# Notification.
Notification

Author Topic: ผมเจอไวรัสอีกแล้วครับ ช่วยเช็ค Log ให้หน่อยครับท่าน  (Read 8371 times)

0 Members and 1 Guest are viewing this topic.

Offline JEDI•KhawPod€๏๛

  • VPC Member.
  • **
  • Posts: 66
  • Audition Crazy-4 พิสูจน์ได้
    • MSN Messenger - thefun_zaavoice@hotmail.com
    • View Profile
    • Radio Station Online 24 hr
    • Email
ขอความกรุณาด้วยครับ เจอไวรัสตัวเดิม เบื่อมาก ครั้งที่แล้วต้องยกคอมไปลงวินโดวส์ใหม่

เพราะไวรัสตัวนี้แหละครับ [emo14]


Code: [Select]
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:07:07, on 1/2/2554
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\USB Disk Security\USBGuard.exe
D:\backup 24-11-53\My Documents\Downloads\Programs\cpe17antiautorun1410.exe
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOCUME~1\USER\LOCALS~1\Temp\winwafig.exe
C:\DOCUME~1\USER\LOCALS~1\Temp\bdooio.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\USER\LOCALS~1\Temp\w7b573.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\USER\My Documents\Downloads\Programs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.th/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [USB Antivirus] C:\Program Files\USB Disk Security\USBGuard.exe
O4 - HKLM\..\Run: [protect_autorun] D:\backup 24-11-53\My Documents\Downloads\Programs\cpe17antiautorun1410.exe /start
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [WebcamMaxAutoRun] "C:\Program Files\WebcamMax\WebcamMax.exe" -a
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: 200_KillAutorunVirus.bat
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: ส่&งออกไปยัง Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: การวิจัย - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1290839708015
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://secure1.playpark.com/playpark/refill2/nProtect/KeyCrypt/npkcx.cab
O16 - DPF: {FA73B1B9-D6F0-4420-AEB4-B3C973B2A115} (CNCLauncherCtl Object) - http://update.hitsplay.com:8080/UniUpdTool/system/NCLauncher.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 8636 bytes


ขอบคุณล่วงหน้าครับ

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
เท่าที่ลองเช็คดูในลิสต์ไม่เจอตัวเลยครับ ยังไงลองให้เจ้าตัวนี้สแกนดูหน่อย Kaspersky Virus Removal Tool 2010 9.0.0.722 เป็นของฟรี แต่มีคุณภาพ

สแกนแค่ครั้งเดียว น่าจะตายเรียบ หรือถ้าไม่แน่ใจก็สั่งสแกนครั้งที่ 2 อีกครั้ง เพื่อความชัวร์ก็ได้ เมื่อวันก่อนเอาไปสแกนกับเครื่องที่ทำงาน เจ้า Conflicker ทั้งหลายที่เคยเด้ง ไม่มากวนใจอีกเลยครับ  [emo04]

Offline JEDI•KhawPod€๏๛

  • VPC Member.
  • **
  • Posts: 66
  • Audition Crazy-4 พิสูจน์ได้
    • MSN Messenger - thefun_zaavoice@hotmail.com
    • View Profile
    • Radio Station Online 24 hr
    • Email
ขอบคุณมากครับท่าน Microsoft

ผมก็เบื่อกับการที่ต้องลงวินโดวส์ใหม่เหมือนกัน

ตอนนี้ผมเชื่อว่า Process ของผม วิ่งเกิน100แน่นอน

Autorun.inf ติด2ไดรฟ์เลย  แล้วมันจะสร้างไฟล์ hdhywe.exe ไฟล์ชื่อมั่วๆและ .pif ชื่อมั่วๆ

ซึ่งตอนนี้เปิด Task Manager และ Regedit ไม่ได้เลย

ขอเอาไปลองก่อนนะครับท่านน ได้ผลอย่างไรจะนำมาตอบครับ

Offline JEDI•KhawPod€๏๛

  • VPC Member.
  • **
  • Posts: 66
  • Audition Crazy-4 พิสูจน์ได้
    • MSN Messenger - thefun_zaavoice@hotmail.com
    • View Profile
    • Radio Station Online 24 hr
    • Email
ท่านครับ วานท่านช่วยอัพโหลดขึ้นเว็ปฝากไฟล์ได้ไหมครับ เพราะมันโหลดไม่ได้เลย ติด IDM น่ะครับท่าน [emo08]

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
งั้นเอาลิงค์ตรงเลยครับ จาก Kaspersky
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_9.0.0.722_01.02.2011_08-50.exe

แต่ถ้ายังไม่ได้อีก อยากให้ปิดการทำงานของ IDM ไปก่อนครับ

 [emo01]  [emo04]

Offline JEDI•KhawPod€๏๛

  • VPC Member.
  • **
  • Posts: 66
  • Audition Crazy-4 พิสูจน์ได้
    • MSN Messenger - thefun_zaavoice@hotmail.com
    • View Profile
    • Radio Station Online 24 hr
    • Email
โหลดไม่ได้ครับท่าน สงสัยผมต้องลงวินโดวส์ใหม่อีกแล้วใช่ไหมครับเนี่ย  [emo13]

Offline Noi noi

  • VPC Member
  • ****
  • Posts: 1162
  • รู้สึกพอใจในสิ่งที่ตนเองมี
    • View Profile
ลองโหลดโดยไม่ต้องผ่าน IDM ดูหรือยังครับท่าน โดยการกดปุ่ม Alt ค้างไว้ก่อนคลิก Download จะเป็นการใช้ค่าเดิมของวินโดว์สในการโหลด ลองดูนะครับ [emo01]

Offline Annop

  • VPC Member
  • ****
  • Posts: 1001
    • View Profile
ถ้าลงใหม่ก็ Ghost Image เก็บไว้ด้วยก็ดีนะครับ
เวลามีปัญหา หรือติด Virus อีกก็เอากลับมาได้ ง่าย เร็ว ไม่ต้องลงใหม่ครับ

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
การลงวินโดวส์ใหม่ อาจจะไม่ได้ช่วยแก้ปัญหาเหล่านี้ได้นะท่าน
เพราะบ่อยครั้งที่ไวรัส หรือโทรจัน มันไม่ได้อยู่ที่ไดรฟ์ของวินโดวส์อย่างเดียว
แต่มันจะแฝงตัวไปอยู่ที่ไดรฟ์อื่น ๆ ที่อยู่ในเครื่อง หรือที่ต่อกับเครื่องคอมฯนั้น ๆ ด้วย

บางทีการจัดการล้างไวรัส หรือโทรจัน ควรนำ HDD ไปต่อกับเครื่องที่มีโปรแกรมกันไวรัส, โทรจัน ที่มีความปลอดภัยสูง
แล้วแสกนไฟล์ทั้ง HDD เพื่อลบไวรัส, โทรจัน ให้หมดไป

ถ้าเปรียบเทียบง่าย ๆ ...
ยกตัวอย่างเช่น คนไข้สี่คนที่อยู่ในห้องผู้ป่วยรวม
แล้วหมอก็พาคนไข้คนหนึ่ง ไปรักษาจนหายเป็นปรกติ
แต่กลับนำกลับมาพักที่ห้องผู้ป่วยรวมอีก ก็เลยติดเชื้ออีกครั้ง
แต่ถ้าหมอพาคนไข้ทั้งสี่คนไปรักษาให้หาย แล้วกลับมาพักในห้องเดิม
ก็จะไม่สามารถติดเชื้อได้อีกเลย

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
ถ้าดาวน์โหลดโปรแกรมไม่ได้ เพราะติดปัญหาเรื่อง IDM ปิดกั้นเอาไว้ ก็คงจะต้องลบ IDM ออกก่อนครับ ถ้าท่านไม่ลบออก ก็ยากที่จะทำการแก้ไขต่อไปได้นะ ผมก็ไปต่อไม่เป็นเหมือนกันเลย  [emo04]

Offline Aiyara2497

  • VPC Member
  • ***
  • Posts: 158
    • View Profile
ท่าน microsoft ครับ ลิงค์ที่ท่านให้มาโหลดไม่ได้ครับท่าน
ผมอยากเก็บเอาไว้เผื่อเจอปัญหาครับ  [emo19]

Offline ismaell

  • Webmaster
  • *****
  • Posts: 2196
    • View Profile
Quote
ท่าน microsoft ครับ ลิงค์ที่ท่านให้มาโหลดไม่ได้ครับท่าน
ผมอยากเก็บเอาไว้เผื่อเจอปัญหาครับ
ท่านลองโหลดตามลิงค์นี้ดูครับ ยังโหลดได้อยู่ครับ  [emo02]

http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml


Offline ans58670

  • Webmaster
  • *****
  • Posts: 2040
    • View Profile
ดูตามปูมบันทึกของ "จี้เครื่องบินลำนี้" ที่บรรทัด Code 07 ระบุว่า Regedit ได้ถูกปิดจึงทำให้ท่านเปิด Regedit ไม่ได้ เมื่อดูโดยทั่วไปแล้ว พบว่ามีการใช้ Tuneup Utility

ลองเข้าไปใน Tuneup Utility น่าจะมีตัวให้เปิดใช้ Regedit และ Task Manager อยู่ในนี้ [emo02]

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
Quote
ท่าน microsoft ครับ ลิงค์ที่ท่านให้มาโหลดไม่ได้ครับท่าน
ผมอยากเก็บเอาไว้เผื่อเจอปัญหาครับ
ท่านลองโหลดตามลิงค์นี้ดูครับ ยังโหลดได้อยู่ครับ  [emo02]

http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml



ตามลิงค์นี้เลยครับ ผมลองโหลดดูแล้วยังโหลดได้อยู่นะ  [emo01]

Offline JEDI•KhawPod€๏๛

  • VPC Member.
  • **
  • Posts: 66
  • Audition Crazy-4 พิสูจน์ได้
    • MSN Messenger - thefun_zaavoice@hotmail.com
    • View Profile
    • Radio Station Online 24 hr
    • Email
ขออภัยครับที่มาตอบช้า  [emo05]

ผมลองเช็คดูแล้ว ไวรัสตัวนี้ ติดกับทุกไดรฟ์เลยนะท่าน [emo12]

แล้วมันจะสร้างไฟล์ไวรัสลงใน Temp เป็นไฟล์ .exe แล้วรันตัวเองขึ้นมาเพื่อสร้างโปรเซสให้หนักเครื่อง

ส่วนในไดรฟ์ทุกไดรฟ์ จะมีตัว Autorun.inf คอยเป็นตัวรันเพื่อสร้างไวรัสทั้ง .pif และ .exe

ทำให้ไม่สามารถ ใช้ Regedit / Task Manager ได้น่ะครับท่าน  [emo14]

เมื่อลบ Autorun.inf ก็ลบไม่ได้ แต่เมื่อลบได้ มันก็จะสร้างตัวใหม่ขึ้นมาแทน

ท่านพอจะมีวิธีเช็คไฟล์เหล่านี้ไหมครับว่า มันถูกสร้างได้อย่างไร และมาจากที่ไหน

ผมจะได้ตามเข้าไปลบไฟล์ในนั้นถูกครับ  [emo05]

*ปล1. โฟลเดอร์ที่ผมคิดว่าต้นกำเนิดไวรัสน่าจะอยู่ คือ C:/Windows/System และ C:/Windows/System32 (WindowsXP Professional Service Pack 3)

*ปล2. ผมลองใช้การเข้า Safe Mode แล้ว Boot ไม่ขึ้นครับ  [emo14]

*ปล3. ตอนไวรัสเข้า NOD32 v.4 ขนาดอัพเดทฐานข้อมูลจากเซิฟเวอร์ตรงทุกวัน ยังรวนเลยครับท่าน เห็นไฟล์ .exe เป็นไวรัสทุกตัวเลยครับ ตอนนี้ LogOn Screen ของผม กลายเป็นหน้าต่างแบบเล็กไปแล้วครับ


 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27