဖြစ်နေကြပြီထင်ပါရဲ့.. လွယ်ပါတယ်.. ကျွန်တော်တို့ ကွန်ပျူတာထဲကို ဘယ် User Name နဲ့ဝင်သလဲဆိုတာ အရင်ဆန်းစစ် ကြည့်ဖို့တော့ လိုပါတယ်.. မိမိဝင်ထားတဲ့ User Name အောက်မှာ run နေတဲ့ svchost.exe ကို End Process လုပ်ရမှာပါ... မိမိဘယ် User Name မှာဝင်နေသလဲဆိုတာ Task Manager Windows ရဲ့
User ဆိုတဲ့ Tab အောက်မှာ ကြည့်နိုင်ပါတယ်..
2. Run Command (Windows+R) ကိုခေါ်ပြီး Restore လို့ ရိုက်ထည့်ပြီး Enter နှိပ်လိုက်ပါ.. ပြီးရင် Tool>Folder Options ကိုသွားပါ... ပြီးရင် View Tab အောက်မှာ Show Hidden Files & Folders ကို Check လုပ်ပါ.. နောက်တဆင့်အနေနဲ့ Hide Protected Operating Files System ကို Uncheck လုပ်ပေးပါ.. Operating Files System ကိုဖော်မှာဖြစ်တဲ့အတွက်ကြောင့် သူကအတည်ပြုချက် တောင်းပါလိမ့်မယ် Yes ကိုနှိပ်ပါ အဲဒီအခါ Restore Folder အောက်မှာ svchost ဆိုတဲ့ Fileရယ်၊ Data ဆိုတဲ့ Folder လေးရယ် မှိန်မှိန်လေးပေါ်လာပါလိမ့်မယ် ရဲရဲသာဖျက်လိုက်ပါ Shift+Del နဲ့နော် သင့်ရဲ့ စက်ကိုဒုက္ခပေးနေတာ အဲဒီကောင်ပေါ့..
3. နောက်ဆုံးအဆင့်အနေနဲ့ Run Command ကိုခေါ်ပြီး msconfig ကိုရိုက်ထည့်ပါ.. Enter နှိပ်ပါ startup Tab ကိုသွားပါ.. အဲဒီအောက်မှာလည်း svchost ဆိုတာရှိနေပါလိမ့်မယ်.. Uncheck လုပ်ပေးပါ.. သူက သင့်ကွန်ပျူတာဖွင့်တိုင်း svchost အလုပ်လုပ်နေအောင် အဲဒီကနေခိုင်နေတာပါ.. ပြီးရင် OK နှိပ်ပါ.. Restart ပြုလုပ်ပေးဖို့ လိုကြောင်း ပြောပါလိမ့်မယ်.. Restart ကိုနှိပ်ပါ.. စက်ပြန်တက်လာရင် အားလုံးအဆင်ပြေသွားပါလိမ့်မယ်..kavo, ckvo အုပ်စု killer ပါ။
kavo_killer.zip
အဲဒါလေးဒေါင်းလိုက်ပေါ့။ ဗိုင်းရပ်စ်ကိုက်ပြီးတော့ ကျန်ခဲ့တဲ့ ခြေရာလက်ရာတွေရှင်းဖို. taskmanager, folderoption စတာတွေဖော်ဖို.ပါ။ ဒါလေးတွေနဲ့ရတယ်- OD32RegistryRecovery-V11.1.exe rrt.exe အကောင်ကို အရင်သတ်ရပါမယ်။ မသေသေးရင်တော့သူတို.ကိုသုံးလည်း မထူးပါဘူး။ Gtalk Virus Gtalk virus ဆိုပြီး ခေတ်စားနေတဲ့ private cam အတွက် fix ရပါပြီ ဒီနေရာမှာ ယူလိုက်ပါ။ ဒီ file ကို run ပြီးရင်တော့ task manager ထဲမှာ private cam နဲ့ စတဲ့ process တွေကို end task လုပ်ပြီး ဒီ file ကို ပြန် run လိုက်ပါ။ Folder တွေအောက်မှာ ပုန်းခိုနေတဲ့ .exe တွေကိုတော့ သင်ဖြတ်ပြစ်ဖို့ လိုအပ်ပါလိမ့်မယ်။ ဒါပြင် regedit ထဲက [HKCU \Software \Microsoft \Windows \CurrentVersion \Run] ထဲမှာ ရှိနေတဲ့ မလိုအပ်တဲ့ file တွေကိုလဲ ဖြတ်ပြစ်ပါ။ msconfig ထဲက setup မှာလဲ မလိုအပ်တဲ့ file တွေကို uncheck ပြုလုပ်ပေးပါ။ သင့် computer ကို restart ပြုလုပ်လိုက်ပါ။ Kill Autorun Virus Folder Option ထဲက View မှာ Show Hidden files and folders ကို Tip လုပ်ပါ။ Hide extension for known file type နဲ့ Hide protected operating system file ကို tip ဖြုတ်ပါ။ ပြီးရင် တော့ Hard Drive ထဲက Autorun.inf နဲ့ Virus file ကိုဖြတ် ပစ်ပါ။ဖြတ်လို့မရရင် Task Manager ထဲက process မှာ run နေတဲ့ Virus file ကို kill process လုပ်လိုက်ပါ။ Computer ကို restart လုပ်လိုက်ပါ။ ရှင်းသွားပါပြီ။
Virus များအတွက် website
canwith.comscanwithဆိုတဲ့ website လေးကို လူသိများကြမှာပါ ဗိုင်းရပ် နဲ့ ပတ်သတ်ရင် တော်တော် စုံပါတယ် update, removal tool, antivirus software အားကိုးလောက်တဲ့ site လေးပါ။ မသိသေးသူများ အတွက် မျှဝေလိုက်ပါတယ် I love you Virus ကိုသတ်တဲ့ ဆော့ဝဲလ်... i love you Virus ကို သတ်တဲ့ ဆော့ဝဲလ်လေးပါ။ သိကြတဲ့ အတိုင်းပါပဲ...။ Memory stick ကို ဘာထိပြီ ဆိုရင် ကြည့်လိုက်... ဒီ အိုင်လက်ဖြုူ ပဲ....။ အခုဟာလေးကတော့ HD ရော Memory stick ကိုရော ရှာသတ်ပေးနိုင်ပါတယ်။ ဒီမှာဒေါင်းပါ။ Loikaw Virus ကိုရှင်းလင်းပေးနိုင်သည့် Removal Tool တစ်ခု.. Loikaw Virus ကိုရှင်းလင်းပေးနိုင်သည့် Removal Tool တစ်ခုပါ။ Loikaw Virus သည် USB Drive များမှ အဓိကကူးပြီး ကွန်ပျူတာကို အသုံးပြုနေစဉ် အချိန်အတွင်း Message Box များဖြင့် အနှောက်အယှက်ပေးခြင်း၊ အသုံးပြုနေသော Program သို့ စာကြောင်းများပေးပို့ခြင်း၊ bat file, cmd file များကို အသုံးပြု၍ မရအောင်ပြုလုပ်ခြင်း နှင့် အခြား အနှောက်အယှက် ဖြစ်စေ နိုင် သော ကိစ္စများကို ဖြစ်စေပါသည်။ Loikaw Virus ဝင်ရောက်ခံရသော ကွန်ပျူတာ များ၏ Desktop တွင် Virus Information.txt ဟုသောဖိုင်ကိုတွေ့ရမှာဖြစ်ပါသည်။ ထို Virus ဝင်ရောက်တိုက်ခိုက်ခြင်းခံရပါက ဒါလေး ကို ဒေါင်းလိုက်ပါ။ Virus ဝင်ရောက်ထားသော ကွန်ပျူတာတွင် Loikaw Virus Removal ကို Run လိုက်ခြင်းဖြင့် Virus ကို အပြီးတိုင် ရှင်းလင်းနိုင်မည်ဖြစ်ပါသည်။
Virus အမျိုးအစားခွဲခြားခြင်း.. ၁။
Computer Virus Computer virus ဆိုတာ သူ့ကိုသူ attach လုပ်ထားတဲ့ program (သို့) file တစ်ခုဖြစ်ပြီး ကွန်ပျူတာတစ်ခုကနေ တစ်ခုကို ပြန့်ှနှံ့ကူးစက်နိုင်ပါတယ်..လူတွေမှာ Virus ကူးသလိုပဲ ပြန့်နှံ့ပြီးတော့ ကွန်ပျူတာရဲ့ System ကိုပုံမှန်အလုပ်မလုပ်အောင် နှောက်ယှက်မယ်၊ Windows ကို Error တွေများလာအောင်လုပ်မယ်၊ user data တွေကို ဖျက်ဆီးမယ်၊ Hardware တွေ Software တွေ အရေးကြီးတဲ့ File တွေကို ဖျက်ဆီးမယ်... စတာတွေကို လုပ်ဆောင်ပါတယ်.. ဒါပေမယ့် Virus အများစုဟာexecutable file တွေဖြစ်ကြပါတယ်... ဥပမာ.. chrome.exe, system.bat , flashy.com စသဖြင့်ပေါ့ .. သူတို့ဟာကွန်ပျူတာထဲမှာ ရှိနေရင်တောင်မှ သင်ကိုယ်တိုင်မှ သွားမဖွင့်ရင်/ သွားမ run မိရင် ကွန်ပျူတာကို ဘာမှ မထိခိုက်နိုင်ပါဘူး... ဒါကြောင့် မှတ်ထားရမှာက လူ၏ လုပ်ဆောင်ချက်မပါ ဝင်ပဲ Computer Virus သည် မပျံ့နှံ့ မကူးစက်နိုင်ပါ...Virus ပျံ့နှံ့နိုင်တဲ့ နည်းလမ်းတွေကတော့ အမျိုးမျိုးရှိပါတယ်...forward E-mail က attached file တွေ၊ memory stick(flash/thumb drives) တွေ၊ Full sharing ကနေ virus infected file ထည့်တာ တွေ၊ သူငယ်ချင်း အချင်းချင်း မသိပဲနဲ့ Virus infected file ကို share လုပ်မိတာတွေ .. စသဖြင့်ပေါ့...ဗျာ
၂။ Malware
Malware ဆိုတာ အင်္ဂလိပ်စကား ၂ လုံး Malicious Software ကိုပေါင်းစပ်ပြီး ကွန်ပျူတာပညာရှင်တွေက အလွယ်ခေါ်ကြတဲ့virus လို program တွေပါပဲ.. အဲဒိ Malware ကကွန်ပျူတာပိုင်ရှင်ရဲ့ ခွင့်ပြုချက်မရပဲ ၊ မသိစေပဲ single computer / server / computer network ထဲ ဝင်ပြီး ကွန်ပျူတာ System ပျက်ဆီးစေနိုင်အောင် ၊ အနှောက်အယှက်ဖြစ်အောင် ရေးလေ့ရှိကြပါတယ်.. Malware တစ်ခုမှာ Computer VIrus , worms, trojan horses, most rootkits, spyware, dishonest adware, crimeware and other malicious and unwanted software တွေပါဝင်လေ့ရှိပါတယ်..
၃။ Worm
worm ဆိုတာက virus နဲ့ဆင်တူအောင်ရေးထားကြတာပါပဲ.. virus တစ်ခုရဲ့ Sub-class လို့လည်းခေါ်လို့ရပါတယ်... သူကတော့ Virus လို လူကဖြန့်မှ ပျံ့တာမျိူးမဟုတ်ပဲ သူပါသူ Computer network ထဲမှာရှိတဲ့ အခြားကွန်ပျူတာတွေကို လူရဲ့လုပ်ဆောင်ချက်လုံးဝမပါပဲနဲ့ ပျံ့နှံ့စေတာ ဖြစ်ပါတယ်...သူ့ပါသူ ဖြန့်နိုင်တဲ့ စွမ်းရည်ရှိတာပေါ့နော်...အကြီးမားဆုံး အန္တရာယ်ကတော့ သူ က သူ့ပါသူ System file တစ်ခုလို အယောင်ဆောင်ပြီး သူ့ကိုယ်သူ သန်းပေါင်း ၁၀၀ လောက် copy ပွားနိုင်ပါတယ်၊ Hard disk ရဲ့ used space ကို များလာစေတယ်..Computer ရဲ့ System memory usage တွေ များလာစေတယ်.. network bandwidth တွေကိုတက်လာစေတယ်... Run ထားတဲ့ program တွေကို not responding ခဏခဏဖြစ်လာစေတယ်.. လူသိများတဲ့ worm ကတော့ Blaster Worm ပါ.. ထွင်လိုက်တဲ့လူကတော့ ၂၀၀၅ ခုနှစ်တုန်းက အသက် ၁၈နှစ် အရွယ် Jeffrey Lee Parson ဖြစ်ပြီး ထောင် ၁၈ လ ကျသွားခဲ့ပါတယ်.. Blaster worm က windows စတက်တာနဲ့ Registry ကီး HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update = msblast.exe မှာ နေရာယူပါတယ် ၊ msblast.exe ဆိုတာက တော့ နာမည်တူ ပေးထား တာပေါ့ Blaster worm က Computer System ထဲမှာ ရှိနေပြီဆိုတာနဲ့ Cracker တွေက ကွန်ပျူတာကို Remote လုပ်ပြီး ထိန်းချုုပ်နိုင်အောင် ရေးထားပါတယ်..
၄။ Trojan Horse
Trojan horse ကို လို့လည်းခေါ်ပါတယ်.. Trojan ဆိုတဲ့ မြင်းရုပ်ကြီးအကြောင်း ငယ်ငယ်က ကမ္ဘာ့သမိုင်းမှာ သင်ဖူးကြမှာ ပေါ့.. Tri ဇာတ်ကားလည်း ကြည့်ဖူးကြမှာပါ... အဲဒိထဲကလိုပဲ အလုပ်လုပ်တယ်လို့ပြောလို့ရပါတယ်...ပုံမှန်အားဖြင့် အသုံးဝင်တဲ့ Software တွေမှာ ထည့်ထား တတ်ကြ ပါတယ်... ဥပမာပေါ့ဗျာ... Game တစ်ခုကို Install ပြီးဆော့နေပေမယ့် အခြားတစ်ဖက်မှာ Hacker တွေ Cracker တွေက ကွန်ပျူတာထဲကို ဝင်မွှေနေလို့ရအောင်လုပ်ပေးနေတယ်.. အဲဒီတော့ အဲဒိ Game ကို Trojan horse လို့ခေါ်တာပေါ့ .. တစ်ကယ်တော့ Game က တရားဝင်ထုတ်ထားတဲ့ Game ပဲ.. ဒါပေမယ့် Virus infected ဖြစ်နေတဲ့ Game လို့ပြောရလိုဖြစ်နေတာပေါ့.. နမူနာ Trojan Horse ကတော့ waterfalls.scr ဆိုတဲ့ free waterfall screen saver ပဲဖြစ်ပါတယ်.. Trojan horse တစ်ခုဟာ အောက်ပါအချက်များကို လုပ်ဆောင်ပေးနိုင်ပါတယ်... * Remote Access * Data Destruction * Downloader/dropper * Server Trojan(Proxy, FTP , IRC, Email, HTTP/HTTPS, etc.) * Disable security software * Denial-of-service attack (DoS)
၅။ Spyware
သူကတော့ သူခိုးပေါ့နော်.. Spy တွေ ဘယ်လိုအလုပ်လုပ်သလဲဆိုတာသိကြမှာပါ.. သူလဲအဲလိုပါပဲ...သူက ကွန်ပျူတာကို ထိခိုက် ဖျက်ဆီးချင်မှ ဖျက်ဆီးမယ်.. ဒါပေမယ့် ကွန်ပျူတာမှာသုံးနေတဲ့ user ရဲ့ အမျိုးမျိုးသော အချက်အလက်တွေ၊ အရေးကြီး တဲ့ Data တွေကို သူ့ရဲ့ Main server တစ်ခုခုကို နေ့စဉ် သတင်းပို့ပေးနေတယ်... Spyware တွေက များသောအားဖြင့် Web browser တွေကနေ ဝင်နိုင်ပါတယ်... ပြီးရင် သူက Browser home page ကိုပြောင်းထားတတ်ပါတယ်..သင့်ကို Error message တွေ အမျိုးမျိုးပြမယ်..(ဥပမာ- သင့်ကွန်ပျူတာမှာ problems တွေများနေပြီ. .အဲဒါတွေ ပြင်ချင်ရင် အောက်ကခလုတ်ကို နှိပ်ပါ) စသဖြင့် ဆွဲဆောင်မယ်၊ သင်က link တစ်ခုကို click လိုက်ပေမယ့် သင်မဖွင့်ပဲနဲ့ အခြား Porn Site တွေ အလိုလိုပွင့်လာ မယ် စသဖြင့်ပေါ့ဗျာ... တစ်ချို့ လူတွေက http cookie တွေကို Spyware တွေလို့ ထင်ကြပါတယ်.. တကယ်တော့မဟုတ်ပါဘူး ဒါပေမယ့် အဲဒိ cookie ထဲမှာ Spyware က track လုပ်နိုင်တဲ့ Data တွေပါလာတတ်တာကြောင့် Spyware Remover တော်တော်များများက Cookie တွေကို ဖျက်ပစ်ကြတာပါ. Spyware ကို ကာကွယ်ချင်ရင်တော့ pop-ups ကျလာတဲ့ link တွေကို ရှောင်တာကောင်းပါတယ်... Free Spyware Remover တွေနဲ့လည်း ကာကွယ် နိုင်ပါတယ်...
၆။ Adware
Adware ဆိုတာကတော့ Advertising-supported software (သို့) software package တစ်ခု ဖြစ်ပါတယ်.... သူကတော့ Screen မှာ Automatic ပေါ်လာအောင်ဖန်တီးထားပြီး Download အတင်း လုပ်ခိုင်းပါတယ်... အချို့သော Adware များဟာ Spyware များဖြစ်တတ်ကြပါတယ်...
၇။ Crimeware Crimeware ဆိုတာကတော့ Spyware, Adware, Malware အမျိုးအစား တွေထဲမှာပါပါတယ်.. သူ့ရဲ့ရည်ရွယ်ချက်ကတော့ financial crime တွေအတွက် ရည်ရွယ်ပြီး ရေးကြတာ များပါတယ်.. သူက user password တွေ၊ links တွေ၊ အချက်အလက်တွေ ကို မှတ်သားထားနိုင်ပြီး သူ့ကို Run ထားတဲ့လူက ပြန်ဖွင့်ကြည့်ပြီး user data တွေကို ခိုးယူနိုင်တာပေါ့.... ဥပမာပြောရရင် ခုခေတ်စားနေတဲ့ key logger တို့ .. keystroke logging software တို့ဟာ Crimeware အမျိုးအစားတွေပဲဖြစ်ပါတယ်...
Funny Virus သတ်နည်း
Funny ဝင်ပြီဆိုရင် Safe Mode ကနေလဲ ဝင်သတ်လို့ မရတော့ပါဘူး... Safe Mode မှာပါ Funny က Active ဖြစ်ပါတယ်.... အလွယ်ဆုံးနဲ့ အထိရောက်ဆုံးနည်းကို ပြောပြပါ့မယ်.... Funny က msiexec ဆိုတဲ့ Folder အဖြစ် စက်ထဲမှာ နေရာယူပါတယ်... Folder ထဲမှာတော့ msi.exe + update.exe ဖိုင် နှစ်ဖိုင် ရှိပါတယ်... Funny ဝင်ဝင်ချင်းမှာ C:\Documents and Settings\Administrator\Application Data C:\Documents and Settings\LocalService\Application Data အဲ့ဒီ့နှစ်နေရာမှာ အရင်ဆုံး နေရာယူပါတယ်... ပြီးတော့ Autorun.inf ဖိုင်နဲ့လဲ ထောက်ပံ့ပေးထားပါတယ်... Autorun.inf က update.exe ကို ထောက်ပံ့တာပါ... နောက်တစ်ခုအနေနဲ့ kill.exe ဖိုင်တစ်ဖိုင်က c:\Windows\system32\DirectX ထဲမှာ ရှိပြန်ပါတယ်.... ကဲ... နေရာတွေ လဲသိပြီ.... Boot CD တစ်ချပ်နဲ့ Boot တက်ပါ... Search >> msiexec ကိုရှာ Folder ကို Del လုပ်.. kill.exe ကို Del လုပ်.. autorun.inf ကို Del..လုပ် မျိုးပြုတ်ပေါ့ funny ရေ.... တစ်ခုတော့ သတိပေးချင်ပါတယ်.. Funny ဝင်တာ ကြာနေတဲ့စက်... မိန်းကလေးပုံပေါ်ပြီးတဲ့ စက်တွေအတွက်တော့ Dll ဖိုင်တွေ ပျက်သွားပါပြီ... Dll icon ပုံစံနဲ့ စက်ထဲမှာ exe ဖိုင်တွေ ပွားပါတယ်... C:\ အောက်မှာ ရှိသော Folder တွေ အကုန်လုံးကို Hidden လုပ်ပစ်ပါတယ်.. ကဲ သိနေပြီဆိုတော့ Boot CD ရဲ့ အသုံးဝင်ပုံကို လက်တွေ အသုံးချကြတာပေါ့ဗျာ....
Desktop ပေါ်က Funny Folder အတွက်တော့ Desktop properties
>>> Desktop >>> Customize >>>Clean Desktop Now ကို နှိပ်.. Funny ကိုရွေး... ပြီးရင်...Unuse Desktop ဖိုဒါကို Del လုပ်လိုက်... အဆင်ပြေနိုင်ကြပါစေ...
Funnyအချိန်ကြာလာတာနဲ့အမျှ နေရာယူမှု ပိုမို များပြားလာပါတယ်.... Desktop, Mycompter ထဲက Funny (Folder)ကို Register Editor ထဲ က ဖျက်ချင်ရင်တော့ HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345} ကိုဖျက်လိုက်ပါ။ ဗိုင်းရပ်ရေးနည်းဖြေရှင်ချက် Virus ကိုဘယ်လိုရေးလဲ မေးပြီးတော့ Virus ကိုဘာနဲ့ ရေးရင် အကောင်းဆုံးလဲတဲ့.... နောက်ပြီး ဘယ်လိုရေးသင့်လဲ.... ဘယ်လို အလုပ်လုပ်ရင် virus က ကြောက်ဖို့ကောင်းလာမလဲ.... အခု အဲဒီ အကြောင်းလေး ပြောရတာပေါ့... အများအားဖြင့်တော့.... Virus က တကယ်တန်းကြတော့ Computer ကို ဖျက်ဖို့.... ဒါပေမယ့် Antivirus တွေက သိကြတယ်... Virus တွေကိုဘယ်လို သိကြတာလဲဆို... သူတို့က Virus Sample File တွေကနေသိကြတယ်... သူတို့ Antivirus ထဲမှာရှိတဲ့ Sample File တွေထဲက မရှိရင်.... အဲဒီ Virus ကိုမသိတော့ဘူး.... နောက်တစ်ချက်ကျတော့ Antivirus တွေက စစ်ရင် File တစ်ခု ထုတ်လိုက်တယ်... အဲဒီ File မှာ virus ကူးမကူးကနေ သိကြပါတယ်... အဲဒါကတော့ antivirus တော်တော်များများ အလုပ်လုပ်ပုံပါ.... Virus က စမယ်ဆိုကတည်းက
1 file ထဲနဲ့ လုပ်လို့မဖြစ်ပါဘူး...
အနည်းဆုံး file 2 file မှ ဖြစ်မှာပါ...
ဘာဖြစ်လို့လည်းဆို... file 1 file ကို ပိတ်လိုက်ရင် နောက် file တစ် file က အဲဒါက ပြန်ဖွင့်ပေးမလို့ပါ...
ကဲ... A က တကယ့် virus B ကတော့ A ကို အကူအညီပေးဖို့ပေါ့...
A ကို run တာနဲ့.... B လည်း run မယ်... ဒါမှ မဟုတ်
B ကို run တာနဲ့ A လည်း run မယ်.. အဲဒီပုံစံပေါ့...
A ကတော့ virus အလုပ်တွေလုပ်မယ်...
B ကတော့ A ရှိမရှိစစ်နေမယ်...
A ကလည်း B ရှိမရှိစစ်မှာပဲ...
user က virus ကိုတွေ့ပြီ Process တွေ ထဲမှာ...
A ကိုအရင် ပိတ်လိုက်မယ်... ပြီးမှ B ကိုပိတ်မယ်...
အဲလို စဉ်းစားပြီး A ကို ပိတ်လိုက်တာပေါ့...
ဒါပေမယ့် A ကိုပိတ်လိုက်တာနဲ့ B က
ချက်ချင်း A ကိုပြန်ခေါ်ဖွင့်တယ်....
အဲမှာ virus သတ်တဲ့ကောင်တွေ စားကုန်ကြရော...
B ကို ပိတ်တော့လည်း A က ပြန်ဖွင့်ပေး...
နှစ်ခုလည်း တပြိုင်တည်း ပိတ်ဖို့ကလည်း မဖြစ်နိုင်ဘူး..
ကဲဒါဆို ဘယ်လိုလုပ်မလဲ.... အခုတလော အဲလို virus တွေ တော်တော်များများ အရေးများလာပါတယ်... အဲလို virus တွေကို ဖျက်ဖို့ဆိုရင်တော့ ကိုယ့်စက်က hard disk နဲ့မတက်နဲ့... ဖြုတ်သွားလိုက်.. တခြားစက်မှာ secondary နဲ့ တက်...
A ကော B ပါရှာဖျက်လိုက်...ပြီးပြီ...
virus တွေ windows စစချင်းအလုပ်လုပ်အောင်...
Registery ထဲမှာ "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" အဲဒီအောက်မှာ File ပတ်လမ်းကြောင်းရေးထားခဲ့မယ်ဆိုရင်တော့ ရေးထားတဲ့ program ကို windows စစတက်ပြီးတာနဲ့ run ပေးမှာပါ... A ဆိုတဲ့ virus က အဲဒီ registery ဆိုတဲ့နေရာမှာ အချိန်တိုင်း သွားသွားရေးခိုင်းထားပါမယ်... ဒါဆိုရင် user က msconfig နဲ့ဝင် သွားပြီး windows တက်တက်ခြင်းမှာ မတက်အောင် လုပ်လည်း မထူးတော့ဘူးပေါ့....နောက်ထပ်နည်းကတော့ registery ကို ပိတ်တဲ့နည်း User Key: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] Value Name: DisableRegistryTools Data Type: REG_DWORD (DWORD Value) Value Data: (0 = allow regedit, 1 = disable regedit) အဲမှာ REG_DWORD ကို create လုပ်ပြီးတော့ value မှာ 1 ထည့်လိုက်ရင်တော့ user က registery သုံးလို့မရတော့ပါဘူး... နောက်ပြီးတော့ Task Manager ( Ctrl+Alt+Del ) ကိုဖျောက်လိုက်ချင်ရင်တော့ User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System] System Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ System] Value Name: DisableTaskMgr Data Type: REG_DWORD (DWORD Value) Value Data: (0 = default, 1 = disable Task Manager) အဲမှာ REG_DWORD ကို create လုပ်ပြီးတော့ value မှာ 1 ထည့်လိုက်ရင်တော့ user က registery သုံးလို့မရတော့ပါဘူး... Folder Option ကို ထပ်ပြီး ဖျောက်လိုက်ချင်ရင်တော့ User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer] System Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer] Value Name: NoFolderOptions Data Type: REG_DWORD (DWORD Value) Value Data: (0 = show options, 1 = hide options) အဲမှာ REG_DWORD ကို create လုပ်ပြီးတော့ value မှာ 1 ထည့်လိုက်ရင်တော့ user က Folder Option ကို Tool -> Option မှာမမြင်ရတော့ပါဘူး... တနည်းပြောရရင် ကျွန်တော်တို့ registery ကို ကောင်းကောင်းလေး ကလိလို့ရတာနဲ့ Computer ကြီးကို လိုသိလို ထိန်းလို့ရပါတယ်...
AVG ကတော့ Registery ကို မစစ်ဆေးပါဘူး... ဒါပေမယ့် BitDefender ကတော့ စစ်တယ်ဗျ... ပြောင်းတာနဲ့ ပြောင်းမပြောင်းမေးတယ်... အဲလိုမျိုး Antivirus တွေအတွက်တော့ မလွယ်ဘူးပေါ့.... Registry ပိုင်းကို pctools.com/guides/registryမှာလေ့လာလို့ရပါတယ်.. ဘာနဲ့ ရေးသင့်လဲလို့ ပြောရင် ကိုယ်သန်ရာနဲ့တော့ရေးလို့ရပေမယ့်... ဘယ် OS ကို တိုက်ခိုက်မှာလဲ ဆိုတာ စဉ်းစားရမယ်... Vbscript(.vbs) ကို linux မှာ သုံးလို့မရဘူး... ဒါပေမယ့် Javascript(.js) နဲ့တော့ linux မှာ၇တယ်... Windows မှာလည်းရတယ်... Javascript(.js) ကတော့ ဘယ်လိုထိ လုပ်ပိုင်ခွင့်ပေးလဲဆိုတာ ကျွန်တော်သေသေချာချာမသိဘူး... windows အတွက်ကတော့ .vbs ကတော်တော်လေး ထိရောက်တယ်... ကစ်လို့ကောင်းတယ်... .exe တွေနဲ့လည်း တိုက်ခိုက်လို့ရတယ်... ဒါပေမယ့်... ကိုယ်ထုတ်လိုက်တဲ့ .exe ဟာ runtime file မပါပဲနဲ့ run လို့ရရမယ်... Windows နဲ့ Linux က file တည်ဆောက်ပုံတွေ မတူညီကြဘူး... ဒါကြောင့် Linux အတွက် virus က Linux မှာပဲ ရမယ်... Windows အတွက် virus ကတော့ windows မှာပဲထိရောက်မှာပေါ့... ဥပမာ java နဲ့ရေးထားရင် java runtime မပါပဲနဲ့ java က run လို့မရဘူး... ဒါဆိုရင်တော့ မရေးသင့်ဘူးပေါ့... java runtime ရှိတဲ့စက်ကိုပဲ ထိမှာလေ... .NET နဲ့ ရေးပြန်တော့လည်း .NET Framework ရှိမှ အလုပ်လုပ်မှာ... ဒါဆိုလည်း .NET အတွက်က သိပ်မဟုတ်သေးဘူး.... vb ကတော့ ရတယ်... ဘာ compoment မှ မသုံးပဲရေးရင် runtime မလိုလောက်ဘူး... ဒါကြောင့် vb နဲ့ဆိုရင်တော့ ရလောက်တယ်... script file တွေကတော့ OK တာပေါ့... run time မပါဘူး... windows က run ပေးတယ်.... အဲဒါကြောင့် အများအားဖြင့် .vbs နဲ့အရေးများတယ်... နောက်ပြီး C ... အဲဒါ အရင်ကတည်းက programming... သူ့ exe က စက်တိုင်းလိုလိုအသာလေး run လို့ရတယ်... C နဲ့ virus ရေးလို့ရတယ်... C က system အထဲထိ ကောင်းကောင်းရေးနိုင်တယ်... hardware တွေကိုပါ ဒုက္ခပေးနိုင်တယ်... တချို့ virus တွေက hardware တွေကို တိုက်ရိုက်မဟုတ်ပဲ သွယ်ဝိုက်ပြီးပေးတာ... ဘယ်လိုလည်းဆိုရင်တော့ Memory မှာ အပြည့်တင်ထားတယ်.. File တွေကို... ဒါဆို user က စက်ကြီးလေးသွားပြီ... ဘာမှ မလုပ်နိုင်ဘူး.... memory ပေါ်မှာလည်း အချိန်ပြည့် wirte မယ်... ဒါဆို ကြာရင် memory ကြွသွားမှာပေါ့... အဲလိုမျိုး... Process မှာ အပြည့်တင်ထားမယ်... process တွေကို အသေအကြေ ခိုင်းထားမယ်.. ဒါဆို ကြာရင် Process ကျလာမယ်... နောက်ဆုံး ပျက်သွားနိုင်တယ်... virus ရှိတဲ့ စက်ထဲကို flash disk ကိုထိုးထားလိုက်တယ်.. နောက်ပြီး... ပြန်မဖြုတ်ပဲ... ဒီအတိုင်း Computer ကို စက်သုံးနေတယ်.. အဲဒီ အချိန်မှာ virus က Flash Disk ပေါ်မှာ virus တွေ အချိန်တိုင်း write နေမယ်... ကြာရင် flash disk မှာ write တာ များလွန်းတော့ bad sector တွေပေါ်လာမယ်... အဲဒါကို မသိပဲ user က ဆက်သုံးတယ်... chkdsk နဲ့ commond prompt မှာ ဝင်မစစ်ဘူး... badsector တွေကိုလည်း မပြင်ဘူးဆိုရင် ကြာရင် flash disk ပါကြွသွားနိုင်တယ်...
Removing the ntde1ect.com and autorun.inf files There is a trojan/virus (either the Win32/Pacex virus or the Win32/PSW.Agent.NDP trojan) that uses those two files. Here is how you can get rid of them: 1) Open up Task Manager (Ctrl-Alt-Del) 2) If wscript.exe is running, end it. 3) If explorer.exe is running, end it. 4) Open up “File | New Task (Run)” in the Task manager 5) Run cmd 6) Run the following command on all your drives by replacing c:\ with other drives in turn (note: if you have autorun.inf files that you think you need to backup, do so now): del c:\autorun.* /f /a /s /q 7) Go to your Windows\System32 directory by typing cd c:\windows\system32 Type dir /a avp*.* 9) If you see any files names avp0.dll or avpo.exe or avp0.exe, use the following commands to delete each of them: attrib -r -s -h avpo.exe del avpo.exe 10) Use the Task Manager’s Run command to fire up regedit 11) Navigate to HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run (as usual, take a backup of your registry before touching it!) 12) If there are any entries for avpo.exe, delete them. 13) Do a complete search of your registry for ntde1ect.com and delete any entries you find. 14) Restart your computer.
Prevent Your pen drives (or) USB Devices
From Virus VIRUS ဆိုတာကို PC/laptop's တွေမှာ ယေဘုယျအားဖြင့် Network မချိတ်ထားတဲ့ သူတွေတောင် ခံစားရကြပါတယ် ...အဲဒါဆို ဘယ်ကနေဝင်လဲ အဲဒီ VIRUS တွေက ..မေးစရာ ရှိလာ ပါတယ် ..Pen Drives (OR) USB Devices တွေကနေ ဝင်လာတာပါ ..တစ်ချို့သော VIRUS တွေဟာ Ravmon Virus , Heap41a worm တွေနဲ့ အလားသဏ္ဍန်တူပြီး အဲဒီ VIRUS တွေ Pen Drives (OR) USB Devices တွေထဲမှာ ရှိနေရင် Anti-Virus တော်တော်များများဟာ VIRUS တွေကို မသတ်နိုင်ကြပါဘူး..ဒါကြောင့် အဲဒီ VIRUS တွေ Pen Drives (OR) USB Devices ထဲ မရောက်အောင် ၊ ရောက်လာရင်လဲ ဘယ်လို ရှင်းရအောင် ဆိုတာလေးကို အောက်မှာ ရေးပေးထားပါတယ်..
Pen Drives (OR) USB Devices ကို ကွန်ပျုတာမှ တပ်လိုက်ပါ
..ပြီးရင် My computer ကိုဝင်ပြီး ယခုတပ်လိုက်တဲ့ Drive Letter ကို မှတ်သားထားလိုက်..
{ ဥပမာ - Manawthar ( I ) လို့ ရေးထားတယ်ဆိုရင် Drive Letter က I ပေါ့ ..ဒါကို ဆိုလိုတာပါ }
ပြီးရင် Start --> Run --> cmd လို့ ရိုက်ထည့်ပြီး Enter ခေါက်လိုက်ပါ ...Command Window ( cmd ) တက်လာမယ် .. Command Window ( cmd ) တက်လာရင် ခုနက မှတ်လာတဲ့ Pen Drives (OR) USB Devices ရဲ့Drive Letter ကို ရိုက်ထည့်ပြီး Enter ခေါက်လိုက်ပါ ..
{ ဥပမာ - ........ >I: } -- ( : ) ပါရမည် ... Pen Drives (OR) USB Devices ရဲ့Drive ကိုရောက်ပြီဆို dir/w/o/a/p လို့ ရိုက်ထည့်ပြီး Enter ခေါက်လိုက်ပါ.. အဲဒါဆိုရင် Pen Drives (OR) USB Devices ရဲ့Drive ထဲက ရှိသမျှ ဖိုင်တွေ List ထွက်လာမယ် .. အဲဒီ List ထဲမှာ ရှာကြည့်ပါ ..အောက်မှာ ဖော်ပြပေးထားတဲ့ ဖိုင်အမည်တွေ ပါလားဆိုတာ...
Autorun.inf New Folder.exe Bha.vbs Iexplore.vbs Info.exe New_Folder.exe Ravmon.exe RVHost.exe အပေါ်က ဖော်ပြပေးထားတဲ့ ဖိုင်တစ်ခုခုပါလာရင် - Run Command ကနေ attrib -h -r -s -a *.* လို့ ရိုက်ထည့်ပြီး Enter ခေါက်လိုက်ပါ .. ပြီးရင် ဖိုင်တွေ ဖျက်ဖို့အတွက် Command မှာ del filename လို့ ရိုက်ထည့်ပြီး ဖျက်လိုက်ပါ .. { ဥပမာ - del autorun.inf } -- Filename ဆိုတဲ့နေရာမှာက ဖျက်မဲ့ ဖိုင်အမည်ကို ထည့်ရေးပေးရပါမယ် . ပြီးသွားပြီဆိုရင် ပိုသေချာသွားအောင် Pen Drives (OR) USB Devices ကို Antivirus တစ်ခုခုနဲ့ ထပ်စစ်လိုက်ပါ ...ဒါဆို အဆင်ပြေပါပြီ ..
.. Brontok virus ကိုသတ့်မယ့်နည်းလမ်း
Start ur computer in safe mode with command prompt and type the following command to enable registry editor:- reg delete HKCU\software\microsoft\windows\currentversion\policies\system /v “DisableRegistryTools” and run HKLM\software\microsoft\windows\currentversion\policies\system
/v “DisableRegistryTools” - After this your registry editor will be enabled - Now type explorer - Goto Run and type regedit - အောက်ကပေးထားတဲ့အတိုင်းဆင်းသွားလိုက်ပါ :
- HKLM\Software\Microsoft\Windows\Currentversion\Run -ညာဖက်မှာရှိတဲ့ " Brontok " နဲ့ "Tok-" ဆိုတာတွေကိုဖျက်ပစ်ပါ။ -ပြီးရင် restart ချလိုက်ပါ -အခု regedit ကိုဖွင့်ပြီး ရင် tools menu ထဲက folder option ကို enable ပြန်လုပ်ပါ HKCU\Software\Microsoft\Windows\Currentversion\Policies\Explorer\ вЂNoFolderOption’ delete this entry and restart ur computer - *.exe files ကို drives အားလုံးမှာရှာလိုက်ပါ(search in hidden files also) folder iconလိုမျိူးပြနေတဲ့ files အားလုံးကို remove လုပ်ပစ်ပါ။ Remove W32.Downadup.B
အောက်ကလင့်တွေမှာ ဆွေးနွေးပေးထားပါတယ်။
No comments:
Post a Comment
မင်္ဂလာပါ..