รบกวนช่วยเช็ค log ให้หน่อยนะคะ พอเปิดเครื่องเข้าวินโดว์ได้แล้วมันจะรีตัวเองตลอดเลยค่ะ ใช้

Started by zkwangza, 16 July 2011, 11:56:17

previous topic - next topic

0 Members and 1 Guest are viewing this topic.

Go Down

zkwangza

คือไม่ทราบว่าอันที่เอามาให้จะดูได้รึเปล่า เอามาจาก combofix ใช้ไม่ค่อยเป็นเท่าไหร่ แต่ลองหลายวิธีแล้วไม่ได้ผล ลองเข้าเซฟโหมดไปแสกนไวรัสแล้ว ก็ลบตัวที่แสกนไวรัสตรวจพบหมดแล้ว พอบูทเครื่องเข้าวินโดว์ปกติก็จะเป็นอาการเดิม คือ Shut down ตัวเองอัตโนมัติ (ขึ้นว่า Shut down แต่มันดัน restart) ถ้าเปิดทิ้งไว้ไม่ทำอะไรเลย มันก้จะรีเครื่องเป็นสิบ ๆ รอบอยู่อย่างนั้นอะค่ะ ยังไงช่วยตรวจสอบ และแนะนำด้วยนะคะ ไม่อยากเอาไปลงวินโดว์ใหม่เท่าไหร่ รบกวนผู้มีความรู้ชี้แนะด้วยนะคะ  [emo19]



ComboFix 11-07-15.02 - hp 07/16/2011  11:31:38.2.4 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.874.66.1033.18.3070.2789 [GMT 7:00]
Running from: K:\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\hp\WINDOWS
.
.
(((((((((((((((((((((((((   Files Created from 2011-06-16 to 2011-07-16  )))))))))))))))))))))))))))))))
.
.
2011-07-15 18:47 . 2011-07-16 04:21   --------   d-s---w-   c:\documents and settings\Administrator
2011-07-11 12:24 . 2011-07-11 12:27   46   ----a-w-   c:\windows\hartlell.bat
2011-07-09 12:52 . 2011-07-09 12:52   --------   d-----w-   c:\program files\PlayNC
2011-07-09 12:52 . 2011-07-09 12:52   --------   d-----w-   c:\documents and settings\hp\Application Data\LocalLow
2011-07-02 17:05 . 2011-07-02 17:05   12920   ----a-w-   c:\windows\system32\apl001.sys
2011-07-02 17:05 . 2011-07-02 17:05   10872   ----a-w-   c:\windows\system32\apf001.sys
2011-07-02 15:11 . 2011-07-02 15:11   --------   d-----w-   C:\Winner
2011-07-02 15:10 . 2004-10-21 19:17   274432   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll
2011-07-02 15:10 . 2004-10-21 19:16   180224   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll
2011-07-02 15:10 . 2011-07-02 15:10   323716   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll
2011-07-02 15:10 . 2011-07-02 15:10   192644   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll
2011-07-02 15:10 . 2004-10-21 19:18   749568   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll
2011-07-02 15:10 . 2004-10-21 19:17   69715   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll
2011-07-02 15:10 . 2004-10-21 19:16   5632   ----a-w-   c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe
2011-06-26 01:03 . 2011-06-26 01:03   2106216   ----a-w-   c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-06-26 01:03 . 2011-06-26 01:03   1998168   ----a-w-   c:\program files\Mozilla Firefox\d3dx9_43.dll
2011-06-25 04:27 . 2011-06-20 09:52   --------   d-----w-   c:\documents and settings\hp\ECOTHAIONLINE
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-29 10:53 . 2010-10-31 11:22   66616   ----a-w-   c:\windows\system32\drivers\avgntflt.sys
2011-06-29 10:53 . 2010-10-31 11:22   138192   ----a-w-   c:\windows\system32\drivers\avipbb.sys
2011-06-02 11:56 . 2011-06-02 11:49   684031   ----a-w-   c:\windows\unins000.exe
2011-06-26 01:03 . 2011-05-17 11:01   142296   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-11-05 . 600D58665D16BFBB776EFEFB0E80532D . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-07-16_04.17.45   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 11:00 . 2011-07-16 03:46   59440              c:\windows\system32\perfc009.dat
+ 2008-04-14 11:00 . 2011-07-16 04:32   59440              c:\windows\system32\perfc009.dat
+ 2008-04-14 11:00 . 2011-07-16 04:32   393528              c:\windows\system32\perfh009.dat
- 2008-04-14 11:00 . 2011-07-16 03:46   393528              c:\windows\system32\perfh009.dat
+ 2011-03-25 05:11 . 2011-07-16 04:22   6696052              c:\windows\system32\Restore\rstrlog.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952]
"BitTorrent"="c:\program files\BitTorrent\BitTorrent.exe" [2011-04-26 4770672]
"HAHAHA"="c:\windows\hartlell.bat" [2011-07-11 46]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detector"="DevDetect.exe -autorun" [X]
"protect_autorun"="c:\program files\CPE17\CPE17AntiAutorun1330.exe" [2008-04-04 139264]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-02-28 75048]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-13 37888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 16858112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-05 500208]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-21 406992]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-16 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-16 13877248]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"WTClient"="WTClient.exe" [2009-10-30 32768]
"startAPI"="c:\windows\hartlell.bat" [2011-07-11 46]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"IE8"="advpack.dll" [2009-11-05 128512]
.
c:\documents and settings\hp\Start Menu\Programs\Startup\
Stickies.lnk - c:\program files\stickies\stickies.exe [2010-11-27 1101824]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\hp\\Desktop\\slave\\slave.exe"=
"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Program Files\\BitTorrent\\BitTorrent.exe"=
"c:\\Goldensoft\\Zone4\\Zone4.exe"=
.
R3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\drivers\PTSimBus.sys [22/6/2552 16:58 23208]
S2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/10/21 19:17];c:\program files\CyberLink\PowerDVD9\000.fcl [28/2/2552 19:40 87536]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [14/4/2551 18:00 14336]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [31/10/2553 18:22 136360]
S2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\program files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [28/4/2552 2:40 4440064]
S3 apf001;apf001;c:\windows\system32\apf001.sys [3/7/2554 0:05 10872]
S3 dump_wmimmc;dump_wmimmc;\??\c:\documents and settings\hp\My Documents\ไฟล์ที่ได้รับของฉัน\znonza2620248319\PointBlank\GameGuard\dump_wmimmc.sys --> c:\documents and settings\hp\My Documents\ไฟล์ที่ได้รับของฉัน\znonza2620248319\PointBlank\GameGuard\dump_wmimmc.sys [?]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [21/1/2553 17:51 30963576]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [9/1/2553 20:37 4640000]
S3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\drivers\PTSimHid.sys [22/6/2552 16:58 14504]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19/2/2553 13:37 517096]
S3 XDva385;XDva385;\??\c:\windows\system32\XDva385.sys --> c:\windows\system32\XDva385.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai   REG_MULTI_SZ      Akamai
.
Contents of the 'Scheduled Tasks' folder
.
2011-07-10 c:\windows\Tasks\AdobeAAMUpdater-1.0-HP-255AC9E7D849-hp.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-03-25 20:44]
.
2011-07-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1993962763-1801674531-1003Core.job
- c:\documents and settings\hp\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-23 09:41]
.
2011-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1993962763-1801674531-1003UA.job
- c:\documents and settings\hp\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-23 09:41]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
Trusted Zone: talesrunner.in.th\www
DPF: {50044F17-DB8F-4001-9384-AA4DC2AAA11F} - hxxp://www.talesrunner.in.th/TRLauncher4.CAB
DPF: {FA73B1B9-D6F0-4420-AEB4-B3C973B2A115} - hxxp://update.hitsplay.com:8080/UniUpdTool/system/NCLauncher.cab
FF - ProfilePath - c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\7t5ygha6.default\
FF - prefs.js: browser.search.selectedEngine -
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-16 11:37
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ... 
.
scanning hidden autostart entries ...
.
scanning hidden files ... 
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{58aeaa8d-4824-4c98-a3b3-ea9e9b793a2f}]
@Denied: (Full) (Everyone)
"Model"=dword:00000142
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,ab,9e,50,1b,eb,77,d1,ab,08,0a,d0,ea,7d,a6,39,61,83,e0,8b,c5,07,bb,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):9a,3b,b0,e6,e6,7f,bf,e1,33,d0,04,91,4c,37,11,03,59,e9,87,15,5f,
   40,df,35,a9,bb,f8,39,61,68,c0,39,b7,82,19,2a,15,02,96,25,00,00,00,00,00,00,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(860)
c:\windows\system32\WININET.dll
c:\progra~1\COMMON~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1033\GrooveIntlResource.dll
c:\windows\system32\ieframe.dll
.
Completion time: 2011-07-16  11:38:10
ComboFix-quarantined-files.txt  2011-07-16 04:38
ComboFix2.txt  2011-07-16 04:18
.
Pre-Run: 144,442,384,384 bytes free
Post-Run: 144,402,178,048 bytes free
.
- - End Of File - - A80749EB1C9D55DFC4DD680CD478A677

ismaell

รู้สึกว่าจะมีไฟล์ต้องสงสัยที่ทำให้เครื่องรีสตาร์ทตัวเองตลอด

ลองไปที่  c:\windows\

หาไฟล์ที่ชื่อ hartlell.bat ถ้ามีก็ลบทิ้งไป  ถ้ามองไม่เห็น ก็เปิดโชว์  hidden files ใน Folder Opions  ก่อนครับ

Note: ถ้าลบไม่ได้ ก็ใช้ Unlocker ช่วยจัดการครับ

หลังจากนั้นลองไปที่ Start > Run พิมพ์คำว่า  Regedit > Enter

ไปที่  2 ที่นี้

Code Select
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Code Select
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


ดูทางหน้าต่างขวามือ มีอะไรที่เกี่ยวข้องกับคำว่า hartlell.bat หรือไม่ ถ้ามีก็คลิกขวา แล้ว Delete เลยครับ

เสร็จแล้วลองรีสตาร์ทเครื่อง แล้วสังเกตอาการครับ  [emo04]

ลองดูก่อนครับ ถ้าไม่ใช่อย่างที่กล่าวมา ก็อาจเป็นปัญหาที่ฮาร์ดแวร์ก็ได้ครับ  [emo12]

zkwangza

เข้าได้เป็นปกติแล้วค่ะ ขอบคุณมากนะคะที่ช่วยแนะนำ ดีใจมาก ๆ [emo01]

ที่จริงก็แก้มาตั้งกะเมื่อคืนแล้ว ใช้เวลางมไปเกือบ 20 ชั่วโมง ขอบคุณมากจริง ๆ นะคะ

จะเป็นการรบกวนรึเปล่าคะ ถ้าจะขอที่มาของสาเหตุนี้ พอดีว่าหนูอยู่หอ แต่คอมอยู่ที่บ้าน น้องชายเป็นคนเล่น กำชับนักหนาว่าไม่ให้โหลดโปร หรือบอทเกมมาเล่นเด็ดขาด แต่เหมือนจะไม่ฟัง โหลดมาเป็นสิบเลย แล้วถ้าคราวหลังเกิดปัญหาแบบนี้อีกควรทำยังไงดีคะ อยากให้ช่วยแนะนำวิธีแก้ แล้วก็ตัวป้องกันไวรัสที่ใช้ง่าย ๆ สำหรับเด็กหน่อยอะค่ะ น้องมันไม่ยอมอัพเดทเลย ตอนนี้ใช้ตัว Avira อยู่ค่ะ มีพี่บางคนบอกมาว่าไม่ค่อยดี เพราะมันลบทิ้งอย่างเดียวแต่ไม่ซ่อมไฟล์ให้ รบกวนขอความรู้เพิ่มเติมนิดนึงนะคะ  [emo04]

ismaell

ที่มาของปัญหาก็น่าจะมาจากความซุกซนนั่นแหละครับ
เครื่องมือป้องกันไวรัสที่ดีที่สุดคือ ตัวผู้ใช้นั่นเอง ถ้าใช้ด้วยความไม่ระมัดระวัง เข้าเว็บแปลกๆ โหลดไฟล์ต่างๆ โดยไม่พิจารณาให้ดี ต่อให้แอนตี้ไวรัสเทพแค่ไหน ก็ไม่พ้นถูกไวรัสเล่นงานได้
สำหรับแอนตี้ไวรัสที่ใช้อยู่ก็ถือว่าใช้ได้ในระดับหนึ่ง แต่ถ้ามีแล้วไม่อัพเดทฐานข้อมูล ก็แทบจะเปล่าประโยชน์ครับ
แอนตี้ไวรัสแต่ละตัว ก็มีข้อดีข้อเสียต่างกันไป สำคัญที่สุดก็คือตัวผู้ใช้นั่นเองครับ  [emo02]

zkwangza

ขอบคุณมากนะคะ อย่างนี้อาทิตย์นึงกลับมาก็ต้องตรวจสอบให้ดี ไม่งั้นจะแย่อีก ขอบคุณมากค่ะ ^___________^



psps

ทำไมไม่ลง ดีฟฟิท ละครับ จะโหลดอะไรก็ได้ปลอดภัย 100% เต็ม โดยไม่ต้องแอนตี้ไวรัสซะด้วย

ans58670

เคยให้ไปทีหนึ่งแล้วแต่แอบอยู่และรู้ได้แค่บางท่าน แต่เมื่อมานึกถึงความจริงแล้วว่า ถึงอย่างไรก็มีตัวอื่นให้เลือกใช้อีกมากมาย คงให้ผู้ใช้ไประวังกันเอง

ดังนั้นจึงเอา "DeepFreeze" ของแท้ฉบับ MSDN ของ Microsoft มาให้ก็แล้วกัน ซึ่งปกติมีอยู่เฉพาะใน Windows Server และ Embeded เท่านั้น มีชื่อว่า File-Based Write Filter ซึ่ง run ใน Command Prompt โดยสามารถ Download ได้ที่

     File-Base Write Filter

เมื่อติดตั้งแล้วจะบอกวิธีใช้ให้เอง หรือไปศึกษารายละเอียดได้ตาม link ของ MSDN ที่ให้ในตัวติดตั้ง [emo02]

Go Up

แหล่งรวมความรู้ Computer Articles