# Notification.
Notification

Author Topic: ช่วยด้วยค่ะ Windows Me ติดไวรัส win32/alman.nab ทำไงดีคะ  (Read 4182 times)

0 Members and 1 Guest are viewing this topic.

Offline yeeab

  • VPC Member
  • *
  • Posts: 3
    • View Profile
ใช้ windows Me อยู่ค่ะ  แล้วติดไวรัส win32/alman.nab ทำไงดีคะ
แล้วต่อไปจะใช้ antivirus ตัวไหนดีคะ
ขอบคุณล่วงหน้าค่ะ


ลองใช้ hijack this สแกนดู log เป็นแบบนี้นะคะ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:14:41, on 12/11/2552
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ESET\NOD32KRN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\WINDOWS\SYSTEM\RMRECON.EXE
C:\PROGRAM FILES\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\WINDOWS\TEMP\200812619736_MCINFO.EXE
C:\PROGRAM FILES\ESET\NOD32KUI.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RMRecon] C:\WINDOWS\system\rmrecon.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MWLExe] C:\PROGRA~1\MCAFEE\MWL\MwlGui.exe /Start
O4 - HKLM\..\Run: [msci] C:\WINDOWS\TEMP\200812619736_MCINFO.EXE /insfin
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset\nod32krn.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\SYSTEM\SCVHSOT.exe
O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Yahoo Messengger] C:\WINDOWS\SYSTEM\SCVHSOT.exe (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

--
End of file - 3667 bytes

Offline specialpovy

  • VPC Member.
  • **
  • Posts: 96
    • View Profile
ทำใจครับ..หึหึ [emo08]

ดูที่ลิงค์ได้ครับ

http://www.varietypc.net/modules.php?name=Forums&file=viewtopic&t=1107
เพียงสัมผัส...เราถนัดทุกท่า

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
sality ค่อนข้างจะกำจัดยากนะครับ ลองเอาเครื่องมือตัวนี้ไปช่วยดูก่อนนะ

Win32/Sality Remover 1.1.0.153

ได้ผลหรือไม่ยังไง ช่วยแจ้งกลับด้วยนะครับ จะได้หาทางกันต่อ  [emo04]  [emo01]
การให้ที่ยิ่งใหญ่ คือ... การให้ต่อไป.... ไม่สิ้นสุด

Offline MILD_PLUS

  • Webmaster
  • *****
  • Posts: 6966
  • สมุทรปราการ/10270
    • View Profile
ได้หรือยังครับ...เงียบไปเลย [emo04] แต่วินฯ ME ก็ไม่ได้สัมผัสมานานแล้วเหมือนกันครับ [emo08]
พิมพ์ และใช้ ภาษาไทยให้ถูกต้อง มันยากมากหรืออย่างไรครับ!!!???

ก็ในเมื่อเราเป็นคนไทย หรือท่านไม่ใช่คนไทยครับ???

ยกตัวอย่างของคำที่ไม่ควรใช้ เช่น..อ่ะครับ/อะคับ/อ่ะค่ะ/อะค่ะ เพราะคำเหล่านี้ เป็นภาษาพูดของคน ลิ้นไก่สั้น/ชาวต่างชาติ ที่หัดพูดภาษาไทยครับ ฯลฯ...

Offline yeeab

  • VPC Member
  • *
  • Posts: 3
    • View Profile
มาแล้วค่ะ..  ลองใช้ RMsality ดูแล้วนะคะ... ดู log file  เป็นแบบนี้นะคะ... (เอามาบางส่วนนะคะ  เพราะเยอะมากหลายหน้าอะค่ะ)

============ Remover for Win32/Sality ===============
Date: 12.11.2009 23:33
C:\WINDOWS\SYSTEM\MSH263.DRV OK
C:\WINDOWS\SYSTEM\HOTPLUG.DLL OK
C:\WINDOWS\SYSTEM\USBUI.DLL OK
C:\WINDOWS\SYSTEM\A3D.DLL OK
C:\WINDOWS\SYSTEM\MSLOCUSR.DLL OK
C:\WINDOWS\SYSTEM\RPCLTC5.DLL OK
C:\WINDOWS\SYSTEM\RPCLTS5.DLL OK
C:\WINDOWS\SYSTEM\FM20.DLL OK
C:\WINDOWS\SYSTEM\MSRTEDIT.DLL OK
C:\WINDOWS\SYSTEM\MSRDO20.DLL OK
C:\WINDOWS\SYSTEM\VFWWDM32.DLL OK
C:\WINDOWS\SYSTEM\FM20ENU.DLL OK
C:\WINDOWS\SYSTEM\HIDSERV.EXE OK
C:\WINDOWS\SYSTEM\LHACM.ACM OK
C:\WINDOWS\SYSTEM\ACELPDEC.AX OK
C:\WINDOWS\SYSTEM\CLRAMD.AX OK
C:\WINDOWS\SYSTEM\IAC25_32.AX OK
C:\WINDOWS\SYSTEM\IR41_32.AX OK
C:\WINDOWS\SYSTEM\IVFSRC.AX OK
C:\WINDOWS\SYSTEM\L3CODECX.AX OK
C:\WINDOWS\SYSTEM\MSRCLR40.DLL OK
C:\WINDOWS\SYSTEM\MPG4DS32.AX OK
C:\WINDOWS\SYSTEM\MSADDS32.AX OK
C:\WINDOWS\SYSTEM\TM20DEC.AX OK
C:\WINDOWS\SYSTEM\MSRECR40.DLL OK
C:\WINDOWS\SYSTEM\VOXMSDEC.AX OK
C:\WINDOWS\SYSTEM\VOXMVDEC.AX OK
C:\WINDOWS\SYSTEM\VVAUDFLT.AX OK
C:\WINDOWS\SYSTEM\VVVIDFLT.AX OK
C:\WINDOWS\Channel Screen Saver.SCR OK
C:\WINDOWS\CMUNINST.DAT OK
C:\WINDOWS\UNNeroVision.exe OK
C:\WINDOWS\UNNMP.exe OK
C:\WINDOWS\IsUninst.exe OK
C:\WINDOWS\unvise32qt.exe OK
...
...
...
F:\HJTInstall.exe OK
G:\RMSALITY.EXE OK
Work complete

ตอนจบก็ดูดีนะคะ...คิดว่า ok แล้ว...แต่ผลปรากฎว่า...
ลอก scan ดูใหม่  เป็นแบบนี้ค่ะ...


Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
ลบ NOD เวอร์ชันเก่าออกแล้วลงเวอร์ชันใหม่ดีกว่านะครับ กับ Eset Security Home

ใส่ Server อัพเดตและอัพเดต Virus Signature http://www.varietypc.net/webboard/index.php?topic=545.msg4601#msg4601

และวิธีการตั้งค่า http://www.varietypc.net/webboard/index.php?topic=5.msg12#msg12

แล้วสแกนดูใหม่อีกครั้งครับ

Note. เกือบลืม พอดีดูจากรูป ปิดโหมด System Restore ด้วยนะครับ เหมือนไวรัสจะซ่อนตัวอยู่ในโหมดนี้ด้วย
การให้ที่ยิ่งใหญ่ คือ... การให้ต่อไป.... ไม่สิ้นสุด

Offline yeeab

  • VPC Member
  • *
  • Posts: 3
    • View Profile
windows Me ลง Nod32 version ใหม่ ไม่ได้อะค่ะ   [emo12]

แหะๆ สงสัยต้องล้างเครื่องรึเปล่าคะเนี่ย...

ไวรัสตัวนี้ต้องรีบจัดการมั้ยคะ  หมายถึงต้องรีบล้างเครื่องดี หรือ ควรหาวิธีฆ่าต่อไปก่อน

ขอบคุณมากๆ เลยค่ะ   สำหรับทุกๆ คำแนะนำเลยนะคะ....

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
อืมม จริงด้วย ลืมนึกเรื่องวินโดวส์ไปเลย ไม่งั้นก็ต้องหาวิธีเซ็ตค่ากับ NOD v.2

http://www.konmeungbua.com/forum/topic4673.html

หรือไม่ก็ล้างลงใหม่จะง่ายกว่า แต่ถ้าลงใหม่ระวังอย่าให้โดนไวรัสตัวนี้เล่นอีกนะ ส่วนใหญ่จะมาจากแฟลชไดรว์, ฮาร์ดดิสต์พกพาน่ะครับ

 [emo04]  [emo02]
การให้ที่ยิ่งใหญ่ คือ... การให้ต่อไป.... ไม่สิ้นสุด


 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27