Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

 
การค้นหาขั้นสูง

616434 กระทู้ ใน 98386 หัวข้อ- โดย 90507 สมาชิก - สมาชิกล่าสุด: gpree

ตุลาคม 21, 2014, 05:46:45 am
แบไต๋ไฮเทคเว็บบอร์ดคอมนู๋ไม่รู้เป็นไรคอมนู๋ไม่รู้เป็นไร - ปัญหาติดไวรัส สปายแวร์ผมโดนไวรัส ที่นามสกุล *.pif และ Autorun.inf
ถ้าคิดว่ากระทู้นี้ดี ช่วยกันผลักดันเข้าสู่ Social Bookmarking โดยคลิกที่ icon เหล่านี้


หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ผมโดนไวรัส ที่นามสกุล *.pif และ Autorun.inf  (อ่าน 4433 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
rock2rap
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 75

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 7 : Exp 0%
HP: 1.2%


Like iT


เว็บไซต์
« เมื่อ: กันยายน 14, 2009, 08:31:04 pm »

คือผมต่อแฟลชไดรฟ์ไปแล้ว ก็โดนน่ะครับ ซึ่งผมเปิด Hidden File จะพบไฟล์ "*.pif" และ "Autorun.inf" จะมีอาการดังนี้ครับ
1.ก็อปปี้โดยกด คีย์ลัด(Ctrl+C และ Ctrl+V) จะค้างไปพักนึงครับ แต่ เมาส์ยังขยับได้แต่คลิก"...่า" ไรไม่ได้เลย
2.เปิด Hidden File ไปแล้ว ซักพัก ดันปิดคำสั่งเองซะงั้น

3.เปิดโปรแกรมบางตัวมันจะขึ้นคำว่า(แต่ผมเปิด K-Lite นะ อาการมันเหมือนกัน)

4.ยังมีอีกเยอะครับ...
ผม ลองอ่านจากเว็ปอื่นที่มีอาการคล้ายๆกัน เค้าบอกกันว่าเป็น ไวรัสที่เกาะไฟล์ไปเรื่อยๆ ต้องลงวินโดว์ โดยฟอร์แมตไดร์ฟ ทั้งผมที่มี ซึ่งวิธีนี้ผมขอเป็นข้อสุดท้ายเพราะงานผมมีเยอะ ไม่รู้จะแบคอัพยังไง ยัง ก็ช่วยหนูหน่อยนะ  ลังเล
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #1 เมื่อ: กันยายน 14, 2009, 08:38:41 pm »

-------------------------------
ให้ดาวน์โหลด HijackThis.exe (HJT) มาไว้ที่หน้าจอ
  • ดับเบิลคลิกที่ HJTsetup.exe
  • คลิกที่ปุ่ม Install
  • มันจะติดตั้ง HJT ไว้ที่ C:\Program Files\TrendMicro\HijackThis\HijackThis.exeโดยอัตโนมัติ
  • เมื่อติดตั้งเสร็จแล้ว HijackThis จะเปิดทำงานขึ้นมาเอง ให้ปิดมันเสียก่อน เพื่อจะได้ทำการเปลี่ยนชื่อมัน
  • โดยไปที่ C:\Program Files\Trend Micro\HijackThis.exe
  • คลิกขวาที่ HijackThis.exe แล้วเลือก Rename
  • ให้พิมพ์ sniper.exe แล้วกด Enter
  • คลิกขวาที่sniper.exeแล้วเลือกend To > Desktop(สร้าง shortcut)
  • ให้เปิดโปรแกรม Hijackthis ขึ้นมาจาก shortcut ที่หน้าจอ
  • ถ้าใช้ Vista เป็นระบบปฏิบัติการ ก็ให้คลิกขวาที่  Hijackthis แล้วเลือก Run As Administrator
  • ให้คลิกที่ Do a system scan and save a log file
  •   Hijackthis จะทำการสแกน เมื่อเสร็จแล้ว notepad จะเปิดแสดง log ให้แนบไฟล์ หรือ คัดลอก ข้อมูลใน log ทั้งหมดในกระทู้ของคุณ Hijackthis log)
*******************************************************************************************************
บันทึกการเข้า
rock2rap
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 75

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 7 : Exp 0%
HP: 1.2%


Like iT


เว็บไซต์
« ตอบ #2 เมื่อ: กันยายน 14, 2009, 08:56:25 pm »

เวงกำ
ผมไม่ได้ติดเน็ตครับ พรุ่งนนี้ จะเอามาให้ละกัน
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #3 เมื่อ: กันยายน 14, 2009, 09:54:12 pm »

เวงกำ
ผมไม่ได้ติดเน็ตครับ พรุ่งนนี้ จะเอามาให้ละกัน

ครับเเต่เมื่อกี้ผมรีบไปหน่อยขอเพิ่มเเละกัน
1.คาดว่าน่าจะติดหลายตัวอยู่ครับเท่าที่ดูอาการเเล้วน่าจะติดจำพวกsalityนะครับ เพราะเห็นบอกว่ามันเกาะไฟล์ไปเรื่อยๆ
2.ลองดูลิ้งนี้ครับ
http://board41aj.krubpom.com/smf/index.php?topic=79.0  - สมัครสมาชิกด้วยก็ไม่ว่ากันครับ
สรุปเดี๋ยวงงให้ทำตามตอบเเรก+ลองโหลดโปรเเกรมจากลิ้งที่ให้ไปมาใช้ดูครับ
-----------------------------
หากเช็คเเล้วว่าไม่ติดsalityก็ทำตามเเค่ตอบ1ครับ
บันทึกการเข้า
yootkung
มือใหม่หัดแบไต๋
*
ออฟไลน์ ออฟไลน์

กระทู้: 1

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 1 : Exp 20%
HP: 0.1%


« ตอบ #4 เมื่อ: กรกฎาคม 14, 2011, 03:57:50 am »

ผมก็โดนเหมือนกันครับทำตามกระทู้ที่แนะนำข้างบนแล้วได้ผลดังนี้ครับรบกวนช่วยด้วยนะครับ
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:41:50, on 14/7/2554
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\smcfg.exe
C:\Program Files\Elantech\ktp3.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts: 124.109.2.72 www.class3-ro.com
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe -H
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMcfg] smcfg.exe -s
O4 - HKLM\..\Run: [KTPWare] C:\Program Files\Elantech\ktp3.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [USB Security] C:\Program Files\USB Disk Security\USBGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: ดาวน์โหลดการเชื่อมโยงทั้งหมดโดยใช้ IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: ดาวน์โหลดเนื้อหา FLV โดยใช้ IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: ดาวน์โหลดโดยใช้ IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

--
End of file - 4277 bytes
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์
กระโดดไป:  

eXTReMe Tracker