# Notification.
Notification

Author Topic: nod ขึ้นไวรัสมาตลอดเลยครับ  (Read 9158 times)

0 Members and 1 Guest are viewing this topic.

Offline oou

  • VPC Member
  • ***
  • Posts: 261
    • View Profile
    • Email
nod ขึ้นข้อความแบบนี้มาตลอดทุก2-3นาทีสลับกันไปๆมาๆ แก้ไขอย่างไรดีครับ
ก่อนชึ้นที่กลางจอจะมีข้อความว่า Load log file ประมาณ1วินาทีพร้อมแถบโหลดสีเขียว
ก่อนที่จะขึ้นข้อความที่แนบมา ใช้  ca anti-spy หาเจอแต่ก็ลบไม่ได้
ไม่ทราบเป็นไวรัสของระบบวินฯ 7 หรือเปล่าเพราะผมยังไม่กดอัพเดต kb971033 หุ หุ

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
งานเข้าแล้วล่ะท่าน oou
อาการนี้ โดนโทรจันเข้าไปเต็ม ๆ
และมีการทิ้งไฟล์สำรองไว้ด้วย

ตามคำอธิบายวิธีการดูการทำงานของไฟล์ในวินโดวส์
http://www.varietypc.net/webboard/index.php?topic=1348.msg12801#msg12801

รอท่านอื่น ๆ เข้ามาช่วยอธิบายนะท่าน

ปล. ยังไม่ได้ถอดเฝือก พิมพ์ลำบากสุดยอด [emo10]

Offline oou

  • VPC Member
  • ***
  • Posts: 261
    • View Profile
    • Email
ดูต่อนะครับทุกๆท่านว่ามีอะไรผิดปรกติอีก [emo15]

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
ที่ผิดปรกติคือ
iexplore.exe มีสองงาน
csrss.exe ไม่ปรากฎสัญชาติ
และจากรูปแรกสุด ที่ท่านนำมาให้ดู
มี svchost.exe ที่ปรกติจะอยู่ใน system32 แต่งานนี้กลับมีตัวปลอมอยู่ใน temp

และถ้าให้เดา จะมีไฟล์ที่เป็น สคริปท์ (script file) ซ่อนอยู่ใน C:\Users\.... อีกด้วย
ซึ่งไฟล์นี้ไม่แน่ใจว่าจะย้ายที่ได้เองหรือเปล่า
และสคริปท์สำรอง อาจจะอยู่ใน C:\Windows หรือ C:\Windows\System32 อีกส่วนหนึ่ง
สังเกตได้จาก การที่มี iexplore.exe (IE) เปิดขึ้นมาสองตัว
ตัวหนึ่งเปิดสำรองไว้ กันพลาด ในกรณีที่อีกตัวหนึ่งที่กำลังสั่งสคริปท์ทำงานโดนปิดไป
ตัวสำรองจะทำการเปิดไฟล์ iexplore.exe มาอีกรอบหนึ่ง
และเราก็ไม่สามารถปิดสองตัวนี้พร้อม ๆ กันได้ เพราะมันทำงานในเวลาแค่เสี้ยววินาที

วิธีการแก้ไขก็มีนะท่าน แต่ไม่รู้จะอธิบายเป็นตัวหนังสือยังไง
เพราะเคยพูดให้รุ่นน้องที่ทำงานด้วยกันฟัง ยังจะไม่ค่อยเข้าใจเลย [emo12]

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
ตัวนี้ครับ เอาเครื่องหมายถูกออก แล้วรีสตาร์ทเครื่องใหม่ เมื่อบูตเครื่องเสร็จกลับไปดูหัวข้อนี้ว่ามีเครื่องหมายถูกติ๊กไว้อีกหรือเปล่า



และลองปิดการทำงานของ System Restore, ลบไฟล์ขยะในโฟลเดอร์ Temp แล้วสั่งสแกนไวรัสดูใหม่ครับท่าน

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
ต้องดูในนี้ด้วยนะท่าน
run regedit.exe แล้วไปที่

Code: [Select]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
และ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

โทรจันบางตัวอาจจะแอบแฝงอยู่ในนี้ด้วย

Code: [Select]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
และ
C:\Users\ชื่อผู้ใช้\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

เอารูปในหน้าเหล่านี้มาโพสในกระทู้ด้วยนะท่าน
จะได้ช่วยแก้ไขได้ [emo01]

ปล. วิธีการแก้ไขที่ต้นเหตุ ก็ต้องเข้า safe mode with command prompt
แล้วสั่ง regedit เพื่อเปิด registry
และ explorer เพื่อเปิด windows explorer

Offline ICheer_No0M™

  • VPC Member.
  • **
  • Posts: 73
  • ITD-TEAM
    • View Profile
เอา MalwareByte แล้ว Update สแกนแล้วขอดู Log ด้วยครับ ...

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
มันแอบซ่อนตัวเองอยู่ในโฟลเดอร์นี้ด้วยครับ

C:\Windows\TEMP\rtws.tmp\svchost.exe

 [emo09]  [emo09]

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
สำหรับผมถนัดการแก้ไข และจัดการเหล่าโทรจัน โดยอาศัยฝีมือ และประสบการณ์
ไม่ถนัดการใช้โปรแกรมช่วยนะครับ [emo10]

คิดว่า คำแนะนำที่บอกไป อาจจะไม่ค่อยช่วยท่านมากนัก [emo19]
เพราะการแก้ไขที่แนะนำไปนั้น ต้องอาศัยการจดจำลักษณะการทำงานของไวรัส, โทรจัน
และต้องจดจำรายชื่อไฟล์ของระบบวินโดวส์ (ซึ่งมีอยู่มากมาย [emo18])

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
มันแอบซ่อนตัวเองอยู่ในโฟลเดอร์นี้ด้วยครับ

C:\Windows\TEMP\rtws.tmp\svchost.exe

 [emo09]  [emo09]
เหมือนแบบนี้ไงท่าน [emo09]



วิธีการสังเกตเบื้องต้น
ปรกติแล้ว svchost.exe wininit.exe winlogon.exe ต้องไม่ถูกเปิดใช้งานโดยชื่อผู้ใช้
แต่หากว่าโดนเปิดใช้งานโดยผู้ใช้
ดังเช่นในภาพ
ให้สงสัยเป็นอันดับแรกเลยว่า งานเข้า (อย่างหนัก) [emo12] [emo13]

ปล๑. ในภาพไม่มีการตัดต่อแต่อย่างใด
แต่ เป็นการสร้างโทรจันเพื่อให้ได้ภาพนี้ขึ้นมา [emo01]

ปล๒. taskmgr.exe ที่วงไว้ ปรกติจะโดนเปิดโดยผู้ใช้งาน และมีแค่งานเดียว
แต่ถ้าหากมีเกินกว่าหนึ่งงาน ก็หมายความว่ามีโทรจันเข้ามาอาศัยในเครื่องเราแล้ว

Offline MILD_PLUS

  • Webmaster
  • *****
  • Posts: 6966
  • สมุทรปราการ/10270
    • View Profile
ผมเข้ามาเอาใจช่วยทุกท่านครับ [emo01]

เพราะเรื่องไวรัส...ผมไม่ค่อยจะสามารถนะครับ..เพราะอ่อนซ้อมไปหน่อยครับท่าน [emo08] [emo12]

Offline oou

  • VPC Member
  • ***
  • Posts: 261
    • View Profile
    • Email
ตอนนี้ผมมาเข้าฮาร์ตดิสก์อีกลูกที่ลง xp ไว้แล้วลองให้ซูเปอร์แอนตี้สปายแวร์ลองสแกนฮาร์ตดิสก์ที่ลงวินฯ 7
ไม่รูจะช่วยได้หรือเปล่าจะเอาซูเปอร์แอนตี้สปายแวร์ไปลงที่วินฯ 7 มันก็ไม่ยอมให้ลงสงสัยวินฯ defender
มันปิดกั้นเอาไว้

ตัวนี้ครับ เอาเครื่องหมายถูกออก แล้วรีสตาร์ทเครื่องใหม่ เมื่อบูตเครื่องเสร็จกลับไปดูหัวข้อนี้ว่ามีเครื่องหมายถูกติ๊กไว้อีกหรือเปล่า



และลองปิดการทำงานของ System Restore, ลบไฟล์ขยะในโฟลเดอร์ Temp แล้วสั่งสแกนไวรัสดูใหม่ครับท่าน

ผมก็สงสัยตัวนี้เห็นมันแปลกๆ

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
ผมโหลดมาลองกับ XP ให้ท่านแล้วนะครับ

http://congaro.com/bot.exe

โดยลบแอนตี้ไวรัสออก เพื่อจะดับเบิลคลิกให้ไวรัสวิ่งเข้าเครื่อง แต่ผลปราฏว่ามันไม่ทำงาน และหลังจากลง NOD มันก็แค่บอกว่าไฟล์เป็นไวรัสแต่ไม่ใช่ไฟล์อันตรายและไม่ยอมลบให้

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
ผมลองเปิดไฟล์ bot.exe ด้วย EditPlus จะพบ 1 ชุดคำสั่ง



ยังไงลองหาตัวไวรัสใน systemroot\system32
และค่าที่ไวรัสฝังตัวเองไว้ในรีจิสตรีดังรูปด้วยครับท่าน

Offline oou

  • VPC Member
  • ***
  • Posts: 261
    • View Profile
    • Email
ตัวนี้ครับ เอาเครื่องหมายถูกออก แล้วรีสตาร์ทเครื่องใหม่ เมื่อบูตเครื่องเสร็จกลับไปดูหัวข้อนี้ว่ามีเครื่องหมายถูกติ๊กไว้อีกหรือเปล่า



และลองปิดการทำงานของ System Restore, ลบไฟล์ขยะในโฟลเดอร์ Temp แล้วสั่งสแกนไวรัสดูใหม่ครับท่าน

ผมเอาเครื่องหมายถูกออกแล้ว แต่ไวรัสก็ยังขึ้นอยู่

ผมโหลดมาลองกับ XP ให้ท่านแล้วนะครับ

http://congaro.com/bot.exe

โดยลบแอนตี้ไวรัสออก เพื่อจะดับเบิลคลิกให้ไวรัสวิ่งเข้าเครื่อง แต่ผลปราฏว่ามันไม่ทำงาน และหลังจากลง NOD มันก็แค่บอกว่าไฟล์เป็นไวรัสแต่ไม่ใช่ไฟล์อันตรายและไม่ยอมลบให้

ก่อนหน้านี้ไม่กี่วันมันมีตัวนี้ก่อนแล้วครับ(มันมาเยอะจริงๆ)


ต้องดูในนี้ด้วยนะท่าน
run regedit.exe แล้วไปที่

Code: [Select]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
และ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

โทรจันบางตัวอาจจะแอบแฝงอยู่ในนี้ด้วย

Code: [Select]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
และ
C:\Users\ชื่อผู้ใช้\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

เอารูปในหน้าเหล่านี้มาโพสในกระทู้ด้วยนะท่าน
จะได้ช่วยแก้ไขได้ [emo01]

ปล. วิธีการแก้ไขที่ต้นเหตุ ก็ต้องเข้า safe mode with command prompt
แล้วสั่ง regedit เพื่อเปิด registry
และ explorer เพื่อเปิด windows explorer

ในส่วนของท่าน แฟนต้าฯ นี้ผมขอไว้แก้ตอนท้ายๆแล้วกัน ผมขอเอาแบบง่ายๆไว้ก่อน เพราะรู้สึกว่ามันจะค่อนข้างยากสำหรับผม แต่ถ้าแก้ไม่ได้ก็คงต้องใช้วิธีของท่าน แฟนต้าฯ และท่านก็คงต้องทนเจ็บมือไปอีกหลายวัน เพราะต้องสอนผมให้เข้าใจอีกมากมายก่ายกอง (ยิ่งเข้าใจยากอยู่ด้วย)แฮ่ แฮ่


 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27