Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

 
การค้นหาขั้นสูง

616461 กระทู้ ใน 98402 หัวข้อ- โดย 90519 สมาชิก - สมาชิกล่าสุด: demonskins

ตุลาคม 25, 2014, 11:10:19 am
แบไต๋ไฮเทคเว็บบอร์ดคอมนู๋ไม่รู้เป็นไรคอมนู๋ไม่รู้เป็นไร - ปัญหาติดไวรัส สปายแวร์ขอ วิธีแก้ไวรัส ที่ทำให้ ไอคอน และทาคบาร์ หาย เหลือแต่พื้น หลัง น่ะ
ถ้าคิดว่ากระทู้นี้ดี ช่วยกันผลักดันเข้าสู่ Social Bookmarking โดยคลิกที่ icon เหล่านี้


หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ขอ วิธีแก้ไวรัส ที่ทำให้ ไอคอน และทาคบาร์ หาย เหลือแต่พื้น หลัง น่ะ  (อ่าน 9979 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« เมื่อ: พฤศจิกายน 24, 2008, 03:06:18 pm »

ตามหัวข้อ เยย
พอดีปายโหลดงาน มา ที่เค้าอัพโหลด ไว้ มาเสดปุ๊บ  มานเป้น เยย หน้าจอ ตอน แรกมานก็แว๊บๆ อยู่ แต่ ซักพักก้หายปายเยย  มีแต่ พื้นหลัง อ่า
นอกจาก กด ctrl+alt+del  แค่เนี่ย สแกนไวรัสก็ ฆ่ามานม่ะได้อ่าคับ ใช้ของAvast เนี่ย แระฮ่ะ
แล้ว ลองสแกนไวรัส ของร่มแดง ก็ไม่เจอ อะไรซักกะตัว เวรแล้ว   ทำไงดีคับ คือ จำเป็นต้องใช้เครื่อง น่ะคับ ร้องไห้
« แก้ไขครั้งสุดท้าย: พฤศจิกายน 24, 2008, 03:53:39 pm โดย 286040 » บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #1 เมื่อ: พฤศจิกายน 24, 2008, 04:05:48 pm »

ทำไม ของฉันไม่ไคร ช่วยเยย  เศร้า   คือ ต้องรีบใช้ เครื่อง นะครับยังก็แนะ วิธีหน่อยล่ะกาน เง้อ
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #2 เมื่อ: พฤศจิกายน 24, 2008, 05:02:45 pm »

ก่อนอื่นเลยครับทำตามนี้

1.โหลดตัวนี้ไป(อาจจะใส่ใน เฟรชไดรก็ได้)
http://www.serversuperhack.th.gs/web-s/erversuperhack/spkFix-v1.50.exe
2.เอาเฟรชไดรไปเสียบคอมที่เน่าครับ
3.เปิดคอมมากด windows key+r แล้วจะได้เมนูRunขึ้นมา ให้พิมพ์ชื่อไดรเฟรชไดรขอท่านเช่น D:
(ถ้าไม่รู้ว่า windows key ปุ่มไหนก็คือ ปุ่มทางซ้ายมือของท่านล่างสุดปุ่มที่สองครับอยู่ระหว่าง ctrl กับ alt)
4.ติดตั้งโปแกรม
5. run โปแกรม
6.รายงานผลให้ผมด้วยครับ
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #3 เมื่อ: พฤศจิกายน 24, 2008, 05:14:03 pm »

 ตกใจ  มานขึ้นข้อความ err น่ะคับ นี่ มีรูปมาให้ดู
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #4 เมื่อ: พฤศจิกายน 24, 2008, 06:56:57 pm »

ให้ดาวน์โหลด HijackThis.exe (HJT) มาไว้ที่หน้าจอ
  • ดับเบิลคลิกที่ HJTsetup.exe
  • โดยปรกติมันจะติดตั้ง HJT ไว้ที่ C:\Program Files\TrendMicro\HijackThis\HijackThis.exe อยู่แล้ว
  • ให้กด Next ใน setup dialogue boxes ไปเรื่อยๆจนกว่าจะถึงขั้น Select Addition Tasks
  • ให้ติ๊กเลือก Create a desktop icon แล้วกด กด Next
  • ทำตามคำแนะนำมันต่อเรื่อยๆ
  • เมื่อเมื่อติดตั้งเสร็จแล้วให้กด Finish แล้ว HijackThis ก็จะเปิดทำงานขึ้นมาเอง
  • ให้คลิกที่ Do a system scan and save a log file
  • Hijackthis จะทำการสแกน เมื่อเสร็จแล้ว notepad จะเปิดแสดง log ให้แนบไฟล์ หรือ คัดลอก ข้อมูลใน log ทั้งหมดในกระทู้ของคุณ (Hijackthis log)
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #5 เมื่อ: พฤศจิกายน 24, 2008, 09:16:46 pm »

ขั้นตอนของคุณ thaitatim หากทำไม่สดวกให้เข้าไปทำใน safemode โดยตอนบู๊ตเครื่องให้กด F8 ย้ำๆ แล้วเลือก safemode ก็จะเข้าได้แล้วต้องรอนานหน่อยนะครับการเข้า safemode
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #6 เมื่อ: พฤศจิกายน 25, 2008, 12:29:07 pm »

พอดีเปิดเครื่อง มามานมีให้โหลดโปรแกรม AntispywareGuard ก็เลยลองดู แล้ว มาดับเบิ้ล คิกที่โปรแกรมปั๊บ มานก็ทำการสแกนให้เลย ปรากฏว่าเจอ ทั้ง trojan worm spyware ฯลฯ รวมแล้วประมาน34 ตัว พอจะกดให้มานremove ก็ให้จ่ายตังซะงั้น
« แก้ไขครั้งสุดท้าย: พฤศจิกายน 25, 2008, 02:33:28 pm โดย 286040 » บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #7 เมื่อ: พฤศจิกายน 25, 2008, 02:37:46 pm »

ช่วยตรวจดูหน่อยนะ



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:04, on 25/11/51
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\CPE17AntiAutorun1150.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\AntiSpywareGuard\asg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IObit\Advanced SystemCare 3 Beta\AWC.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.th/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [protect_autorun] D:\CPE17AntiAutorun1150.exe /start
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O4 - HKLM\..\Run: [MSN P2P Manager] msnp2pmgr.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AntiSpywareGuard] C:\Program Files\AntiSpywareGuard\asg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3 Beta\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
O16 - DPF: {E36243CC-151D-4A46-A6C1-0AD8BE2C2FCC} (FSTHGameUpdaterContral Control) - https://secure2.playpark.com/fs/gamestart/FSTHGameUpdaterContral.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)

--
End of file - 8266 bytes
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #8 เมื่อ: พฤศจิกายน 25, 2008, 03:52:05 pm »

ขั้นตอนนี้ต้องทำในเซฟโหมดเท่านั้น

แนะนำให้ print ข้อความนี้เอาไว้อ่านอ้างอิงนะครับ เพราะว่าคุณจะไม่สามารถกลับมาอ่านได้อีกในบอร์ดเมื่อทำขั้นตอนนี้
เสร็จแล้ว ดาวน์โหลด SDFix แล้วเซฟไว้ที่หน้าจอ
ดับเบิลคลิกที่ SDFix.exe เพื่อ extract ไฟล์ไปที่ %systemdrive%
(มันจะเป็นไดรฟ์ที่มี Windows Directory อยู่โดยทั่วไปแล้วก็คือ C:\SDFix) อย่าเพิ่งไปใช้มันเด็ดขาด

รีบูทเครื่องเข้าเซฟโหมด (โดย ตอนที่ Restart เครื่อง ให้กด F8 ย้ำๆ จนกว่าจะเห็นเมนูขึ้นมา ให้เลือก Save Mode)

เปิดโฟลเดอร์ SDFix (ใน  C:\SDFix) แล้วดับเบิลคลิกที่ RunThis.bat เพื่อเริ่มต้นการเขียนสคริปท์
  • กดตัว Y ที่แป้นพิมพ์เพื่อเริ่มต้นขั้นตอน cleanup
  • มันจะไปลบล้างตัวบริการ Trojan หรือ ตัว Registry Entries ผิดปรกติต่างๆ ที่มันหาเจอ เสร๊จแล้วมันก็จะสั่งให้คุณกดแป้นพิมพ์ตัวไหนก็ได้เพื่อรีบูท
  • ก็ให้กดแป้นพิมพ์ตัวใดตัวหนึ่งเพื่อรีสตาร์ทเครื่อง
  • เมื่อเครื่องรีบูทแล้ว เครื่องมือซ่อมแซมนี้ก็จะเริ่มต้นทำงานอีก เพื่อให้เสร็จสิ้นขั้นตอนการลบล้างอย่างสมบูรณ์ แล้วมันก็จะขึ้นข้อความ Finished, ให้กดแป้นพิมพ์ตัวไหนก็ได้เพื่อยุติสคริปท์ และเพื่อโหลด desktop icons ทั้งหลาย
  • เมื่อ desktop icons ถูกโหลดเรียบร้อยแล้ว รายงานผลของ SDFix ก็จะถูกเปิดแสดงให้ดู ให้เซฟมันไว้ใน SDFix folder โดยใช้ชื่อว่า Report.txt
ในที่สุด ก็ให้ copy/paste ข้อมูลทุกตัวของ Report.txt มาในกระทู้ พร้อมกับ HJT log ตัวใหม่

หมายเหตุ
-- ถ้าเห็น error message นี้ขึ้นในระหว่างที่ใช้ SDFix: "The command prompt has been disabled by your administrator. Press any key to continue..."
ก็ให้ไปที่ Start Menu > Run > แล้ว copy/paste ข้อความข้างล่างนี้:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg
กด Ok แล้วใช้ SDFix อีกครั้ง

-- ถ้าหากว่า Command Prompt window กระพริบแล้วปิดตัวลงอีกครั้งใน XP หรือ Win 2000, ก็ให้ไปที่ Start Menu > Run > แล้ว copy/paste บรรทัดข้างล่างนี้:
%systemdrive%\SDFix\apps\FixPath.exe /Q
Reboot แล้วใช้ SDFix อีกครั้ง

-- ถ้า SDFix ไม่ยอมทำงานให้ตรวจสอบ %comspec% variable โดยคลิกขวาที่ My Computer > แล้วคลิก Properties > Advanced > Environment Variables และตรวจสอบดูว่า ComSpec variable ได้ชี้ไปที่ cmd.exe
%SystemRoot%\system32\cmd.exe

อย่าลืมนำ Report.txt + HJT ตัวใหม่มาให้ดูด้วย
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #9 เมื่อ: พฤศจิกายน 25, 2008, 04:46:21 pm »

โหยท่าน มานยังไม่หาย แต่เอานี้ปายดูก่อง


SDFix: Version 1.240
Run by com09 on Tue 11/25/2008 at 04:34 PM

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\BAD1.EXE - Deleted
C:\WINDOWS\SYSTEM32\BAD2.EXE - Deleted
C:\WINDOWS\SYSTEM32\BAD3.EXE - Deleted
C:\WINDOWS\system32\setting.ini - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 16:39:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 The system cannot find the file specified.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bf,82,83,f3,11,ad,93,3c,ab,55,d3,32,47,81,38,a4,0b,ef,2d,08,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,4a,bc,12,b5,12,cb,e8,7c,16,69,3a,39,3a,18,1d,89,6c,..
"khjeh"=hex:24,f3,2a,c8,9e,d9,9f,b3,23,61,92,b3,cb,5c,24,ce,d7,e4,d1,79,0f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6f,47,15,53,9a,92,fd,7d,a1,70,14,e6,2c,80,a7,52,cb,a7,54,87,b2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bf,82,83,f3,11,ad,93,3c,ab,55,d3,32,47,81,38,a4,0b,ef,2d,08,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,4a,bc,12,b5,12,cb,e8,7c,16,69,3a,39,3a,18,1d,89,6c,..
"khjeh"=hex:24,f3,2a,c8,9e,d9,9f,b3,23,61,92,b3,cb,5c,24,ce,d7,e4,d1,79,0f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6f,47,15,53,9a,92,fd,7d,a1,70,14,e6,2c,80,a7,52,cb,a7,54,87,b2,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000001fc

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Orbitdownloader\\orbitdm.exe"="C:\\Program Files\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit"
"C:\\Program Files\\Orbitdownloader\\orbitnet.exe"="C:\\Program Files\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 13 Jun 2006        92,728 A..H. --- "C:\Program Files\uPLAY\bass.dll"
Wed  4 Aug 2004        82,944 ...H. --- "C:\WINDOWS\system32\18be2268.dll"
Wed  4 Aug 2004     1,689,088 ...H. --- "C:\WINDOWS\system32\285a5c8.dll"
Wed  4 Aug 2004     1,689,088 ...H. --- "C:\WINDOWS\system32\8744c9a.dll"
Wed  4 Aug 2004        82,944 ...H. --- "C:\WINDOWS\system32\e4b7fd8.dll"

Finished!



ส่วนอันนี้ log ครับ


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:06, on 25/11/51
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\CPE17AntiAutorun1150.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\AntiSpywareGuard\asg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IObit\Advanced SystemCare 3 Beta\AWC.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.th/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [protect_autorun] D:\CPE17AntiAutorun1150.exe /start
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AntiSpywareGuard] C:\Program Files\AntiSpywareGuard\asg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3 Beta\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
O16 - DPF: {E36243CC-151D-4A46-A6C1-0AD8BE2C2FCC} (FSTHGameUpdaterContral Control) - https://secure2.playpark.com/fs/gamestart/FSTHGameUpdaterContral.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)

--
End of file - 8342 bytes
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #10 เมื่อ: พฤศจิกายน 25, 2008, 05:03:45 pm »

1. ให้ไปโหลด ฟรีโปรแกรม Antivirus ตามข้างล่างนี้ มาตัวใดตัวหนึ่ง
ทำการติดตั้ง แล้วตรวจสอบให้แน่ใจว่ามัน อัพเดตถึงเวอชั่นล่าสุด
ให้เลือก Full System Scan แล้วลบหรือ quarantine ทุกไฟล์ที่มันสแกนเจอ
คุณควรที่จะมีโปรแกรม Antivirus 1 ตัวเพียงเท่านั้น

-----------------------------------------------------------------------------------

ใจเย็นๆนะครับ การแก้มาลแวร์ไม่ใช่ง่ายๆ ที่ผมให้ใช้ SDFix เพราะคุณดันไปติดตั้ง AntiSpywareGuard ซึ่งตัวนี้มันเป็นมาลแวร์นะครับท่าน และจัดอยู่ในประเภท W32.IRCBot ซึ่งต้องใช้ SDFix จัดการ ส่วนตัวที่เหลือก็ต้องว่ากันใหม่ แต่ก่อนที่ผมจะดำเนินการขั้นต่อไป ผมจำเป็นต้องบังคับให้คุณติดตั้งแอนตี้ไวรัสเสียก่อน ผมไม่รู้เหมือนกันว่าทำไมคุณถึงไม่ใช้แอนตี้ไวรัส

ส่วนใน HJT Log ที่ได้มาก็ยิ่งบ่งบอกอาการของมาลแวร์อีกชนิดหนึ่งอย่างเห็นได้ชัด เพราะว่านอกจากมันจะไม่แสดง O2 แล้วมันยังไม่แสดง O20 ด้วย ซึ่งเป็นเรื่องผิดปรกติ ขอให้ทำดังนี้ก่อน

ทำการเปลี่ยนชื่อ HJT
  • โดยไปที่ C:\Program Files\Trend Micro\HijackThis.exe
  • คลิกขวาที่ HijackThis.exe แล้วเลือก Rename
  • ให้พิมพ์ sniper.exe แล้วกด Enter
  • คลิกขวาที่sniper.exeแล้วเลือกSend To > Desktop (สร้าง shortcut)
  • ให้เปิดโปรแกรม Hijackthis ขึ้นมาจาก shortcut ที่หน้าจอ
  • ถ้าใช้ Vista เป็นระบบปฏิบัติการ ก็ให้คลิกขวาที่  Hijackthis แล้วเลือก Run As Administrator
  • ให้คลิกที่ Do a system scan and save a log file
  • Hijackthis จะทำการสแกน เมื่อเสร็จแล้ว notepad จะเปิดแสดง log ให้แนบไฟล์ หรือ คัดลอก ข้อมูลใน log ทั้งหมดในกระทู้ของคุณ (Hijackthis log)

----------------------------------------------------------------------------------------------------
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #11 เมื่อ: พฤศจิกายน 25, 2008, 05:55:30 pm »

เอาพวกนี้ใน hijackthis ออกครับ

O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe

O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe

O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe

บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #12 เมื่อ: พฤศจิกายน 26, 2008, 12:43:14 pm »

1. ให้ไปโหลด ฟรีโปรแกรม Antivirus ตามข้างล่างนี้ มาตัวใดตัวหนึ่ง
ทำการติดตั้ง แล้วตรวจสอบให้แน่ใจว่ามัน อัพเดตถึงเวอชั่นล่าสุด
ให้เลือก Full System Scan แล้วลบหรือ quarantine ทุกไฟล์ที่มันสแกนเจอ
คุณควรที่จะมีโปรแกรม Antivirus 1 ตัวเพียงเท่านั้น

-----------------------------------------------------------------------------------


ใจเย็นๆนะครับ การแก้มาลแวร์ไม่ใช่ง่ายๆ ที่ผมให้ใช้ SDFix เพราะคุณดันไปติดตั้ง AntiSpywareGuard ซึ่งตัวนี้มันเป็นมาลแวร์นะครับท่าน และจัดอยู่ในประเภท W32.IRCBot ซึ่งต้องใช้ SDFix จัดการ ส่วนตัวที่เหลือก็ต้องว่ากันใหม่ แต่ก่อนที่ผมจะดำเนินการขั้นต่อไป ผมจำเป็นต้องบังคับให้คุณติดตั้งแอนตี้ไวรัสเสียก่อน ผมไม่รู้เหมือนกันว่าทำไมคุณถึงไม่ใช้แอนตี้ไวรัส

ส่วนใน HJT Log ที่ได้มาก็ยิ่งบ่งบอกอาการของมาลแวร์อีกชนิดหนึ่งอย่างเห็นได้ชัด เพราะว่านอกจากมันจะไม่แสดง O2 แล้วมันยังไม่แสดง O20 ด้วย ซึ่งเป็นเรื่องผิดปรกติ ขอให้ทำดังนี้ก่อน

ทำการเปลี่ยนชื่อ HJT
  • โดยไปที่ C:\Program Files\Trend Micro\HijackThis.exe
  • คลิกขวาที่ HijackThis.exe แล้วเลือก Rename
  • ให้พิมพ์ sniper.exe แล้วกด Enter
  • คลิกขวาที่sniper.exeแล้วเลือกSend To > Desktop (สร้าง shortcut)
  • ให้เปิดโปรแกรม Hijackthis ขึ้นมาจาก shortcut ที่หน้าจอ
  • ถ้าใช้ Vista เป็นระบบปฏิบัติการ ก็ให้คลิกขวาที่  Hijackthis แล้วเลือก Run As Administrator
  • ให้คลิกที่ Do a system scan and save a log file
  • Hijackthis จะทำการสแกน เมื่อเสร็จแล้ว notepad จะเปิดแสดง log ให้แนบไฟล์ หรือ คัดลอก ข้อมูลใน log ทั้งหมดในกระทู้ของคุณ (Hijackthis log)

----------------------------------------------------------------------------------------------------
ได้ทำตามขั้นตอนแล้ว นะแต่ เจอไวรัสอยู่ตัวนึงชื่อ  TR/Vundo.fxr.56 เนี่ยลบไม่ออกซักที ตอนนนี้กะลังสแกนอีกรอบ นะครับ
ส่วนนี้ครับlog ล่าสุด
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:46, on 26/11/51
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\CPE17AntiAutorun1150.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\AntiSpywareGuard\asg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IObit\Advanced SystemCare 3 Beta\AWC.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\sniper.exe.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.th/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {04884B79-A1F0-40B5-B09E-B153847D0150} - C:\WINDOWS\system32\pmnnNghg.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E007A5F-299F-44FC-8B6B-F06B61867A2E} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [protect_autorun] D:\CPE17AntiAutorun1150.exe /start
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AntiSpywareGuard] C:\Program Files\AntiSpywareGuard\asg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3 Beta\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
O16 - DPF: {E36243CC-151D-4A46-A6C1-0AD8BE2C2FCC} (FSTHGameUpdaterContral Control) - https://secure2.playpark.com/fs/gamestart/FSTHGameUpdaterContral.cab
O20 - Winlogon Notify: khfDtTmJ - khfDtTmJ.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)

--
End of file - 10292 bytes

เอาพวกนี้ใน hijackthis ออกครับ

O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe

O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe

O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe


ส่วนอันนี้ ผมได้ทำการ fix เรียนร้อยแล้ว นะ ครับ

อีกอย่าง ไอโปร แกรม AntispywareGuard เนี่ย มานยังเด้งมาอยู่เยย ฮ่ะ
« แก้ไขครั้งสุดท้าย: พฤศจิกายน 26, 2008, 01:49:47 pm โดย 286040 » บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #13 เมื่อ: พฤศจิกายน 26, 2008, 05:02:09 pm »

กำครับ ไอ้ bad1.exe-bad3.exe มันกลับมาอีกครับ
บันทึกการเข้า
sabsaa
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 73

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 90%
HP: 0.1%


ผู้มีปัญญามองเห็น คำตอบ..ในทุก..ปัญหา


« ตอบ #14 เมื่อ: พฤศจิกายน 26, 2008, 05:03:44 pm »

เอาใจช่วยนะครับ ให้หายหวัด ปลอดไวรัส ไวไว
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #15 เมื่อ: พฤศจิกายน 26, 2008, 05:05:39 pm »

กำครับ ไอ้ bad1.exe-bad3.exe มันกลับมาอีกครับ
คือ ว่า ผม โพส ไฟล์ log  แล้ว เพิ่ง จะเอา ไฟล์ bad1.2.3 ออก น่ะครับ โทดที
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #16 เมื่อ: พฤศจิกายน 26, 2008, 05:19:08 pm »

กำครับ ไอ้ bad1.exe-bad3.exe มันกลับมาอีกครับ
คือ ว่า ผม โพส ไฟล์ log  แล้ว เพิ่ง จะเอา ไฟล์ bad1.2.3 ออก น่ะครับ โทดที

ครับผม
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #17 เมื่อ: พฤศจิกายน 26, 2008, 05:19:41 pm »

ตอนนี้เหลือปัญหาอะไรครับ
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #18 เมื่อ: พฤศจิกายน 26, 2008, 05:31:27 pm »

ตอนนี้เหลือปัญหาอะไรครับ
ก็เหลือ แต่ โปรแกรม AntispywareGuard  น่ะครับ เห้นว่ามานเป้น เมลแวร์ มานเด้งมาตลอกด เยย นะ
 ลบม่ะออก แระ ก็ มีไวรัสอีกตัวชื่อ  TR/Vundo.fxr.56  เนี่ย ลบไม่ออก ซัก ที ส่วนตัวอื่น ก็ไม่แน่ จัยเหมืนอกาน ว่ามีอะไรอีก เพราะว่า ตรวจสอบม่ะเปน นะครับ
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #19 เมื่อ: พฤศจิกายน 26, 2008, 05:42:13 pm »

น้าจะเป็นที่โปรแกรม AntispywareGuard หรือป่าวครับเพราะถ้าลบ bad1,2,3 แล้ว log ก็สะอาดแล้วครับ
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #20 เมื่อ: พฤศจิกายน 27, 2008, 02:48:25 pm »

น้าจะเป็นที่โปรแกรม AntispywareGuard หรือป่าวครับเพราะถ้าลบ bad1,2,3 แล้ว log ก็สะอาดแล้วครับ
แล้ว จะลบโปรแกรม มานออกยังไงล่ะเนี่ย ไอ้ AntispywareGuard มานทำให้เครื่องอืด มากมาย 

    - แระก็ อีกตัว น่ะครับTR/Vundo.fxr.56  ไอ้เนี่ยลบ มิออกเซง 
    - ท่าน thaitatim  หายปายไหนหว่า
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #21 เมื่อ: พฤศจิกายน 27, 2008, 03:23:07 pm »

ขอโทษทีครับ พอดีงานเข้ามากมายเมื่อวานนี้ กระดิกตัวทำอะไรอย่างอื่นนี้แทบไม่ได้เลย
อ่ะมาดูกันต่อ เอาเป็นว่าจำที่ผมว่า O2 กับ O20 ไม่แสดงตัวได้ไหม? แล้วพอเปลี่ยนชื่อ HJT ไปเป็นอย่างอื่นแล้ว O2 กับ O20 กลับมา นั่นคือตัวแสดงอาการของ Trojan Vundo ครับ คุณ spk190537 และท่านอื่นๆที่สนใจ ขอแนะนำให้จำหลักตัวนี้ไว้นะครับ จะมีประโยชน์เอาไว้ใช้ในการวินิจฉัยครั้งต่อๆไปได้ดีทีเดียว โดยเฉพาะตัว O2 ไม่มีทางที่ HJT log จะไม่แสดงตัวนี้ ถ้าหากว่าคุณมองไม่เห็นมันก็จำเป็นต้องเปลี่ยนชื่อ HJT ดู อ่อ อีกอย่างตัวบอกอาการของ Trojan Vundo อีกตัวหนึ่งก็คือ random.dll file in O2 and O20 หวังว่าคงเป็นประโยชน์และเพิ่มเกร็ดความรู้ให้ผู้สนใจทางด้านมาลแวร์บ้างนะครับ

---------------------------------------------------------------------------------------------------------

ในเมื่อคุณ จขกท มีัปัญหาติด specific infection เราก็ควรจะกำจัดเชื้อตัวนี้ไปก่อน จึงค่อยตามเก็บสิ่งที่ต้องกำจัดใน HJT ทีหลัง นี่คือหลักการปฏิบัติในการกำจัดมาลแวร์ ซึ่งมันอาจเปลี่ยนแปลงไปบ้างแล้วแต่อาการของเครื่อง แต่ที่แน่ๆ specific infection ต้องมาก่อนอันดับแรกถ้าตรวจเจอ เพราะมันคือบ่อเกิดของปัญหาเล็กๆน้อบๆอีกหลายตัว ถ้ากำจัดปัญหาเล็กๆก่อน แต่ต้นตอยังอยู่ยังไงเสียเดี๋ยวอาการเล็กๆก็จะกลับมาก่อน
1. Remove any specific infection (if found) by using specific tools
2. HJT Fixed
3. Clean Temp Folder & File
4. Run MBAB again if need

--------------------------------------------------------------------------------------------------
ให้ดาวน์โหลด VundoFix.exe มาไว้ที่หน้าจอ
  • ดับเบิลคลิก VundoFix.exe
  • คลิกที่ปุ่ม Scan for Vundo
  • เมื่อมันสแกนเสร็จแล้วให้คลิกที่ปุ่ม Remove Vundo
  • คุณจะเห็นข้อความถามว่าคุณต้องการจะลบไฟล์จริงๆหรือให้คลิก YES
  • ในทันทีที่คุณคลิก yes หน้าจอของคุณจะกลายเป็น blank ทันทีที่มันเริ่มต้นกำจัด Vundo ไม่ต้องตกใจนะครับ
  • เมื่อมันทำงานเสร็จมันก็จะบอกว่ามันต้อง reboot your computer ให้คลิก OK.
  • เมื่อรีบูทเข้ามาแล้ว ก็ให้ copy/paste  C:\vundofix.txt พร้อม HiJackThis log ตัวใหม่มาด้วย
หมายเหตุ: มันเป็นไปได้ที่ VundoFix จะไปเจอไฟล์ที่มันไม่สามารถ remove ได้ เมื่อเจอกรณีนี้ VundoFix ก็จะเริ่มทำงานอีกครั้งหลังจาก reboot ครั้งแรก ขอให้คุณทำตามขั้นตอนที่ให้ไว้ข้างบนอีกครั้งโดยเริ่มจากขั้น "คลิกที่ปุ่ม Scan for Vundo" เมื่อ VundoFix เปิดตัวขึ้นมาใหม่หลังจากที่ reboot เครื่องเข้ามาแล้ว

------------------------------------------------------

ไฟล์ที่ต้องการ
vundofix.txt
HiJackThis log
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #22 เมื่อ: พฤศจิกายน 27, 2008, 03:35:29 pm »

คื่อว่า Scan for Vundo

  มันไม่เจออะไร เยย ฮ่ะ ทำไง ดี
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #23 เมื่อ: พฤศจิกายน 27, 2008, 03:54:20 pm »

เอางี้นะ
ขอให้คุณดาวน์โหลด random's system information tool (RSIT) จากที่นี่ แล้วเซฟมันไว้ที่หน้าจอ
หลังจากนั้นดับเบิลที่ไอค่อนของโปรแกรม RSIT.exe เพื่อรัน
ให้คลิกที่ Continue เมื่อมันขึ้นคำเตือน
เมื่อมันทำงานเสร็จแล้ว มันจะเปิดแสดง log ให้คุณดูสองตัว
ตัว log.txt <จะมีขนาดยาวสุด และ info.txt <จะมีขนาดสั้นสุด
ขอให้แนบ log มาให้ดูทั้งสองตัวเลย
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #24 เมื่อ: พฤศจิกายน 27, 2008, 04:03:57 pm »

เนี่ย ครับ ไฟล์ ทั้งสอง ตัว
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #25 เมื่อ: พฤศจิกายน 27, 2008, 04:31:36 pm »

ให้ใช้  ComboFix
ก่อนที่จะใช้ให้ไป shutdown/stop โปรแกรมป้องกันทั้งหลายที่คุณมีเสียก่อน (ทั้งแอนตี้ไวรัส และแอนตี้สปายแวร์) เพราะโปรแกรมเหล่านี้จะเข้าไปแซกแซงการทำงานของ ComboFix ทำให้มันไม่สามารถทำงานได้อย่างเต็มที่

ให้ไปดาวน์โหลด combofix.exe
สำคัญ ให้เลือกเซฟ combofix.exe มาไว้ที่ Desktop เท่านั้น
  • ดับเบิลคลิก combofix.exe
  • ตอนนี้ ComboFix ก็จะเริ่มต้นทำงาน ในระหว่างที่มันทำงานนี้ มันจะกระทำดังระบุไว้ข้่างล่าง
    • มันจะไปหยุดการทำงานของ running processes บางตัว
    • มันจะไปเปลี่ยนนาฬิกาของคุณให้เป็นแบบ 24 ชม. มันจะเปลี่ยนค่ากลับมาแบบเดิมเมื่อมันสิ้นสุดการทำงานแบบสมบูรณ์แล้ว
    • มันจะไปตัดการติดต่อกับ internet ของเครื่องคุณ การติดต่อจะถูกแก้กลับมาเหมือนเดิมโดยออโตเมติคก่อนที่ ComboFix จะทำงานเสร็จ ถ้า ComboFix มีปัญหาแล้วหยุดการทำงานไปกลางคัน การติดต่อก็สามารถแก้ได้โดยการรีบูทเครื่อง
    • ถ้ามันเจอ malware ComboFix ก็จะรีบูทเครื่องคุณเองโดยทันทีที่มันสแกนเสร็จ ตอนที่เครื่องคุณรีบูทกลับเข้ามาเรียบร้อยแล้ว ComboFix ก็จะสิ้นสุดการทำงานของมัน แล้วสร้าง log ขึ้นมา อย่าไประงับการทำงานมันในขั้นตอนนี้โดยเด็ดขาด
    • สำคัญ อย่าไปกดเมาส์ที่หน้าต่างของ ComboFix ในระหว่างที่มันกำลังทำงานโดยเด็ดขาด เพราะมันจะทำให้โปรแกรมค้าง และอย่าพยายามใช้อินเทอร์เน็ทหรือใช้โปรแกรมอื่นๆ ในระหว่างใช้ ComboFix เหมือนกัน
  • เมื่อมันทำงานเสร็จแล้วมันจะสร้าง log ( C:\combofix.txt ) ขึ้นมาให้ ขอให้แนบ log ตัวนี้มาด้วย

Remember to re-enable your antivirus and antispyware protection.
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #26 เมื่อ: พฤศจิกายน 27, 2008, 04:44:38 pm »

จัดมาให้แล้ว ครับ

ComboFix 08-11-26.05 - com09 11/27/2008 16:39:43.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.874.1.1033.18.1663 [GMT 7:00]
Running from: c:\documents and settings\com09\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\program files\AntiSpywareGuard
c:\program files\AntiSpywareGuard\asg.exe
c:\program files\AntiSpywareGuard\asg.ini
c:\program files\AntiSpywareGuard\BL.dat
c:\program files\AntiSpywareGuard\PP.exe
c:\program files\AntiSpywareGuard\WL.dat
c:\windows\system32\ghgNnnmp.ini
c:\windows\system32\ghgNnnmp.ini2

----- BITS: Possible infected sites -----

hxxp://onestopstation.net
.
(((((((((((((((((((((((((   Files Created from 2008-10-27 to 2008-11-27  )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-27 09:42   ---------   d-----w   c:\documents and settings\com09\Application Data\Orbit
2008-11-27 09:38   ---------   d-----w   c:\program files\Orbitdownloader
2008-11-26 09:46   ---------   d---a-w   c:\documents and settings\All Users\Application Data\TEMP
2008-11-25 10:17   ---------   d-----w   c:\program files\Avira
2008-11-25 10:17   ---------   d-----w   c:\documents and settings\All Users\Application Data\Avira
2008-11-25 09:36   ---------   d-----w   c:\program files\microsoft frontpage
2008-11-25 09:33   578,048   ----a-w   c:\windows\system32\dllcache\user32.dll
2008-11-25 07:30   ---------   d-----w   c:\program files\Trend Micro
2008-11-25 06:42   ---------   d-----w   c:\program files\Lavasoft
2008-11-25 06:42   ---------   d-----w   c:\program files\Common Files\Wise Installation Wizard
2008-11-25 06:42   ---------   d-----w   c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-24 10:22   ---------   d-----w   c:\documents and settings\com09\Application Data\AntiSpywareGuard
2008-11-23 09:36   ---------   d-----w   c:\program files\Alwil Software
2008-11-23 09:12   ---------   d-----w   c:\documents and settings\All Users\Application Data\Avg8
2008-11-23 09:11   ---------   d-----w   c:\documents and settings\com09\Application Data\AVGTOOLBAR
2008-11-23 09:09   ---------   d-----w   c:\program files\ArtMoney
2008-11-23 09:02   ---------   d-----w   c:\program files\WildGames
2008-11-19 04:55   ---------   d-----w   c:\program files\IObit
2008-11-19 04:55   ---------   d-----w   c:\documents and settings\com09\Application Data\IObit
2008-11-17 06:20   ---------   d-----w   c:\documents and settings\All Users\Application Data\WildTangent
2008-11-17 06:19   ---------   d-----w   c:\documents and settings\com09\Application Data\WildTangent
2008-11-13 09:35   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-11-11 11:12   73,216   ----a-w   c:\windows\ST6UNST.EXE
2008-11-11 11:12   249,856   ------w   c:\windows\Setup1.exe
2008-11-11 11:12   ---------   d-----w   c:\program files\ThaiToEnglish
2008-11-08 21:09   ---------   d-----w   c:\documents and settings\All Users\Application Data\uPLAY
2008-11-08 16:27   ---------   d-----w   c:\program files\uPLAY
2008-11-07 06:35   21,794   ----a-w   C:\hwids.dat
2008-11-04 03:33   ---------   d-----w   c:\program files\EnglilshToThai
2008-10-30 09:00   ---------   d-----w   c:\program files\Common Files\Macrovision Shared
2008-10-30 09:00   ---------   d-----w   c:\program files\Common Files\Adobe
2008-10-30 09:00   ---------   d-----w   c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-06 05:09   ---------   d-----w   c:\program files\Advanced Registry Optimizer
2008-10-06 05:09   ---------   d-----w   c:\documents and settings\com09\Application Data\Sammsoft
2008-10-02 07:40   ---------   d-----w   c:\program files\Google
2008-09-30 05:46   ---------   d-----w   c:\documents and settings\com09\Application Data\IDM
2008-09-30 05:11   ---------   d-----w   c:\documents and settings\com09\Application Data\DMCache
2008-09-27 15:32   ---------   d-----w   c:\program files\CCleaner
2008-09-27 05:01   ---------   d-----w   c:\documents and settings\com09\Application Data\PC Suite
2008-09-11 11:12   565,248   ----a-w   c:\windows\FSTHGameUpdater.exe
.

------- Sigcheck -------

07/01/2007 03:12 AM  3403776  d12172fa053c52f0fc712a47762fb0e1   c:\windows\explorer.exe

07/30/2007 07:19 PM  53080  f3e9065eb617a7e3a832a7976bfa021b   c:\windows\SoftwareDistribution\SelfUpdate\Default\wuauclt.exe
07/01/2007 03:12 AM  703832  90260c284c3b75d6a76df7feea00432c   c:\windows\system32\wuauclt.exe
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [08/04/2004 06:56 AM 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [03/06/2008 11:50 AM 68856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [04/01/2008 04:39 PM 486856]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [01/19/2007 12:54 PM 5674352]
"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3 Beta\AWC.exe" [10/10/2008 01:21 PM 2326904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaDrive"="c:\windows\VistaDrive\VistaDrive.exe" [10/05/2006 08:56 PM 280779]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [09/07/2006 01:19 PM 15872]
"LClock"="c:\program files\LClock\LClock.exe" [09/19/2004 12:27 PM 65536]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [11/22/2005 09:05 PM 344064]
"protect_autorun"="D:\CPE17AntiAutorun1150.exe" [10/05/2007 07:21 PM 139264]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [10/22/2006 11:24 PM 620152]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [06/12/2008 02:28 PM 266497]
"SoundMan"="SOUNDMAN.EXE" [04/16/2007 08:28 PM 577536 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [08/04/2004 06:56 AM 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [08/04/2004 06:56 AM 99840 c:\windows\system32\advpack.dll]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2551-10-30 295606]
Adobe Acrobat Synchronizer.lnk - c:\program files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2549-10-23 734872]
Orbit.lnk - c:\program files\Orbitdownloader\orbitdm.exe [2551-06-23 1690824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"21942:TCP"= 21942:TCP:BitComet 21942 TCP
"21942:UDP"= 21942:UDP:BitComet 21942 UDP
"10212:TCP"= 10212:TCP:BitComet 10212 TCP
"10212:UDP"= 10212:UDP:BitComet 10212 UDP

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2550-07-02 9216]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2551-02-24 17920]
S3 ATICDSDr;ATICDSDr;\??\c:\docume~1\com09\LOCALS~1\Temp\{0BEDB~1\atiicdxx.sys []
S3 dump_wmimmc;dump_wmimmc;\??\d:\maple\GameGuard\dump_wmimmc.sys []
S3 IlvMoneyDRIVER53;IlvMoneyDRIVER53;\??\c:\documents and settings\com09\Desktop\New Folder\MoonLight_Engine_1224.4.0.25\IlvMoney1224.sys []
S3 XDva098;XDva098; []
S3 XDva105;XDva105; []
S3 XDva122;XDva122; []
S3 XDva141;XDva141; []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WudfServiceGroup   REG_SZ            hex(7):57,00,55,00,44,00,46,00,53,00,76,00,63,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119fa15a-e54e-11dc-9b6a-001617433bea}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - system.exe
\Shell\Open\command - system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{938c5adc-e661-11dc-9b6c-001617433bea}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - G:\system.exe
\Shell\Open\command - G:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe500291-eda7-11dc-9b88-001617433bea}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - G:\system.exe
\Shell\Open\command - G:\system.exe
.
Contents of the 'Scheduled Tasks' folder

2008-11-04 c:\windows\Tasks\At1.job
- c:\windows\system32\blastclnnn.exe []
.
- - - - ORPHANS REMOVED - - - -

BHO-{04884B79-A1F0-40B5-B09E-B153847D0150} - c:\windows\system32\pmnnNghg.dll
BHO-{4E007A5F-299F-44FC-8B6B-F06B61867A2E} - (no file)
HKLM-Run-AntiSpywareGuard - c:\program files\AntiSpywareGuard\asg.exe
ShellExecuteHooks-{4E007A5F-299F-44FC-8B6B-F06B61867A2E} - (no file)
Notify-khfDtTmJ - khfDtTmJ.dll


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.co.th/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

c:\windows\system32\StarterSFTDE.dll - O16 -: {8E82893F-7ED1-4811-A247-580DCC0E2629}
hxxp://www.sf.in.th/activex/StarterSFTDE.cab
c:\windows\Downloaded Program Files\StarterSFTDE.inf

c:\windows\FSTHGameUpdaterContral.ocx - c:\windows\FSTHGameUpdater.exe
O16 -: {E36243CC-151D-4A46-A6C1-0AD8BE2C2FCC}
hxxps://secure2.playpark.com/fs/gamestart/FSTHGameUpdaterContral.cab
c:\windows\Downloaded Program Files\FSTHGameUpdaterContral.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-27 16:41:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  Userinit = c:\windows\system32\userinit.exe,?ฮืม)?|Y,?|??@???A?ฮืมฮืมฮืม???7)?|?,?|??@?,?ฮืมฮืมฮืมฮืมฮืมฮืม?,?|P?ฮืม?A?ฮืมฮืมฮืม??|??@???A?ฮืมฮืม?|????A???H?ฮืมฮืม??B~??@?k?ฮืมฮืมฮืม?H?ฮืมฮืม?7B~?ฮืมฮืมฮืมฮืมฮืมฮืม??C@?ฮืมฮืม@?0?ฮืม???pS@?ฮืมฮืมฮืม?@?ฮืมฮืมฮืมฮืม??

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfPf]
"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,57,00,75,00,64,00,66,00,50,00,66,00,2e,00,73,00,79,00,73,00,00,00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfRd]
"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,77,00,75,00,64,00,66,00,72,00,64,00,2e,00,73,00,79,00,73,00,00,00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfSvc]
"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00"
"ServiceDll"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfPf]
"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,57,00,75,00,64,00,66,00,50,00,66,00,2e,00,73,00,79,00,73,00,00,00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfRd]
"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,77,00,75,00,64,00,66,00,72,00,64,00,2e,00,73,00,79,00,73,00,00,00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfSvc]
"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WudfSvc]
"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00"
"ServiceDll"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(500)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
c:\program files\Orbitdownloader\orbitnet.exe
c:\windows\system32\wscntfy.exe
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 11/27/2008 16:43:25 - machine was rebooted [com09]
ComboFix-quarantined-files.txt  2008-11-27 09:43:23

Pre-Run: 12,506,894,336 bytes free
Post-Run: 12,470,763,520 bytes free

237
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #27 เมื่อ: พฤศจิกายน 27, 2008, 04:56:23 pm »

ไม่รู้ซิ log สะอากมาก
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #28 เมื่อ: พฤศจิกายน 27, 2008, 06:31:35 pm »

ComboFix ลบ AntiSpywareGuard ให้ไปเป็นส่วนใหญ่แล้วนะ ทีนี่ก็เหลือเก็บตกไฟล์ที่ยังหลงเหลืออยู่อีกนิดหน่อย

เปิด Notepad (ต้องเป็น Notepad เท่านั้น ใช้ text editor ตัวอื่นอาจจะไม่เกิดผล)
แล้วคัดลอกข้อความข้างล่างนี้ทั้งหมด

โค๊ด:
File::
c:\windows\system32\blastclnnn.exe

Folder::
c:\documents and settings\com09\Application Data\AntiSpywareGuard

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119fa15a-e54e-11dc-9b6a-001617433bea}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{938c5adc-e661-11dc-9b6c-001617433bea}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe500291-eda7-11dc-9b88-001617433bea}]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\RpcxSs]

แล้วเอามันไปใส่ใน Notepad แล้วเลือก File-->>Save
ให้ตั้งชื่อไฟล์ว่า CFScript.txt แล้วเซฟมันไว้ที่หน้าจอ
หลังจากนั้นให้คลิกลาก (drag and drop) CFScript.txt ไปไว้ในไอค่อน ComboFix.exe ตามภาพ


ComboFix จะเริ่มทำงาน ให้ทำตามคำสั่งที่มันขึ้นให้
หลังจากรีบูท (ถ้ามันสั่งให้คุณรีบูท) มันจะสร้าง Log รายงานผลขึ้นมา
ให้แนบ Combofix.txt ตัวนี้มาในกระทู้ต่อไป + New HJT Log
บันทึกการเข้า
tem2529
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 89

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 7 : Exp 61%
HP: 0.1%


« ตอบ #29 เมื่อ: พฤศจิกายน 28, 2008, 08:20:04 am »

ติดตามอยู่ครับเอาใจช่วยให้หายไวๆยิ่งอ่านยิ่งสนุกครับ(แต่เจ้าของกระทู้คงไม่สนุกเท่าไหร่ ร้องไห้)
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #30 เมื่อ: พฤศจิกายน 28, 2008, 12:28:58 pm »

ComboFix ลบ AntiSpywareGuard ให้ไปเป็นส่วนใหญ่แล้วนะ ทีนี่ก็เหลือเก็บตกไฟล์ที่ยังหลงเหลืออยู่อีกนิดหน่อย

เปิด Notepad (ต้องเป็น Notepad เท่านั้น ใช้ text editor ตัวอื่นอาจจะไม่เกิดผล)
แล้วคัดลอกข้อความข้างล่างนี้ทั้งหมด

โค๊ด:
File::
c:\windows\system32\blastclnnn.exe

Folder::
c:\documents and settings\com09\Application Data\AntiSpywareGuard

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119fa15a-e54e-11dc-9b6a-001617433bea}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{938c5adc-e661-11dc-9b6c-001617433bea}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe500291-eda7-11dc-9b88-001617433bea}]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\RpcxSs]

แล้วเอามันไปใส่ใน Notepad แล้วเลือก File-->>Save
ให้ตั้งชื่อไฟล์ว่า CFScript.txt แล้วเซฟมันไว้ที่หน้าจอ
หลังจากนั้นให้คลิกลาก (drag and drop) CFScript.txt ไปไว้ในไอค่อน ComboFix.exe ตามภาพ


ComboFix จะเริ่มทำงาน ให้ทำตามคำสั่งที่มันขึ้นให้
หลังจากรีบูท (ถ้ามันสั่งให้คุณรีบูท) มันจะสร้าง Log รายงานผลขึ้นมา
ให้แนบ Combofix.txt ตัวนี้มาในกระทู้ต่อไป + New HJT Log



AntiSpywareGuard เป็นมัลแวร์หรอครับ
บันทึกการเข้า
danbkk
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 292

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 13 : Exp 83%
HP: 0.1%



เว็บไซต์
« ตอบ #31 เมื่อ: พฤศจิกายน 28, 2008, 02:20:07 pm »

บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #32 เมื่อ: พฤศจิกายน 28, 2008, 03:31:13 pm »

จัดให้แล้ว ครับ combofix กับ HJT ล่าสุดจ้า พอดีเมื่อ วานไม่ว่างทำต่อ ยิงฟันยิ้ม
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #33 เมื่อ: พฤศจิกายน 28, 2008, 03:51:05 pm »

log สะอาดครับ

ว่าแต่เหลืออาการอะไรอยู่ครับ
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #34 เมื่อ: พฤศจิกายน 28, 2008, 03:58:46 pm »

log สะอาดครับ

ว่าแต่เหลืออาการอะไรอยู่ครับ
ตอนนี้ก็ ไม่มีอะไร แสดง อาการแล้ว นะครับ 
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #35 เมื่อ: พฤศจิกายน 28, 2008, 04:09:23 pm »

AntiSpywareGuard เป็นมาลแวร์ครับ แล้วก็ไม่ใช่ SmithFraud ด้วย ลองกูเกิ้ลดูแล้วคุณจะรู้

SmithFraudFix เป็นเครื่องมือที่เอาไว้กำจัด specific infection ที่ชื่อ SmithFraud ครับ ซึ่งในที่นี้ AntiSpywareGuard ก็อาจจะจัดอยู่ในประเภทนั้น แต่ว่าไฟล์มาลแวร์ที่มันสร้างขึ้นมาหลายตัวจะใช้เครื่องมือที่ชื่อ SDFix กำจัดจะได้ผลกว่า ส่วนเหตุผลนั้นต้องเรียนรู้มาทางนี้จริงถึงจะทราบ เพราะถ้าจะให้อธิบายมันจะยากน่ะครับ เอาเป็นว่า AntiSpywareGuard จะสร้างเชื้อ IRCBot Variants ขึ้นมา ซึ่ง SmithFraudFix จะกำจัดแต่โปรแกรมที่เป็น SmithFraud แต่ SDFix ถูกเขียนมาให้กำจัด IRCBot Variants โดยเฉพาะ และยังกำจัดเชื้อตัวอื่นด้วย รวมทั้ง IRCBot Variants จะไปเปลี่ยน Host File ซึ่ง SmithFraudFix จะไม่ซ่อม Host File แต่ SDFix จะทำ ถ้าจะเอาให้ละเอียดกว่านี้ลองกูเกิ้ลเกี่ยวกับ SDBot variants และ IRCBot Variants และ SmithFraud ดู รวมถึงลองอ่าน SDFix report ดูว่ามันกำจัดอะไรไปบ้าง

-------------------------------------------------------------------------------------------------------------

กรุณาเปิดโปรแกรม Hijackthis อีกครั้งแล้วเลือก Do a system scan only แล้วติ๊กที่หน้า
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

ให้ปิดหน้าต่างของทุกโปรแกรมลงเว้นแต่ HiJackThis, แล้วคลิก Fix Checked

----------------------------------------------------------------------------------------------

เป็นการตบท้ายให้แน่ใจ เพราะว่าเรายังไม่ได้รันแอนตี้สายแวร์เลย ถึงเวลาต้องทำแล้ว มันอาจจะตรวจไม่เจออะไรแล้วก็ได้ แต่ปลอดภัยไว้ก่อนเป็นดี
Malwarebytes' Anti-Malware (MBAM)

ให้ไปดาวน์โหลดโปรแกรม Malwarebytes Anti-Malware แล้วเซฟมันไว้ที่หน้าจอ ถ้าคุณไม่สามารถดาวน์โหลดโปรแกรมได้จากลิงก์ข้างบน ก็ไปดาวน์โหลดได้จาก
Alternate link 1
Alternate link 2
  • คุณควรจะต่อเน็ทเสียก่อน ก่อนที่จะทำขั้นต่อไป
  • ดับเบิลคลิกที่ Download mbam-setup.exe เพื่อทำการติดตั้ง
  • เมื่อขั้นตอนการติดตั้งเริ่มขึ้น ให้ดำเนินการตามคำสั่งของมัน และห้ามเปลี่ยนค่า default settings ของมันโดยเด็ดขาด
  • เมื่อขั้นตอนการติดตั้งสิ้นสุดลง ให้ติ๊กเลือกคำสั่ง 2 ตัวนี้
    - Update Malwarebytes' Anti-Malware
     - Launch Malwarebytes' Anti-Malware
  • เสร็จแล้วให้คลิก Finish
  • MBAM จะเริ่มทำงานโดยอัตโนมัติ มันจะหาอัพเดตฐานข้อมูลไวรัสก่อนที่จะเริ่มต้นสแกน ถ้าหากมันพบว่า โปรแกรมมีอัพเดต มันก็จะทำการอัพเดตด้วยตัวมันเอง เมื่อเสร็จแล้ว ให้คลิก OK
  • ถ้าหากมีปัญหาว่า โปรแกรมไม่สามารถอัพเดตได้โดยอัตโนมัติ ให้ดาวน์โหลดไฟล์จากที่นี่ เมื่อโหลดเสร็จแล้วให้ดับเบิลคลิกมัน เพื่อทำการติดตั้ง
  • ตรงแท็บ Scanner:
   - ให้เลือก Perform full scan option  หลังจากนั้น ให้คลิกที่ปุ่ม Scan
  • มันจะให้คุณเลือกไดรฟ์ที่คุณต้องการจะสแกน ให้เลือกสแกนทุกไดรฟ์ที่คุณมีในเครื่อง แล้วคลิกที่ปุ่ม Start Scan
  • มันอาจจะต้องใช้เวลานานหน่อยกว่ามันจะสแกนเสร็จ รอหน่อยก็แล้วกัน
  • เมื่อมันสแกนเสร็จ จะมีกล่องข้อความโผล่ขึ้นมารายงานว่ามันสแกนเสร็จแล้ว ให้คุณคลิก 'Show Results'  เพื่อให้มันแสดงผลให้ดูว่า มันสแกนเจออะไรบ้าง
  • คลิก  OK เพื่อปิดกล่องข้อความ แล้วมาดำเนินการกันต่อถึงขั้นการลบล้าง
  • กลับมาที่หน้าหลักของสแกน คลิกที่ปุ่ม Show Results เพื่อดูว่ามันเจอไอ้วายร้ายตัวใดบ้าง
  • ตรวจทานดูว่า ไอ้วายร้ายถูกติ๊กเลือกไว้ทุกตัวหรือเปล่า หลังจากนั้นให้คลิก Remove Selected
  • เมื่อการลบล้างสิ้นสุดลง log รายงานผลจะถูกเปิดแสดงให้ดูใน Notepad แล้วคุณก็อาจจะถูกสั่งให้ restart เครื่อง (โปรดดูหมายเหตุข้างล่าง)
  • ตัว  log จะถูกเซฟไว้โดยอัตโนมัติอยู่แล้ว ให้เลือกเปิดดูได้โดยคลิกที่ Logs tab ใน MBAM หรือไปที่ C:\Documents and Settings\Username\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\log-date.txt หรือที่ C:\Program Files\Malwarebytes' Anti-Malware\Logs\log-date.txt
  • จากนั้นให้คุณ Copy/paste  log ตัวนี้ ใส่ในกระทู้ แล้วออกจากโปรแกรม MBAM (Malwarebytes' log)
หมายเหตุ: ถ้าหากว่า MBAM มันไปเจอไฟล์ที่มันไม่สามารถลบออกได้ง่ายๆ มันจะเสนอคำสั่งมาให้ ให้คลิก OK แล้วปล่อยให้ MBAM ดำเนินการลบล้างขจัดพวกเชื้อโรคร้ายทั้งหลาย หลังจากนั้น ถ้ามันสั่งให้คุณ restart เครื่อง ขอให้คุณทำตามโดยทันที เพราะถ้าคุณไม่  reboot  เจ้า MBAM ก็จะไม่สามารถลบล้างเชื้อโรคร้ายทั้งหลายได้

-----------------------------------------------------------------------------------

ไฟล์ที่ต้องการ
Malwarebytes' log + HJT log + อาการของเครื่อง
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #36 เมื่อ: พฤศจิกายน 28, 2008, 04:29:05 pm »

อ่อ คือ อยากจะถาม ว่า ไอโปรแกรม Ad-ware2008 เนี่ย ที่เครื่อง ผม ลงไว้เนี่ย ประสิทติภาพ ดีมั้ยฮ่ะ
คือ ว่า ตอนนี้ กะลัง อัพเดท โปรแกรม นี้อยู่ นะ ครับ ส่วน ขั้น ตอนของ ท่านthaitatim
ผม จะทำเป็น การลำดับต่อไปครับ รอซักครู่ครับ วันนี้อยู่ ยาว ยิงฟันยิ้ม
บันทึกการเข้า
spk190537
บุคคลทั่วไป
« ตอบ #37 เมื่อ: พฤศจิกายน 28, 2008, 04:35:22 pm »

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

อันนี้เป็นของ AVG ไม่ใช้หรอครับ
บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #38 เมื่อ: พฤศจิกายน 28, 2008, 04:44:17 pm »

จขกท เขาไม่ใช้ AVG ครับ เขาใช้ Avira
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #39 เมื่อ: พฤศจิกายน 28, 2008, 05:18:28 pm »

 :)มาแล้ว จ้า....
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

อันนี้เป็นของ AVG ไม่ใช้หรอครับ
จขกท เขาไม่ใช้ AVG ครับ เขาใช้ Avira
คือเครื่อง นี้เคย ลงของ AVG น่ะ แล้ว รบไป แต่ ไม่รู้ยังไงลบออกไม่หมด ช่วงก่อน ลองลงแอนตี้ของ แคสเปอร์ มานฟ้องว่ายังมีไฟล์
ของAVG อยู่ ประมานนี้แหละ คับ

ส่วนlog ทั้ง สอง จัดมาให้แล้ว คร๊าบ..... ยิงฟันยิ้ม

« แก้ไขครั้งสุดท้าย: พฤศจิกายน 28, 2008, 05:21:03 pm โดย 286040 » บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #40 เมื่อ: พฤศจิกายน 28, 2008, 08:14:41 pm »

1. คลิก Start-->>RUN
2. แล้วพิมพ์คำว่า Combofix /u ลงใน RUN
3. ตรวจดูว่ามันมีช่องว่างระหว่าง Combofix และ /u
4. กด ENTER



ซึ่งวิธีข้างบนจะเป็นการ
  • มันจะไปลบไฟล์และโฟลเดอร์ที่เกี่ยวข้องกับ ComboFix ทั้งหมด
  • ไป Reset the clock settings
  • ซ่อน file extensions (ถ้าคุณเคยระบุไว้)
  • ซ่อน System/Hidden files (ถ้าคุณเคยระบุไว้
  • จะไปสร้าง Restore Point ใหม่ให้คุณ

--------------------------------------------------------------------------

ดาวน์โหลด ATF Cleaner by Atribune มาไว้ที่หน้าจอ
ลิงก์สำรองเผื่อลิงก์ตัวแรกมีปัญหา

หมายเหตุ สำหรับผู้ใช้ Vista คุณจะต้องคลิกขวาที่ไอค่อนแล้วเลือก Run As Administrator
  • ภายใน Main-->>Select Files to Delete ให้เลือก Select All
  • คลิกที่ปุ่ม Empty Selected
  • ถ้าคุณใช้ Firefox browser ก็ให้คลิกที่ Firefox ที่อยู่ทางด้านบนแล้วเลือก Select All
  • คลิกที่ปุ่ม Empty Selected
        ถ้าคุณต้องการเก็บ saved passwords ไว้ก็ให้คลิกที่ No เมื่อมันถาม
  • ถ้าคุณใช้ Opera browser ก็ให้คลิกที่ Opera ที่อยู่ทางด้านบนแล้วเลือก Select All
  • คลิกที่ปุ่ม Empty Selected
        ถ้าคุณต้องการเก็บ saved passwords ไว้ก็ให้คลิกที่ No เมื่อมันถาม
  • คลิก Exit ที่เมนู Main เพื่อออกจากโปรแกรม
หมายเหตุ เครื่องของคุณอาจจะรันได้ช้าผิดปรกติเมื่อคุณรีบูทเครื่องประมาณ 1-2 ครั้ง หลังจากที่ใช้เครื่องมือนี้แล้ว เพราะฉะนั้นอย่าตกใจนะครับ

-------------------------------------------------------------------------------------------

ตอนนี้เราจะต้อง remove เครื่องมือต่างๆที่เราใช้ในการ Fix ที่ต้องทำเช่นนี้ก็เพื่อว่าหากวันใดคอมของคุณเกิด re-infected คุณก็จะได้ไปดาวน์โหลดเครื่องมือที่อัพเดตถึงเวอร์ชั่นล่าสุด และรวมทั้งมันจะเป็นการไป remove the quarantined Malware ออกจากเครื่องด้วย
ดาวน์โหลด OTCleanIt.exe มาไว้ที่หน้าจอ
  • ดับเบิ้ลคลิกที่ไอค่อน OTCleanIt.exe
  • คลิกที่ปุ่ม CleanUp!
  • เลือก Yes เมื่อมีข้อความขึ้นว่า "Begin cleanup Process?"
  • ถ้ามันบอกให้คุณ Reboot ในระหว่างที่มันทำความสะอาดก็ให้เลือก Yes
  • เครื่องมือตัวนี้จะลบตัวเองออกไปจากระบบของคอมคุณด้วยตัวเอง (self-erase) หลังจากที่คุณใช้งานเสร็จแล้ว ถ้าไม่งั้น คุณก็ต้องลบมันทิ้งด้วยตัวคุณเอง

สำคัญ ให้รีบูทเครื่องก่อนดำเนินการขั้นต่อไป

ให้ตามลบ logs ที่อาจจะยังหลงเหลืออยู่ที่หน้าจอ

----------------------------------------------------------------------------------------------------------------------------------------------------------------

มาถึงตอนนี้ log ของคุณสะอาดแล้วครับ  ยิ้ม
ข้อความข้างล่างนี้ ผมจะให้คำแนะนำว่าคุณควรทำอย่างไรเพื่อช่วยป้องกันเครื่องของคุณจาก malware infections

ถ้าหากว่าคุณเกิดไม่ชอบโปรแกรมแอนตี้ไวรัสที่คุณใช้อยู่ในตอนนี้ หรือว่าโปรแกรมมันหมดอายุสมาชิกแล้ว -
ให้ไปโหลด ฟรีโปรแกรม Antivirus ตามข้างล่างนี้ มาตัวใดตัวหนึ่ง
คุณควรที่จะมีโปรแกรม Antivirus 1 ตัว เพียงเท่านั้น

-------------------------------------------------------------------------------------------

มาว่ากันถึง Firewalls มันจะช่วยป้องกัน unauthorised access ทั้งจากเข้ามาและออกไปจาก internet หรือ local network ที่คุณใช้
Firewall เปรียบได้กับกำแพงชั้นแรกในการปกป้องรายละเอียดข้อมูลส่วนตัวของคุณ
นี่คือรายการของฟรี Firewalls ถ้าหากว่าคุณยังไม่มีมันอยู่ในเครื่อง

คุณควรที่จะมี Firewall 1 ตัว เพียงเท่านั้น

-----------------------------------------------------------------------------------------------------------------

ควรหมั่นเช็ค Microsoft's Windows Update Site บ่อยๆ - มันสำคัญที่ควรจะไปที่ http://www.windowsupdate.com บ่อยๆ เพราะมันจะเป็นตัวรับประกันได้ว่าคอมคุณมี security updates ตัวล่าสุดที่มีติดตั้งไว้ในเครื่อง ถ้าคุณตรวจพบว่ามันมี updates ตัวใหม่ออกมาก็ให้ติดตั้งมันทันทีแล้วรีบูทเครื่องแล้วกลับไปที่ site อีกจนกว่าคุณจะตรวจไม่เจอ critical updates อีก

หมายเหตุ ข้อนี้จะใช้ได้ก็ต่อเมื่อคุณลงวินโดว์ของแท้ไว้นะครับ

-------------------------------------------------------------------------------------------

อย่าลืมอัพเดต AntiVirus Software ที่คุณติดตั้งไว้ในเครื่อง - ผมจะตั้งเป็นกฎเกณฑ์ข้อบังคับเลยแล้วกันว่าให้คุณอัพเดต Antivirus software อย่างน้อยอาทิตย์ละครั้ง (หรือบ่อยกว่านั้นก็ได้ถ้าคุณต้องการ) เพราะถ้าคุณไม่อัพเดต antivirus software เลยมันก็จะไม่สามารถตรวจจับพวกเหล่าร้ายตัวใหม่ๆ ที่ถูกปล่อยออกมาได้

--------------------------------------------------------------------------------------------------------------

เพิ่มความแข็งแกร่งให้ Internet Explorer
  • คลิก Start > Run
  • พิมพ์ Inetcpl.cpl แล้วคลิก OK
  • คลิกที่แท็บ Security
  • คลิก Reset all zones to default level
  • ตรวจดูว่า Internet Zone ถูกเลือกไว้แล้วคลิก Custom level
  • ใน ActiveX section, ให้ตั้งค่า options 2 ตัวแรก ("Download signed และ unsigned ActiveX controls) ให้เป็น "Prompt" และ ("Initialize and Script ActiveX controls not marked as safe") ให้เป็น "Disable".
  • แล้วคลิก OK แล้วคลิกปุ่ม Apply แล้วคลิก OK เพื่อออกจาก Internet Properties page.
-------------------------------------------------------------------------------------

หรือจะพิจารณาหันมาใช้ alternate browser โดยผมอยากจะแนะนำให้ใช้ Mozilla's Firefox browser มันแข็งแกร่งกว่า Internet Explorer และค่อนข้างที่จะทนทานต่อพวก browser hijackers และมี built-in pop up
blocker ที่ดีเยี่ยมทัเดียว ถ้าคุณสนใจก็ดาวน์โหลด Firefox มาใช้ได้จาก
ที่นี่

--------------------------------------------------------------------------------------------------------------------------

ขอแนะนำให้ใช้ Secunia Software Inspector เพื่อตรวจหาดูว่าคุณมี software ที่ติดตั้งไว้ในเครื่องตัวไหนที่มันล้าสมัยไปไหม เมื่อเข้าไปที่หน้าเว็ปนั้นแล้วให้
คลิก Start Now
ให้ติ๊กที่ช่อง Enable thorough system inspection
คลิก Start
ปล่อยให้มันสแกนจนเสร็จเสียก่อน แล้วค่อยเลื่อนลงไปดูว่าคุณมีอะไรที่ต้องอัพเดตไหม
ให้อัพเดตทุกอย่างที่มันลิสต์ไว้

ถ้าไม่ว่าด้วยเหตุผลใดก็ตามคุณไม่สามารถใช้เว็บนี้ได้ก็ไม่ต้องเป็นกังวล มันเป็นแค่ตัวเลือกจะทำหรือไม่ทำก็ได้

-----------------------------------------------------------------------------------------------

ตอนนี้คอมคุณก็สะอาดแล้ว เพื่อช่วยป้องกันคอมของคุณต่อไปในอนาคต ผมก็อยากจะแนะนำให้ใช้ free programs เหล่านี้:

ผมอยากจะแนะนำ Antivirus ตัวเสริมที่จะมาช่วยเพิ่มเกราะป้องกันให้หนาแน่นขึ้น นั่นก็คือ ThreatFire คุณสามารถไปดาวน์โหลดมาติดตั้งได้ฟรีจาก http://www.threatfire.com/ โปรแกรมนี้มันจะไม่ไปทำการขัดขวาง หรือ ขัดแย้งกันกับ Antivirus ที่คุณมีอยู่แล้วอย่างแน่นอน

ขอแนะนำเครื่องมือที่ดาวน์โหลดมาใช้ได้ฟรี เพื่อเป็นการช่วยไม่ให้เครื่องของคุณติดเชื้อโรคร้ายเอาได้ง่ายๆอีก เครื่องมือเหล่านี้มันจะใช้ resources แค่นิดเดียว หรือแทบจะไม่ได้ใช้เลย เพราะฉะนั้นมันจะไม่ไปเป็นตัวถ่วงให้เครื่องทำงานช้าลงเลย
1. เพื่อช่วยป้องกันไม่ให้ applications ที่เราไม่รู้จัก แอบเข้ามาติดตั้งตัวเองในเครื่องของคุณ ขอแนะนำให้ใช้ WinPatrol 2008 มันช่วยป้องกันพวก malware ได้ดีทีเดียว

2. สำหรับผู้ที่ยังไม่มี SiteAdvisor ผมก็อยากจะแนะนำให้ติดตั้งมันด้วย มันจะแนะนำว่าเว็ปไซด์ไหนปลอดภัย มากน้อยแค่ไหน เหมาะสำหรับผู้ที่ชอบท่องเว็ป

3. SpywareBlaster เป็นโปรแกรมป้องกัน Spyware and Malware ที่ดีอีกตัวหนึ่งเหมือนกัน โดย
    ดาวน์โหลดแล้วทำการติดตั้ง แล้วดาวน์โหลด updates ล่าสุดของมัน และคุณจะเห็นลิสต์ของ spyware programs ที่โปรแกรมนี้ป้องกันคลอบคลุมอยู่ (หมายเหตุ: พวกมันไม่ใช่ spyware ที่ตรวจเจออยู่ในเครื่องของคุณนะครับ) ให้กดเลือก "Enable All Protection" เท่านี้ก็เสร็จแล้ว
     พวก spyware ที่คุณสั่งให้ Spywareblaster มันตั้ง "kill bit" ไว้ก็จะไม่มารบกวนคุณอีกต่อไป ถึงแม้ว่ามันจะไม่สามารถป้องกันคอมของคุณให้พ้นจากพวก spyware ทั้งหลายแหล่ที่ถูกปล่อยออกมาได้หมดทุกตัวก็ตาม แต่มันก็ถือได้ว่าเป็น extra layer of protection ที่มีฤทธิ์เดชมากพอดูอยู่
      อย่าลืมไปเช็คหา updates ทุกอาทิตย์หรือบ่อยกว่านั้นก็แล้วกัน
หมายเหตุ: ถ้าคุณพบว่าระบบของคุณมันช้าลงหลังจากที่ติดตั้งโปรแกรมตัวใดตัวหนึ่งเหล่านี้ไปก็ให้ถอดถอนมันออกเสีย หรือไม่ก็ไป disable ไม่ให้มันรันตอน startup

--------------------------------------------------------------------------------------------------------

และสุดท้ายนี้ ขอแนะนำให้หมั่นทำความสะอาด Temp File บ่อยๆ มันจะช่วยลดอัตราความอืดได้ และมันยังสามารถช่วยคุณกำจัดไฟล์ที่อาจจะบรรจุ malicious code ที่สามารถทำให้เครื่องของคุณ re-infect ได้

Temp File Cleaners ที่ฟรีและน่าใช้มีดังนี้

  • ATF Cleaner เป็นเครื่องมือที่เจ๋งมากๆ <<-- หมายเหตุ คุณอาจจะดาวน์โหลดเครื่องมือตัวนี้มาแล้วในระหว่างขั้นตอนการกำจัดมาลแวร์ของผม
  • CCleaner Slim เป็นเครื่องมือที่ดีอีกตัวหนึ่งเหมือนกัน
  • CleanUP! อย่าใช้เครื่องมือตัวนี้ถ้าคุณใช้ระบบปฏิบัติการ XP Professional 64 bit edition

    -------------------------------------------------------------------------------------------------------------------

    Safe web serfing  ยิ้มเท่ห์
    thaitatim
บันทึกการเข้า
286040
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 55

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 6 : Exp 0%
HP: 0.1%


« ตอบ #41 เมื่อ: พฤศจิกายน 28, 2008, 09:54:12 pm »

 จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต จุมพิต

ขอบคุนท่าน  thaitatim มากมาย แต่ถามอีกหน่อยนะ ฮ่ะ  โปรแกรม Ad-ware ในเครื่องผม เนี่ย กะโปรแกรมที่ ท่านแนะนำมาพวก
   
           -SpywareBlaster
          -SiteAdvisor
          -WinPatrol 2008
    มันทำงานเหมือนกัน รึป่าวคับ แล้ว คือ จะลงตัวใดตัวหนึ่งเอา นะครับ


    แล้วไอส่วนโปรแกรม Firewalls   เนี่ย มานจะทำให้ เครื่องช้าลง บ้างรึป่าว หรือ ไม่มีผล เลยฮ่ะ ขอคำแนะนำหน่อยฮ่ะ ขยิบตา
   อีกอย่างครับ ไอโปรแกรม Malwarebytes' Anti-Malware ที่ท่านให้ลง ลบออกรึป่าว
« แก้ไขครั้งสุดท้าย: พฤศจิกายน 28, 2008, 09:57:12 pm โดย 286040 » บันทึกการเข้า
thaitatim
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2521

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 84%
HP: 0.1%


Even Geeks Get boobs


« ตอบ #42 เมื่อ: พฤศจิกายน 29, 2008, 02:24:00 am »

 -SpywareBlaster
 -SiteAdvisor
 -WinPatrol 2008

ทำงานแตกต่างจาก Antispyware  ไม่ต้องกลัวในการลงทั้งสามตัวนี้ เพราะว่ามันไม่กิน resource แน่นอนครับมันไม่ใช่ตัวถ่วงเครื่องแน่นอนผมยืนยัน เพราะผมก็ใช้อยู่ทั้งสามตัว

-SpywareBlaster จะทำหน้าที่ป้องกัน Spyware and Malware ได้อย่างดีเยี่ยม มันทำหน้าที่ป้องกันอย่างเดียวนะ มันจะไม่รักษาอาการ คุณไม่สามารถใช้ให้มันสแกนหามาลแวร์ได้เหมือนแอนตี้สปายแวร์ทั่วไป

-SiteAdvisor มันจะคอยบอกและเตือนให้เรารู้ว่าเว็บไซด์ไหนปลอดภัยมากน้อยเพียงใด

-WinPatrol 2008 ตัวนี้ผมชอบ เพราะมันไม่ค่อยปล่อยให้อะไรเข้ามาเปลี่ยนแปลง registry ง่ายๆ ถ้ามีโปรแกรมใดต้องการเปลี่ยน registry โปรแกรมนี้ก็จะเตือนบอกเราทันที ให้เราเลือกได้ว่าเราจะยอมหรือไม่

ส่วน Malwarebytes' Anti-Malware ถ้าคุณยังไม่มีโปรแกรมแอนตี้สปายแวร์ติดตั้งอยู่ในเครื่องเลยก็ควรจะเก็บไว้ใช้สแกนคอมสักอาทิตย์ละครั้ง ถ้าไม่งั้นจะถอนออกก็ไม่ว่ากัน แต่สำคัญมากที่ในคอม 1 เครื่องควรจะมีแอนตี้ไวรัส 1 ตัว + แอนตี้สปายแวร์ 1 ตัว + Firewall 1 ตัว ซึ่งก็ทำให้มาถึงคำถามเกี่ยวกับ Firewall เพราะมีผู้ใช้อีกจำนวนมากที่มองข้ามความสำคัญของตัวนี้ไป แต่ก็อีกเหมือนกันที่มันเป็นสิทธิ์ของคุณที่จะเพิ่มความปลอดภัยให้คอมคุณหรือไม่ ดังนั้นเลือกเอาเองเถอะครับ
บันทึกการเข้า
danbkk
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 292

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 13 : Exp 83%
HP: 0.1%



เว็บไซต์
« ตอบ #43 เมื่อ: ธันวาคม 01, 2008, 11:34:36 am »

ขอคาราวะกระทู้ 1 จอก อ่านแล้วรู้สึกความรู้เราช่างด้อย
บันทึกการเข้า
MrWebmonster
มือใหม่หัดแบไต๋
*
ออฟไลน์ ออฟไลน์

กระทู้: 21

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 3 : Exp 73%
HP: 0.1%



เว็บไซต์
« ตอบ #44 เมื่อ: ธันวาคม 29, 2008, 06:22:44 pm »

ใช้โปรแกรม Malwarebytes’ Anti-Malware

หรือโปรแกรม SuperAntispyware กำจัดมันได้ครับ

ดูบทความเกี่ยวกับ ขั้นตอนวิธีการถอดถอนหรือลบโปรแกรม AntiSpywareGuard ได้ครับ (คลิกที่ลิงค์)
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์
กระโดดไป:  

eXTReMe Tracker