Hijackthis เครื่องมือมืออาชีพสำหรับแก้ปัญหาไวรัส

posted on 14 Jun 2007 19:00 by advance  in Rescue-Security

By Shadow@Thaiware

จากEntryก่อนๆที่สอนแบบมือสมัครเล่นไปแล้ว วันนี้เลยเอาวิธีแบบมืออาชีพมาฝาก เพราะคิดว่าหลายๆคนคงจะคุ้นเคยกับระบบในเครื่องกันบ้างแล้ว

หลายท่านคงเคยพบเจอปัญหาไวรัส หรือ มัลแวร์อื่นๆ ซึ่งมีบางครั้งที่ท่านพยายามลบมันออกไปเท่าไหร่ ไม่ว่าด้วยแอนตี้ไวรัสตัวไหนมันก็ไม่ยอมออกไปเสียที
แต่ถ้าหากท่านลองใช้ Hijackthis ดูบางครั้งจะพบว่ามันจะแสดงส่วนที่เป็นปัญหาต่างๆให้เราทราบได้ทันที ไม่ว่าจะเป็นค่าที่มัลแวร์ฝังไว้ในรีจิสทรี , ไฟล์ที่ยังเหลือตกค้างในเครื่อง , ค่า StartPage ที่ถูก Hijacking แก้ , ค่า BHOs ต่างๆ
ซึ่ง Hijackthis จะสามารถช่วยเราลบออกไปได้อย่างง่ายดาย
แต่ค่าซึ่ง Hijackthis แสดงขึ้นมาให้เราดูนั้น จะมีค่าดั้งเดิมของระบบ และโปรแกรมที่ใช้งานที่มีประโยชน์อื่นๆรวมอยู่ด้วย เพราะฉะนั้นอย่าเข้าใจผิดนะครับ

ข้อจำกัดของมันอยู่ที่ว่า คนที่จะใช้โปรแกรมนี้ได้ดีนั้นต้องมีความรู้ด้านไฟล์ของระบบปฏิบัติการ และความรู้พื้นฐานด้านคอมพิวเตอร์พอสมควร และต้องมีประสบการณ์ด้วยจึงจะสามารถใช้โปรแกรมนี้ได้ดี
เพราะบางครั้งที่เราใช้ Hijackthis สแกนแล้ว หากลบค่าไปแบบไม่คิด อาจจะทำให้ค่าที่จำเป็นต้องใช้สำหรับระบบสูญหายไปได้

ซึ่งผมขอแนะนำการใช้ไว้คร่าวๆดังนี้
ขั้นแรกให้ทำการโหลด Hijackthis จาก
http://download.hijackthis.eu/hijackthis_199.zip

ดาวน์โหลด Hijackthis 2 Beta

จากนั้นให้ทำการแตกไฟล์ออก ดับเบิ้ลคลิกเข้าโปรแกรม กดที่ Do a system scan and save a log files
หลังจากการสแกนจะมีหน้าต่าง Nodepad เด้งขึ้นมา
สำหรับคนที่มีความรู้อยุ่แล้วตอนนี้ก็จะสามารถ ดูค่าที่ผิดปกติแล้วใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด ทำการ Fix checked มันออกไปได้ทันที
แต่สำหรับมือใหม่ที่ยังไม่มีความรู้ ให้ทำการคัดลอกข้อความทั้งหมดที่อยู่ในNodepad

ตัวอย่าง

**************************************************

Logfile of HijackThis v1.99.1
Scan saved at 10:16:11, on 28/1/2550
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\InkSaver\InkSaver.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Shadow\Start Menu\Programs\Startup\LayoutFix.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\iexp1ore.exe
C:\Documents and Settings\Shadow\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ClocX] "C:\Program Files\ClocX\ClocX.exe"
O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"-osboot
O4 - HKCU\..\Run: [RSD_HDDThermo] "C:\Program Files\HDD Thermometer\HDD Thermometer.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LayoutFix.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: ค้นหา - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: ทำให้เด่นชัด - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: ระงับการแสดงผลภาพที่มาจากเครื่องผู้ให้บริการเดียวกัน - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: เปิดทุกหน้าเชื่อมโยงที่มีในหน้านี้... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: เปิดใน Avant Browser หน้าใหม่ - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: เพิ่มไปในรายการบัญชีดำตัวป้องกันการแสดงโฆษณา - C:\Program Files\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra 'Tools' menuitem: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129w.bay129.mail.live.com/mail/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O17 - HKLM\System\CS3\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset- C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

*************************************************

ไปโพสต์ในช่องว่างที่เว็บ
http://hijackthis.de/
แล้วกดปุ่ม Analyze เพื่อให้เว็บไซต์วิเคราะห์ข้อมูลออกมาได้ทันที

วิธีการตรวจสอบ

- หากรายการนั้นมีเครื่องหมายถูก แสดงว่ารายการนั้นเป็นรายการที่ปลอดภัย

ระดับความปลอดภัยจะขึ้นอยู่กับ ตัวหนังสือที่แสดงคือ Very safe , Safe , Neutral และมีเครื่องหมายแต่ไม่มีข้อความ ตามลำดับ

- หากรายการนั้นมีเครื่องหมายกากบาทสีแดง ,กากบาทสีแดงพร้อมด้วยข้อความ Extremely nasty หรือ nasty หรือเป็นเครื่องหมายคำถาม แต่มีข้อความ Extremely nasty

แสดงว่ารายการนั้นเป็นรายการที่ไม่ปลอดภัย อาจเป็นค่าของไวรัส โทรจัน มัลแวร์ต่างๆ ที่เข้ามาฝังในเครื่อง
ให้ติ๊กเครื่องหมายหน้ารายการนั้นๆในโปรแกรม Hijackthis เพื่อ Fix checked ได้ทันที

- หากรายการนั้นมีเครื่องหมายกากบาทสีส้ม หรือเครื่องหมายกากบาทสีส้มพร้อมด้วยข้อความ Very safe , Safe , Neutral
และในรายการของค่ามี (no file) หรือ (file missing) ตามหลังหมายถึงว่าไฟล์เหล่านั้นไม่ได้มีอยู่แล้ว แต่ในเครื่องยังมีค่าส่วนนี้ตกค้างอยู่
สามารถทำการ Fix checked ได้ทันที

ตัวอย่าง

http://shadow.saiyaithai.org/09.jpg

http://shadow.saiyaithai.org/10.jpg

- หากรายการนั้นมีเครื่องหมายคำถาม ( unknown ) แสดงว่าทางเว็บไม่มีข้อมูลของรายการนั้นในฐานข้อมูล

ซึ่งรายการนั้นจะเป็นค่าที่มีความปลอดภัย หรือ ไม่ปลอดภัยก็ได้
ในกรณีนี้ให้เราพิจารณาว่า ค่าตัวนั้นๆเป็นค่าของอะไรหรือโปรแกรมไหน และเราใดติดตั้งไว้เองหรือไม่
หากพิจารณาจนแน่ใจแล้วว่าไม่ใช่ค่าที่ถูกต้องก็สามารถ Fix checked ได้ทันที

ทางเว็บ Hijackthis นั้นยังมีระบบที่ให้ผู้เข้ามาใช้งานสามารถตรวจสอบ ค่าต่างๆและร่วมให้ข้อมูลกับทางเว็บได้ โดยหากเราต้องการดูรายละเอียดของค่าข้อมูลตัวไหนก็สามารถกดปุ่มที่ปรากฏอยู่หน้าค่าเหล่านั้นได้ทันที ก็จะปรากฏข้อมูลที่เคยมีผู้ให้ไว้แสดงขึ้นมา


และเราก็สามารถให้ข้อมูลแก่ทางเว็บได้เช่นกันในกรณีที่เรารู้จักค่าตัวนั้นอย่างแน่ชัด
โดยแสดงความคิดเห็นและระดับคะแนนลงไป

สำหรับผู้ใช้เริ่มต้นที่ไม่มีความชำนาญและไม่มีความรู้ในด้านระบบไฟล์ให้ปฏิบัติดังนี้

เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe

ค่าๆนี้หากวิเคราะห์ด้วยเว็บไซต์ hijackthis.de จะบอกว่าเป็นค่าที่ไม่รู้จัก
แต่หากเป็นผู้ใช้ที่มีความรู้ด้านระบบไฟล์ก็จะรู้ได้ทันทีว่าไม่ถูกต้อง แต่หากเป็นผู้ใช้เบื้องต้นก็จะไม่ทราบดังนั้นวิธีการคือ ให้เข้าเว็บไซต์
www.google.com
จากนั้นก็ค้นหาด้วยคำว่า iexp1ore.exe ก็จะมีเว็บไซต์ที่แสดงรายละเอียดของไฟล์ตัวนี้ขึ้นมาทันที ซึ่งก็้เพียงคลิกตามลิงค์เข้าไปดูก็จะทราบว่าเป็นค่าที่ปลอดภัยหรือๆไม่

เมื่อได้พิจารณาจากข้อมูลแล้วว่าตัวไหนเป็นค่าที่ไม่ปลอดภัยต้องการลบก็ให้ใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด Fix checked ซึ่งในขั้นตอนนี้นั้นให้ท่านบันทึกหรือจำที่อยู่ของไฟล์ที่จะอยู่หลังค่าต่างๆที่ท่าน Fix checked ไว้
เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
ที่อยู่ของไฟล์ที่ค่าๆนี้อ้างอิง คือ C:\WINDOWS\system32\iexp1ore.exe

จากนั้นให้ท่านรีบูตเครื่องคอมพิวเตอร์ใหม่เพื่อเข้าสู่ Safe Mode
วิธีการ คือ ตอนเครื่องได้เริ่มเปิดใหม่นั้นให้กดปุ่ม F8 บนคีย์บอร์ดหลายๆครั้ง ก็จะมีหน้าต่างให้เลือกเข้าสู่ Safe Mode

หลังจากได้เข้าสู่ Safe Mode แล้วก็ให้เข้าไปลบไฟล์ต่างๆ ที่ได้จำไว้ตามdirectoryต่างๆให้หมด เพื่อเป็นกำจัดให้สิ้นซาก จากนั้นก็รีบูตเครื่องอีกครั้งหนึ่ง เท่านี้ปัญหาต่างๆที่ท่านพบก็จะถูกแก้ไขอย่างหมดจด


คำแนะนำเพิ่มเติม
การวิเคราะห์ด้วยเว็บนั้นได้ผลดีในระดับหนึ่งเท่านั้น บางครั้งหากต้องการคำแนะนำจากผุ้เชี่ยวชาญจริงๆ ในกรณีที่ท่านไม่มีความรู้ หรือไม่แน่ใจในเรื่องต่างๆ ท่านก็สามารถนำ Log file ข้อความที่ได้มาโพสต์ตามเว็บบอร์ดต่างๆ เพื่อให้ผู้เชี่ยวชาญวิเคราะห์ให้โดยตรงได้เช่นกัน
เช่น
http://community.thaiware.com/
หมวด Security forum
หรือ
http://board.thaidarkside.com/SMF/index.php
หมวด Virus Trojan & Spyware
หรือเว็บไซต์อื่นๆเพื่อขอคำแนะนำได้


สำหรับคนที่Antivirusขึ้นเตือนหาว่าตัว Hijackthis เป็นโทรจัน แล้วจะทำการลบออกไป
แต่ที่จริงแล้วนั่นไม่ใช่ครับ เป็นการ False Positive (เตือนผิด)
เอาเป็นว่าระหว่างใช้ Hijackthis นั้นให้คุณ Disable โปรแกรม Antivirus ไปเสียชั่วคราวก่อนใช้งานเสร็จจึงค่อย Enable

ขณะนี้ Hijackthis ถูกซื้อโดยบริษัท Trend Micro เรียบร้อยแล้วครับ และทางบริษัทได้ออกโปรแกรมเวอร์ชัน 2 beta มาให้เราได้ทดลองใช้กันครับ โดยความสามารถที่เพิ่มมา คือ มีปุ่มส่ง Log แบบอัติโนมัติขึ้นสู่เว็บไซต์ครับ
หากท่านต้องการทดลองใช้เวอร์ชันใหม่ สามารถดาวน์โหลดได้โดยคลิกลิงค์ด้านล่างนี้
ดาวน์โหลด Hijackthis 2 Beta

อัพเดทล่าสุด พุธ ที่ 9 พฤษภาคม 2550

ที่มา : http://community.thaiware.com/index.php?showtopic=290250

Entry ที่เกี่ยวข้อง

วิธีทำให้มองเห็นVirusในเครื่องหรือFlash Drive ทุกตัว

การแยกแยะvirusหรือไฟล์ที่น่าสงสัย

การกำจัดVirusในเครื่องด้วยตัวคุณเอง

ARDV โปรแกรมช่วยป้องกันไวรัสที่มากับ Flash drive

Tags: adware, hijackthis, malware, security, spyware, trojan, virus20 Comments

Comment



smilebig smileopen-mounthed smileconfused smilesad smileangry smiletonguequestionembarrassedsurprised smilewinkdouble winkcry

Tweet

http://spyware-wall.com
รวมข้อมูลต่าง รวมทั้งโปรแกรมมากมาย เกี่ยวกับ Spyware - Adware

#1 By spywarewall (58.8.133.206 /192.168.5.230) on 2007-07-21 16:43

ติดไวรัส good luck by sri lankan cricket team
อ่ราค่ะ

#2 By ตั้ม (124.121.162.254) on 2007-09-17 18:49

#2 : อาการเป็นยังไงล่ะครับ ลองทำตามวิธีที่ผมสอนไปทั้งหมดดูซิครับ อยู่ในแถบRecommendทั้งหมดแหละครับ

#3 By ฮาโอ on 2007-09-17 20:02

ทำแล้วอ่าค่ะ แต่ว่ามันไม่หาย มันเป็นไวรัสที่ขึ้นหน้าจอสีแดงตรงdesktop แล้วเขียนว่า your privacy is in danger แล้วก้อให้ดาวโหลดโปรแกรมป้องกัน(ที่มารู้ทีหลังว่าคือไวรัสเหมือนกัน ฮือๆๆ) แล้วเครื่องก้อรวนๆเปิดเว็บไซต์บางทีก้อขึ้นเว็บไซต์อื่น

#4 By (124.121.159.136) on 2007-09-19 09:00

อันดับแรก ให้ไปuninstall โปรแกรมเจ้าปัญหาที่คุณโดนหลอกให้ติดตั้งก่อนครับ จากนั้นก็ค่อยทำการกำจัดต่อๆไป
คือ...จะว่าไงดีอ่ะครับ ก็คือมันลองใช้Antivirus(ที่อัพเดทแล้ว)สแกนก่อน จากนั้นก็ใช้ Antispyware-adware จับการต่อ ก็น่าจะโอเค แต่ถ้ายังไม่หาย ก็ต้องจัดการด้วยตัวเอง ตามวิธีที่ผมสอนไปอ่ะครับ

#5 By ฮาโอ on 2007-09-19 23:10

คือผม ลองทำตามทุกอย่าง มีปัญหาเหมือนของน้องผู้หญิงคือ good kuck!sri lankan cricket team
แล้วอีกอย่างคือผมให้มันแสดงโฟลเดอร์ซ่อนไม่ได้ เพราะว่า โฟลเดอร์ ออฟชั่นมันหายอ่าครับ
จะแก้ยังไหรอครับ บอกที ขอบคุณครับ

#6 By [B]@nK (124.121.35.72) on 2007-09-26 16:23

#6 : ก็คือต้องบอกตามตรงว่า ไวรัสตัวนี้ผมก็ไม่เคยเจอ และก็แทบจะไม่เห็นคนเจอกัน ผมจึงไม่มีข้อมูลว่ามันทำงานหรือไปแก้ไขในจุดไหนบ้าง แต่ตามธรรมชาติแล้ว พวกตัวไม่หวังดีต่างๆมันก็มีรูปแบบการทำงานหลักๆอยู่ไม่กี่แบบ ตราบใดที่hardwareเราไม่พัง ยังไงก็จัดการได้ แต่จุดสำคัญคือ ต้องมีความรู้และประสบการณ์ ซึ่งผมก็เข้าใจว่าคนทั่วไปคงเป็นไปได้ยาก ซึ่งจุดนี้แหละครับที่เป็นเรื่องยากมากๆสำหรับคนที่คอยแนะนำวิธีแก้ไขที่จะสื่อให้คนทั่วไปทำตามได้สำเร็จ เพราะความจริงแล้วถ้ามันมาอยู่ต่อหน้าพวกเราหรือได้จับเองกับมือ อะไรๆมันก็ง่ายขึ้น เพราะในกรณีเหล่านี้ผมก็ไม่อาจทราบได้ว่าคุณได้มองข้ามจุดสำคัญอะไรไปบ้างหรือเปล่า มันเหมือนงานนักสืบอ่ะครับ ต้องสังเกตจับผิดให้ละเอียดยิบ อันไหนน่าสงสัยก็ต้องลอง
ดังนั้น ในกรณีที่ไม่มีข้อมูลอะไรเลย และไม่สามารถหาข้อมูลจากที่อื่นมาอ้างอิงได้นั้น ต่อให้เทพแค่ไหนก็ตอบได้แค่นี้ครับว่าต้องทำยังไง เพราะถ้าจะให้แก้ไขแบบmanualต้องอาศัยความรู้เชิงลึกครับ ซึ่งคงอธิบายกันไม่จบเป็นแน่
และที่ไวรัสตัวอื่นๆแก้ง่ายๆกันก็เพราะมีข้อมูลพอครับ อันนี้ไม่รู้อะไรเลยคงตอบได้แค่นี้ครับ

ส่วนเรื่องfolder optionผมได้ให้ตัวfixไปแล้วนี่ครับ ถ้ามันไม่หายก็แสดงว่า ไวรัสยังทำงานอยู่ มันจึงไปแก้ไขใหม่ตลอดเวลา ดังนั้นอันดับแรกต้องปิดการทำงานของไวรัสให้ได้ก่อนครับ ซึ่งวิธีนั้นผมได้สอนไปแล้ว แต่จะทำได้หรือไม่ ขึ้นอยู่กับตัวบุคคลแล้วครับ

#7 By ฮาโอ on 2007-09-26 17:57

ขอบคุณๆ อยากลองเหมือนกันนะครับโปรแกรมนี้

ขอไปฝึกตัวเองเพิ่มก่อนดีกว่าครับ

#8 By muse (58.10.90.228) on 2007-12-06 11:24

ของผมโดน virus isolater

#9 By (125.25.23.35) on 2008-04-26 12:27

thank you......big smile big smile big smile big smile

#10 By aotman (124.120.38.94) on 2009-01-13 23:18

ดูให้ทีครับท่าน...Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:59:30, on 3/3/2552
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\EXPERTool\TBPanel.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trackerx90\Anti Removable Disk Virus (ARDV) by Trackerx90\ardv32.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Utherverse Digital Inc\Utherverse 3D Client\UtherversePatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MagicLinker3] C:\Program Files\ThaiSoftware Enterprise\ThaiSoftware Dictionary\Bin\MagicLnk.exe
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GAINWARD] C:\Program Files\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: ARDV.lnk = C:\Program Files\Trackerx90\Anti Removable Disk Virus (ARDV) by Trackerx90\ardv32.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: &ดาวน์โหลดทั้งหมดโดยใช้ FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &ดาวน์โหลดโดยใช้ FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe

--
End of file - 10436 bytes

#11 By X_GUN (58.8.151.225) on 2009-03-03 01:00

คอมมันไม่มีเสียงอ่าsad smile .... ขอบคุณล่วงหน้า

#12 By (58.8.151.225) on 2009-03-03 01:01

คุณ X_GUN คะ..รู้สึกว่า ท่านเจ้าของBlog จะพักยาวนะคะ

Log File นำไปโพสท์ที่ THAIWARE ดีกว่าค่ะ มีคนช่วยดูให้ได้

โพสต์ให้ถูกหมวดนะคะ ตามลิงค์นี้เลยค่ะ

http://community.thaiware.com/thai/index.php?s=8346a1a86b1a5681b3d1ebc492861e78&showforum=42

#13 By indySara (125.26.85.106) on 2009-03-05 19:45

เอ่อ อ ... ติดไวรัสหน้าจอ เปนสีแดง ง ๆ อ่าขร๊ะ
มีวิธีไหนพอจะช่วยได้บ้าง ? ตาลายหมดแร้ว ว - -"

#14 By (222.123.74.27) on 2009-04-23 11:16