ต่อไป »

[NoooNui]

ขอความช่วยเหลือจากผู้รู้หรือผู้ที่เคยประสบปัญหานี้หน่อยคะ

เรื่องมีอยู่ว่าเครื่อง client ที่สามารถออก internet ได้ เมื่อเปิดเครื่องมาก้อจะทำการเข้าเว็บนี้ทันที

http://trafficconverter.biz  (สังเกตุจาก log จะวิ่งเกือบทุก ip)

และก้อ Download file .exe เข้ามาคะ  ตอนแรกที่ยังไม่ได้ทำการ block  (ใช้ squid นะคะ) ทำให้ traffic เต็มเลยคะ

ไม่สามารถใช้งานได้กันเลยทีเดียว  พอ drop internet แล้ว start ใหม่ ก้อจะเป็นอีกประมาณ 30 นาที - 1 ชั่วโมงต่อไป

ก้อจะมีการ over load ของ traffic อีกคะ

ขอถามนะคะ

1. ไม่ทราบว่ามันคือไวรัส หรือตระกูล worm คะ

2.  ใครพอทราบสาเหตุหรือวิธีแก้ไขบ้างคะ 

ขอรบกวนหน่อยนะคะพี่ ๆ ทั้งหลาย ตอนนี้กลุ้ม & เครียดมากมายเลยคะ

 

[•☆-aNoThEaR rIsinG-☆•]

เหมือนกันกับอันนี้เลยครับ

Link : http://www.thaiadmin.org/board/index.php?topic=92537.msg397205#new

คิดว่าติดตัวเดียวกันนะครับลองเข้าไปอ่านดู

[NoooNui]

เศร้าคะ  มันคือ worm นี่เอง

มีการปิด service ใน system32 แล้วจำลองตัวเอง run แทน เหอ ๆ (เจ๋งปะละเนี่ย เศร้า)

และอ่านใน microsoft protect  มันบอกว่า worm พวกนี้จะ random ชื่อและ port ด้วย

เอาตัว update ของ microsoft มาลงแล้ว ทำตามที่เค้าบอกแล้ว  มันก้อหายนะ แต่หายได้สัก 10 นาทีได้

สักพักมันก้อจะวิ่งอีก (สงสัยมันยัง random ตัวอยู่และก้อ random port ออกไปใหม่)

....... Help me Please ...........

ใครหาวิธีกำจัดเจ้า win32/conficker.A ช่วยท่านน้องด้วยเถอะก๊าบบ 

สงสารเด็กตาดำ ๆ กะลังกลุ้ม คะ

Thanks a lot ....

Nooonui.

[Bugfly]

เศร้าคะ  มันคือ worm นี่เอง

มีการปิด service ใน system32 แล้วจำลองตัวเอง run แทน เหอ ๆ (เจ๋งปะละเนี่ย เศร้า)

และอ่านใน microsoft protect  มันบอกว่า worm พวกนี้จะ random ชื่อและ port ด้วย

เอาตัว update ของ microsoft มาลงแล้ว ทำตามที่เค้าบอกแล้ว  มันก้อหายนะ แต่หายได้สัก 10 นาทีได้

สักพักมันก้อจะวิ่งอีก (สงสัยมันยัง random ตัวอยู่และก้อ random port ออกไปใหม่)

....... Help me Please ...........

ใครหาวิธีกำจัดเจ้า win32/conficker.A ช่วยท่านน้องด้วยเถอะก๊าบบ 

สงสารเด็กตาดำ ๆ กะลังกลุ้ม คะ

Thanks a lot ....

Nooonui.

โดนเหมือนกันล่ะครับ  > ตอนนี้ก็แค่ ลง patch และก็ Update AntiVirus ครับ ที่ Office ผมเครื่องที่ส่ง packet ออกมาส่วนมากจะเป็น Windows 2000 ครับ ส่วนเครื่องที่ connect ออกไปจะเป็นเครื่อง WindowsXP อ่ะ งงเลย  >

-๑- Bugfly @ ThaiAdmin -๑-

[•☆-aNoThEaR rIsinG-☆•]

ก็ลอง Update Antivirus ด้วยครับ ถ้ายังไม่ได้อีกต้องใช้วิชาเอาออกด้วยตัวเองแล้วล่ะครับ
ถ้าเครื่องติดเยอะก็ทำที่เครื่องแรกแล้วเขียนเป็น Script ไป Run ที่เครื่องอื่นครับ

[NoooNui]

update patch แล้วคะ  แต่ก้อยังไม่สามารถฆ่ามันได้คะ

ไม่รู้มันไป random ตัวเองอยู่ที่ไหนบ้างแล้ว

และกะลังรู้สึกว่ามันกะลังแพร่ในวง lan คะ บางเครื่องที่ทำการเครียร์ file และ update ไปแล้ว

ใช้งานไปสัก 10 นาทีก้อจะ connect ไปยัง dns : http://trafficconverter.biz   อีกซะงั้น

พี่ ๆ พอมีวิธีที่จะจับตัว random ชื่อได้ไหมคะ  เพราะฆ่าทีละตัวนี่คงม่ายไหว แน่ ๆ  คะ 

ขอบคุณ สำหรับทุก ๆๆ คำตอบนะคะ

 



Confirmed by: Arminiel

[•☆-aNoThEaR rIsinG-☆•]

ให้ลองปิด System Restore ก่อนนะครับแล้วลง Patch ของ Microsoft
เพราะว่า Virus หลายๆตัวในตอนนี้นำตัวเองไปเก็บไว้ที่ System Restore ด้วย
ทำให้ลบยังไงก็ไม่หมด

ทางที่ดีคือปิด System Restore ก่อนแล้วสั่งลบ File ของ System Restore ด้วย Disk Cleanup ครับ

ว่าแต่ใช้ Antivirus อะไรครับ Virus Definitions ณ วันที่เท่าไหร่ครับ
เพราะดูจากหลายๆบริษัทใน Virus Definitions จะมีข้อมูลของ Virus ตัวนี้อยู่แล้วนะครับ
น่าจะ Remove ได้

[NoooNui]

ให้ลองปิด System Restore ก่อนนะครับแล้วลง Patch ของ Microsoft
เพราะว่า Virus หลายๆตัวในตอนนี้นำตัวเองไปเก็บไว้ที่ System Restore ด้วย
ทำให้ลบยังไงก็ไม่หมด

ทางที่ดีคือปิด System Restore ก่อนแล้วสั่งลบ File ของ System Restore ด้วย Disk Cleanup ครับ

ว่าแต่ใช้ Antivirus อะไรครับ Virus Definitions ณ วันที่เท่าไหร่ครับ
เพราะดูจากหลายๆบริษัทใน Virus Definitions จะมีข้อมูลของ Virus ตัวนี้อยู่แล้วนะครับ
น่าจะ Remove ได้

เด๋วจะลองทำตามดูนะคะ   ตอนนี้บางเครื่องก้อหาไวรัสไม่เจอคะพี่  มันไม่ฟ้อง หรือฟ้องก้อหาไม่เจอตัวไฟล์คะ
ตอนนี้มันกะลังเพิ่มจำนวนด้วยคะ  เจ็บใจชะมัด  ฮึ่ม ๆๆๆ

ยังไงก้อขอบคุณมากนะคะพี่  ถ้ามีอะไรแนะนำอีกก้อรบกวนหน่อยนะคะ  จะรอฟังคำแนะนำดี ๆ คะ ^_^

[•☆-aNoThEaR rIsinG-☆•]

ขอคำแนะนำผมก็จะให้ครับ

1. อันดับแรกปิด System Restore แล้วลบ File System Restore ออกให้หมดก่อนครับ

2. จากนั้นใช้ Process Explorer  ตรวจสอบดูถึง Process ที่ผิดปกกติ
แล้วเลือก Kill Process Tree ไปเลยครับ ส่วนวิธีในการ Analysis ให้สังเกตุจาก
- User Name ที่ Service run อยู่
- Path ของ Service ตัวที่ Run อยู่
- แล้วก็อีกหลายๆอย่างตามแต่ประสบกรา๊ณ์
- ถ้าไม่รู้จะดูจากอะไรจริงๆ Click ขวาแล้้วเลือก Search Online ก็ได้จ๊ะ

3. อันดับต่อไปใช้ msconfig ของ Windows เองเอา Service ที่ไม่ใช่ของ Windows
ออกให้หมดครับ ( เน้นว่าไม่ใช่ของ Windows นะให้ติ๊กตรง Hide All Microsoft Service )
และ Start Up ด้วยพอเสร็จงานแล้วค่อยเอากลับไปเหมือนเดิม

4. ใช้ Autoruns ลบค่าที่คิดว่าเป็นของ Virus โปรแกรมตัวนี้ต้องใช้ประสบกราณ์อย่างมาก
ในการ Analysis เพราะถ้าไปลบมั่วๆ Windows จาพังไปมากกว่า้เดิมครับ

จากนั้นก็ต้องตรวจสอบเรื่อง Virus Definitions อันดับแรกเลยครับ
เพราำะเวลาติด Virus แล้วเนี้ย Virus มันจะหลอก Antivirus พอเรากด Update
มันจะบอกว่า Update ได้ครับ แต่ Virus Definitions ไม่ได้เปลี่ยนวันที่ไปด้วยนั่นก็คือ Update ไม่ได้นั่นเอง

แล้วถ้า Antivirus พร้อมแล้วก็ืำทำ Full Scan สักครั้งก็ได้เลือกให้ Antivirus Scan All File อาจจะนานหน่อย
หรือจะตั้ง Real Time Scan ให้ Scan All File ก็ได้แล้วก็ตั้งว่าถ้าเจอให้มัน Delete ไปเลยแค่นี้ User ก็ใช้งานต่อ
ได้ไม่ต้องเสียเวลารอ Scan เสร็จแล้ว พอมีเวลาค่อยทำ Full Scan อย่างลืมตั้งให้ Antivirus Copy to Quarantine
ด้วยล่ะ เพื่อต้องกู้ File สำคัญกลับมา

แค่นี้น่าจะพอแก้ปัญหาเบื้องต้นได้นะครับ โดยส่วนตัวผมก็แก้แบบนี้แหละ ขึ้นอยู่กับว่าติด Virus แบบไหน
แต่ในส่วนนี้ก็สามารถนำไป Apply ใช้ได้กับ Virus หลายๆตัวเลยทีเดียว


•☆-aNoThEaR rIsinG-☆• พอดีวันนี้ว่างมาตอบยาวๆ เด่วนี้นานๆทีจะมีเวลามาตอบอะไรยาวๆ ^^

[NoooNui]

ขอบคุณมากมายเลยคะ 

เด๋วจะลองไปทำ ณ บัดนาวเลยคะ 

ผลเป็นยังไงเด๋วพรุ่งนี้รายงานให้ทราบนะคะ

Thanks again.


Nooonui.

[Devman]

เจอกันเยอะนะตัวนี้  เพื่อนๆโทรมาถาม แต่ผมยังไม่เจอเอง
แต่สั่ง firewall ลูกค้า block URL ทิ้งเรียบร้อย   



Confirmed by: Bugfly

..กาแฟ..หอมกรุ่น

[insanity]

อืมม ผมยังไม่เจอตัวนี้นะ.. แต่ถ้าเจอพวก worm หรือพวก malware ที่มากะ flashdrive ช่วงหลายเดือนมานี้สูตรที่ผมใช้คือ

1. Run Combofix.exe ไป download ได้จาก http://download.bleepingcomputer.com/sUBs/ComboFix.exe   ซึ่งมันช่วยแก้ได้หลายตัวมาก ๆ สบายไปหลายอย่าง

2. ถ้าต้องซ่อม registry ก็ใช้ NOD32 registry recovery ซึ่ง download ได้จาก http://www.thaiadmin.org/board/index.php?topic=70483.0  คุณ wason555 เค้ารวมมาไว้ให้   

3. Update antivirus เช่น avira personal ซึ่ง free (ร่มแดง) หาได้จาก http://www.free-av.com/en/download/index.html  แล้ว Scan ทั้ง drive 

4. Update พวกโปรแกรม antispyware เช่น spybot search & destroy (แต่ผมไม่ติดตั้ง tea timer นะ ) แล้ว scan ทั้งหมด

5. ลองดู Task Manager ว่ามี process อะไรที่น่าจะผิดปกติรึเปล่า แล้วก็จัดการเอาอออกเสีย จะด้วย HijackThis หรือ StartupCPL ก็แล้วแต่ถนัด แล้วก็ลบมันทิ้ง หรือ rename ซะ ซึ่งข้อนี้ต้องใช้ประสบการณ์มากสักหน่อย


กรณีคุณ NoooNui อยากให้ทดลองใช้ Combofix ดูก่อนนะครับ แล้วดูว่าได้ผลอย่างไร

[NoooNui]

อืมม ผมยังไม่เจอตัวนี้นะ.. แต่ถ้าเจอพวก worm หรือพวก malware ที่มากะ flashdrive ช่วงหลายเดือนมานี้สูตรที่ผมใช้คือ

1. Run Combofix.exe ไป download ได้จาก http://download.bleepingcomputer.com/sUBs/ComboFix.exe   ซึ่งมันช่วยแก้ได้หลายตัวมาก ๆ สบายไปหลายอย่าง

2. ถ้าต้องซ่อม registry ก็ใช้ NOD32 registry recovery ซึ่ง download ได้จาก http://www.thaiadmin.org/board/index.php?topic=70483.0  คุณ wason555 เค้ารวมมาไว้ให้   

3. Update antivirus เช่น avira personal ซึ่ง free (ร่มแดง) หาได้จาก http://www.free-av.com/en/download/index.html  แล้ว Scan ทั้ง drive 

4. Update พวกโปรแกรม antispyware เช่น spybot search & destroy (แต่ผมไม่ติดตั้ง tea timer นะ ) แล้ว scan ทั้งหมด

5. ลองดู Task Manager ว่ามี process อะไรที่น่าจะผิดปกติรึเปล่า แล้วก็จัดการเอาอออกเสีย จะด้วย HijackThis หรือ StartupCPL ก็แล้วแต่ถนัด แล้วก็ลบมันทิ้ง หรือ rename ซะ ซึ่งข้อนี้ต้องใช้ประสบการณ์มากสักหน่อย


กรณีคุณ NoooNui อยากให้ทดลองใช้ Combofix ดูก่อนนะครับ แล้วดูว่าได้ผลอย่างไร

มะเช้าลองใช้ Combofix กะเครื่องตัวเองแล้วคะ แอบตกใจเล็กน้อยเพราะปิดโปรแกรมทุกตัวเลยคะ 5 5 5

แต่ก้อได้ผลทีเดียวเชียว  เครื่องหนูจากอืด ๆ กลับมาเร็วอีกรอบคะ  แต่ยังไม่กล้า run ที่เครื่อง client เลยคะ

ยังไง ก้อขอขอบคุณนะคะสำหรับคำแนะนำดี ๆๆ
เมื่อ: 29 พฤศจิกายน 2008, 16:15:29และแล้ว การ Update patch ของ Trend micro ก้อสามารถจัดการได้  แต่ต้องส่งข้อมูลไปให้เค้าก่อนนะคะ

เค้าก้อให้ทางเมืองนอกส่ง patch มาให้คะ

และก้อต้อง Update patch windows ด้วยควบคู่กะการ Run antispyware

แต่ก้อต้องตามไปแก้มือกะเครื่อง client หลายเครื่องเหมือนกันคะ  เพราะมีรัว worm_downad.a แถมมาคะ อิอิ

ตอนนี้สถานการณ์ก้อดีขึ้นมากแล้วคะ  แต่ก้อต้องรอดูกันต่อไป

.......  ขอบคุณพี่ ๆ ทุกท่าน นะคะ ที่มาช่วยแนะนำ  เด็กตัวดำ ๆ เอ้ย ตาดำ ๆ

ขอให้หล่อ ให้สวย ให้รวยๆๆๆ  กันทั่วหน้านะคะ  (สาตุ๊ สาตุ๊)

 

Nooonui.

[ColVlpTeCh]

หมั่น Update Patch ตามความเหมาะสมด้วยนะครับ เพราะช่องโหว่ของไวรัสนี้มาจาก

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 

 

ColVlpTeCh@ThaiAdmin

[KizzHero]

ผมเจอตัวนี้เมื่ออาทิตย์ที่แล้วอ่ะคับ
คือว่า server ตัวนึงของผมมันม่ะมี antivirus

ที่นี้เวลามีไวรัสตัวไ หนใ หม่ๆ    มันอัพดตก่อนเพื่อนเลยอ่ะ 

เจ้าไวรัสตัวนี้มันจะรันมากะ svchost อ่ะนะ

ผมแก้ยังงี้นะ
หา svchost.exe -k netsvcs ใน registry นะคับ ต้องใช้ประสบการณ์นิดนึงนะ
ตัวที่น่าสงสัยก็จะไม่ีมี description นะคับ
ลองสังเกตดู

หุหุ

ส่วนวิธีป้องกัน ก็



disable network โลดคับ


ฮ่าๆๆ

ล้อเล่นนะ


ใช้ chrome แล้วมันชอบลบกระโดด พิมพ์ก็ กระโดด    หรือว่าเราใช้ไม่เป็นหว่าาา

[Arminiel]

แก้ได้แล้วเหมือนกันครับ การแก้คือใช้ firewall  block เว็บพวกนี้ให้หมด  แล้วทำวันที่ user ไม่ทำงาน ใช้ toosl ของ trendmicro http://www.trendmicro.com/download/pattern.asp   และเข้าไป scan ใน safemode จากนั้น update path ของ Windows แล้วก็ลง antivirus ใหม่  พอดีที่ออฟฟิตใช้ avg free ให้ user  พอลงแล้ว update ให้ล่าสุด แล้ว scan และลบ tracking cookies ออกไปด้วย ปัญหาก็หมดไปครับ

เข้าไป clear ที่ C:\Documents and Settings\Default User(หรือทุก user)\Local Settings\Temporary Internet Files\Content.IE5 ซะด้วยก็ได้ครับ มันชอบแอบในนั้น

อ่ะคับ upload tools ของ trendmirco ให้สำหรับคนที่ขี้เกียจโหลด  แต่ไป update pattren เอาเองนะ ของผมอยู่ที่เดือน 11 น่ะ http://www.uploadd.com/download.aspx?pku=35D7A3C428KO1VMWM3Y84M6GSASH8C 

ส่วนเมนู Share ไฟล์หาย และ //ip เข้าไปเครื่องอืนๆไมได้  ก็ให้ไป uninstall   file and printer sharing for microsoft network และ install  ใหม่  ตรงใกล้ๆกับที่เราไปเซ็ต TCP/IP Properties นั่นแหละครับ

[::aaron::]

หมั่น Update Patch ตามความเหมาะสมด้วยนะครับ เพราะช่องโหว่ของไวรัสนี้มาจาก

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 

 

ลองใช้แล้ว เยี่ยมมากเลย ยังไม่เห็นอาการนั้นอีกเลยครับ

ขอบคุณครับ

[ตาน้อยคุง]

เพิ่งเจอสด ๆ ร้อน ๆ ครับ...

จะเป็นที่เครื่องที่ลง Nod32 แต่เครื่องที่มี TrendMicro ไม่มีปัญหาครับ (ส่วนมากจะเป็นที่เครื่อง admin) 555+