ไวรัสทำให้สแกนไวรัสไม่ทำงาน

<< < (6/8) > >>

rojaninmomo:
สุดยอดครับ ผมตามอ่านกระทู้ที่คุณ thaitatim ตอบอยู่ มันสนุกจริงๆ เอ่อว่าแต่ผมขอคาราวะ +1 ไป
เพราะได้ความรู้เพิ่มเติมเยอะเลยครับ ขอบคุณคนใจดีแบบนี้มาตามตอบกระทู้จนถึงพริกถึงขิง...

thaitatim:
เนื่องด้วย คุณ aungpao ต้องการตามต่อการแก้ปัญหามาลแวร์ที่เขาหยุดชะงักไปหลายวัน ดังนั้นผมจำเป็นต้องเริ่มแนะนำตั้งแต่ต้นหมดเลย เพราะระบบของเครื่องคุณ aungpao จะเปลี่ยนแปลงไปไม่้หมือนกับหลายวันก่อน ทำให้ผมยึดติดกับ log ตัวเดิมไม่ได้

------------------------------------------------------------------------------------------

ให้ใช้  ComboFix
ก่อนที่จะใช้ให้ไป shutdown/stop โปรแกรมป้องกันทั้งหลายที่คุณมีเสียก่อน (ทั้งแอนตี้ไวรัส และแอนตี้สปายแวร์) เพราะโปรแกรมเหล่านี้จะเข้าไปแซกแซงการทำงานของ ComboFix ทำให้มันไม่สามารถทำงานได้อย่างเต็มที่

ให้ไปดาวน์โหลด combofix.exe
สำคัญ ให้เลือกเซฟ combofix.exe มาไว้ที่ Desktop เท่านั้น อย่าเพิ่งสั่ง run มันเด็ดขาด
ให้คลิก Start แล้วเลือก Run.. แล้วให้ Copy/Paste ข้อความที่ผมให้ข้างล่างนี้ ลอกมาให้เหมือนกันเดี๊ยะเลยนะครับ อย่าผิดโค๊ด:

"%userprofile%\desktop\ComboFix.exe" /killall
ตอนนี้ ComboFix ก็จะเริ่มต้นทำงาน ในระหว่างที่มันทำงานนี้ มันจะกระทำดังระบุไว้ข้่างล่าง มันจะไปหยุดการทำงานของ running processes บางตัวมันจะไปเปลี่ยนนาฬิกาของคุณให้เป็นแบบ 24 ชม. มันจะเปลี่ยนค่ากลับมาแบบเดิมเมื่อมันสิ้นสุดการทำงานแบบสมบูรณ์แล้วมันจะไปตัดการติดต่อกับ internet ของเครื่องคุณ การติดต่อจะถูกแก้กลับมาเหมือนเดิมโดยออโตเมติคก่อนที่ ComboFix จะทำงานเสร็จ ถ้า ComboFix มีปัญหาแล้วหยุดการทำงานไปกลางคัน การติดต่อก็สามารถแก้ได้โดยการรีบูทเครื่องถ้ามันเจอ malware ComboFix ก็จะรีบูทเครื่องคุณเองโดยทันทีที่มันสแกนเสร็จ ตอนที่เครื่องคุณรีบูทกลับเข้ามาเรียบร้อยแล้ว ComboFix ก็จะสิ้นสุดการทำงานของมัน แล้วสร้าง log ขึ้นมา อย่าไประงับการทำงานมันในขั้นตอนนี้โดยเด็ดขาดสำคัญ อย่าไปกดเมาส์ที่หน้าต่างของ ComboFix ในระหว่างที่มันกำลังทำงานโดยเด็ดขาด เพราะมันจะทำให้โปรแกรมค้าง และอย่าพยายามใช้อินเทอร์เน็ทหรือใช้โปรแกรมอื่นๆ ในระหว่างใช้ ComboFix เหมือนกันเมื่อมันทำงานเสร็จแล้วมันจะสร้าง log ( C:\combofix.txt ) ขึ้นมาให้ ขอให้แนบ log ตัวนี้มาด้วย

aungpao:
แนบไฟล์ครับ

thaitatim:
คุณมีเชื้อที่แพร่ผ่านทางแฟรชไดร์ฟด้วย

ดาวน์โหลด Flash_Disinfector.exe โดย sUBs แล้วเซฟมันไว้ที่หน้าจอ

 - ดับเบิ้ลคลิกที่ Flash_Disinfector.exe
 - คุณอาจจะเห็นว่า desktop และ icons หายไป นั่นเป็นเรื่องปรกติครับ
 - มันจะเข้าไปทำความสะอาด removable storage devices และสร้างไฟล์ Autorun.inf เพื่อช่วยในการป้องกัน re-infection
 - ให้ทำตามคำแนะนำที่มันขึ้นให้
 - เครื่องมือนี้อาจจะสั่งให้คุณเสียบ flash drive ที่คุณใช้ และ/หรือ removable drives ตัวอื่นๆ รวมถึง mobile phone ขอให้ทำตามคำสั่งของมันและปล่อยให้เครื่องมือนี้ทำความสะอาด drives เหล่านั้น
 - ให้รอจนกว่ามันจะทำงานเสร็จแล้วถึงค่อยออกจากโปรแกรม
 - เครื่องมือนี้จะไม่มี GUI interface และก็จะไม่สร้าง log file ให้อีกเหมือนกัน
 - ให้รีบูทเครื่องหลังจากใช้เครื่องมือนี้

หมายเหตุ Flash_Disinfector จะสร้าง hidden folder ที่ชื่อ autorun.inf เอาไว้ในแต่ละ partition และในทุก USB drive ที่คุณเสียบเข้าเครื่องในขั้นตอนการทำความสะอาด กรุณาอย่าลบ folder ตัวนี้ ....มันจะช่วยป้องกันไม่ให้ drives ของคุณติดเชื้อได้อีกในอนาคต

------------------------------------------------------------------------------------------------


เปิด Notepad (ต้องเป็น Notepad เท่านั้น ใช้ text editor ตัวอื่นอาจจะไม่เกิดผล)
แล้วคัดลอกข้อความข้างล่างนี้ทั้งหมด

โค๊ด:

File::
C:\WINDOWS\system32\SSVICHOSST.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1ecc2948-410b-11dd-9f40-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32c4224a-7917-11dd-a04b-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55f36e24-f2bc-11dc-9df4-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{640561a4-0eee-11dd-9e70-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7bc5052-13b4-11dd-9e85-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7bc5053-13b4-11dd-9e85-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7bc5054-13b4-11dd-9e85-0011d86303ee}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc42e7f6-1a4f-11dd-9ea4-0011d86303ee}]


แล้วเอามันไปใส่ใน Notepad แล้วเลือก File-->>Save
ให้ตั้งชื่อไฟล์ว่า CFScript.txt แล้วเซฟมันไว้ที่หน้าจอ
หลังจากนั้นให้คลิกลาก (drag and drop) CFScript.txt ไปไว้ในไอค่อน ComboFix.exe ตามภาพ


ComboFix จะเริ่มทำงาน ให้ทำตามคำสั่งที่มันขึ้นให้
หลังจากรีบูท (ถ้ามันสั่งให้คุณรีบูท) มันจะสร้าง Log รายงานผลขึ้นมา
ให้แนบ Combofix.txt ตัวนี้มาในกระทู้ต่อไป

--------------------------------------------------------------------------------------------------------

ดาวน์โหลด ATF Cleaner by Atribune มาไว้ที่หน้าจอ
ลิงก์สำรองเผื่อลิงก์ตัวแรกมีปัญหา

หมายเหตุ สำหรับผู้ใช้ Vista คุณจะต้องคลิกขวาที่ไอค่อนแล้วเลือก Run As Administrator
ภายใน Main-->>Select Files to Delete ให้เลือก Select Allคลิกที่ปุ่ม Empty Selectedถ้าคุณใช้ Firefox browser ก็ให้คลิกที่ Firefox ที่อยู่ทางด้านบนแล้วเลือก Select Allคลิกที่ปุ่ม Empty Selected
    ถ้าคุณต้องการเก็บ saved passwords ไว้ก็ให้คลิกที่ No เมื่อมันถามถ้าคุณใช้ Opera browser ก็ให้คลิกที่ Opera ที่อยู่ทางด้านบนแล้วเลือก Select Allคลิกที่ปุ่ม Empty Selected
    ถ้าคุณต้องการเก็บ saved passwords ไว้ก็ให้คลิกที่ No เมื่อมันถามคลิก Exit ที่เมนู Main เพื่อออกจากโปรแกรมหมายเหตุ เครื่องของคุณอาจจะรันได้ช้าผิดปรกติเมื่อคุณรีบูทเครื่องประมาณ 1-2 ครั้ง หลังจากที่ใช้เครื่องมือนี้แล้ว เพราะฉะนั้นอย่าตกใจนะครับ

---------------------------------------------------------------------------------------------

ไปอ่านที่ http://www.beartai.com/webboard/index.php?topic=39702.0 นะครับ แล้วทำขั้นตอนที่ 3.1 + 3.2 + 6

---------------------------------------------------------------------------------------------------------------

ไฟล์ที่ต้องการ
1. Combofix.txt
2. SuperAntispyware log
3. Malwarebytes' log
4. Hijackthis log

ProF.M:
งานนี้อาจอีกยาวนะขอรับ
ท่าน thaitatim สู้ๆๆๆๆๆๆ
ท่านที่โดนก็สู้ๆๆๆๆครับ

นำร่อง

[0] ดัชนีข้อความ

[#] หน้าถัดไป

[*] หน้าที่แล้ว