Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

 
การค้นหาขั้นสูง

615776 กระทู้ ใน 98074 หัวข้อ- โดย 90308 สมาชิก - สมาชิกล่าสุด: Arrol

สิงหาคม 02, 2014, 07:21:03 am
แบไต๋ไฮเทคเว็บบอร์ดคอมนู๋ไม่รู้เป็นไรคอมนู๋ไม่รู้เป็นไร - ปัญหาติดไวรัส สปายแวร์รบกวนช่วยดูLog ให้หนอ่ยครับ หน้าจอมันเด้งหน้าต่าง windows-no disk ตลอดเลย
ถ้าคิดว่ากระทู้นี้ดี ช่วยกันผลักดันเข้าสู่ Social Bookmarking โดยคลิกที่ icon เหล่านี้


หน้า: [1] 2   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: รบกวนช่วยดูLog ให้หนอ่ยครับ หน้าจอมันเด้งหน้าต่าง windows-no disk ตลอดเลย  (อ่าน 13743 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« เมื่อ: มกราคม 04, 2010, 06:20:29 pm »

รบกวนช่วยดูLog ให้หนอ่ยครับ หน้าจอมันเด้งหน้าต่าง windows-no disk  แล้วก็มีข้อความ Exception processing Message c00000013 Paramenters 75b6bf7c 4 75b6f7c 75b6bf7cตลอดเลย
แล้ว nod32 มันก็ฟ้องว่าเป็น win32/Qhost trojan แต่พอมันลบไปมันก็กลับมาใหม่อีก
ลองลบในเซพโหมดแล้วก็ไ่ม่หายครัีบ

แบบว่าไม่อยากลงwindows ใหม่เลยครับ เครื่องผมเป็น eee 4gb มันหาwindowsลงยากจัง cd rom ก็ไม่มี...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:08, on 4/1/2553
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Asus\EeePC ACPI\AsTray.exe
C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.co.th/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.co.th/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.co.th/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sut.ac.th:8080
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [WMI Client Server] C:\WINDOWS\system32\wbem\wmisrsc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe

--
End of file - 5084 bytes



ขอบคุณล่วงหน้าครับ
บันทึกการเข้า
<rut>
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 6240

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 64 : Exp 34%
HP: 13.4%


ไม่เก่งแต่ไม่เกรียน


« ตอบ #1 เมื่อ: มกราคม 04, 2010, 06:28:25 pm »

น่าจะมี

O4 - HKLM\..\Run: [WMI Client Server] C:\WINDOWS\system32\wbem\wmisrsc.exe
   
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')

O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe

อย่าเพิ่งลบนะครับรอผู้รู้ดีกว่า
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #2 เมื่อ: มกราคม 04, 2010, 06:31:18 pm »

ขอบคุณมากครับ
รอผู้มาฟันธงต่อไป....
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #3 เมื่อ: มกราคม 04, 2010, 06:45:09 pm »

คลิก Start  -->  RUN  พิมพ์ Regedit กด Enter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\ErrorMode Value = 2
 แล้ว กด Cancel ออกจาก   box windows - no disk  ครับ

บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #4 เมื่อ: มกราคม 04, 2010, 06:48:47 pm »

แล้วไม่มีอะไรผิดปรกติเลยหรอครับ นอกจากไป ลบ Start up <<< มั้ง
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #5 เมื่อ: มกราคม 04, 2010, 06:59:11 pm »

ผมทำตามคุณ ProF.M แล้วครับ
หน้าต่าง windows-no disk   มันหายไปครับ
แต่ nod 32 มันก็ยังเตือนว่า
Object:
c:\windows\system32\drivers\etc\hosts
Threat:
Win32/Qhost trojan
Information:
cleaned by deleting-quarantined

ครับ 
ลองเข้าไปตาม  c:\windows\system32\drivers\etc\hosts
พบว่าตัว hosts มันลบทิ้งแล้วมันก็กลับมาใหม่ตลอดเลยครับ....
ทำอย่างไรดี..
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #6 เมื่อ: มกราคม 04, 2010, 07:01:38 pm »

ส่วนเรื่องความผิดปกติ เท่าที่ผมลองดู เครื่องมันก็ช้าลงนะครับ
แต่ว่าเครื่องนี้ปกติผมไม่ได้ใช้เิอง เป็นเครื่องน้องสาวเลยไม่ค่อยแน่ใจว่ามีอะไรผิดปกติอีกหรือเปล่า....ฮืม?
บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #7 เมื่อ: มกราคม 04, 2010, 07:05:38 pm »

ผมทำตามคุณ ProF.M แล้วครับ
หน้าต่าง windows-no disk   มันหายไปครับ
แต่ nod 32 มันก็ยังเตือนว่า
Object:
c:\windows\system32\drivers\etc\hosts
Threat:
Win32/Qhost trojan
Information:
cleaned by deleting-quarantined

ครับ 
ลองเข้าไปตาม  c:\windows\system32\drivers\etc\hosts
พบว่าตัว hosts มันลบทิ้งแล้วมันก็กลับมาใหม่ตลอดเลยครับ....
ทำอย่างไรดี..


โดน Win32/Qhost trojan นะครับ ลองใช้  Trojan.Win32.Qhost Removal  ดูนะครับ
http://www.scanforfree.com/download/trojan.win32.qhost-remover.php
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #8 เมื่อ: มกราคม 04, 2010, 08:18:50 pm »

ผมทำตามคุณ ProF.M แล้วครับ
หน้าต่าง windows-no disk   มันหายไปครับ
แต่ nod 32 มันก็ยังเตือนว่า
Object:
c:\windows\system32\drivers\etc\hosts
Threat:
Win32/Qhost trojan
Information:
cleaned by deleting-quarantined

ครับ 
ลองเข้าไปตาม  c:\windows\system32\drivers\etc\hosts
พบว่าตัว hosts มันลบทิ้งแล้วมันก็กลับมาใหม่ตลอดเลยครับ....
ทำอย่างไรดี..
ครับ กะให้เป็นแบบนั้นอยู่แล้วเราเริ่มจากกำจัด No disk ที่แสนกวนใจไปก่อนไงละครับ
แล้วค่อยมากำจัด Win32/qhost
(ส่วนตัว Win32/qhost ผมเคยเห็นแต่เค้าลบแบบ Manual นะครับ)
โดยไปที่ start----> runพิมพ์ regedit แล้ว กด Enter สังเกตุแถบ edit แล้วเลือกที่ Find
ให้พิมพ์ Win32/qhost   รอจนโปรแกรมค้นหาเสร็จแล้วก็ลบไฟล์นั้นเลยครับ
โดยคลิกขวา แล้วแล้วกด delete ครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #9 เมื่อ: มกราคม 04, 2010, 08:57:25 pm »

พอหาแล้วโปรแกรมมันขึ้นหน้าต่าง
Registry Editor
Finished searching through the registry.

ไม่เห็นมันเจอไฟล์อะไรเลยครับ???
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #10 เมื่อ: มกราคม 04, 2010, 09:24:55 pm »

Step1
ดาวน์โหลดCPE17 Autorun Killer (AntiAutorun) v.1.8.3 build 1510
สังเกตุที่มุมขวาล่าง ที่ Icon ของ CPE17 (แถบ systemtray) ให้คลิ๊กขวาแล้วเลือก Kill In computer (Advance)
จากนั้นให้นำ Flash Drive เสียบเข้าในเครื่อง แล้วจะเห็นมุมขวาล่างที่ Icon ของ CPE17 (แถบ systemtray) ให้คลิ๊กขวาแล้วเลือก Kill In Thumb drive (Advance)




Step2
ไปที่ Start--->Run
พิมคำว่า Msconfig แล้วกด Enter
จะมีหน้าต่างโผล่ขึ้นมา
เลือกแท็บ Startup แล้วถ่ายรูปข้อมูลในนั้นมาให้ดูหน่อยนะครับ
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #11 เมื่อ: มกราคม 04, 2010, 09:28:15 pm »

เพิ่งเติมครับ เมื่อกี้ลืม
ที่มันไม่เจอาจเป็นเพราะว่า Nod 32 ลบไปแล้วนะครับ

เดียวถ้ามันก่อกำเนิดตัวมันขึ้นมาใหม่แล้วเรายังไม่ได้ลบผ่าน Nod เราถึงอาจเจอตัวมันครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #12 เมื่อ: มกราคม 04, 2010, 09:42:32 pm »





ตอนผมหาในregedit 
ผมลองปิดnod32 ก่อนแล้วครับ
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #13 เมื่อ: มกราคม 04, 2010, 10:01:04 pm »

ขอโทษนะครับ พอดีเมื่อกี้ผมไม่เห็นโปรแกรม USB Safely Remove ให้ข้ามขั้นตอนที่1นะครับ
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #14 เมื่อ: มกราคม 04, 2010, 10:07:33 pm »

ถ้าลบไม่ได้ลองใช้ Tool ตัวนี้ครับ
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixQhost.exe
หรือไม่ก็จาก
http://www.softpedia.com/get/Antivirus/Free-Virus-Removal-Tool-for-W32-Qhost-Trojan.shtml
นะครับ

เพิ่งรู้ว่าเดี๋ยวนี้เค้าพัฒนาให้มี Tool Fix กันเล้ว

รายงานผลด้วยนะครับ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #15 เมื่อ: มกราคม 04, 2010, 10:08:51 pm »

ลองตัวนี้ดูก่อนครับHost expert
-----------------------------
ให้ดาวน์โหลด hosts.zip
  • ให้ unzip ไฟล์ไปไว้ใน C:\hosts (ขอให้สร้างโฟลเดอร์นี้นะครับ)
  • เปิด hosts folder นี้ขึ้นมา แล้วดับเบิ้ลคลิกที่ mvps.bat
  • ซึ่งสคริปท์ตัวนี้จะไปเปลี่ยนชื่อ HOSTS file ที่กำลังใช้อยู่ไปเป็น HOSTS.MVP และมันจะ copy HOSTS file ตัวใหม่นี้ไปไว้ใน location ที่ถูกต้องของระบบ
  • ถ้าสนใจอยากรู้ว่า HOSTS.MVP มันทำอะไรอ่านเพิ่มได้ที่ Blocking Unwanted Parasites with a Hosts File
  • หมายเหตุ ถ้าหากคุณได้รับข้อความ "an access denied message" ในขณะที่กำลังทำการ overwrite the hosts file ขอให้เปลี่ยนไปทำขั้นตอนนี้ใน "Safe Mode" แทน

รายละเอียดเพิ่มเติมในการทำ HOSTS.MVP เผื่อคุณจะงง MVPS HOSTS File Install Instructions with screenshots

---------------------------------------------------------------------------------------------------

คลิกที่ DelDomains.inf
    แล้ว copy/paste ข้อความที่เห็นทั้งหมดไปไว้ใน notepad แล้วเซฟมันไว้ที่หน้าจอ ตามรูป


คลิกขวาที่ DelDomains.inf แล้วเลือก Install (ไม่จำเป็นต้อง restart หลังจากนี้)
คุณอาจจะมองไม่เห็นการทำงานของมัน มันเป็นเรื่องปรกติครับ จริงๆแล้วมันทำงาน
หมายเหตุ ไฟล์ DelDomains.inf จะไปลบ entries ทั้งหมดทุกตัว ที่คุณบันทึกไว้ใน Trusted, Restricted, และ Enhanced Security Configuration Zones ทำให้คุณจะต้องไปบันทึก entries ที่คุณต้องการในโซนเหล่านี้ใหม่อีกครั้ง

----------------------------------------------------------------------------
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #16 เมื่อ: มกราคม 04, 2010, 10:09:47 pm »

ููู^
^
กำรูปไม่ขึ้นขอโทษด้วยครับ
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #17 เมื่อ: มกราคม 04, 2010, 10:23:09 pm »

นี่ครับรูปผมทำไว้เองเผื่อรูปเสีย
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #18 เมื่อ: มกราคม 04, 2010, 10:26:10 pm »

นี่ครับรูปผมทำไว้เองเผื่อรูปเสีย


ขอบคุณมากๆครับ บวกให้เลยดีมั้ยขออนุญาตก็อบนะครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #19 เมื่อ: มกราคม 04, 2010, 11:01:23 pm »

ลิงค์นี้เข้าไปโหลดแล้วงง งง ครับ เลยโหลดมาลิงค์เดียวก่อน
http://www.softpedia.com/get/Antivirus/Free-Virus-Removal-Tool-for-W32-Qhost-Trojan.shtml

ตอนนี้ลองทำทั้งสองอย่างเลยครับ
เดี๋ยวสำเร็จอย่างไรรายงานผลให้ทราบครับ
ขอบคุณทุกๆท่านที่เข้ามาช่วยเหลือครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #20 เมื่อ: มกราคม 04, 2010, 11:13:09 pm »

ตอนนี้ nod 32 มันก็ยังเด้งเหมือนเดิมครับ.....
บันทึกการเข้า
ICheer_No0M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 7991

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 72 : Exp 83%
HP: 0.2%


ชมรมคนรักบี BestBuy


เว็บไซต์
« ตอบ #21 เมื่อ: มกราคม 04, 2010, 11:16:03 pm »

Restart เครื่องหรือยังครับ ? ...
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #22 เมื่อ: มกราคม 04, 2010, 11:16:48 pm »

รีแล้วครับ
บันทึกการเข้า
maanpohleang
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 976

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 25 : Exp 36%
HP: 0.3%


« ตอบ #23 เมื่อ: มกราคม 05, 2010, 10:38:23 am »

ลองใช้ Combofix ครับ http://www.freeware.in.th/security/1531/  แนะนำโดย อ.ศุภเดช
ของเค้าแรงจริงได้ไม่ได้ บอกด้วย ครับ
บันทึกการเข้า
peepoo
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 104

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 8 : Exp 23%
HP: 0.1%



« ตอบ #24 เมื่อ: มกราคม 05, 2010, 11:14:13 am »

ถ้าลบไม่ได้ลองใช้ Tool ตัวนี้ครับ
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixQhost.exe
หรือไม่ก็จาก
http://www.softpedia.com/get/Antivirus/Free-Virus-Removal-Tool-for-W32-Qhost-Trojan.shtml
นะครับ

เพิ่งรู้ว่าเดี๋ยวนี้เค้าพัฒนาให้มี Tool Fix กันเล้ว

รายงานผลด้วยนะครับ

ขอบคุณคะ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #25 เมื่อ: มกราคม 05, 2010, 09:55:11 pm »

ทำำตามพี่ผมบอกรึยังครับลองวิธีนั้นอีกวิธีด้วยครับ อิๆ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #26 เมื่อ: มกราคม 06, 2010, 03:34:39 pm »

ลองทำตามคุณ Block as แล้วครับ มันแก้ชื่อไฟล์ให้เหมืนกันครับ
แต่ว่า่ตัว host มันก็ยังปั้มตัวเองเหมือนเดิมครับ

ตอนนี้ความผิดปกติที่เกิดขึ้นของเครื่องคือ
1.อัพเดตสแกนไวรัสไม่ได้
2.เข้าเวปบางเวปไม่ได้ เช่น www.beartai.com ฯลฯ

ส่วนวิธีของท่านอื่นๆก็ลองแล้วครับ ยังไม่หายเลย...
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #27 เมื่อ: มกราคม 06, 2010, 05:03:39 pm »

ไฟล์ Host มันมีนามสกุลปะครับ?
อันนี้ผมไม่รู้จริงๆ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #28 เมื่อ: มกราคม 06, 2010, 08:08:44 pm »

ไฟล์ Host มันมีนามสกุลปะครับ?
อันนี้ผมไม่รู้จริงๆ
ไม่มีครับเเต่ถ้าจะเข้าไปเเก้ไขต้องเปลี่ยนเป็น.txt .log.....ครับจะสะดวกกว่า
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #29 เมื่อ: มกราคม 06, 2010, 08:28:26 pm »

สงสัยตัวนี้ครับ fixไปก่อนเเละดูอาการครับ ถ้ามีปัญหาเรื่องเน็ตค่อยค่อยrestoreในHJDเอา
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sut.ac.th:8080
--------------------
เเล้วก็ทำตามตอบหนึ่งด้วยครับถ้ายังไม่ได้ทำ
ขอดูlog Hijackล่าสุดด้วย ถ้ายังมีปัญหาอยู่อยากให้ลองSdfixจัง
บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #30 เมื่อ: มกราคม 07, 2010, 08:57:32 pm »

ตอนนี้กำลังสงสัยอยู่ว่ามีตัวอะไรบงการอยู่เบื้องหลัง File host นี้อะ
เพราะว่ามันโผล่มาเรื่อยๆ
บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #31 เมื่อ: มกราคม 07, 2010, 09:08:04 pm »

เกม หรือ ว่า อย่างอื่น น่าจะมีโทรจันที่ติดตั้งอยู่ในเครื่องแล้วมันกำลังเชื่อมต่อกับคอมเราอยู่ เป็นไปได้ป่าวครับ??
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #32 เมื่อ: มกราคม 07, 2010, 09:42:37 pm »

--------------------------------------------------------------------------
แนะนำให้ print ข้อความนี้เอาไว้อ่านอ้างอิงนะครับ เพราะว่าคุณจะไม่สามารถกลับมาอ่านได้อีกในบอร์ดเมื่อทำขั้นตอนนี้
เสร็จแล้ว ดาวน์โหลด SDFix แล้วเซฟไว้ที่หน้าจอ
ดับเบิลคลิกที่ SDFix.exe เพื่อ extract ไฟล์ไปที่ %systemdrive%
(มันจะเป็นไดรฟ์ที่มี Windows Directory อยู่โดยทั่วไปแล้วก็คือ C:\SDFix) อย่าเพิ่งไปใช้มันเด็ดขาด

รีบูทเครื่องเข้าเซฟโหมด (โดย ตอนที่ Restart เครื่อง ให้กด F8 ย้ำๆ จนกว่าจะเห็นเมนูขึ้นมา ให้เลือก Save Mode)

เปิดโฟลเดอร์ SDFix (ใน  C:\SDFix) แล้วดับเบิลคลิกที่ RunThis.bat เพื่อเริ่มต้นการเขียนสคริปท์
  • กดตัว Y ที่แป้นพิมพ์เพื่อเริ่มต้นขั้นตอน cleanup
  • มันจะไปลบล้างตัวบริการ Trojan หรือ ตัว Registry Entries ผิดปรกติต่างๆ ที่มันหาเจอ เสร๊จแล้วมันก็จะสั่งให้คุณกดแป้นพิมพ์ตัวไหนก็ได้เพื่อรีบูท
  • ก็ให้กดแป้นพิมพ์ตัวใดตัวหนึ่งเพื่อรีสตาร์ทเครื่อง
  • เมื่อเครื่องรีบูทแล้ว เครื่องมือซ่อมแซมนี้ก็จะเริ่มต้นทำงานอีก เพื่อให้เสร็จสิ้นขั้นตอนการลบล้างอย่างสมบูรณ์ แล้วมันก็จะขึ้นข้อความ Finished, ให้กดแป้นพิมพ์ตัวไหนก็ได้เพื่อยุติสคริปท์ และเพื่อโหลด desktop icons ทั้งหลาย
  • เมื่อ desktop icons ถูกโหลดเรียบร้อยแล้ว รายงานผลของ SDFix ก็จะถูกเปิดแสดงให้ดู ให้เซฟมันไว้ใน SDFix folder โดยใช้ชื่อว่า Report.txt
ในที่สุด ก็ให้ copy/paste ข้อมูลทุกตัวของ Report.txt มาในกระทู้ พร้อมกับ HJT log ตัวใหม่

หมายเหตุ
-- ถ้าเห็น error message นี้ขึ้นในระหว่างที่ใช้ SDFix: "The command prompt has been disabled by your administrator. Press any key to continue..."
ก็ให้ไปที่ Start Menu > Run > แล้ว copy/paste ข้อความข้างล่างนี้:
%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg
กด Ok แล้วใช้ SDFix อีกครั้ง

-- ถ้าหากว่า Command Prompt window กระพริบแล้วปิดตัวลงอีกครั้งใน XP หรือ Win 2000, ก็ให้ไปที่ Start Menu > Run > แล้ว copy/paste บรรทัดข้างล่างนี้:
%systemdrive%\SDFix\apps\FixPath.exe /Q
Reboot แล้วใช้ SDFix อีกครั้ง

-- ถ้า SDFix ไม่ยอมทำงานให้ตรวจสอบ %comspec% variable โดยคลิกขวาที่ My Computer > แล้วคลิก Properties > Advanced > Environment Variables และตรวจสอบดูว่า ComSpec variable ได้ชี้ไปที่ cmd.exe
%SystemRoot%\system32\cmd.exe

---------------------------------------------------------------------------------
ฺBy Thaitatim
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #33 เมื่อ: มกราคม 07, 2010, 11:17:53 pm »

log hijackthis ครับ


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25:17, on 7/1/2553
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Asus\EeePC ACPI\AsTray.exe
C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sut.ac.th:8080
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [ParetoLogic Anti-Virus PLUS] "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: ClipSrv - Unknown owner - C:\WINDOWS\system32\clipsrv.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe
O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe

--
End of file - 5211 bytes



log SDFix  ครับ


SDFix: Version 1.240
Run by ASPIRE on Thu 01/07/2010 at 11:19 PM

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\AT.EXE - Deleted
C:\WINDOWS\SYSTEM32\LL.EXE - Deleted
C:\WINDOWS\SYSTEM32\UN.EXE - Deleted
C:\WINDOWS\SYSTEM32\DF.EXE - Deleted
C:\WINDOWS\SYSTEM32\VN.EXE - Deleted
C:\WINDOWS\SYSTEM32\QA.EXE - Deleted
C:\WINDOWS\SYSTEM32\YR.EXE - Deleted
C:\WINDOWS\SYSTEM32\MN.EXE - Deleted
C:\WINDOWS\SYSTEM32\UV.EXE - Deleted
C:\WINDOWS\SYSTEM32\UM.EXE - Deleted
C:\WINDOWS\SYSTEM32\NI.EXE - Deleted
C:\WINDOWS\SYSTEM32\KT.EXE - Deleted
C:\WINDOWS\SYSTEM32\WR.EXE - Deleted
C:\WINDOWS\SYSTEM32\YI.EXE - Deleted
C:\WINDOWS\SYSTEM32\MJ.EXE - Deleted
C:\WINDOWS\SYSTEM32\ZY.EXE - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-07 23:23:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

C:\WINDOWS\SYSTEM32\WBEM\WMISRSV.EXE [1112] 0x81C40B98

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\WINDOWS\\system32\\wbem\\wmisrsv.exe"="C:\\WINDOWS\\system32\\wbem\\wmisrsv.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\ox.exe"="C:\\WINDOWS\\System32\\ox.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\au.exe"="C:\\WINDOWS\\System32\\au.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\oe.exe"="C:\\WINDOWS\\System32\\oe.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\ic.exe"="C:\\WINDOWS\\System32\\ic.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\ek.exe"="C:\\WINDOWS\\System32\\ek.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\xn.exe"="C:\\WINDOWS\\System32\\xn.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\en.exe"="C:\\WINDOWS\\System32\\en.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\we.exe"="C:\\WINDOWS\\System32\\we.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\nt.exe"="C:\\WINDOWS\\System32\\nt.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\nn.exe"="C:\\WINDOWS\\System32\\nn.exe:*:Microsoft Enabled"
"C:\\WINDOWS\\System32\\vr.exe"="C:\\WINDOWS\\System32\\vr.exe:*:Microsoft Enabled"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\WINDOWS\\system32\\wbem\\wmisrsc.exe"="C:\\WINDOWS\\system32\\wbem\\wmisrsc.exe:*:Enabled:Windows Live"
"C:\\WINDOWS\\System32\\pu.exe"="C:\\WINDOWS\\System32\\pu.exe:*:Enabled:Windows Live"
"C:\\WINDOWS\\System32\\dv.exe"="C:\\WINDOWS\\System32\\dv.exe:*:Enabled:Windows Live"
"C:\\WINDOWS\\System32\\jk.exe"="C:\\WINDOWS\\System32\\jk.exe:*:Enabled:Windows Live"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 24 Sep 2009       670,208 ..SHR --- "C:\WINDOWS\system32\wbem\wmisrsv.exe"
Mon 21 Dec 2009             0 ...H. --- "C:\Documents and Settings\ASPIRE\Application Data\Microsoft\Word\~WRL0001.tmp"

Finished!


บันทึกการเข้า
ProF.M
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 3158

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 45 : Exp 73%
HP: 0.2%


HJT, Security Team


« ตอบ #34 เมื่อ: มกราคม 08, 2010, 09:32:50 am »

เปิด hijackThis แล้ว Fix ตามโค๊ดด้านล่างนะครับ
โค๊ด:
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #35 เมื่อ: มกราคม 08, 2010, 07:36:26 pm »

^
^
^ คืออะไรครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #36 เมื่อ: มกราคม 08, 2010, 07:40:38 pm »

log hijack this ล่าสุด หลัง fix code  "O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll"

แต่อาการยังเหมือนเดิมครับ.....รีเครื่องแล้วก็ยังคงเดิม พอแสกน ใหม่ code O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll ก็ยังขึ้นมาเหมือนเดิม


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:16, on 8/1/2553
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Asus\EeePC ACPI\AsTray.exe
C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sut.ac.th:8080
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [ParetoLogic Anti-Virus PLUS] "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: ClipSrv - Unknown owner - C:\WINDOWS\system32\clipsrv.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe
O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe

--
End of file - 5015 bytes
บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #37 เมื่อ: มกราคม 08, 2010, 07:48:31 pm »

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe

พวกนี้คืออะไรครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #38 เมื่อ: มกราคม 08, 2010, 07:50:04 pm »

ไม่ทราบครับ.....
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #39 เมื่อ: มกราคม 08, 2010, 08:00:23 pm »

ในเครื่องมีแอนตี้ไวรัสอยู่ 2ตัว ให้ทำการลบตัวใดตัวนึงออก
1. ESET NOD32 Antivirus
2. paretologic anti-virus
__________________
เปิด hijackThis แล้ว Fix ตามโค๊ดด้านล่างนะครับ
โค๊ด:
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
^
^
^ คืออะไรครับ
น่าจะมาจากตัวนี้ครับ paretologic anti-virus
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #40 เมื่อ: มกราคม 08, 2010, 08:28:19 pm »

ลบ  paretologic anti-virus ออกแล้วครับ log ตัวนี้ O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll ก็หายไปครับ

แต่อาการเก่าๆก็ยังคงอยู่เช่นเดิมครับ...
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #41 เมื่อ: มกราคม 08, 2010, 08:30:20 pm »

ลบ  paretologic anti-virus ออกแล้วครับ log ตัวนี้ O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll ก็หายไปครับ

แต่อาการเก่าๆก็ยังคงอยู่เช่นเดิมครับ...
ขอโทษนะครับที่ไม่ได้มาติดตามตั้งเเต่ต้น เลยไม่รู้ว่าอาการเป็นอย่างไร. ตอนนี้อาการเป็นอย่างไรมั้งครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #42 เมื่อ: มกราคม 08, 2010, 09:05:55 pm »

nod32 มันก็ฟ้องว่าเป็น win32/Qhost trojan แต่พอมันลบไปมันก็กลับมาใหม่อีก
ลองลบในเซพโหมดแล้วก็ไ่ม่หายครัีบ
1.เครื่องมันก็ช้าลง
2.อัพเดตสแกนไวรัสไม่ได้
3.เข้าเวปบางเวปไม่ได้ เช่น www.beartai.com ฯลฯ




แบบว่าไม่อยากลงwindows ใหม่เลยครับ เครื่องผมเป็น eee 4gb มันหาwindowsลงยากจัง cd rom ก็ไม่มี...
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #43 เมื่อ: มกราคม 08, 2010, 09:07:19 pm »

ลืมบอกครับที่เข้ามาตอบกระทู้นี่ใช้เครื่อง PC ที่บ้านครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #44 เมื่อ: มกราคม 08, 2010, 09:11:37 pm »

สงสัยตัวนี้ครับ fixไปก่อนเเละดูอาการครับ ถ้ามีปัญหาเรื่องเน็ตค่อยค่อยrestoreในHJDเอา
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sut.ac.th:8080


ตัวนี้เป็นหน้าเวป ม.สุรนารี ของน้องสาวครับ ลบเรียบร้อยแล้วครับ
--------------------
เเล้วก็ทำตามตอบหนึ่งด้วยครับถ้ายังไม่ได้ทำ
ขอดูlog Hijackล่าสุดด้วย ถ้ายังมีปัญหาอยู่อยากให้ลองSdfixจัง
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #45 เมื่อ: มกราคม 08, 2010, 09:40:36 pm »

__พยายามหลีกเลี่ยงการใช้อินเทอร์เน็ตก่อนนะครับ เพราะเครื่องของคุณโดน Trojan Download เข้าให้ เพราะการเข้าอินเทอร์เน็ตตอนที่เครื่องของคุณโดนมาลเเวร์มันจะทำให้เรียกพวกมาลเเวร์ตัวอื่นๆเข้ามาได้ครับ__

ดาวน์โหลด ATF Cleaner by Atribune มาไว้ที่หน้าจอ
ลิงก์สำรองเผื่อลิงก์ตัวแรกมีปัญหา

หมายเหตุ สำหรับผู้ใช้ Vista คุณจะต้องคลิกขวาที่ไอค่อนแล้วเลือก Run As Administrator
  • ภายใน Main-->>Select Files to Delete ให้เลือก Select All
  • คลิกที่ปุ่ม Empty Selected
  • ถ้าคุณใช้ Firefox browser ก็ให้คลิกที่ Firefox ที่อยู่ทางด้านบนแล้วเลือก Select All
  • คลิกที่ปุ่ม Empty Selected
        ถ้าคุณต้องการเก็บ saved passwords ไว้ก็ให้คลิกที่ No เมื่อมันถาม
  • ถ้าคุณใช้ Opera browser ก็ให้คลิกที่ Opera ที่อยู่ทางด้านบนแล้วเลือก Select All
  • คลิกที่ปุ่ม Empty Selected
        ถ้าคุณต้องการเก็บ saved passwords ไว้ก็ให้คลิกที่ No เมื่อมันถาม
  • คลิก Exit ที่เมนู Main เพื่อออกจากโปรแกรม
หมายเหตุ เครื่องของคุณอาจจะรันได้ช้าผิดปรกติเมื่อคุณรีบูทเครื่องประมาณ 1-2 ครั้ง หลังจากที่ใช้เครื่องมือนี้แล้ว เพราะฉะนั้นอย่าตกใจนะครับ

หลังทำเสร็จเเล้วให้ทำการ Reboot เครื่องด้วยครับ ——> ต่อด้วย.
___________________________
SUPERAntiSpyware
โปรดอ่านโดยละเอียด
ให้ดาวน์โหลด SUPERAntispyware Free Edition (SAS)

หากคุณมี SUPERAntiSpyware โปรดตรวจสอบการปรับปรุงก่อนการสแกน!

* ให้ดับเบิลคลิกที่ไอคอนของโปรแกรมที่อยู่ที่หน้าจอเพื่อทำการติดตั้ง
* เมื่อถูกถามว่า จะให้อัพเดตฐานข้อมูลหรือไม่ ให้คลิก Yes
* ถ้าหากคุณมีปัญหาไม่สามารถดาวน์โหลดอัพเดตได้ ก็ขอให้ไปโหลด และ Unzip ไฟล์มาจากที่นี่แทน Manual Definition Updates

หลังจากนั้น ให้ยุติการต่อ internet อย่างสิ้นเชิงโดยการถอดสายต่อ internet ออกจากเครื่อง หรือ ถอดปลั๊กของ router ออกชั่วคราว

* Restart เครื่อง แล้วเข้าสู่ Save Mode (โดย ตอนที่ Restart เครื่อง ให้กด F8 ย้ำๆ จนกว่าจะเห็นเมนูขึ้นมา ให้เลือก Save Mode)
* เปิดโปรแกรม SUPERAntiSpyware
* แล้วเลือก "Configuration and Preferences"
* ขั้นต่อไป, ให้คลิกที่
* แล้วคลิก
* ภายในหน้าต่าง Scanner Options ให้ตรวจสอบดูให้แน่นอนว่า มีแต่ตัวเลือกข้างล่างนี้เท่านั้นที่ถูกติ๊กไว้

  •  

  •  

  •  
  • ที่นอกเหนือกว่านี้ กรุณาอย่าไปติ๊กมัน
  • คลิก เพื่อปิดหน้าต่าง Control Center
* เมื่อกลับมาอยู่ที่หน้าต่างหลักของโปรแกรมแล้ว ภายใต้ "Scan for Harmful Software" ให้คลิก
* ทางด้านซ้ายมือ, ให้ติ๊กที่ช่องของ ไดรฟ์ที่คุณต้องการให้มันสแกน (C:\Fixed Drive)
* ส่วนทางด้านขวา, ภายใต้ ให้เลือก
* คลิก เพื่อเริ่มต้นการสแกน จะไปเดินเล่นเพื่อยืดเส้นยืดสาย หรือจะไปชงกาแฟ หรือจะไปต้มมาม่าก่อนก็ได้ ในระหว่างที่รอให้โปรแกรมมันสแกนเครื่องของคุณให้เสร็จ
* เมื่อการสแกนสิ้นสุดลง หน้าต่างแสดงผลจะเปิดขึ้นมาแสดง เพื่อให้ดูถึงจำนวนไฟล์ที่มีความเสี่ยงที่มันหาเจอ ให้ คลิก OK.
* ตรวจทานดูว่า ทุกอย่างที่มันแสดงให้ดู ได้ถูกติ๊กเลือกไว้แล้วทุกตัว หลังจากนั้น ให้คลิก
* มันก็จะ quarantine ทุกอย่างที่มันค้นเจอ เสร็จแล้วมันจะถามว่า จะให้ reboot เลยไหม ? คลิก Yes.

วิธีหาดูข้อมูลไฟล์รายงานผลที่โปรแกรมนี้ทำงาน ทำได้ดังนี้
  • หลังจาก reboot ให้เปิด SUPERAntiSpyware อีกครั้ง (อาจจะต้อง reboot  ใน Save Mode อีกทีถึงจะเจอ)
  • คลิก แล้วคลิกที่แท็บ
  • ภายใต้   ดับเบิลคลิกที่ SUPERAntiSpyware Scan Log
  • มันจะถูกเปิดโดยโปรแกรม text editor ที่คุณใช้อยู่ (เช่น Notepad)
  • ใน Notepad คลิก File--> Save As...
  • ให้เซฟมันไว้ในที่ง่ายในการค้นหาของคุณ (ขอแนะนำให้เซฟไว้ที่หน้าจอ)
  • เพื่อออกจากโปรแกรม ให้คลิก แล้วก็คลิก อีกทีหนึ่ง
  • จากนั้นให้คุณ Copy/paste  log ตัวนี้ เพื่อแนบไฟล์ใส่ในกระทู้ (SUPERAntiSpyware log)
ต้องการ:
1. SUPERAntiSpyware log.
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #46 เมื่อ: มกราคม 08, 2010, 11:10:46 pm »

ว่าจะตอบตั้งนานเเล้วเเต่ลืม: มันคืออะไรที่ว่างๆให้ทำการเอาออกด้วยครับ

บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #47 เมื่อ: มกราคม 08, 2010, 11:20:38 pm »

log SUPERAntiSpyware ครับ



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/08/2010 at 11:25 PM

Application Version : 4.33.1000

Core Rules Database Version : 4452
Trace Rules Database Version: 1978

Scan type       : Quick Scan
Total Scan Time : 00:25:22

Memory items scanned      : 208
Memory threats detected   : 0
Registry items scanned    : 360
Registry threats detected : 6
File items scanned        : 7496
File threats detected     : 1

Trojan.Agent/Gen
   HKLM\System\ControlSet001\Services\efkfjqrx
   C:\WINDOWS\SYSTEM32\DRIVERS\EFKFJQRX.SYS
   HKLM\System\ControlSet001\Enum\Root\LEGACY_efkfjqrx
   HKLM\System\ControlSet002\Services\efkfjqrx
   HKLM\System\ControlSet002\Enum\Root\LEGACY_efkfjqrx
   HKLM\System\CurrentControlSet\Services\efkfjqrx
   HKLM\System\CurrentControlSet\Enum\Root\LEGACY_efkfjqrx
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #48 เมื่อ: มกราคม 08, 2010, 11:23:10 pm »

nod32 ก็ยังเจอ Win32/Qhost trojan แต่ลบแล้วก็กลับมาใหม่เหมือนเดิมครับ
บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #49 เมื่อ: มกราคม 08, 2010, 11:46:23 pm »

เจอไดร์ฟไหนครับ
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #50 เมื่อ: มกราคม 09, 2010, 12:20:09 am »

ไดร์ C:\windows\system32\drivers\etc\hosts

ครับตามไปลบเท่าไรมันก็เกิดขึ้นมาใหม่ตลอดเลย
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #51 เมื่อ: มกราคม 09, 2010, 12:21:58 am »

ืnod 32 มันขึ้นอย่างนี้อ่ะครับ


Object:
c:\windows\system32\drivers\etc\hosts
Threat:
Win32/Qhost trojan
Information:
cleaned by deleting-quarantined
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #52 เมื่อ: มกราคม 09, 2010, 01:01:30 am »

คงจะเเก้ยาว ขอตรวจสอบหน่อยนะครับว่ามีติด AWF หรือเปล่า

ดาวน์โหลด FindAWF.exe จากที่นี่ หรือ จากที่นี่, แล้วเลือกเซฟไว้ที่หน้าจอ
  • ดับเบิ้ลคลิกที่ FindAWF.exe
  • มันจะเปิด command prompt ขึ้นมาและสั่งว่า "Press any key to continue"
  • และมันจะแสดงเมนูเหล่านี้ด้วย
[indent]1. Press 1 then Enter to scan for bak folders
2. Press 2 then Enter to restore files from bak folders
3. Press 3 then Enter to remove bak folders
4. Press 4 then Enter to reset domain zones
5. Press E then Enter to EXIT[/indent]
  • ให้กด 1 แล้วกด Enter
  • มันอาจจะใช้เวลาในการสแกนหน่อย ใจเย็นๆแล้วกัน
  • เมื่อมันสแกนเสร็จแล้ว มันจะเปิด notepad แสดงผลรายงานที่ชื่อ AWF.txt.
  • ให้ copy และ paste ข้อความ AWF.txt  ทั้งหมดมาให้ดูในกระทู้ต่อไป
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #53 เมื่อ: มกราคม 09, 2010, 01:32:30 am »

AWF.txt มันมีแค่นี้เองอ่ะครับ.....แล้วก็สแกนเร็วมาก..



  Find AWF report by noahdfear ฉ2006
               Version 1.40

The current date is: Sat 01/09/2010
The current time is:  1:42:19.17


  bak folders found
  ~~~~~~~~~~~



  Duplicate files of bak directory contents
  ~~~~~~~~~~~~~~~~~~~~~~~



  end of report
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #54 เมื่อ: มกราคม 09, 2010, 02:20:04 am »

NOD32 Antivirus ใช่ของเเท้หรือเปล่า ? (ของถูกลิขสิทธิ์) ถ้าไม่ใช่เเนะนำให้ลบทิ้งครับ เเล้วใช้ของ Free เเทน.

Antivirus Free
  • Avira AntiVir Personal - Free Antivirus 9.0
  • Avast! Home Edition - Free Antivirus 4.8 <——เเนะนำตัวนี้.
  • AVG Anti Virus Free Edition 9.0
  • BitDefender Free Edition 10
  • PC Tools AntiVirus™ 6.1 for Windows®
  • Comodo Internet Security Free Antivirus
  • Microsoft Security Essentials

    Microsoft Security Essentials ใช้ได้เฉพาะ:
    วินโดว์ที่เป็นของเเท้ Windows XP (Service Pack 2 or Service Pack 3); Windows Vista (Gold, Service Pack 1, or Service Pack 2); Windows 7
    _________________
    เมื่อทำการลงแอนตี้ไวรัสตัวใหม่เสร็จเเล้ว ขอดู Logfile เเบบละเอียดขึ้นหน่อยนะครับ

    ขอให้คุณดาวน์โหลด random's system information tool (RSIT)
    จาก ที่นี่ แล้วเซฟมันไว้ที่หน้าจอ
    หลังจากนั้นดับเบิลที่ไอค่อนของโปรแกรม RSIT.exe เพื่อรัน
    ให้คลิกที่ Continue เมื่อมันขึ้นคำเตือน
    เมื่อมันทำงานเสร็จแล้ว มันจะเปิดแสดง log ให้คุณดูสองตัว
    ตัว log.txt <จะมีขนาดยาวสุด และ info.txt <จะมีขนาดสั้นสุด
    ขอให้แนบ log มาให้ดูทั้งสองตัวเลย
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #55 เมื่อ: มกราคม 09, 2010, 02:08:35 pm »

nod32 ก็ยังเจอ Win32/Qhost trojan แต่ลบแล้วก็กลับมาใหม่เหมือนเดิมครับ
ไม่ลองเเสกนในเซฟโหมด+ปิดsystems restoreตอนเเสกนดูครับ
วิธีปิดSR
คลิกขวาที่ My computer>System Restore tab>ติ๊กที่ turn off system restore+ok
อยากให้ลองSDfixอีกครั้งจังเเต่ครั้งนี้ให้ให้ลองปิดSr
---------------------------------------
พี่Carlzei$$ครับรบกวนถามหน่อยครับว่าตัวFindAWF.exeเอาไว้ทำอะไรอะครับ

บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #56 เมื่อ: มกราคม 09, 2010, 03:45:25 pm »

ส่วนการใช้ FindAWF.exe มันจะทำให้ง่ายในการตรวจสอบไฟล์จริงกับไฟล์ปลอมครับ. ผมจะตรวจสอบดูว่าในเครื่องได้มีมาลเเวร์ที่มันทำการย้ายไฟล์จริงไปไว้ที่อื่นหรือเปล่า ผลการตรวจสอบออกมาก็ไม่มีสักตัว บางที Anti Virus อาจจะติ๊งต๊องเองก็ได้ยิ่งที่ใช้ของปลอม.
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #57 เมื่อ: มกราคม 09, 2010, 06:33:18 pm »

อันแรก info.txt ครับ


info.txt logfile of random's system information tool 1.06 2010-01-09 18:37:21

======Uninstall list======

7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
ACDSee Pro 2-->MsiExec.exe /I{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 Lite-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A90000000001}
Adobe Shockwave Player-->C:\WINDOWS\system32\MACROMED\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\MACROMED\SHOCKW~1\Install.log
Asus ACPI Driver-->MsiExec.exe /X{19F5658D-92E8-4A08-8657-D38ABB1574B2}
Atheros Communications Inc.(R) L2 Fast Ethernet Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0A755762-EED8-47AB-A446-505766F93D43}\Setup.exe" -l0x9  -removeonly
Atheros for Acer Driver 5.3.0.45_Foxconn Installation Program-->C:\Program Files\InstallShield Installation Information\{F70D5D8C-C1AF-40B3-9E47-3BB5F19EEA3A}\setup.exe -runfromtemp -l0x0009 -removeonly
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Folder Size for Windows-->MsiExec.exe /I{FC8D21C8-7B29-4104-ADB0-FEE9CA1C7922}
Folderico 3.7.2-->C:\Program Files\Folderico\uninst.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB954708)-->"C:\WINDOWS\$NtUninstallKB954708$\spuninst\spuninst.exe"
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Microsoft Office 2003 Thai User Interface Pack-->MsiExec.exe /I{901E041E-6000-11D3-8CFE-0150048383C9}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110409-6000-11D3-8CFE-0150048383C9}
Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}
Mozilla Firefox (3.0.13)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
QT Lite 2.2.0-->"C:\Program Files\QT Lite\unins000.exe"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x1e  -removeonly
Security Task Manager 1.7-->C:\Program Files\Security Task Manager\Uninstal.exe "C:\Documents and Settings\All Users\Start Menu\Programs\Security Task Manager"
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
The KMPlayer (remove only)-->"C:\Program Files\The KMPlayer\uninstall.exe"
USB Drive AntiVirus 2.3-->"C:\Program Files\USBAntiVirus\unins000.exe"
USB Safely Remove 3.3-->"C:\Program Files\USB Safely Remove\unins000.exe"
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F729585E-E4EE-4CF8-ADE8-0808802BC2BA}
Windows Live Messenger-->MsiExec.exe /X{8EF56290-46EB-4D4A-9948-88A273499E0E}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

=====HijackThis Backups=====

O4 - HKCU\..\Run: [protect_autorun] C:\Documents and Settings\ASPIRE\Desktop\CPE17AntiAutorun119.exe /start [2008-11-04]
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') [2008-11-04]

======Hosts File======

127.0.0.1   msnfix.changelog.fr
127.0.0.1   www.incodesolutions.com
127.0.0.1   virusinfo.prevx.com
127.0.0.1   download.bleepingcomputer.com
127.0.0.1   www.dazhizhu.cn
127.0.0.1   foro.noticias3d.com
127.0.0.1   www.nabble.com
127.0.0.1   lurker.clamav.net
127.0.0.1   lexikon.ikarus.at
127.0.0.1   research.sunbelt-software.com

Securitycenter WMI appears to be broken

======System event log======

Computer Name: EEEPC
Event Code: 59
Message: Generate Activation Context failed for C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80U.DLL.
Reference error message: The operation completed successfully.
.

Record Number: 12462
Source Name: SideBySide
Time Written: 20100104094435.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 59
Message: Resolve Partial Assembly failed for Microsoft.VC80.MFCLOC.
Reference error message: The referenced assembly is not installed on your system.
.

Record Number: 12461
Source Name: SideBySide
Time Written: 20100104094435.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 32
Message: Dependent Assembly Microsoft.VC80.MFCLOC could not be found and Last Error was The referenced assembly is not installed on your system.


Record Number: 12460
Source Name: SideBySide
Time Written: 20100104094435.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 59
Message: Generate Activation Context failed for C:\WINDOWS\system32\SHELL32.dll.
Reference error message: The operation completed successfully.
.

Record Number: 12459
Source Name: SideBySide
Time Written: 20100104094426.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 59
Message: Resolve Partial Assembly failed for Microsoft.Windows.Common-Controls.
Reference error message: The parameter is incorrect.
.

Record Number: 12458
Source Name: SideBySide
Time Written: 20100104094426.000000+420
Event Type: error
User:

=====Application event log=====

Computer Name: EEEPC
Event Code: 482
Message: wlcomm (3328) An attempt to write to the file "C:\Documents and Settings\ASPIRE\Local Settings\Application Data\Microsoft\Windows Live Contacts\{3919056e-131c-4512-be67-a20db27eac5a}\DBStore\LogFiles\edbtmp.log" at offset 0 (0x0000000000000000) for 1048576 (0x00100000) bytes failed with system error 112 (0x00000070): "There is not enough space on the disk. ".  The write operation will fail with error -1808 (0xfffff8f0).  If this error persists then the file may be damaged and may need to be restored from a previous backup.

Record Number: 3141
Source Name: ESENT
Time Written: 20090827045252.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 413
Message: wlcomm (3328) Unable to create a new logfile because the database cannot write to the log drive. The drive may be read-only, out of disk space, misconfigured, or corrupted. Error -1811.

Record Number: 3140
Source Name: ESENT
Time Written: 20090827045252.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 429
Message: wlcomm (3328) C:\Documents and Settings\ASPIRE\Local Settings\Application Data\Microsoft\Windows Live Contacts\{3919056e-131c-4512-be67-a20db27eac5a}\: The database engine log disk is full. Deleting logfiles to recover disk space may make your database unstartable if the database file(s) are Inconsistent. Numbered logfiles may be moved, but not deleted, if and only if the database file(s) are Consistent. Do not move edb.log.

Record Number: 3139
Source Name: ESENT
Time Written: 20090827045252.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 486
Message: wlcomm (3328) An attempt to move the file "C:\Documents and Settings\ASPIRE\Local Settings\Application Data\Microsoft\Windows Live Contacts\{3919056e-131c-4512-be67-a20db27eac5a}\DBStore\LogFiles\res1.log" to "C:\Documents and Settings\ASPIRE\Local Settings\Application Data\Microsoft\Windows Live Contacts\{3919056e-131c-4512-be67-a20db27eac5a}\DBStore\LogFiles\edbtmp.log" failed with system error 2 (0x00000002): "The system cannot find the file specified. ".  The move file operation will fail with error -1811 (0xfffff8ed).

Record Number: 3138
Source Name: ESENT
Time Written: 20090827045252.000000+420
Event Type: error
User:

Computer Name: EEEPC
Event Code: 428
Message: wlcomm (3328) The database engine is rejecting update operations due to low free disk space on the log disk.

Record Number: 3137
Source Name: ESENT
Time Written: 20090827045252.000000+420
Event Type: error
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0d08
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1

-----------------EOF-----------------
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #58 เมื่อ: มกราคม 09, 2010, 06:33:47 pm »

อันนี้ log.txt ครับ



Logfile of random's system information tool 1.06 (written by random/random)
Run by ASPIRE at 2010-01-09 18:37:14
Microsoft Windows XP Professional Service Pack 2
System drive C: has 440 MB (12%) free of 4 GB
Total RAM: 503 MB (30% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:17, on 9/1/2553
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Asus\EeePC ACPI\AsTray.exe
C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Documents and Settings\ASPIRE\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\ASPIRE.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sut.ac.th:8080
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: ClipSrv - Unknown owner - C:\WINDOWS\system32\clipsrv.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe

--
End of file - 4361 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe [2006-07-17 53248]
"AsusTray"=C:\Program Files\Asus\EeePC ACPI\AsTray.exe [2007-09-28 77824]
"AsusACPIServer"=C:\Program Files\Asus\EeePC ACPI\AsAcpiSvr.exe [2007-10-02 450560]
"SynTPStart"=C:\Program Files\Synaptics\SynTP\SynTPStart.exe [2007-08-18 102400]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2007-09-22 104984]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2007-09-22 121368]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2007-09-22 100888]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-09-03 16841216]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"USB Safely Remove"=C:\Program Files\USB Safely Remove\USBSafelyRemove.exe [2007-12-18 700928]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]
"SUPERAntiSpyware"=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2010-01-05 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2006-10-08 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2007-07-22 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\efkfjqrx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\efkfjqrx.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableStatusMessages"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMHelp"=1
"NoResolveTrack"=1
"NoResolveSearch"=1
"NoSMConfigurePrograms"=1
"NoInstrumentation"=1
"NoSMBalloonTip"=1
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDriveAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\WINDOWS\system32\wbem\wmisrsv.exe"="C:\WINDOWS\system32\wbem\wmisrsv.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\ox.exe"="C:\WINDOWS\System32\ox.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\au.exe"="C:\WINDOWS\System32\au.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\oe.exe"="C:\WINDOWS\System32\oe.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\ic.exe"="C:\WINDOWS\System32\ic.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\ek.exe"="C:\WINDOWS\System32\ek.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\xn.exe"="C:\WINDOWS\System32\xn.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\en.exe"="C:\WINDOWS\System32\en.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\we.exe"="C:\WINDOWS\System32\we.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\nt.exe"="C:\WINDOWS\System32\nt.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\nn.exe"="C:\WINDOWS\System32\nn.exe:*:Microsoft Enabled"
"C:\WINDOWS\System32\vr.exe"="C:\WINDOWS\System32\vr.exe:*:Microsoft Enabled"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\WINDOWS\system32\wbem\wmisrsc.exe"="C:\WINDOWS\system32\wbem\wmisrsc.exe:*:Enabled:Windows Live"
"C:\WINDOWS\System32\pu.exe"="C:\WINDOWS\System32\pu.exe:*:Enabled:Windows Live"
"C:\WINDOWS\System32\dv.exe"="C:\WINDOWS\System32\dv.exe:*:Enabled:Windows Live"
"C:\WINDOWS\System32\jk.exe"="C:\WINDOWS\System32\jk.exe:*:Enabled:Windows Live"

======List of files/folders created in the last 1 months======

2010-01-09 18:37:14 ----D---- C:\rsit
2010-01-08 22:51:05 ----D---- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2010-01-08 22:50:19 ----D---- C:\Program Files\SUPERAntiSpyware
2010-01-08 22:50:19 ----D---- C:\Documents and Settings\ASPIRE\Application Data\SUPERAntiSpyware.com
2010-01-08 22:46:22 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2010-01-08 19:45:42 ----SHD---- C:\FOUND.009
2010-01-08 19:42:52 ----SHD---- C:\Recycled
2010-01-07 23:16:35 ----D---- C:\WINDOWS\ERUNT
2010-01-07 23:12:57 ----D---- C:\SDFix
2010-01-06 17:49:51 ----D---- C:\WINDOWS\temp
2010-01-06 17:49:47 ----A---- C:\ComboFix.txt
2010-01-06 17:44:33 ----D---- C:\Program Files\xerox
2010-01-06 17:44:30 ----D---- C:\WINDOWS\system32\xircom
2010-01-06 17:44:30 ----D---- C:\WINDOWS\srchasst
2010-01-06 17:44:30 ----D---- C:\Program Files\movie maker
2010-01-06 17:44:25 ----D---- C:\WINDOWS\system32\ime
2010-01-06 17:44:25 ----D---- C:\Program Files\netmeeting
2010-01-06 17:44:25 ----D---- C:\Program Files\msn gaming zone
2010-01-06 17:44:22 ----D---- C:\Program Files\microsoft frontpage
2010-01-06 17:29:46 ----A---- C:\WINDOWS\zip.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\SWSC.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\SWREG.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\sed.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\PEV.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\NIRCMD.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\MBR.exe
2010-01-06 17:29:46 ----A---- C:\WINDOWS\grep.exe
2010-01-06 17:29:35 ----D---- C:\WINDOWS\ERDNT
2010-01-06 17:29:20 ----D---- C:\Qoobox
2010-01-06 16:45:10 ----D---- C:\FOUND.008
2010-01-06 00:15:56 ----SHD---- C:\System Volume Information
2010-01-04 22:58:23 ----D---- C:\hosts
2010-01-04 21:45:18 ----D---- C:\WINDOWS\pss
2010-01-04 19:56:00 ----D---- C:\Config.Msi
2010-01-04 19:33:20 ----D---- C:\Program Files\Common Files\ParetoLogic
2010-01-04 19:33:20 ----D---- C:\Documents and Settings\All Users\Application Data\ParetoLogic
2009-12-26 02:36:29 ----A---- C:\WINDOWS\ntbtlog.txt
2009-12-22 22:34:56 ----D---- C:\FOUND.007

======List of files/folders modified in the last 1 months======

2010-01-09 18:33:50 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-06 17:45:56 ----A---- C:\WINDOWS\system.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel Processor Driver; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2007-07-22 36096]
R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS Compatible Transport Protocol; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2004-08-03 88448]
R2 NwlnkNb;NWLink NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2001-08-23 63232]
R2 NwlnkSpx;NWLink SPX/SPXII Protocol; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2001-08-23 55936]
R2 rspndr;Link-Layer Topology Discovery Responder; C:\WINDOWS\system32\DRIVERS\rspndr.sys [2007-07-22 62336]
R3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2007-05-02 546976]
R3 AsusACPI;ASUS ACPI Driver; C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-08-22 30208]
R3 CmBatt;Microsoft AC Adapter Driver; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2007-07-22 138752]
R3 hidusb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-23 9600]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2006-10-08 1181824]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-09-05 4611072]
R3 minidrv32;MiniPort Driver Hub; \??\C:\WINDOWS\system32\drivers\minidrv32.sys []
R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS []
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2007-08-18 212704]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2007-02-09 30208]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2007-04-09 59392]
R3 usbstor;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2007-02-09 20608]
S1 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-03 8832]
S3 bbrmfvcl;bbrmfvcl; \??\C:\WINDOWS\System32\Drivers\bbrmfvcl.sys []
S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 15295]
S3 catchme;catchme; \??\C:\DOCUME~1\ASPIRE\LOCALS~1\Temp\catchme.sys []
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2007-12-31 12160]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-05-07 106368]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 StillCam;Still Serial Digital Camera Driver; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-17 6784]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbvideo;USB Video Device (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2005-07-30 121856]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2007-07-22 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2007-07-22 82944]
S4 WS2IFSL;Windows Socket 2.0 Non-IFS Service Provider Support Environment; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-23 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 FolderSize;Folder Size; C:\Program Files\FolderSize\FolderSizeSvc.exe [2007-11-14 131072]
R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R2 WMISRSV;WMI Security Service; C:\WINDOWS\system32\wbem\wmisrsv.exe [2009-09-24 670208]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-10-18 913408]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-03 14336]

-----------------EOF-----------------
บันทึกการเข้า
poramin003
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 4034

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 51 : Exp 70%
HP: 0.1%


ยินดีให้คำปรึกษาเรื่อง " Virus " ครับ..


เว็บไซต์
« ตอบ #59 เมื่อ: มกราคม 09, 2010, 07:53:47 pm »

จาก LOG HJT
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe
^
^ ?
บันทึกการเข้า
aubom
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 38

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 5 : Exp 0%
HP: 0.1%


« ตอบ #60 เมื่อ: มกราคม 09, 2010, 07:57:26 pm »

จาก LOG HJT
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe
^
^ ?


อันนี้ผมก็ไม่ทราบเหมือนกันครับ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #61 เมื่อ: มกราคม 09, 2010, 08:45:12 pm »

จาก LOG HJT
O23 - Service: WMI Security Service (WMISRSV) - WMI Security Corp. - C:\WINDOWS\system32\wbem\wmisrsv.exe
^
^ ?


อันนี้ผมก็ไม่ทราบเหมือนกันครับ
ไม่ใช้ไฟล์อันตรายครับเป็นserviceเฉยๆ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #62 เมื่อ: มกราคม 09, 2010, 09:02:21 pm »

step1
ให้ท่านอ่าน  http://www.beartai.com/webboard/index.php?topic=39702.0 เเล้วทำขั้นตอนที่ 3.2 + 6เเล้วนำ log จากการกระทำ 2 ขั้นตอนดังกล่าว มาโพส หรือ เเนบไว้ครับ

Log ที่ต้องการ
1.Malwarebytes' Anti-Malware (MBAM) Log
2.Hijack This Log

*************
ทำขั้นตอนที่ 3.1 + 3.2 ให้อัพเดทเป็นเวอร์ชั่นล่าสุด ก่อนสเเกนให้ถอดสายเเลนออกด้วยครับ

-------------------------------
Step 2
ดาวน์โหลด GMER จากที่นี่:

  • Unzip ไปไว้ที่หน้าจอ
  • เปิดโปรแกรมแล้วคลิกที่ Rootkit tab.
  • ตรวจสอบดูว่าตัวเลือกด้านขวามือถูกติ๊กไว้ทั้งหมด เว้นแต่ ‘Show All’.
  • คลิกที่ Scan
  • เมื่อมันสแกนเสร็จให้ Copy และ paste ผลที่ได้ มาให้ดูในกระทู้ด้วย
By thitatim

-----------------------------
เจอไวรัสกับไฟล์น่าสงสัยเยอะอยู่ครับ
ส่วนการใช้ FindAWF.exe มันจะทำให้ง่ายในการตรวจสอบไฟล์จริงกับไฟล์ปลอมครับ. ผมจะตรวจสอบดูว่าในเครื่องได้มีมาลเเวร์ที่มันทำการย้ายไฟล์จริงไปไว้ที่อื่นหรือเปล่า ผลการตรวจสอบออกมาก็ไม่มีสักตัว บางที Anti Virus อาจจะติ๊งต๊องเองก็ได้ยิ่งที่ใช้ของปลอม.

ขอบคุณที่ให้ความรู้ครับ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #63 เมื่อ: มกราคม 09, 2010, 09:11:12 pm »

เพิ่มครับ เเนะนำให้กลับไปทำตามตอบ15 อีกทีครับหลังจากทำตาม ตอบ62# step 1 เสร็จ(อย่าเพิ่งเสียบสายเเลนทำต่อไปเลยครับ เเละค่อยทำStep ตอบ62อีกทีครับ ยิ้ม
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #64 เมื่อ: มกราคม 10, 2010, 06:24:39 am »

ขอโทษที คุณ Block as ให้เจ้าของกระทู้ทำขั้นตอนของผมก่อนนะครับ เพราะผมกลัวว่ามันจะไปเกาะไฟล์ไดร์เวอร์ตัวอื่นๆอีกต้องกำจัดมันก่อน ใครสั่งให้ Fix ตัวนี้เนี้ยดูจาก RSIT เเล้วคุณไปทำการฟิกมันทิ้ง

ให้ทำการเปิดโปรเเกรม HijackThis ขึ้นมา ถ้าหากคุณใช้วินโดว์วิสต้าให้คลิกขวาที่ HijackThis เลือก Run as Administrator ให้ตอบ "Yes"
ให้เลือกหัวข้อ "View the list of backups" หัวข้อเเท็ป Backups ให้ติ๊กถูกที่หน้า Entries ของ:
โค๊ด:
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') [2008-11-04]
จากนั้นคลิกที่ปุ่ม "Restore"
-________________________-
กรุณาดาวน์โหลด OTMoveIt3 by OldTimer.
  • เซฟมันไว้ที่หน้าจอ
  • ดับเบิ้ลคลิกที่ไอค่อน OTMoveIt..exe เพื่อรันโปรแกรม (หมายเหตุ ถ้าคุณใช้ Vista ให้คลิกขวาที่ไอค่อนแล้วเลือก Run As administrator)
  • Copy ข้อมูลที่เขียนในกรอบโค๊ดข้างล่างนี้ให้หมดทุกตัว
โค๊ด:
:Processes
explorer.exe

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\efkfjqrx.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\efkfjqrx.sys]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
:files
"C:\WINDOWS\System32\ox.exe"="C:\WINDOWS\System32\ox.exe
"C:\WINDOWS\System32\au.exe"="C:\WINDOWS\System32\au.exe
"C:\WINDOWS\System32\oe.exe"="C:\WINDOWS\System32\oe.exe
"C:\WINDOWS\System32\ic.exe"="C:\WINDOWS\System32\ic.exe
"C:\WINDOWS\System32\ek.exe"="C:\WINDOWS\System32\ek.exe
"C:\WINDOWS\System32\xn.exe"="C:\WINDOWS\System32\xn.exe
"C:\WINDOWS\System32\en.exe"="C:\WINDOWS\System32\en.exe
"C:\WINDOWS\System32\we.exe"="C:\WINDOWS\System32\we.exe
"C:\WINDOWS\System32\nt.exe"="C:\WINDOWS\System32\nt.exe
"C:\WINDOWS\System32\nn.exe"="C:\WINDOWS\System32\nn.exe
"C:\WINDOWS\System32\vr.exe"="C:\WINDOWS\System32\vr.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
:files
"C:\WINDOWS\System32\pu.exe"="C:\WINDOWS\System32\pu.exe
"C:\WINDOWS\System32\dv.exe"="C:\WINDOWS\System32\dv.exe
"C:\WINDOWS\System32\jk.exe"="C:\WINDOWS\System32\jk.exe

:files
C:\FOUND.009
C:\ComboFix.txt
C:\WINDOWS\zip.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\PEV.exe
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\grep.exe
C:\Qoobox
C:\FOUND.008
C:\Program Files\Common Files\ParetoLogic
C:\FOUND.007

:Commands
[purity]
[emptytemp]
[start explorer]
  • แล้วกลับไปที่ OTMoveIt3 แล้วคลิกขวาที่กรอบหน้าต่าง "Paste Instructions for Items to be Moved" (bar สีฟ้าเหลืองอ่อน) แล้วเลือก Paste
  • คลิกที่ปุ่ม MoveIt! (สีแดง)
  • แล้ว copy ข้อมูลทั้งหมดใน Results window (bar สีเขียว) แล้ว paste มันมาให้ดูในกระทู้ด้วย
  • ปิด OTMoveIt3


หมายเหตุ ถ้าหากว่ามีไฟล์หรือโฟลเดอร์ที่มันไม่สามารถลบได้ในทันที มันก็อาจจะต้องสั่งให้คุณรีบูทเครื่องเพื่อที่มันจะได้ทำงานขั้นนี้ได้เสร็จสิ้น ดังนั้น ถ้าหากว่ามันถามว่าจะให้มันรีบูทเครื่องเลยไหม ให้ตอบ Yes ซึ่งถ้าหากเกิดกรณีนี้ขึ้นมา (มันสั่งให้คุณรีบูท) หลังจากที่รีบูทแล้วให้คุณเปิด Notepad ขึ้นมา แล้วที่เมนู File->Open ในช่อง File Name box ให้ใส่ *.log แล้วกด Enter แล้ว navigate ไปที่ C:\_OTMoveIt\MovedFiles folder แล้วให้เลือกเปิด .log file ตัวที่ถูกสร้างมาใหม่ที่สุดในนั้น แล้ว copy/paste ข้อมูลทั้งหมดในนั้นมาให้ดูในกระทู้ด้วย
____________________________
กรุณาทำตามขั้นตอนที่ให้นี้อย่างเคร่งครัด ห้ามปรับเปลี่ยนขั้นใดขั้นหนึ่ง
1. ดาวน์โหลด The Avenger โดยคุณ Swandog46 แล้วเซฟไว้ที่หน้าจอ
  • คลิกขวาที่ Avenger.zip folder แล้วเลือก "Extract All..."
  • แล้ว extract avenger folder ไปไว้ที่หน้าจอ
2. Copy ข้อความใน code box ข้่งล่างนี้ทั้งหมดโดยไฮไลท์พวกมันแล้วกด (Ctrl+C):

โค๊ด:
Files to delete:
C:\Documents and Settings\User\Local Settings\Temp\catchme.sys
C:\WINDOWS\system32\drivers\minidrv32.sys
C:\WINDOWS\System32\Drivers\bbrmfvcl.sys
C:\Windows\System32\drivers\minidrv32.sys


Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CATCHME\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CATCHME\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CATCHME
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\catchme\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\catchme
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CATCHME\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CATCHME
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\catchme
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CATCHME\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CATCHME
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\catchme
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\minidrv32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\minidrv32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\minidrv32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MINIDRV32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MINIDRV32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MINIDRV32

หมายเหตุ: code ที่แสดงข้างบนนี้ถูกเขียนขึ้นมาเพื่อ จขกท ท่านนี้เท่านั้น ถ้าคุณไม่ใช่ จขกท ห้ามทำตามขั้นตอนเหล่านี้เด็ดขาดเพราะมันอาจจะทำให้ระบบของคุณเสียหายได้


3. เปิด avenger folder แล้วเริ่มต้นการทำงานของ The Avenger program โดยคลิกที่ไอค่อน
  • คลิกขวาที่กรอบหน้าต่างภายใต้ Input script here:, แล้วเลือก Paste.
  • หรือคุณก็สามารถคลิกในกรอบหน้าต่างนี้แล้วกด (Ctrl+V) เพื่อ paste ข้อความที่คุณ copy ไว้ใน clipboard ก็ได้
  • คลิกที่ Execute
  • ให้เลือกตอบ "Yes" เมื่อถูกถามทั้งสองครั้ง
4. The Avenger จะทำสิ่งต่างๆเหล่านี้โดยอัตโนมัติ:
  • มันจะ Restart เครื่อง ( ในกรณีที่ใน code มีคำว่า "Drivers to Delete" บรรจุอยู่ The Avenger ก็จะ restart ระบบถึง สองครั้งด้วยกัน)
  • เมื่อตอนรีบูท มันก็จะ เปิด a black command window ขึ้นมาที่หน้าจอชั่วครู่หนึ่ง ซึ่งเป็นเรื่องปรกติ
  • หลังจากที่มัน restart เรียบร้อยแล้ว มันจะสร้าง log file เพื่อแสดงผลการทำงานของ Avenger ซึ่งคุณสามารถหา log file ตัวนี้ได้ที่ C:\avenger.txt
  • The Avenger จะสร้าง backed up ของไฟล์ทั้งหมด และอื่นๆ  ที่คุณสั่งให้มัน delete ซึ่งมันจะ zipped ไฟล์พวกนี้แล้วย้าย zip archives ตัวนี้ไปไว้ใน C:\avenger\backup.zip
5. กรุณา copy/paste ข้อความภายใน c:\avenger.txt มาให้ดูในกระทู้
บันทึกการเข้า
Chome
มือใหม่หัดแบไต๋
*
ออฟไลน์ ออฟไลน์

กระทู้: 8

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 2 : Exp 38%
HP: 0.1%



« ตอบ #65 เมื่อ: มกราคม 10, 2010, 10:08:15 am »

ให้เปิด notepad ขึ้นมาแล้วไปที่ File >> Open >> จากนั้นตรงช่อง File name ให้ใส่ไปว่า C:\windows\system32\drivers\etc\hosts

แล้วเอาข้อความใน notepad มาดูหน่อยครับ
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #66 เมื่อ: มกราคม 10, 2010, 11:54:40 am »

ขอโทษที คุณ Block as ให้เจ้าของกระทู้ทำขั้นตอนของผมก่อนนะครับ เพราะผมกลัวว่ามันจะไปเกาะไฟล์ไดร์เวอร์ตัวอื่นๆอีกต้องกำจัดมันก่อน ใคร
ไม่เป็นไรครับ ผมก็มีจุดประสงค์ที่จะลบไอ้ตัวนี้เหมือนกันเพียงเเต่ผมใช้Otmove itไม่ค่อยเป็นเฉยๆเลยลองวิธีอื่นเเทน
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #67 เมื่อ: มกราคม 10, 2010, 12:17:25 pm »

ขอโทษที คุณ Block as ให้เจ้าของกระทู้ทำขั้นตอนของผมก่อนนะครับ เพราะผมกลัวว่ามันจะไปเกาะไฟล์ไดร์เวอร์ตัวอื่นๆอีกต้องกำจัดมันก่อน ใคร
ไม่เป็นไรครับ ผมก็มีจุดประสงค์ที่จะลบไอ้ตัวนี้เหมือนกันเพียงเเต่ผมใช้Otmove itไม่ค่อยเป็นเฉยๆเลยลองวิธีอื่นเเทน
เอ่อพี่Carlzei$$ครับถามวิธีใช้otmove itหน่อยนะครับ
อยากรู้ตรงคำว่าMoveit กับclean upนั้นมันเเตกต่างกันยังไงครับสำหรับโปรเเกรมนี้นะครับ
ขอบคุณครับ
-------------------------------- ลังเล
บันทึกการเข้า
Carlzei$$
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2532

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 93%
HP: 2.5%


HJT, Security Team


« ตอบ #68 เมื่อ: มกราคม 10, 2010, 05:06:56 pm »

ขอโทษที คุณ Block as ให้เจ้าของกระทู้ทำขั้นตอนของผมก่อนนะครับ เพราะผมกลัวว่ามันจะไปเกาะไฟล์ไดร์เวอร์ตัวอื่นๆอีกต้องกำจัดมันก่อน ใคร
ไม่เป็นไรครับ ผมก็มีจุดประสงค์ที่จะลบไอ้ตัวนี้เหมือนกันเพียงเเต่ผมใช้Otmove itไม่ค่อยเป็นเฉยๆเลยลองวิธีอื่นเเทน
เอ่อพี่Carlzei$$ครับถามวิธีใช้otmove itหน่อยนะครับ
อยากรู้ตรงคำว่าMoveit กับclean upนั้นมันเเตกต่างกันยังไงครับสำหรับโปรเเกรมนี้นะครับ
ขอบคุณครับ
-------------------------------- ลังเล
Moveit ก็คือการลบ หรือว่าย้าย (ในภาษาที่เราเข้าใจ), clean up คือการทำความสะอาด <—— ส่วนมากจะไม่ใช้ในตอนที่จะทำการลบไฟล์ของมาลเเวร์ จะใช้ตอนที่เครื่องคอมพิวเตอร์ของเขาไม่มีมาลเเวร์เเล้ว หรือไว้ทำความสะอาดพวก logfile ที่ๆเราใช้โปรเเกรม (MBAM, HJT ฯลฯ...) และยังสามารถช่วยให้ลบเครื่องมือที่เราใช้กำจัดมาลเเวร์ที่ลบไม่ออกได้อีกด้วย.
บันทึกการเข้า
Block as
แบไต๋ - โปรพอประมาณ
**
ออฟไลน์ ออฟไลน์

กระทู้: 2435

Level and Hp mod by the DtTvB :: version 1.02 :: Made for Zone-IT.com Level 40 : Exp 14%
HP: 0.1%

HJT, Security Team


« ตอบ #69 เมื่อ: มกราคม 10, 2010, 08:56:37 pm »

^
^
ขอบคุณครับพอเริ่มจะใช้เป็นเเละ
บันทึกการเข้า
หน้า: [1] 2   ขึ้นบน
พิมพ์
กระโดดไป:  

eXTReMe Tracker