Sunday, October 17, 2010

မေကြး အက္ဖ္စီ ဟု အမည္ထြင္ေသာ ကြန္ပ်ဴတာ ဗိုင္းရပ္စ္

| ျမန္မာျပည္တြင္း႐ွိ အစိုးရ ဌာနမ်ားႏွင့္ ကုမၸဏီမ်ား႐ွိ ကြန္ပ်ဴတာ မ်ားတြင္ မေကြး အက္ဖ္စီ ဟု အမည္တြင္ေသာ ကြန္ပ်ဴတာ ဗိုင္းရပ္စ္မ်ား ပ်ံ႕ႏွံ႔လွ်က္ ရွိေၾကာင္း သတင္း ရရွိပါသည္။ အဆိုပါ ဗိုင္းရပ္စ္၏ တိုက္ခိုက္မႈ ပမာဏကိုမႈ အေသးစိတ္ မသိရွိ ရေသးေပ။ တိုက္ခိုက္ ခံရသူမ်ား၏ ေျပာစကားမ်ား အရ ကြန္ပ်ဴတာ အတြင္းဖိုင္မ်ားအား ဖ်က္ပစ္ေၾကာင္းႏွင့္ ဝင္းဒိုးစ္ ၏ desktopရွိ start menuေနရာတြင္ မေကြးအက္ဖ္စီ စာတမ္းသာ ေတြ႔ရေတာ့ေၾကာင္း သိရွိရပါသည္။ Virus အတိုက္ခိုက္ ခံရတာ အမ်ားစုဟာ .exe ဖိုင္ေတြကို အလြယ္တကူ ဖြင့္မိလို႔ ျဖစ္တာ အမ်ားဆံုးပါ။ Virus နံမည္က mgy.exe ပါ။
  1. mgy.exe Virus တိုက္ခိုက္ ခံရေသာ ကြန္ပ်ဴတာသည္ ..
  2. ကြန္ပ်ဴတာသည္ ေႏွးေကြးသြားျခင္း။
  3. Memory Stick မ်ားတြင္းမွ Folder မ်ားေပ်ာက္သြားကာ ထုိေပ်ာက္သြားေသာ Folder မ်ား၏ အမည္မ်ားျဖင့္ .exe File မ်ား အစားထိုး ဝင္ေရာက္ ေနျခင္း။
  4. Folder Option၊ Taskmanager ေပ်ာက္သြားျခင္း။
  5. cmd.exe ဖြင့္လိုက္သည္ႏွင့္ ခ်က္ခ်င္း ျပန္ပိတ္သြားျခင္း။
  6. .vbs script မ်ား Run ၍ မရျခင္း။
  7. Desktop ၏ ညာဘက္ ေအာက္ေထာင့္ ( အခ်ိန္ ေဖာ္ျပေသာ ေနရာ ) တြင္ အထက္ပါ ေဖာ္ျပထားေသာ Magway FC ပံု မၾကာခဏ ေပၚလာျခင္းပဲ ျဖစ္ပါသည္။

mgy.exe Virus တိုက္ခိုက္ျခင္း ခံေနရပါက ..

  1. ကြန္ပ်ဴတာတြင္ ရွိေသာ AntiVirus ကို ေခတၱ ပိတ္လုိက္ပါ။
  2. Virus ကို ဖယ္ရွားျခင္း ျပဳလုပ္ရာတြင္ System ကို Restart ျပဳလုပ္ရန္ လိုအပ္သည့္ အတြက္ လုပ္လက္စ အလုပ္မ်ား ရွိပါက Save ျပဳလုပ္ထားရန္ လိုအပ္ပါသည္။
  3. Virus ဝင္ေရာက္ျခင္း ခံထားရေသာ Memory Stick မ်ားကို ကြန္ပ်ဴတာတြင္ တပ္ဆင္ထားပါ။
  4. mgy Virus Removal.exe ကို Run လိုက္ပါ။
  5. System Restart ျဖစ္၍ ျပန္လည္ တက္လာသည့္ အခ်ိန္အတြင္ mgy.exe Virus သည္ သင့္ ကြန္ပ်ဴတာတြင္းႏွင့္ Memory Stick မ်ားတြင္းမွ ရွင္းလင္းျပီး ျဖစ္သြားသည္ကို ေတြ႔ရ ပါလိမ့္မည္။
  6. Avast AntiVirus အသံုးျပဳသူမ်ား အေနျဖင့္ Avast ၏ ေနရာကို Virus မွ ေနရာ ဝင္ေရာက္ ယူသြားသျဖင့္ Avast ကိုျပန္လည္ ထည့္သြင္း ေပးရန္ လိုအပ္ပါသည္။
MGY Virus

virus file မ်ားရွာရန္ command တစ္ေၾကာင္းသာ အဓိက လိုအပ္ပါတယ္။ အထူးသျဖင့္ Made in Myanmar virus ေတြေပါ့။ taskmanager , folder options , registry ေပ်ာက္ေနရင္ေတာ့ virus ၀င္တာေသခ်ာပါျပီ။ start > run > cmd ရုိက္ျပီး Enter ႏွိပ္ပါ။ command prompt ထဲမွာ cd\ လို႔ရုိက္ျပီး Enter ႏွိပ္ပါ။command prompt မွာ c:\ လို႕ေပၚရပါမယ္။ေနာက္တစ္ခုရုိက္ရမွာက dir/ah *.exe /s/p/b လို႔ရုိက္ျပီး Enter ႏွိပ္ပါ။ virus ရဲ႕ source file မ်ား ေပၚလာပါလိမ့္မယ္။ အခု နာမည္ၾကီး ေနတဲ့ Loikaw , Funny , chrome , mgy.exe တို႔ကို စမ္းျပီးပါျပီ။ virus file အကုန္လုံး ေတြ႔ပါတယ္။ ဒီ virus file ေတြရဲ႕ process ကို kill ျပီးမွ သတ္လို႔ ရပါတယ္။ အဲဒီအတြက္ process explorer software နဲ႔ ၾကည့္လို႔ ရပါတယ္။ download လုပ္လိုက္ပါဦး။ command prompt မွာေပၚတဲ့ virus file name က process explorer မွာေပၚရင္ process ကို kill ျပီးvirus ကိုသတ္ပါ။ ဒီ command ေလးရွိေတာ့ virus file ကို အလြယ္တကူ ရွာျပီး သတ္လို႔ရတာေပါ့။ အဆင္ေျပပါေစေနာ္ .. ..

File ေတြ ဖ်က္တာ ကေတာ့ del filename /s/f/a ပါ။ e.g del chrome.exe /s/f/a ပါ။ s ဆိုသည္မွာ file ရွိတဲ့ folder ေခၚ သူ႕ရဲ႕ sub-folder ေတြပါ ဖ်က္တာပါ။ f ကေတာ့ force deleting ပါ။ a ကေတာ့ attrib လုပ္ထားတဲ့ file ေတြကို ဖ်က္တာပါ။ a ထည့္လိုက္ျခင္းျဖင့္ hidden , read only ,system တို႔ကို ဖ်က္လို႔ ရပါတယ္။ attrib chrome.exe -s -h -r ဆိုျပီး လုပ္စရာမလုိပါ။ တစ္ခါတည္း ျဖတ္ပစ္တာပါ။

ir/ah *.exe /s/p/b စစ္လို႔ ေပၚလာတိုင္း virus လို႔ ေျပာလို႔မရပါ။ virus name နဲ႔ process explorer မွာ ျပတဲ့ name နဲ႔ တိုက္ၾကည့္လို႔ ေတြ႔မွသာ virus ပါ။ eg. mgy virus ၀င္ေနလို႔ ရွာမယ္ ဆိုပါစို႔ ။ cmd မွာ dir/ah *.exe /s/p/b လို႔ ရုိက္ပါ။ mgy.exe ေပၚေန ပါလိမ့္မယ္။ process explorer ကိုဖြင့္ပါ။ mgy.exe အလုပ္လုပ္ ေနတာကို ျပေနပါလိမ့္မယ္။ ဒီနည္းအတိုင္း တျခား virus မ်ားကို ရွာေဖြ ႏုိင္ပါတယ္။ dir/ah *.exe /s/p/b လုိ႔ စစ္လို႔ေတြ႕တဲ့ file မ်ားကို အကုန္ ဖ်က္လို႔ ရပါတယ္။ ဒါဆို ပို စိတ္ခ် ရတာေပါ့။ တခ်ိုဳ႕ virus ကိုက္လို႔ command prompt ေခၚလုိ႔ မရရင္ windows ကို restart လုပ္ပါ။ post လုပ္ေနတဲ့ အခ်ိန္မွာ F8 key ကို ဆက္တိုက္ ႏွိပ္ထားပါ။ Safe Mode options ေပၚလာရင္ Safe Mode with command prompt ကို ေရြးပါ။ command prompt ေပၚလာရင္ dir/ah *.exe /s/p/b လို႔ ရုိက္ပါ။ ေတြ႔သမွ် file ကို ဖ်က္ပါ။ သူ႔ရဲ႕ process ကို သတ္စရာ မလိုေတာ့ပါဘူး။ တစ္ခါတည္း delete လုပ္ပါ။ ေနာက္ျပီး command prompt မွာ msconfig လို႔ ရုိက္ပါ။ startup Tab ကို သြားျပီး ခုနက command prompt မွာ ေပၚတဲ့ file မ်ားကို အမွန္ျခစ္ ျဖဳတ္ပါ။ ဒါဆိုရင္ virus ပါ တစ္ခါတည္း သတ္နည္းပါ။ s/p/b ရဲ႕ အဓိပၸါယ္ကို သာမက က်ေနာ္ တစ္ေၾကာင္းလုံးကို ရွင္းျပပါမယ္။

ir/ah *.exe /s/p/b

ir/ah = dir က windows ရဲ႕ File & Folder ေတြကို ေခၚၾကည့္တဲ့ ေနရမွာ သုံးတာပါ။ ah ဆိုတာကေတာ့ attrib လုပ္ထားတဲ့ file ေတြပါ။ attrib file ဆိုတာ Read only , Hidden , System file ေတြကိုေျပာတာပါ။ eg. boot.ini // virus file ေတြက boot.in file လိုပဲ ttrib file ေတြပါ။

.exe = *.exe ကေတာ့အေ႐ွ႕က * က file name ျဖစ္ခ်င္ရာ ျဖစ္ကို ေျပာတာပါ။ ဒါေပမဲ့ exe file ပဲျဖစ္ရမွာပါ။ ဘာေၾကာင့္လဲ ဆိုေတာ့ exe ပါ /s = /s ကေတာ့ သူ႕ရဲ႕ ဆင့္ပြား Folder ေတြထဲက file ေတြကို ၾကည့္တာပါ။ eg. c: ရဲ႕ ဆင့္ပြား Folder က file ၾကည့္ရင္ windows system32\cmd.exe ပါ။ cmd.exe က c: ရဲ႕ ဆင့္ပြား folder က file ပါ။

p = /p ကေတာ့ virus file ေတြကိုတမ်က္ႏွာဆီျပတာပါ။

b = /b ကေတာ့ file ေတြ ရဲ႕ information ေတြကိုေဖ်ာက္ျပီးၾကည့္တာပါ။


MGY Virus ကို အလြယ္ သတ္နည္း

အရင္ဆံုး MGY Virus ၀င္ရင္ ဘယ္လို လကၡဏာ၀င္လည္း ဆိုတာကိုေတာ့ အသိေတာ့ အသိသာႀကီးပါ။ ထံုးစံအတိုင္း Task Manager, Folder Option ပိတ္သြားတယ္။ Start Menu က Start ေနရာမွာ MagwayFC ဆိုၿပီး ေျပာင္းသြားတယ္။ Start Menu ထဲက My Computer Link ေတြ Control Panel Link ေတြရဲ႕ icon က မေကြး FC ရဲ႕ Logo ေတြ ေျပာင္းသြား ပါတယ္။ txt, bat, com ဖိုင္ေတြရဲ႕ icon ေတြလည္း မေကြး FC ရဲ႕ Logo ေတြ ေျပာင္းသြား ပါတယ္။ ၿပီးေတာ့ Welcome to Magway FC ဆိုၿပီး အနီေရာင္ ေနာက္ခံနဲ႔ box ေလးက Taskbar ရဲ႕ ညာဘက္မွာ အၿမဲတမ္း ေပၚလာပါတယ္။ Folder ေတြ တစ္ခုမွ ဖြင့္မရေတာ့ဘူး။ ဘယ္ Software မွ တင္လို႔ မရေတာ့ဘူး။ ေနာက္ၿပီး Start > All Programs ထဲက Program ေတြလည္း တစ္ခုမွ မရွိေတာ့ဘူး။ Program ေတြကို ဖ်က္လိုက္တာ မဟုတ္ပါဘူး။ .lnk ေတြကို hidden လုပ္လိုက္တာပါ။

အဲဒီလိုေတြ အရမ္းမ်ားတာမို႔ ဗိုင္းရပ္စ္ သတ္ၿပီးရင္ Windows ျပန္တင္ လိုက္တာက အျမန္ဆံုးနည္းပါ။ တစ္ခု ရွိတာက မေကြးကို မသတ္ပဲနဲ႔ Windows ျပန္တင္လည္း ခဏပါပဲ။ မေကြးက ျပန္၀င္မွာပါပဲ။ ဘာေၾကာင့္လဲ ဆိုေတာ့ သူက D: ေတြ E: ေတြထဲမွာပါ ၀င္ကုန္တာကိုး။ ဒါေၾကာင့္ သတ္ၿပီးမွ တင္ပါ။ ဒါေပမဲ့ လိုင္စင္ Windows ႀကီးဆိုရင္ေတာ့ ေအာက္မွာ ေရးထားသလို အေသးစိပ္ သတ္ၿပီး ျပင္ေပးမွ ရပါမယ္။ မဟုတ္ဘဲနဲ႔ လိုင္စင္ Windows ႀကီး ဖ်က္ၿပီး ခိုးကူး Windows ႀကီး ျပန္တင္ေပးရင္ေတာ့ ဘယ္ေကာင္းပါ့ မလဲ။ ဒါေၾကာင့္ လိုင္စင္ Windows ဆိုရင္ေတာ့ ထစ္ခနဲရွိ Windows ျပန္တင္ ရတာမ်ိဳးေတာ့ လုပ္မရေတာ့ဘူးေပါ့။ မသကာ Recovery လုပ္တာက အလြန္ဆံုးပဲ။

သတ္နည္းေလး ေျပာပါဦးမယ္။ လိုအပ္တာေတြက
  • Hiren Boot CD
  • CCleaner
  • Tuneup Utilites
  • RRT, HijackThis
  • XYPlorer
မေကြး၀င္တာနဲ႔ တၿပိဳင္နက္ ကြန္ပ်ဴတာကို မသံုးပါနဲ႔ေတာ့။ ခ်က္ခ်င္း ပိတ္လိုက္ပါ။ ၿပီးရင္ Hiren နဲ႔ Boot တက္ပါ။ အဲဒီထဲက Mini Windows XP နဲ႔ boot တက္ပါ။ Mini Windows XP တက္လာရင္ C: ထဲက mgy.exe, autorun.inf ေတြကို ဖ်က္ပစ္လိုက္ပါ။ ၿပီးေတာ့ ရွိၿပီးသား Folder ေတြန႔ဲ နာမည္တူ .exe ဖိုင္ေတြ၊ .lnk.exe ဖိုင္ေတြ အကုန္ဖ်က္ပါ။ C:\Windows ထဲက mgy.exe ကိုလည္း ဖ်က္ပါ။ System32 ထဲက 27 နဲ႔ စတဲ့ Folder နဲ႔ mgy.exe ကိုလည္း ဖ်က္ပစ္ပါ။ C: ထဲက System Volume Information နဲ႔ Recycler, Recycled ေတြကိုလည္း ဖ်က္ပါ။ တျခား D: ေတြ E: ေတြထဲက mgy.exe ကို ရွာဖ်က္ပါ။ မေကြးက ပြားလိုက္တဲ့ .exe ဖိုင္ေတြဟာ 15.6 MB ေတြ ခ်ည္းပဲ ျဖစ္ပါတယ္။

မေကြးနဲ႔ သူ႔အေပါင္းအပါေတြကို ရက္ရက္စက္စက္ သတ္ၿပီးသြားရင္ HDD ထဲက Windows ျပန္တက္လိုက္ပါ။ RRT နဲ႔ ပိတ္ထားတာ ေတြကို ျပန္ဖြင့္မယ္။ HijactThis နဲ႔ Autorun ေတြ ျဖဳတ္မယ္။ Software ေတြ တင္မရ ေအာင္ လုပ္ထားတာကို Registry ထဲမွာ DisableMSI key ရွာၿပီး Value ကို 0 ေပးလိုက္ပါ့မယ္။

Icon ေတြကို Windows Default အတိုင္း ျပန္ျဖစ္ေစဖို႔ အတြက္ Tune up သံုးရင္ ရပါတယ္။ မေကြးက shell32.dll အစား sxell32.dll အစားထိုး လိုက္တာမို႔ အဲဒီလို ျဖစ္သြားတာပါ။

ေနာက္ၿပီး မေကြး ေဖ်ာက္ထားတဲ့ ဖိုင္ေတြက Super Hidden ေတြဖို႔ Folder Options က Show Hidden နဲ႔ဆို ျမင္ရမွာ မဟုတ္ပါဘူး။ XYplorer နဲ႔ေတာ့ ျမင္ရမယ္။ ၿပီးရင္ XY နဲ႔ attribute ေတြျဖဳတ္လိုက္ရင္ အဆင္ေျပသြား ပါလိမ့္မယ္။ Start Menu ထဲက ေပ်ာက္ေနတာေတြကိုလည္း XY နဲ႔ပဲ ျပန္ေဖာ္လို႔ ရပါတယ္။

Start Menu မွာ MagwayFC ျဖစ္ေနတာ ကိုေတာ့ Resource hacker ကို အသံုးျပဳၿပီး http://www.theeldergeek.com/change_text_on_xp_start_button.htm မွာ ေရးထားတဲ့ အတိုင္း Start ဆိုၿပီး ျပန္ေျပာင္း လိုက္ပါ။

ဒါဆိုရင္ မေကြးလည္း ေသသြားပါၿပီ။ Windows လည္း ျပန္ေကာင္းသြားပါၿပီ။ Windows ကို ပိုသန္႔သြားေအာင္ Command Prompt ကိုဖြင့္ၿပီး sfc /scannow ေပးလိုက္ပါ။


ေနာက္တစ္နည္း

MgyVirusCleaner မွ မရွင္းလင္းႏိုင္သည္မွာ virus မရွိေတာ့ေသာ္လည္း software မ်ားကို install လုပ္၍မရေတာ့ျခင္းျဖစ္သည္။ OK ၏ MgyVirusCleaner သံုးၿပီး၍ Virus မရွိေတာ့လွ်င္ ေအာက္ပါအတိုင္း ျပဳလုပ္ပါ။

အဆင့္(၁)

  1. Start > Control Panel > Administrative Tools ကိုအဆင့္ဆင့္ဖြင့္ပါ။
  2. Administrative Tools ထဲမွ Local Security Policy ကို ဖြင့္ပါ။
  3. Local Security Policy ထဲတြင္ Software Restriction Policies ကို Right-click ႏွိပ္၍ “New Software Rectriction Policies” ကို ေရြးႏွိပ္ပါ။
  4. Software Restriction Policies ကို click တစ္ခ်က္ ႏွိပ္လိုက္လွ်င္ ညာဘက္ျခမ္းတြင္ Enforcement ကိုေတြ႔ရမည္။
  5. ၎ Enforcement ကို Double-click ႏွိပ္ပါ။ “All users except localadministrators" ကိုေရြးႏွိပ္ၿပီး OK ႏွိပ္ပါ။ Local Security Policy ကိုပိတ္ပါ။ Control Panel ရွိေနေသးလွ်င္ ပိတ္ပါ။
အဆင့္( ၂ )

  • Registry Editor ကိုဖြင့္ပါ။ (Windows XP အတြက္္ Start > Run တြင္ regedit ဟု႐ိုက္ၿပီး Enter ႏွိပ္ပါ။ Windows Vista or 7 အတြက္ Start ႏွိပ္ၿပီးသည္ႏွင့္ regedit ဟု ႐ိုက္ၿပီး Enter ႏွိပ္ပါ။)
  • ဘယ္ဘက္ျခမ္းမွ HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer အထိ အဆင့္ဆင့္ Double-click ႏွိပ္ၿပီး ဖြင့္သြားပါ။ ညာဘက္ျခမ္းမွ DisableMSI ကို Double-click ႏွိပ္ဖြင့္ၿပီး 1 ျဖစ္ေနသည္ကို 0 ဟုျပင္လိုက္ပါ။ OK ႏွိပ္ပါ။ Registry Editor ကိုပိတ္ၿပီး စက္ကို Restart ျပန္လုပ္လိုက္လွ်င္ Software မ်ား Install ျပန္လုပ္၍ရသည္ကို ေတြ႔ရပါမည္။

source by : http://malaysiammbloggers.blogspot.com