spywarequake

คือโหลดนู่นนี่ไปรมาร์  ไปโดนไอ้เจ้านี่เข้าน่ะครับ

คือมันจะคอยแจ้งเตือนเราน่ะครับว่า เครื่องเราติดไวรัส
แล้วให้ไปโหลดโปรแกรมแก้ไวรัสชื่อ spywarequake

เอามันออกไปยังไงดีละครับเนี่ย

ติดมากับยาแก้ไอ สะเก็ตอัพอ่าครับ ผมเดาว่านะ  ซวยจริง

เนี่ยมันเตือนยิกๆๆอยู่ตรงมุมเนี่ยครับ

เปิด task manager ครับ (ctrl + alt + del)
แล้วมองหา process แปลกๆ แล้วฆ่าทิ้งซะ
หรือลองจับภาพมาดูหน่อยครับ ว่ามีผู้ต้องสงสัยรายใดบ้าง

แล้วหาโปรแกรมมาตรวจดู spyware ในเครื่อง
เช่น spybot  http://www.spybot.info
ขั้นต้นทำแบบนี้ก่อนครับ

มันคือโปรแกรมโจรที่แอบอ้างตัวเองเป็นตำรวจ
แล้วบอกให้ไปเรียกโจรมาอีกโขยง

วิธีแก้ก็ตามโพสต์ข้างต้นจ้ะ

ยังไม่ยักกะหายครับ

ลองทำตามดู เหมือนมันจะหาเจอแล้ว แล้วผมก็กดตรงfixมันก็ขึ้นเป็นเครื่องหมายถูก

แล้วมันก็ยังเป็นอยู่ครับ  แหะๆ

อ้าว แล้วจะแก้ไงล่ะ

เครื่องคอมที่ห้องชมรมติดเชื้อค่ะ 

Your Computer is infected  ใช้ NOD32

พอเจอตัวร้ายนามว่า kernels32.exe ก็ทำตามวิธีหน้าแรกๆนั่นแหละค่ะ

End Process แล้วก็ตามไปลบใน System32 เลย

แต่ที่ Task Bar มันก็คอนเตือนว่ายังมีอยู่เรื่อยๆ 



ด้วยความรำคาญเลยไปหาโปรแกรม HijackThis 1.99.1 มาลงซะ

แล้วก็สแกนๆหา แต่ว่า ....

ไม่รู้จะลบตัวไหนออกดีหน่ะค่ะ กลัวพลาด 

นี่ก็ลบออกไปประมาณ 3-4 ตัวแล้ว แต่มันก็ยังบอกว่ามีอยู่

เลยเอามาให้ช่วยดูหน่อยหน่ะค่ะ ว่าตัีวไหนสมควรตาย 






ด้านล่างคือ ล็อกไฟล์ฺค่ะ 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.th/
F3 - REG:win.ini: load=C:\WINDOWS\Fonts\SERVICES.EXE
O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [thirdboreskipspam] C:\Documents and Settings\All Users.WINDOWS\Application Data\Default close third bore\Longscr.exe
O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Program Files\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: PLANET WL-U356 Utility.lnk = C:\Program Files\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: ดาวน์โหลดทั้งหมดโดยใช้ FlashGet - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: ดาวน์โหลดโดยใช้  FlashGet - D:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

เปิดมาลากมาอันล่างสุดจะถือวิสาสะลบแล้ว(นึกว่าสแปม) แต่พอลากขึ้นมาอีกหน่อยเห็นหน้าเจ๊เลยหยุด

อ่านแล้วตาลาย 

 

ผู้ต้องสงสัยอันดับ 1

F3 - REG:win.ini: load=C:\WINDOWS\Fonts\SERVICES.EXE
O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net
O4 - HKLM\..\Run: [thirdboreskipspam] C:\Documents and Settings\All Users.WINDOWS\Application Data\Default close third bore\Longscr.exe
O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe



ผู้ต้องสงสัยอันดับ 2


O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - Global Startup: PLANET WL-U356 Utility.lnk = C:\Program Files\PLANET\PLANET WL-U356\PLANET_WL_U356.exe

[มังกร]

ลองเก็บ log file ไปให้เจ้านี่ช่วยวิเคราะห์ไหมครับ


http://www.hijackthis.de/

เปิดมาลากมาอันล่างสุดจะถือวิสาสะลบแล้ว(นึกว่าสแปม) แต่พอลากขึ้นมาอีกหน่อยเห็นหน้าเจ๊เลยหยุด

ขออภัยค่ะ 




ขอบคุณทุกคนสำหรับคำแนะนำค่า 

เอาไปวิเคราะห์แล้ว โอ้ว มันแจ่มมากเลยค่า พี่อุ้ย 

+ ซะเลย หมั่นไส้ 

[มังกร]

แอร๊ย มา + กันง่าย ๆ อย่างนี้

คือ ก็ลบๆตัวน่าสงสัยไปได้แล้วค่ะ เหลืออยู่ 2 ที่ ลบไม่ได้ซะที

C:\WINDOWS\Fonts\SERVICES.EXE

//This entry is not running from the System32 folder, so it is probably nasty.
Possibly nasty! According to our database this process runs normally in c:\windows\system32\! Check if you know this process and arrange a viruscheck where required. This process is not running from the System32 folder as it is supposed to be.

C:\DOCUME~1\klkl\LOCALS~1\Temp\Adobelm_Cleanup.0001

ลบไม่ออก อุตส่าห์ไป End Process ก่อนแล้วนะ 

C:\DOCUME~1\klkl\LOCALS~1\Temp\Adobelm_Cleanup.0001
ปล่อยันเถอะครับ ตัวนี้ไม่ใช่โจร
แต่ถ้าจะลบแล้วลบไม่ออกก็ลองลบใน Safe Mode โลด