PANTIP.COM :SOFTWARE [SV2879837] โดนไวรัสเล่นงาน

โดนไวรัสเล่นงาน

เหมือนว่าจะโดนไวรัสครับ มี Processes แปลกๆคือ Msiexec.exe Ose.exe winhdse.exe ขอยากแก้เป็น Batch Files นะ

จากคุณ : R7YXZ19P -[ 5 ก.พ. 53 - 18:44:39 ]

ความคิดเห็นที่ 1

*ยาแก้

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:31, on 5/2/2553
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\setup.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winhdse.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15458&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gggcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gggcomputer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.gggcomputer.com
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [protect_autorun] E:\cpe17antiautorun1330\cpe17antiautorun1330.exe /start
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FlashGet] "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: ส่&งออกไปยัง Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ส่งไปยัง OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: ส่&งไปยัง OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255475976203
O17 - HKLM\System\CCS\Services\Tcpip\..\{14C71B8B-C768-4AF8-ADA6-312641BBAFA8}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{14C71B8B-C768-4AF8-ADA6-312641BBAFA8}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7492 bytes

จากคุณ : R7YXZ19P - [ 5 ก.พ. 53 18:45:08 ]

ความคิดเห็นที่ 2

ผมมาอ่านดูกระทู้ของคุณแล้ว ผมต้องขออภัยท่านเจ้าของกระทู้ด้วยนะครับ

ผมอยากตะโกนดังๆว่า "อีกแล้วหรือฟระเนี่ย ไอ้ Anti Virus รุ่นพิมพ์นิยมมันก่อเรื่องอีกแล้วรึฟระเนี่ย"

อันดับแรกเลยนะครับ โยน Anti Virus ที่อยู่ในเครื่องคุณมันทิ้งไปไกลๆเลยครับ

แล้วไปหาโหลด ร่มแดงมาลงเลยครับ http://www.free-AV.com ครับ เลือกตัวฟรีนะครับ เอามาลงซะแล้วสั่ง Update เลยครับ

ดูจากล็อกไฟล์แล้ว ตอนนี้ Nod32 โดนเก็บไปแล้วครับ มันไม่รันขึ้นมาแล้วครับ

ที่วิเคราะห์คร่าวๆตามที่เห็น

C:\WINDOWS\system32\MsiExec.exe เป็นไฟล์ ที่รันตามคำสั่ง Setup.exe

มันกำลังทำงานอยู๋ ---> D:\setup.exe คุณได้เรียกมันหรือเปล่าครับ ถ้าไม่ได้เรียกก็งานเข้าแล้วครับ

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winhdse.exe ตัวนี้น่าจะเป็นไวรัส ครับ ผมค้นดูแล้ว ไม่มีในสารบบเลยครับ

อยากให้ช่วยจับตัวมันมาให้หน่อยครับ

เอายังงี้ก็แล้วกัน เอาแบทช์ไฟล์นี่ไปครับ (ไวจับไวรัส)
Copy ข้อความข้างล่างนี้ เอาไปวางใน Notepad แล้วเซฟ เป็นชื่อ KeepVirus.bat ครับ แล้วรันมันเลยครับ เสร็จแล้วให้ Restart เลยครับ

cd\
Taskkill /f /Im winhdse.exe
md KeepVirus
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winhdse.exe
copy C:\Documents and Settings\Administrator\Local Settings\Temp\winhdse.exe C:\KeepVirus\winhdse.exe
Taskkill /f /Im winhdse.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v Disallowrun /t Reg_dword /d 1 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 1 /t Reg_SZ /d "winhdse.exe" /f

หลังจาก Restart แล้ว มาดูที่ไดรว์ C: จะเห็น Folder KeepVirus อยู่ ให้คลิกขวา แล้วเลือก Zip ไฟล์ด้วย Winrar อย่าลืมใส่ Password เป็น123 นะครับ

เสร็จแล้วให้ลบ Folder KeepVirus ทิ้งเลยครับ

ต่อมาทำตามนี้ครับ

เอาคำสั่งเทพฤทธิ์ พิชิตมารไปก่อนนะครับ
Copy ข้อความข้างล่างนี้ เอาไปวางใน Notepad แล้วเซฟ เป็นชื่อ Block.bat ครับ แล้วรันมันเลยครับ เสร็จแล้วให้ Restart เลยครับ

Taskkill /f /Im winhdse.exe
Taskkill /f /Im setup.exe
Taskkill /f /Im MsiExec.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winhdse.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\winhdse.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v Disallowrun /t Reg_dword /d 1 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 1 /t Reg_SZ /d "winhdse.exe" /f

จะทำให้ winhdse.exe แผลงฤทธิ์ ไม่ได้อีกเลยครับ

ต่อมารีบ Fix ค่าตามที่ผมบอกนะครับ

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winhdse.exe
Nasty (3 / 5.00) ไวรัสครับ

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
Neutral Nasty (2.66 / 5.00) spyware ครับ

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
Neutral Nasty (2.86 / 5.00) spyware ครับ

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
Neutral Nasty (2.73 / 5.00) spyware ครับ

O9 - Extra button: ส่งไปยัง OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: ส่&งไปยัง OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
รีบฟิกเลยครับ

O17 - HKLM\System\CCS\Services\Tcpip\..\{14C71B8B-C768-4AF8-ADA6-312641BBAFA8}: NameServer = 8.8.8.8,8.8.4.4
Do you know the IP or Domain '8.8.8.8,8.8.4.4'? If not, fix this entry. รีบฟิกโดยด่วนครับ
O17 - HKLM\System\CS1\Services\Tcpip\..\{14C71B8B-C768-4AF8-ADA6-312641BBAFA8}: NameServer = 8.8.8.8,8.8.4.4
Do you know the IP or Domain '8.8.8.8,8.8.4.4'? If not, fix this entry. รีบฟิกโดยด่วนครับ

หลังจากฟิกแล้ว ให้ Restart แล้วเอา Hijackthis scan แล้วเอาผลล็อกไฟล์ มาบอกอีกทีนะรับ

****************************
และอย่าลืมเอาไฟล์ไวรัสไปฝากไว้ตามเว็บฝากไฟล์ แล้วเอาลิ้งค์มาบอกด้วยนะครับ
จะได้เอามาดูให้ครับ
****************************

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 21:16:42 ]

ความคิดเห็นที่ 3

D:\setup.exe อันนี้ผมเปิดไว้ครับ

http://rapidshare.com/files/346286283/Temp.rar.html

รหัส 1234 ครับ

อันนี้ใน Folder Temp ครับที่น่าสงใส

lmhobk.exe
nkaprl.exe
winanmgd.exe
winapqqrj.exe
winhdse.exe
winumnu.exe
winuwmn.exe

ผมรวมมาให้หมดเลย ขนาด 96.0 kb ครับ

จากคุณ : R7YXZ19P - [ 5 ก.พ. 53 21:57:47 ]

ความคิดเห็นที่ 4

คุณ R7YXZ19P ช่วยส่งไฟล์ มาให้ผมหน่อยครับ ไปดูเมล์ที่หลังไมค์นะครับ

ผมโหลด จาก http://rapidshare.com/files/346286283/Temp.rar.html ไม่ได้ครับ

มันบอกให้คอยไปเรื่อยเลยครับ

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 22:06:05 ]

ความคิดเห็นที่ 5

เนี่ย ความน่าเบื่อ ของ rapidshare

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 22:13:29 ]

ความคิดเห็นที่ 6

LogFile ครับหลังจาก Fix ตามที่ท่านบอกแล้ว

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:36, on 5/2/2553
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15458&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gggcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gggcomputer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.gggcomputer.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [protect_autorun] E:\cpe17antiautorun1330\cpe17antiautorun1330.exe /start
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FlashGet] "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: ส่&งออกไปยัง Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255475976203
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6183 bytes

จากคุณ : R7YXZ19P - [ 5 ก.พ. 53 22:15:58 ]

ความคิดเห็นที่ 7

ท่าน R7YXZ19P

ช่วยเอาไฟล์ ไปฝากที่อื่นได้ไหมครับ 4Shared ก็ได้ครับ

ท่านได้ไปดูหลังไมค์หรือยังครับ

ผมยังโหลดไฟล์ไวรัสจากท่านไม่ได้เลยนะครับ ขอบอก

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 22:19:09 ]

ความคิดเห็นที่ 8

ส่งไปแล้วนะครับ

จากคุณ : R7YXZ19P - [ 5 ก.พ. 53 22:20:26 ]

ความคิดเห็นที่ 9

ผมลองแตกไฟล์มาดูนะครับ ร่มแดงจับได้ว่าเป็นไวรัสครับ

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 22:51:30 ]

ความคิดเห็นที่ 10

อันนี้ด้วยครับ

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 22:53:18 ]

ความคิดเห็นที่ 11

ตัวนี้แหละที่ผมดูแล้วน่าเป็นห่วง ที่มันอยู่ในเครื่องคุณครับ

Trojan Backdoor ไม่รู้มันเปิดประตูหลังเครื่องคุณหรือยังแต่ดูแล้วไม่น่ารอด เพราะ Nod32 โดนเก็บไปแล้ว

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 23:07:06 ]

ความคิดเห็นที่ 12

รูปนี้ครับ ร่มแดงจับได้หมดเลยครับ

ผมแนะนำคุณเลยนะครับ ให้ส่ง Anti Virus รุ่นพิมพ์นิยมในเครื่องคุณ ส่งมันไปที่ชอบที่ชอบ เลยครับ มันนอนตายอยู่ในเครื่องคุณแล้วครับ

แล้วรีบหาโหลด ร่มแดงมาลงโดยไวเลยครับ แล้วรีบ Update แล้ว scan ทั้งเครื่องเลยครับ

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 23:12:11 ]

ความคิดเห็นที่ 13

ผลตรวจล็อกไฟล์ ล่าสุด ปลอดภัยแล้วครับ

แต่ผมยังไม่ไว้ใจนะครับ เพราะเจ้าตัวนี้ winumnu.exe BDS/backdoor

ไม่รู้มันไปทำอะไรมั่งน่ะครับ

ลองอีกชุดครับ เอาไปตอกฝาโลงพวกมันครับ

เอาคำสั่งเทพฤทธิ์ พิชิตมารไปก่อนนะครับ
Copy ข้อความข้างล่างนี้ เอาไปวางใน Notepad แล้วเซฟ เป็นชื่อ Block.bat ครับ แล้วรันมันเลยครับ เสร็จแล้วให้ Restart เลยครับ

Taskkill /f /Im winhdse.exe
Taskkill /f /Im winumnu.exe
Taskkill /f /Im winuwmn.exe
Taskkill /f /Im winapqqrj.exe
Taskkill /f /Im winanmgd.exe
Taskkill /f /Im imhobk.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winhdse.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\winhdse.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winumnu.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\winumnu.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winuwmn.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\winuwmn.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winapqqrj.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\winapqqrj.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\winanmgd.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\winanmgd.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\imhobk.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\imhobk.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v Disallowrun /t Reg_dword /d 1 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 1 /t Reg_SZ /d "winhdse.exe" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 2 /t Reg_SZ /d "winumnu.exe" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 3 /t Reg_SZ /d "winuwmn.exe" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 4 /t Reg_SZ /d "winapqqrj.exe" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 5 /t Reg_SZ /d "winanmgd.exe" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 6 /t Reg_SZ /d "imhobk.exe" /f

จะทำให้ 6 ไฟล์นี้หมดโอกาศทำงานแล้วครับ

อย่าลืมที่บอกนะครับ ส่งเจ้า Nod ไปเกิดใหม่ซะ (มันนอนตายอยู่ในเครื่องคุณครับ) uninstall ซะ แล้วเอาร่มแดงมาจัดการแทนเลยครับ

ไม่รู้ว่าคุณควรจะเสียใจดีหรือเปล่า ผมจะบอกให้ พอเอาไปค้นด้วย Google ชื่อแบบนี้ ไม่มีในสารบบครับ

ลองดูก็แล้วกันครับ

ไม่อยากเจอเหตุการณ์แบบนี้อีก ลองมาเล่น Shadow Defender ดูซิครับ
http://www.pantip.com/tech/software/topic/SV2879166/SV2879166.html#7 ลองมาดูครับ

โชคดีครับ

จากคุณ : Hunter Virus - [ 5 ก.พ. 53 23:53:00 ]

ความคิดเห็นที่ 14

ทดลองด้วยน้อง Avast 4.8 home
แตกไฟล์แล้วสั่งสแกน

รูปที่ 2

สุดท้ายถูกส่งไปเกิดใหม่แล้ว

จากคุณ : gang (skhonchom) - [ 6 ก.พ. 53 07:02:59 ]

: Hunter Virus

ความคิดเห็นที่ 15

Avast 5 ถูกจับตายเหมือนกัน หยอกเย้า

จากคุณ : gang (skhonchom) - [ 6 ก.พ. 53 07:39:37 ]

: Hunter Virus

ความคิดเห็นที่ 16

ถึงท่าน R7YXZ19P

ลองมาดูที่นี่ด้วยนะครับ http://www.scanforfree.com/28/bds-backdoor-gen-removal.html

ไว้รับมือกับ BDS Backdoor ครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 08:27:47 ]

: lvnuputt, skhonchom

ความคิดเห็นที่ 17

งานเข้าแล้วครับ เปิดไฟล์ Setup Avira ไม่ได้ Doble Click

แล้วไม่มีอะไรเกิดขึ้น

ผมควรทำอย่างไรต่อ

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:02:00 ]

ความคิดเห็นที่ 18

เอาละซิท่าน ความสยองเริ่มมาเยือนแล้ว
ต้องเอา RescueCd มาจัดการแล้วครับ

งั้นลองตามนี้

ลองมาดูที่นี่ด้วยครับ http://topicstock-tech.pantip.com/tech/software/topicstock/2008/10/SA2655887/SA2655887.html
มาทำสงครามกับไวรัสภาค3 ด้วยแผ่น CD พร้อมกับ Tooling Version 3 กันดีกว่าครับ

ลองเอา RescueCD มาสแกนดูนะครับ ตั้งให้บู้ตจาก CD-rom เป็นตัวแรกนะครับ

ลองนี่ด้วยครับ ไปโหลดตัวนี้มา

แตกไฟล์ แล้วทำตามขั้นตอนไปเรื่อย ๆ

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

ตัวนี้ เป็นโปรแกรมของทาง kaspersky ใช้ในการกำจัดไวรัสครับ ทำงานเหมือนตัวติดตั้งในเครื่อง

จากคุณ : specimen - [ 17 ม.ค. 53 17:28:59 ]

เครดิตคุณ specimen ครับ

ลองดูนะครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 09:07:36 ]

ความคิดเห็นที่ 19

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

ตัวนี้โหลดไม่ได้ แย่จัง แต่ผมก็เบาใจขึ้นเยอะ อย่างน้อยมันก็ไม่ทำงานแล้ว

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:17:54 ]

ความคิดเห็นที่ 20

ท่าน R7YXZ19P ลองอีกวิธีนะครับ

ไฟล์ Setup ของ Avira ชื่ออะไร ---> ชื่อนี้หรือเปล่า avira_antivir_personal_en.exe

ลองเปลี่ยนเป็น ชื่อ ติดตั้ง.exe ดูซิครับ แล้วรันดูนะครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 09:20:52 ]

ความคิดเห็นที่ 21

ไม่ได้ครับ

แต่ผมได้โหลดโปรแกรมจากลิ้งค์นี้

http://www.scanforfree.com/28/bds-backdoor-gen-removal.html

มีตัว Anti Virus นึงที่มันใช้ฐานข้อมูลของ AV Database

ติดตั้งได้แต่ไม่รู้จะเจอหรือเปล่า

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:24:02 ]

ความคิดเห็นที่ 22

"ตัวนี้โหลดไม่ได้ แย่จัง "
ท่านลองไปดูที่ C:\WINDOWS\system32\drivers\etc

มองหาไฟล์ hosts ที่ไม่มีนามสกุล

แล้วเปิดดูเนื้อหาข้างในนะครับ ว่ามันเขียนอะไรไว้มั่งครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 09:26:54 ]

ความคิดเห็นที่ 23

ถึงท่าน R7YXZ19P
ไปเอาแบทช์ไฟล์มารันนะครับ
http://topicstock-tech.pantip.com/tech/software/topicstock/2009/02/SV2715105/SV2715105.html Red Alert 3 Code ตรวจหาไวรัสและแก้ไขระบบมาแล้วครับ

เอามารันดู ถ้ามันเจอ Autorun.inf มันจะถามเราให้ตอบ y เลยครับ จะลบให้

เสร็จแล้ว ให้ Copy ข้อความที่เป็น Text ไฟล์เอามาโพสท์ที่นี่นะครับ เผื่อจะได้ดูให้ครับ

จากนั้นก็เอา Hijackthis มาสแกนแล้วเอาผลที่ได้มาโพสท์ที่นี่นะครับ

อย่าลืมนะครับ ผมต้องเห็นล็อกไฟล์จาก Hijackthis กับผลแบทช์ไฟล์คู่กันครับ ถึงจะช่วยวิเคราะห์ได้ครับ

ลองดูครับ

ต่อมา ลองมาเอาโปรแกรมที่นี่ http://www.pantip.com/tech/software/topic/SV2875836/SV2875836.html#4
รันมัน แล้วดูผล แล้วกด Printscreen แล้ววางรูป แล้วเอามาโพสท์บอกที่นี่นะครับ

งานนี้เหนื่อยแน่ครับ เดี๋ยวรอผลจากท่านก็แล้วกันครับ

แก้ไขเมื่อ 06 ก.พ. 53 09:31:26

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 09:28:58 ]

ความคิดเห็นที่ 24

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

เขียนตามนี้ครับ

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:29:40 ]

ความคิดเห็นที่ 25

โอเคครับ มันไม่ได้แก้ที่ Host

แต่โดนไวรัส กับ Spyware คอยสกัดอยู่

ลองดูที่ ความคิดเห็นที่ 23 ครับ

จะรอดูผลครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 09:32:55 ]

ความคิดเห็นที่ 26

==== // \\ ======= ===== \\ // =====
// // \\ // // \\ // //
// //== \\ // //==== // //====
======== \\ // ======= // =======

ภูมิคุ้มกัน..2.5 โดย (แคทอาย)และ Mr. Hunter Virus
e-Mail : (Patomchet@Hotmail.com)
ซ่อมแซ่ม Folder Optionอาจมีปัญหา หรือ ไม่ได้ถูกกำหนดไว้
ซ่อมแซ่ม Folder Optionไม่มีปัญหา
ซ่อมแซ่ม Task Managerไม่มีปัญหา
ซ่อมแซ่ม Task Managerไม่มีปัญหา
ซ่อมแซ่ม DOS Processไม่มีปัญหา
ซ่อมแซ่ม Cmd Processไม่มีปัญหา
ซ่อมแซ่ม Run Commandไม่มีปัญหา
ซ่อมแซ่ม CMD Commandไม่มีปัญหา
ซ่อมแซ่ม Search Commandไม่มีปัญหา
ซ่อมแซ่ม Registry Toolsไม่มีปัญหา
ซ่อมแซ่ม Registry Toolsไม่มีปัญหา
ซ่อมแซ่ม Registry Toolsไม่มีปัญหา
ซ่อมแซ่ม Registry Toolsไม่มีปัญหา
ซ่อมแซ่ม Super Hidden1ไม่มีปัญหา
ซ่อมแซ่ม Super Hidden2ไม่มีปัญหา
ซ่อมแซ่ม Super Hidden3ไม่มีปัญหา
ซ่อมแซ่ม Super Hidden4ไม่มีปัญหา

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
ส่วนนี้สำหรับผู้เชี่ยวชาญวิเคราะห์ระบบ...เพื่อดูไวรัสรุ่นใหม่
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Image Name PID Session Name Session# Mem Usage
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 K
System 4 Console 0 152 K
smss.exe 572 Console 0 396 K
csrss.exe 620 Console 0 6,024 K
winlogon.exe 644 Console 0 1,228 K
services.exe 688 Console 0 3,948 K
lsass.exe 700 Console 0 1,436 K
svchost.exe 860 Console 0 4,896 K
svchost.exe 936 Console 0 4,556 K
svchost.exe 1032 Console 0 25,028 K
svchost.exe 1076 Console 0 4,480 K
svchost.exe 1148 Console 0 7,052 K
explorer.exe 1476 Console 0 28,680 K
spoolsv.exe 1608 Console 0 5,096 K
PDVDServ.exe 1824 Console 0 8,496 K
flashget.exe 1832 Console 0 16,456 K
rundll32.exe 1852 Console 0 4,508 K
GrooveMonitor.exe 1864 Console 0 6,528 K
USBSafelyRemove.exe 1876 Console 0 8,452 K
msnmsgr.exe 1904 Console 0 2,788 K
ctfmon.exe 2012 Console 0 3,440 K
Rainlendar.exe 300 Console 0 5,028 K
svchost.exe 1300 Console 0 5,856 K
MDM.EXE 1388 Console 0 3,304 K
nvsvc32.exe 1428 Console 0 3,480 K
svchost.exe 2204 Console 0 4,864 K
svchost.exe 3632 Console 0 3,500 K
chrome.exe 1820 Console 0 45,216 K
chrome.exe 3128 Console 0 86,776 K
chrome.exe 3456 Console 0 48,688 K
plasservice.exe 1024 Console 0 8,208 K
chrome.exe 252 Console 0 13,040 K
ListAndRepairCheck9.exe 6760 Console 0 2,908 K
cmd.exe 7556 Console 0 1,936 K
umxky.exe 6100 Console 0 4,496 K
tasklist.exe 8352 Console 0 4,664 K
wmiprvse.exe 8696 Console 0 5,976 K

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
USB Safely Remove REG_SZ C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
Skype REG_SZ "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
FlashGet REG_SZ "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
protect_autorun REG_SZ E:\cpe17antiautorun1330\cpe17antiautorun1330.exe /start
RemoteControl REG_SZ "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
FlashGet REG_SZ "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
ParetoLogic Anti-Virus PLUS REG_SZ "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

ผลของอันแรกครับ

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:36:42 ]

ความคิดเห็นที่ 27

ผล log file อันล่าสุดครับ

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:37:05, on 6/2/2553
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\umxky.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Documents and Settings\Administrator\Desktop\StM_setup242.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15458&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gggcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gggcomputer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.gggcomputer.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [protect_autorun] E:\cpe17antiautorun1330\cpe17antiautorun1330.exe /start
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ParetoLogic Anti-Virus PLUS] "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FlashGet] "C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe" /min
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: ส่&งออกไปยัง Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255475976203
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Program Files\Common Files\ParetoLogic\PLAS\plasservice.exe

--
End of file - 6900 bytes

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:37:57 ]

ความคิดเห็นที่ 28

ผลของอันต่อมาครับ

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 09:39:50 ]

ความคิดเห็นที่ 29

ดูแล้วน่าจะเหนื่อยแน่ครับ

ผมถามหน่อยนึง

โปรแกรมนี้คุณเป็นคนติดตั้งหรือเปล่า ---> ParetoLogic Anti-Virus PLUS REG_SZ "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash

ถ้าไม่ใช่ รีบหาทาง Uninstall เลยครับ

ไวรัสมันกลับมาอีกครับ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\umxky.exe

จาก Hijackthis ที่แปลกมีดังนี้

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\umxky.exe น่าจะไวรัสครับ

O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255475976203
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

ผมแนะนำจากรูปนะครับ

ติ้กออกให้หมด ตามที่วงไว้ครับ แล้ว Restart แล้วลองรันติดตั้ง Avira อีกรอบครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 09:56:25 ]

ความคิดเห็นที่ 30

เอาออกไม่ได้ครับ ขึ้นตามรูป

ParetoLogic Anti-Virus PLUS REG_SZ "C:\Program Files\ParetoLogic\Anti-Virus PLUS\Pareto_AV.lnk" -NM -hidesplash

ผมติดตั้งเองครับ

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\umxky.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255475976203
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

เอาออกแล้วครับ

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 10:05:16 ]

ความคิดเห็นที่ 31

ลองตามที่ผมบอกในรูปนั่นแหละครับ เอาออกให้หมดเลย แล้ว Restart แล้วมาลองติดตั้ง Avira อีกรอบครับ

ก่อนทำที่บอกลองตามนี้ก่อนนะครับ

Copy ข้อความข้างล่างนี้ เอาไปวางใน Notepad แล้วเซฟ เป็นชื่อ Block.bat ครับ แล้วรันมันเลยครับ เสร็จแล้วให้ ลองตามที่ผมบอกในรูปนั่นแหละครับ เอาออกให้หมดเลย แล้ว Restart แล้วมาลองติดตั้ง Avira อีกรอบครับ

Taskkill /f /Im umxky.exe
Attrib -a -r -s -h C:\Documents and Settings\Administrator\Local Settings\Temp\umxky.exe
del C:\Documents and Settings\Administrator\Local Settings\Temp\umxky.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v Disallowrun /t Reg_dword /d 1 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v 7 /t Reg_SZ /d "umxky.exe" /f

ลองดูนะครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 10:13:28 ]

ความคิดเห็นที่ 32

ถ้าไม่ได้อีกลองเข้า Safe Mode แล้วติดตั้ง Avira ดูครับ

ถ้าไม่ได้ผลอีก เหลืออีกสามทางเลือก

1. RescueCD ครับ

2. ถอด Harddisk ไปแสกนที่เครื่องอื่นที่ Update Anti Virus แล้ว

3. ไม่อยากบอกเลย ว่า Format แล้วลงใหม่เถอะครับ แล้วมาดูที่นี่ http://www.pantip.com/tech/software/topic/SV2877504/SV2877504.html

ถ้าคุณได้ทำตามนี้ จะหมดปัญหาเลยครับ

1. Backup ไว้หลังลง Window ใหม่ๆ Acronis Trueimage หรือ Norton Ghost

2. ลง Shadow defender สกัด วายร้ายทุกตัว มันจะพินาศหมดหลังจากกดปุ่มระเบิดนิวเคลียร์ --> Restart ครั้งเดียว วายร้ายทั้งหลาย สูญสิ้นไปหมด

3. หา Anti Virus ดีๆมาลง คุณคงรู้ใช่ไหมว่าผมใช้ตัวไหนอยู่

แล้วก็ฝากทิ้งท้ายครับ ไวรัสซ่า ยังไม่น่ากลัวเท่า Anti Virus แสบสันต์ มีก็เหมือนไม่มี เวรกรรมจริงๆ อย่าลืมสวดส่งวิญญาณให้มันด้วยครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 10:24:39 ]

ความคิดเห็นที่ 33

โอ้โห ศึกครั้งนี้ใหญ่หลวงนักแล

สู้สู้นะจ๊ะ จุฟ ๆๆ

จากคุณ : รักคนอ่าน - [ 6 ก.พ. 53 11:03:23 A:192.168.0.17 X:125.24.94.17 ]

ความคิดเห็นที่ 34

ลงใหม่แล้วครับ ลาก่อน Nod32

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 11:32:23 ]

Confirmed by : Hunter Virus, Rokusho

: Hunter Virus

ความคิดเห็นที่ 35

ขอถามนิดนึงครับ

Acronis Truimage backup

เป็นฟรีแวร์หรือเปล่า

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 11:34:10 ]

ความคิดเห็นที่ 36

ไม่ฟรีครับ

ลองไปดูที่หลังไมค์นะครับท่าน R7YXZ19P

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 11:40:08 ]

ความคิดเห็นที่ 37

อืมม เห็นใจท่าน R7YXZ19P

ไม่เป็นไรครับ ถ้าทำตามผม ศึกนี้เป็นครั้งสุดท้าย ต่อไปเราจะชนะตลอดครับ

เพราะเรามี รถถังประจัญบานแล้วครับ

http://www.pantip.com/tech/software/topic/SV2854559/SV2854559.html#118

อย่าลืมสวดส่งวิญญาณให้ Anti Virus รุ่นพิมพ์นิยมด้วยนะครับท่าน 555 ฮ่าฮ่าฮ่า

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 11:44:15 ]

ความคิดเห็นที่ 38

เข้ามาจอบ แทนท่านทุ่งดอกจาน haha

ลาก่อน ...พิมพ์นิยม ขี้แง

จากคุณ : gang (skhonchom) - [ 6 ก.พ. 53 12:28:03 ]

Confirmed by : Hunter Virus

: Hunter Virus, manlucky1

ความคิดเห็นที่ 39

สวดแล้วครับ ต่อไปนี้จะไม่เอารุ่นพิมพ์นิยมเข้ามาเลี้ยงอีก เดียวตาย

เข็ดแล้ว 55+

ตอนนี้กำลังเตรียมกองทับครับ

ขอบคุณมากๆสำหรับความช่วยเหลือทั้งหมด ถ้ามีข้อสงใส ผมจะ PM

มาถามครับ สวัสดี..

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 12:30:29 ]

: Hunter Virus, skhonchom, lvnuputt

ความคิดเห็นที่ 40

ผมเอาไปตรวจที่ Virustotal.com มา

ดูอะไรนี่ !!!!

AV บางตัว บอกว่าเป็น sality

ท่าน R7YXZ19P เจอของแข็งเลยนะเนี่ย

Nod32 มันเจอแต่เอาไม่อยู่ ผลสุดท้ายต้องตายตามฝีมือของไวรัสไป

หลังลงใหม่ อย่าลืม Scan ให้ละเอียด ทั้ง Harddisk เลยนะครับ

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 12:53:26 ]

ความคิดเห็นที่ 41

โอ้ว ว้าว มาจอบด้วยคน อิอิ

เจอศึกหนักเลยนะครับ ท่าน Hunter และท่าน จขกท

ลุยๆๆครับ เอาใจช่วยให้ผ่านไปได้ด้วยดีครับ ทีแปลกคือทำไม nod32

กลายเป็นไวรัสซะเอง ท่าน จขกท ได้มาจากไหนครับ และไปทำอะไรมาครับ

ถึงได้เจอ sality เข้าให้ได้

จากคุณ : manlucky1 - [ 6 ก.พ. 53 14:59:00 ]

: Hunter Virus

ความคิดเห็นที่ 42

Avira Scan Drive D แล้ว เจอ Sailty 14 ตัว

ไม่ใช้แค่นั้น

1. DR/Sohanad.BM.157 Dropper 05 Feb 2010 30 Sep 2009
2. Worm/Drefir.E Worm 05 Feb 2010 24 Jun 2005
3. Worm/Bezopi.DV Worm 04 Feb 2010 16 Sep 2009
4. Worm/Pushbot.7577 Worm 04 Feb 2010 24 Sep 2009
5. TR/Drop.Decay.atv Trojan 03 Feb 2010 23 Oct 2009
6. TR/Dldr.Bagle.bes Trojan 03 Feb 2010 30 Sep 2009
7. HTML/Revir.Gen Malware 03 Feb 2010 see here
8. W32/Prepender.Gen Malware 03 Feb 2010 see here
9. SPR/PSW.Gen Security Privacy Risk 03 Feb 2010 see here
10. TR/QuickBatch.Gen Trojan 03 Feb 2010 see here
11. ADWARE/Adware.Gen2 Malware 03 Feb 2010 see here
12. DIAL/Dialer.Gen2 Dialer 03 Feb 2010 see here
13. ADSPY/AdSpy.Gen2 Adware / Spyware 03 Feb 2010 see here
14. TR/Crypt.XPACK.Gen2 Trojan 03 Feb 2010 see here
15. TR/Dldr.Delphi.Gen2 Trojan 03 Feb 2010 see here
16. TR/Dldr.Swizzor.Gen2 Trojan 03 Feb 2010 see here
17. TR/Downloader.Gen2 Trojan 03 Feb 2010 see here
18. TR/Patched.Gen2 Trojan 03 Feb 2010 see here
19. TR/Crypt.EPACK.Gen Trojan 03 Feb 2010 see here
20. TR/Dldr.Bagle.bgn Trojan 02 Feb 2010 see here
21. W32/Weird.e Malware 02 Feb 2010 09 Nov 2005
22. TR/Dldr.Bagle.bdz Trojan 02 Feb 2010 21 Sep 2009
23. W32/Tiraz.A Malware 01 Feb 2010 04 Aug 2009
24. W32/Tolone Malware 01 Feb 2010 11 Nov 2005
25. W32/Vetor.I Malware 01 Feb 2010 24 Nov 2008
26. Worm/Pinit.FP Worm 01 Feb 2010 11 Aug 2009
27. Worm/Zimuse.A Worm 26 Jan 2010 25 Jan 2010
28. TR/Inject.alwi Trojan 07 Jan 2010 04 Dec 2009
29. DR/Autoit.RL Dropper 15 Dec 2009 see here
30. Worm/Autorun.bns Worm 14 Dec 2009 see here
31. DR/Autoit.I.2 Dropper 14 Dec 2009 see here
32. TR/PWS.94208.2 Trojan 14 Dec 2009 see here
33. Worm/Autorun.rwi.9 Worm 14 Dec 2009 see here
34. Worm/Autorun.ZZA Worm 14 Dec 2009 see here
35. Worm/Autorun.fts.2 Worm 14 Dec 2009 see here
36. Worm/Autorun.gwv Worm 14 Dec 2009 see here
37. TR/Spy.303104.52 Trojan 10 Dec 2009 see here
38. TR/Autoit.2043904 Trojan 10 Dec 2009 see here
39. TR/Delf.3025.B Trojan 10 Dec 2009 see here
40. TR/Klif.A Trojan 10 Dec 2009 see here

เจอตามนี้ ครับ หลังจากที่สร้างทับหลัง+กลาง+หน้า ตามที่ Hunter Virus

บอกแล้ว ตอนนี้ก็เตรียมสวดให้ลูกๆไวรัส

จากคุณ : R7YXZ19P - [ 6 ก.พ. 53 18:45:03 ]

Confirmed by : Hunter Virus

: Hunter Virus

ความคิดเห็นที่ 43

โหมันมาอยู่กันเป็นรังเลยครับ

Anti Virus รุ่นพิมพ์นิยมมัวทำอะไรอยู่ฟระ แบบนี้ไม่ตายก็เลี้ยงไม่โตแล้วครับ 555 ฮ่าฮ่าฮ่า

ไดรว์ C: ของท่าน ปรกติแล้ว ใช่ไหมครับ

ถ้ามีรถถังประกบด้วย ไม่ต้องกลัวอะไรแล้ว

เหมือนกับ มีหน่วยปราบ Counter - Terrorris --> Seal Team 6 --> Avira นั่งมาในรถถัง Apocalips Red Alert 2 รวมกันกลายเป็น คู่หูอันตราย พิฆาตไวรัสไปแล้วครับ 555

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 18:55:59 ]

: skhonchom

ความคิดเห็นที่ 44

โอ้ว ๆ ๆ ว้าว ๆ ๆ !!!
มากมายหลายขนานเหลือกินเหลือเกิน หยอกเย้า
นี่เครื่องท่านเป็นฐานทัพของไวรัสหรือนี่ ฮ่าฮ่าฮ่า

สงสัยจะเข็ดไปจนตายพิมพ์นิยม

จากคุณ : gang (skhonchom) - [ 6 ก.พ. 53 19:28:18 ]

: Hunter Virus

ความคิดเห็นที่ 45

คราวนี้ท่าน R7YXZ19P ไม่ต้องกลัวแล้ว มี Avira คู่กับ Shadow Defender
กลายเป็น คู่หูมหากาฬ ตามขยี้ไวรัส แล้วครับ

รถถังคันนี้ไม่มีไวรัสหน้าไหนต้านทานได้ซะด้วย 555 --> Shadow defender ไงท่าน

แก้ไขเมื่อ 07 ก.พ. 53 00:29:11

จากคุณ : Hunter Virus - [ 6 ก.พ. 53 19:34:16 ]

ความคิดเห็นที่ 46

แนะนำ !!! haha

จากคุณ : gang (skhonchom) - [ 7 ก.พ. 53 06:36:29 ]

ความคิดเห็นที่ 47

หุหุ ขึ้นแนะนำด้วย smile

จากคุณ : Hunter Virus - [ 7 ก.พ. 53 08:08:27 ]

ความคิดเห็นที่ 48

ตอนนี้ปัญหาไวรัสหมดไปแล้ว ต้องขอบคุณ Hunter Virus มากๆๆ

จากคุณ : R7YXZ19P - [ 7 ก.พ. 53 11:23:45 ]

: Hunter Virus, skhonchom

ความคิดเห็นที่ 49

ยินดีด้วยครับ

แนะนำสำหรับท่านอื่นๆมาดูที่นี่ครับ

http://www.pantip.com/tech/software/topic/SV2880111/SV2880111.html

http://www.pantip.com/tech/software/topic/SV2880111/SV2880111.html#3

อยากให้ทำตามนี้ครับ

1. Backup ไว้ก่อน ด้วย Acronis Trueimage หรือ Norton Ghost

2. ลง Shadow defender กันไวรัส มันมายำระบบ แบบที่หลายๆคนเพิ่งโดนมา

-Shadow defender

มาดูที่นี่ครับ
http://www.pantip.com/tech/software/topic/SV2794618/SV2794618.html

มาดูหลักการที่นี่ครับ http://www.pantip.com/tech/software/topic/SV2794618/SV2794618.html#1
ดูบทความผมที่นี่ครับ
http://www.pantip.com/tech/techblog/article.php?articleID=SV2794618

ผมสั่ง Restart ทีเดียว ไวรัสกับอะไรก็ตามที่มันทำไว้จะหายไปหมด

อันนี้แหละด่านสำคัญเลยที่จะให้คุณอยู่รอดปลอดภัยจากอันตรายรอบด้าน

แล้วค่อยมาหา Anti Virus ดีๆมาใช้ครับ

แนะนำอีกอย่าง http://www.pantip.com/tech/software/topic/SV2877504/SV2877504.html

ลองมาดูครับ ปิด Autorun.inf ซะ งานจะได้ไม่เข้าอีกครับ

จากคุณ : Hunter Virus - [ 7 ก.พ. 53 11:44:36 ]

: skhonchom

ความคิดเห็นที่ 50

Avast ผมยังไว้ใจได้อยู่ครับ

จากคุณ : tOeKiNgSiZe - [ 8 ก.พ. 53 13:05:48 ]

: skhonchom

ความคิดเห็นที่ 51

มีแนวร่วมคนรัก Avast อีกคนแล้ว เย้ ๆๆ ฮ่าฮ่าฮ่า

จากคุณ : gang (skhonchom) - [ 8 ก.พ. 53 18:53:50 ]

ความคิดเห็นที่ 52

Nod 32 ของผมยังจับได้หมดเลยนิ และมันเด้งขึ้นและลบทันทีเลยละครับ

จากคุณ : Mix - [ 8 ก.พ. 53 19:41:25 A:124.121.60.216 X: ]

ความคิดเห็นที่ 53

ผมใช้ nod 32 update เรื่อย ๆ ก็โออยู่นะคับ (ผมว่าระบบอัดเดตมันดี) โดย file access.exe ไปครั้งเดียวเอง แก้อยู่นานเลย

จากคุณ : voldo - [ 9 ก.พ. 53 01:45:40 A:118.173.42.64 X: ]

ความคิดเห็นที่ 54

ผมใช้ลีนุกซ์อูบุนตูมาสามปีแล้วครับ ไม่เคยเจอไวรัสติดลงเครื่องเลยแม้แต่ครั้งเดียว

ลองดูที่นี่ครับ
เวบนอก http://www.ubuntu.com
เวบไทย http://www.ubuntuclub.com

จากคุณ : t_polto - [ 10 ก.พ. 53 16:02:40 ]

ข้อความหรือรูปภาพที่ปรากฏในกระทู้ที่ท่านเห็นอยู่นี้ เกิดจากการตั้งกระทู้และถูกส่งขึ้นกระดานข่าวโดยอัตโนมัติจากบุคคลทั่วไป ซึ่ง PANTIP.COM มิได้มีส่วนร่วมรู้เห็น ตรวจสอบ หรือพิสูจน์ข้อเท็จจริงใดๆ ทั้งสิ้น หากท่านพบเห็นข้อความ หรือรูปภาพในกระทู้ที่ไม่เหมาะสม กรุณาแจ้งทีมงานทราบ เพื่อดำเนินการต่อไป

Considering the real-time nature of this webboard, it is impossible for us to review all messages/post. Please remember that we do not actively monitor the contents of and are not responsible for any messages posted. Anyone who feels that a posted message is inappropriate, Please encouraged to contact us immediately by email at kratoo@pantip.com , and We will remove objectionable messages within a reasonable time frame.

Pantip-Cafe | Pantip-TechExchange | PantipMarket.com | PanTown.com | BlogGang.com