กลุ่มผู้ดูแลระบบแห่งประเทศไทย กลุ่มผู้ดูแลระบบแห่งประเทศไทย
23 ตุลาคม 2014, 09:17:44 *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

Thaiadmin on Social NetworkThaiadmin on TwitterThaiadmin on Facebook Group

ข่าว:
  หน้าแรก   เวบบอร์ด   ค้นหา ช่วยเหลือ เจ้าหน้าที่ เข้าสู่ระบบ ลืมรหัสผ่าน? คำเแนะนำ สมัครสมาชิก Register via Facebook Register via Google+  
+ กลุ่มผู้ดูแลระบบแห่งประเทศไทย » Emergency Zone » Antivirus » หัวข้อ:
|-+ วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup


หน้า: 1 2 3 [ทั้งหมด]   ลงล่าง
  เพิ่มบุ้คมาร์ค  |  พิมพ์  
ผู้เขียน หัวข้อ: วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup  (อ่าน 115883 ครั้ง)
0 สมาชิก และ 2 บุคคลทั่วไป กำลังดูหัวข้อนี้
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« เมื่อ: 22 มกราคม 2009, 09:40:23 »

วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง

 Cheesy  สรุป ให้ฟังคร่าว นะครับ ส่วนที่ผม ใช้งานแก้ไขให้ User  Cheesy
หรือ เลื่อนลงไปดูที่ ความคิดเห็นที่ 27 ครับ


กระทู้ อ่านเสริมกันไป นะครับ การใช้งาน SCS Scanner Tool เพื่อหาเครื่องที่ติด Conficker


อ้างถึง

การแก้ไข อย่างเป็นทางการจาก Website microsoft  Afro
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker

สืบเนื่องจาก กระทู้
    
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
http://www.thaiadmin.org/board/index.php?topic=95481.0

Windows Security Patch ที่โดนโจมตี และการใช้งาน Sysclean ของ Trend Officescan
http://www.thaiadmin.org/board/index.php?topic=95202.0

อ้างถึง
ชื่อ ของ ไวรัส
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)


ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากรเครือข่ายเพื่อทำการแพร่ระบาด

ขั้นตอนที่ 2. ทำการหยุดบริการ Server service เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์
**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่

จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services

การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)

http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)

ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้นตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้นตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จแล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
**Note
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง

ขั้นตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง

ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK

ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

ขั้นตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico

ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK

ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL

ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK

ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
AT /Delete /Yes
ขั้นตอนที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/) ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ห้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/) ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

ขั้นตอนที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal


ขอขอบคุณ
Manual Remove Conficker Downadup Virus
© 2009 Thai Windows Administrator, All Rights Reserved.




Confirmed by: เทพห้านาที, kerberos, , brad pitt, cyberboy

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
« แก้ไขครั้งสุดท้าย: 21 เมษายน 2011, 15:48:24 โดย นิค ณ ระยอง » Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
TechToy
Proficient Level 3
***


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

สมาชิกลำดับที่ 1855

Posting Frequency


อยากรู้ ต้องลอง


เว็บไซต์






 ระดับถัดไป:
 60% ( 6 / 10 )

« ตอบ #1 เมื่อ: 22 มกราคม 2009, 13:12:02 »

เพิ่มเติมให้ครับ Afro
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
ไมโครซอฟท์รวมถึงบริษัทด้านความปลอดภัยคอมพิวเตอร์หลายแห่งได้ประกาศเตือนให้ผู้ใช้ระบบวินโดวส์ระวังการระบาดของไวรัส W32/Conflicker หรือ W32/Downadup.AL

ไวรัส W32/Conflicker หรือ W32/Downadup.AL (โปรแกรมป้องกันไวรัสบางตัวเรียกว่า Net-Worm.Win32.Kido) จะโจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว

สำหรับสาเหตุที่เกิดการระบาดของเวิร์ม W32/Conflicker หรือ W32/Downadup.AL อย่างหนักนั้น ส่วนหนึ่งเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติดตั้งแพตช์ นอกจากนี้ในบางสายพันธุ์ของไวรัส W32/Conflicker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง

รายละเอียดของไวรัส W32/Conflicker หรือ W32/Downadup.AL
W32/Downadup.AL หรือ W32/Downadup.AL เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเวิร์ม ซึ่งแพร่ระบาดเข้าติดเครื่องคอมพิวเตอร์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าหากเวิร์มเข้าติดเครื่องคอมพิวเตอร์สำเร็จและระบบมีการเปิดใช้งานการแชร์ มันก็จะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัส นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ด้วย หลังจากไวรัสเข้าติดเครื่องคอมพิวเตอร์แล้ว มันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟล์มัลแวร์จากอินเทอร์เน็ต

ชื่อ: W32/Conflicker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Win32.Worm.Downadup.Gen (BitDefender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)
Confickr
ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems

การทำงานของไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อไฟล์ไวรัสถูกเอ็กซีคิวต์ มันจะทำงานต่างๆ ดังนี้

• ทำการสำเนาคัวเองลงในโฟลเดอร์ต่างๆ ดังนี้
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp

โดยไฟล์แต่ละไฟล์จะถูกแก้ไขไทมแสตมป์ให้ตรงกับไฟล์ %System%\kernel32.dll จากนั้นเวิร์มจะทำการสร้างค่ารีจีสทรีเพื่อให้วินโดวส์ทำการเอ็กซีคิวต์เวิร์มทุกครั้งที่ระบบสตาร์ท

• อาจจะทำการสร้างไฟล์บนไดร์ฟเก็บข้อมูลแบบพกพาดังนี้
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf

• ทำการแอทแทชตัวมันเองกับโปรเซสต่างๆ ดังนี้
svchost.exe
explorer.exe
services.exe

• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้
- Windows Automatic Update Service (wuauserv)
- Background Intelligent Transfer Service (BITS)
- Windows Security Center Service (wscsvc)
- Windows Defender Service (WinDefend)
- Error Reporting Service (ERSvc)
- Windows Error Reporting Service (WerSvc)

• ทำการรันคำสั่งเพื่อปิดการทำงาน TCP/IP auto-tuning บน Windows Vista ดังนี้
netsh interface tcp set global autotuning=disabled

• ทำการฮุค API เพื่อบล็อคการแอคเซสโดเมนยาวๆ ดังนี้
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

• เกิด Account lockout เนื่องจากไวรัสทำการแก้ไขรีจีสทรีเพื่อให้ทำการโจมตีระบบเครือข่ายดังนี้
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"

• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet

hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้ Windows Automatic Update Service (wuauserv), Background Intelligent Transfer Service (BITS), Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Error Reporting Service (ERSvc) และ Windows Error Reporting Service (WerSvc)
• เกิด Account lockout
• เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองเครื่องลูกข่ายช้าผิดปกติ
• ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้

วิธีการแพร่ระบาด
ไวรัส W32/Conflicker หรือ W32/Downadup.AL นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพา (บนระบบที่มีการเปิดใช้งาน AutoPlay)

วิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวลจากเว็บไซต์ http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์อัพเดท http://update.microsoft.com/microsoftupdate


การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
• Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive

• Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet

วิธีการแก้ไข
สำหรับท่านที่โดนเวิร์ม W32/Conflicker หรือ W32/Downadup.AL เล่นงาน สามารถแก้ไขโดยโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Downadup ดาวน์โหลดได้ที่เว็บไซต์ http://ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• FSMRT ดาวน์โหลดได้ที่เว็บไซต์ http://ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Malicious Software Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html


แหล่งข้อมูลอ้างอิง
http://www.f-secure.com/weblog/archives/00001576.html
http://support.microsoft.com/kb/962007
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

ที่มา:http://thaiwinadmin.blogspot.com/2009/01/kb037.html

Share topic : บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #2 เมื่อ: 26 มกราคม 2009, 08:32:58 »

Removal Tool สำหรับแก้ไวรัส Conficker หรือ Downadup
สำหรับ ท่านที่โดนไวรัส Conficker หรือ Downadup เล่นงาน สามารถดาวน์โหลดเครื่องมีอ Removal Tool สำหรับแก้ไขได้จากเว็บไซต์ต่างๆ ดังนี้


• F-Secure
ดาวน์โหลด F-Downadup ได้ที่เว็บไซต์ http://ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
ดาวน์โหลด FSMRT ได้ที่เว็บไซต์ http://ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

• Microsoft
ดาวน์โหลด Malicious Software Removal Tool (MSRT)ได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830

• BitDefender
ดาวน์โหลด BitDefender Removal Tool ได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

• McAfee
ดาวน์ โหลด McAfee Stinger ได้ที่เว็บไซต์ http://vil.nai.com/vil/stinger/ หรือ http://download.nai.com/products/mcafee-avert/stinger10000482.exe

• Symantec
ดาวน์โหลด W32.Downadup Removal Tool ได้ที่เว็บไซต์
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

• Norman
ดาวน์โหลด Conficker Removal Tool ได้ที่เว็บไซต์
http://www.norman.com/Virus/Virus_removal_tools/54879/ หรือ http://download.norman.no/public/Norman_Conficker_Cleaner.exe

ดาวน์โหลดอัพเดท 958644 (MS08-067)
    สามารอ่านรายละเอียดการดาวน์โหลดอัพเดท 958644 (MS08-067) ของวินโดวส์ทุกระบบได้ที่เว็บไซต์ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx หรือดาวน์โหลดอัพเดทได้ตามรายละเอียดด้านล่าง
Windows XP SP2 และ Windows XP SP3
Windows Server 2003 SP1 และ Windows Server 2003 SP2
Windows Vista และ Windows Vista SP1


W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup Removal Tool

© 2009 Thai Windows Administrator, All Rights Reserved.



Confirmed by: brad pitt

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
anuchap
บุคคลทั่วไป
« ตอบ #3 เมื่อ: 28 มกราคม 2009, 20:04:30 »

ผมใช้ Endpoint Solution 11.0.4000.2295 (ล่าสุด)
พบว่าใน Application Log พบ file 'xxxxxx' และลบไปแล้ว
แต่ยังพบ log รายการดังกล่าว อยู่หลาย ๆ ข้อความในแต่ละวัน

พยายามหาไฟล์ .dll แล้ว แต่ไม่พบเลย จะทำอย่างไรดีครับ

รบกวนผู้รู้ให้คำแนะนำด้วยครับ

Share topic : บันทึกการเข้า
anuchap
บุคคลทั่วไป
« ตอบ #4 เมื่อ: 28 มกราคม 2009, 20:06:44 »

ขอบคุณสำหรับข้อมูล มีประโยชน์มากครับ

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #5 เมื่อ: 29 มกราคม 2009, 08:09:47 »

การรับมือ และ การจัดการ ไวรัส W32.Conficker.C หรือ W32.Downandup.C

เผยแพร่โดย ThaiCERT
http://www.thaicert.org/advisory/alert/conficker.php

ชื่อ : W32.Conficker.C หรือ W32.Downandup.C
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : W32/Conficker.C [Microsoft, CA], W32.Downandup.C [Symantec], Mal/Conficker-B [Sophos], Worm:W32/Downadup.DY [F-Secure], Trojan-Downloader.Win32.Kido.a [Kaspersky]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
วิเคราะห์และเรียบเรียงโดย: กิติศักดิ์ จิรวรรณกูล


---------------------------------------------------

ข้อมูลทั่วไป

อ้างถึง
ประกาศ โปรดดำเนินการโดยเร่งด่วน

ต้องดำเนินการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ก่อนวันที่ 1 เมษายน 2552 เพื่อป้องกันการแพร่กระจายของหนอนชนิดนี้ และป้องกันไม่ให้หนอนทำการเชื่อมต่อไปยังเว็บไซต์ภายนอก
โปรดอ่านรายละเอียดเพิ่มเติมที่ MS08-067 หรือ CA-2008-29


    W32.Conficker.C หรือ W32.Downandup.C เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29 ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service) รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย [1][2]

    หนอนชนิดนี้ยังมีความสามารถในการหยุดการเข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส รวมทั้งเว็บไซต์ของ CERT ต่างๆ จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552 หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix) [2]


ภาพแสดงโค้ดของหนอนที่บ่งบอกถึงการทำงานของหนอนในวันที่ 1 เมษายน 2552 (ภาพจากเว็บไซต์ [3])

วิธีการแพร่กระจาย

    หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ที่ MS08-067 ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์ที่ใช้รหัสผ่านที่อ่อนแอ

ผลกระทบที่เกิดขึ้น
  - เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษาความปลอดภัยด้วย
  - เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์
  - เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Conficker.C หรือ W32.Downandup.C ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้


วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ

1. ดาวน์โหลดไฟล์ FixDwndp.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
2. เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
3. ปิดการทำงานทุกโปรแกรม
4. ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
5. ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน ดังรายละเอียดเพิ่มเติมของ ME และ XP
6. ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
7. รีสตาร์ทเครื่อง
8. รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
9. เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
10 เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของระบบปฏิบัติการตามประกาศของไมโครซอฟท์หมายเลข MS08-067
2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
3. สแกนไฟล์ในไดร์ฟ USB ก่อนเปิดใช้งานทุกครั้ง
4. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
5. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์


เอกสารอ้างอิง

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.C
http://mtc.sri.com/Conficker/addendumC/
http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx
http://www.f-secure.com/weblog/archives/00001636.html
http://news.cnet.com/8301-1009_3-10204590-83.html?tag=newsLeadStoriesArea.1
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=77976
http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99
 

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***


เผยแพร่โดย ThaiCERT
http://www.thaicert.org/advisory/alert/conficker.php


ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
« แก้ไขครั้งสุดท้าย: 31 มีนาคม 2009, 11:32:54 โดย นิค ณ.ระยอง ™,
Reason: การรับมือ และ การจัดการ ไวรัส W32.Conficker.C หรือ W32.Downandup.C
»
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
anuchap
บุคคลทั่วไป
« ตอบ #6 เมื่อ: 29 มกราคม 2009, 23:23:22 »

.dll ที่ว่า

อาจอยู๋ใน C:\Windows\System32

ลองเรียง Modify Date ดู

เดี๋ยวจะลองไล่หาดูทีละไฟล์อีกทีครับ

แต่วันนี้ ดูว่าจะเงียบไปหลังจากที่เข้าไปลบ Task ใน Scheduler ออกไปทั้งหมดแล้ว

ผมใช้วิธีจากกระทู้นี้ ไปตรวจสอบขั้นสุดท้าย ว่ายังมีหรือไม่ (โดยเฉพาะกลุ่ม Servers  ถ้าลงใหม่คงจะใช้เวลามากทีเดียว)
ซึ่งเป็นประโยชน์มาก เพราะทำให้มั่นใจว่ามาถูกทางแล้ว
ขอบคุณมาก ๆ ครับ

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #7 เมื่อ: 30 มกราคม 2009, 09:35:49 »

Task ใน Scheduler
ผม ไม่ได้ใช้ หน่ะ ที่Office เลย Disable Service ทั้งแต่ ทำ Master เครื่องแล้ว

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
soontron7
บุคคลทั่วไป
« ตอบ #8 เมื่อ: 30 มกราคม 2009, 14:05:54 »

การลบไวรัส Conficker หรือ Downadup.AL  ใช้ลบ Win32/Conficker.AB worm ได้หรือเปล่าคับ ใช่ไวรัสตัวเดียวกันหรือเปล่าคับ
 ขอบคุณคับ

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #9 เมื่อ: 30 มกราคม 2009, 14:12:59 »

การลบไวรัส Conficker หรือ Downadup.AL  ใช้ลบ Win32/Conficker.AB worm ได้หรือเปล่าคับ ใช่ไวรัสตัวเดียวกันหรือเปล่าคับ
 ขอบคุณคับ

ถูกต้อง  ต้อง Update Microsoft Security Patch ก่อนนะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
hodkum
Genius Expert
****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 125

สมาชิกลำดับที่ 3830

Posting Frequency


" ถ้าคิดจะล้มควาย จงอย่าเสียดายเกลือ "









 ระดับถัดไป:
 50% ( 5 / 10 )

« ตอบ #10 เมื่อ: 2 กุมภาพันธ์ 2009, 09:37:35 »

ทำไมผมใช้ Removal Tool ของ Symantec  ไม่หายนะ

วิธีทำของผม
1ดาวน์โหลดและทำการติดตั้งแพตซ์ 958644 (MS08-067)แล้วมาติดตั้ง
2.ใช้ Removal Tool ของ Symantec  scan
 ก็ยังไม่สามารถเข้า web พวก • ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ได้ เช่น microsoft symantec ตกหล่นตรงไหนเปล่าครับเป็นที่ server 2003R2  Pack2


Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #11 เมื่อ: 2 กุมภาพันธ์ 2009, 10:01:43 »

ทำไมผมใช้ Removal Tool ของ Symantec  ไม่หายนะ

วิธีทำของผม
1ดาวน์โหลดและทำการติดตั้งแพตซ์ 958644 (MS08-067)แล้วมาติดตั้ง
2.ใช้ Removal Tool ของ Symantec  scan
 ก็ยังไม่สามารถเข้า web พวก • ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ได้ เช่น microsoft symantec ตกหล่นตรงไหนเปล่าครับเป็นที่ server 2003R2  Pack2


Virus คนละตัว กันหรือเปล่า
จริงๆ Antivirus ทุกตัว ตอนนี้ น่าจะรู้จักไวรัสตัวนี้หมดแล้วนะ
อีกอย่าง สามารถ Clean ได้ด้วย



ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
hodkum
Genius Expert
****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 125

สมาชิกลำดับที่ 3830

Posting Frequency


" ถ้าคิดจะล้มควาย จงอย่าเสียดายเกลือ "









 ระดับถัดไป:
 50% ( 5 / 10 )

« ตอบ #12 เมื่อ: 2 กุมภาพันธ์ 2009, 10:30:48 »

ผมเข้าพวก web antivirusและ microsoft  ไม่ได้เลยทำให้ไม่สามารถอัป ตัวsacnvirus ได้


มีรูปที่stinger1000 จับเจอแต่ทำไรไม่ได้นะยังscan ไม่หมด



* vi.jpg (96.57 KB, 897x676 - ดู 976 ครั้ง.)
« แก้ไขครั้งสุดท้าย: 2 กุมภาพันธ์ 2009, 10:47:43 โดย hodkum » Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #13 เมื่อ: 2 กุมภาพันธ์ 2009, 11:06:02 »

ก่อหน้านี้ เมื่อ ปลายปี Confricker มีออกมา เหมือนกัน
MS Patch ต้องติดตั้งด้วย

ผม Up หมด
KB894391
KB921883
KB927891
KB958644
KB957097
KB835732
IE 6-7-KB960714
KB958687
KB957095

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
hodkum
Genius Expert
****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 125

สมาชิกลำดับที่ 3830

Posting Frequency


" ถ้าคิดจะล้มควาย จงอย่าเสียดายเกลือ "









 ระดับถัดไป:
 50% ( 5 / 10 )

« ตอบ #14 เมื่อ: 2 กุมภาพันธ์ 2009, 16:37:33 »

สรุป nod32 จับเจอและสามารถ del ได้ตอนนี้สามารถ เข้า web update windows ได้แล้วไม่รู้มาก่อนเลยนะว่าที่นี่คือแหล่งกบดาบของมัน SERVER ของเราคือที่อยู่ที่แสนดีของมันไปเลย



* 1.jpg (215.6 KB, 825x529 - ดู 1423 ครั้ง.)
Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
เป่า
Intelligent Layer 5
*****


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 492

สมาชิกลำดับที่ 10942

Posting Frequency










 ระดับถัดไป:
 51.67% ( 62 / 120 )

« ตอบ #15 เมื่อ: 2 กุมภาพันธ์ 2009, 16:41:50 »

สรุป nod32 จับเจอและสามารถ del ได้ตอนนี้สามารถ เข้า web update windows ได้แล้วไม่รู้มาก่อนเลยนะว่าที่นี่คือแหล่งกบดาบของมัน SERVER ของเราคือที่อยู่ที่แสนดีของมันไปเลย

ใช้ Nod V3 ขึ้นแบบนี้เหมือนกันครับ

Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #16 เมื่อ: 2 กุมภาพันธ์ 2009, 16:44:42 »

ของผม ที่เอาไปให้ Office เพื่อ ใช้ ลอง ลง Server ดู

เขียน Policy คุม NOD32 แบบ เต็มๆ เลยนะ
มัน work มากครับ
ใช้มา จะ ปีแล้ว ยังไม่พบว่า มีหลุด  ดู จาก log แล้ว
ปกติ ดี ครับ
จับไฟล์แชร์ User ได้เพียบเลย
ตอนนี้ DISK จะเต็มแล้ว user เอาหลัง ไปใส่ เอาไวรัส ไปปล่อย เฮ๋อๆๆ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
CREATIVE
Scholar Class 3
***


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 216

สมาชิกลำดับที่ 25349

Posting Frequency










 ระดับถัดไป:
 60% ( 6 / 10 )

« ตอบ #17 เมื่อ: 10 กุมภาพันธ์ 2009, 11:07:27 »

เจอแล้วครับท่านทั้งหลายเจ้งกานไปๆๆๆๆๆ

Share topic : บันทึกการเข้า

<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>
wason555
Thaiadmin Global Staff
*****


จิตพิสัย: 50
ออนไลน์ ออนไลน์

เพศ: ชาย
กระทู้: 4,362

สมาชิกลำดับที่ 15820

Posting Frequency


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด









สมบูรณ์ 100%

« ตอบ #18 เมื่อ: 16 กุมภาพันธ์ 2009, 14:44:19 »

Malicious Software Removal Tool - Update ครับใช้กำจัดได้
http://www.microsoft.com/security/malwareremove/default.mspx

หลังจากเข้าหน้าเว็บให้เลือกที่ Skip the details and download the tool เพื่อที่จะทำการดาวน์โหลด Tools กำจัดมา


Share topic : บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

เป่า
Intelligent Layer 5
*****


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 492

สมาชิกลำดับที่ 10942

Posting Frequency










 ระดับถัดไป:
 51.67% ( 62 / 120 )

« ตอบ #19 เมื่อ: 16 กุมภาพันธ์ 2009, 16:25:17 »

ของผมโหลดมาแล้วก็เอาไม่อยู่เหมือนเดิมนะครับ



* 1.JPG (41.37 KB, 377x446 - ดู 806 ครั้ง.)

* 2.JPG (63.33 KB, 872x479 - ดู 997 ครั้ง.)
Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #20 เมื่อ: 16 กุมภาพันธ์ 2009, 17:00:26 »

ต้องเข้าใจ ครับ
ใน Network และ Internet ยังคงมีการยิงเข้ามาเรื่อยๆ ครับ

ถ้าจะ ดู กัน จริงๆ ลำบากหน่อยนะ ต้อง Moniter log เอาว่า มันยิงมาจากเครื่องไหน

ลองดู



Confirmed by: wason555

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์

* TCPVIEW.zip (42.18 KB - ดาวน์โหลด 788 ครั้ง.)
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****


จิตพิสัย: 50
ออนไลน์ ออนไลน์

เพศ: ชาย
กระทู้: 4362

สมาชิกลำดับที่ 15820

Posting Frequency


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด









สมบูรณ์ 100%

« ตอบ #21 เมื่อ: 16 กุมภาพันธ์ 2009, 17:21:43 »

แนะนำครับถ้าหากว่ามีงบนิดหน่อยให้ทำ Firewall ด้วย Linux เลยดีกว่าครับตัวไหนก็ได้ อย่าใช้ ISA เด็ดขาดเพราะ ISA มันก็ยังต้องอ้างอิงกับ Windows อยู่ดี อาจนำพวก SmoothWall หรือ Endian Firewall มาวางกั้นก่อนออกเน็ตไว้เลยครับ  สามารถกันได้ถ้าเป็นจากภายนอกเพราะเคยใช้อยู่พักนึง (แต่ตอนนี้เอา FortiGate มาวางไว้หน้า SmoothWall อีกทีนึง เอาไว้กันคนละอย่าง)

Share topic : บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

charin_rrr
Novice Member
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 7

สมาชิกลำดับที่ 50519

Posting Frequency










 ระดับถัดไป:
 40% ( 2 / 5 )

« ตอบ #22 เมื่อ: 18 กุมภาพันธ์ 2009, 10:27:28 »

วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง



**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่



ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

คุณนิคครับ

ปกติทุกครึ่งชั่วโมง bitdefender ของผมจะป๊อบอัพเตือนว่าถูกโจมดี

ผมเลยทำตามขั้นตอนที่คุณนิคให้มา ทั้ง patch ทั้งแก้ registry ก็โอเค ดูสงบ ไม่มีเตือน

ใช้งาน server ได้ตามปกติ print ผ่าน network ก็ได้ เล่น net รับเมล์ เจ๋งเลย

แต่พอเปิด service server เท่านั้นแหละ โดนอีกจนได้ เป็นเพราะอะไรครับ



ส่วนที่โคว้ตสีแดงมา ผมไม่เจอค่านั้นครับ เป็นเพราะตรงนี้รึเปล่า หรือยังมี patch ตัวไหนที่ผมตกหล่นครับนอกจากตัว 985644

เพราะไม่เคยอัพเดทเลยครับ

Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #23 เมื่อ: 18 กุมภาพันธ์ 2009, 10:29:49 »

ชะอุ่ย

charin_rrr

แนะนำให้ Download Patch

KB894391
KB921883
KB927891
KB958644
KB957097
KB835732
KB958687
KB957095
KB96071

ผมเล่นยก Patch

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
charin_rrr
Novice Member
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 7

สมาชิกลำดับที่ 50519

Posting Frequency










 ระดับถัดไป:
 40% ( 2 / 5 )

« ตอบ #24 เมื่อ: 18 กุมภาพันธ์ 2009, 11:45:31 »

ขอบคุณครับ

เดี๋ยวพรุ่งนี้จะลองครับ

ได้ผลยังไงจะมาเล่าให้ฟัง

เพราะเห็นบางคนโพสต์ว่าแก้ไม่ได้เหมือนกันครับ



Confirmed by:

Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
AppleNaKin
Wizard Expert
**


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: หญิง
กระทู้: 103

สมาชิกลำดับที่ 2970

Posting Frequency


ผู้ด้อยประสบการณ์ แต่ ความพยายามสูงงง....









 ระดับถัดไป:
 30% ( 3 / 10 )

« ตอบ #25 เมื่อ: 20 กุมภาพันธ์ 2009, 23:05:16 »

ขอบคุณม๊าก ๆ ค่ะสำหรับขขอมูลและ คำแนะนำดี ๆ เช่นนี้ ว่าแต่ว่า เก่งจังค่ะ Afro .... Cheesy  ได้ใชทันตาเห็นเลยค่ะ เพราะสถานะตอนนี้ ติดอยู่ ทั้ง Domain 30 กว่าเครื่องเห็นจะได้ เงออออ เราควรเริ่มจากตรงไหนดีค่ะ ที่เครื่อง server ต้องปิด อันดับแรก ใช่ไหมค่ะ ต่อมาคงไล่ทำเครื่องลูก ๆ แต่ละเครื่องให้หมด แล้วจะรู้ได้งัยค่ะว่ามันหายแล้ว จริง ๆ สงสัยค่ะ



Confirmed by:

Share topic : บันทึกการเข้า

<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #26 เมื่อ: 21 กุมภาพันธ์ 2009, 01:38:03 »

ขอบคุณม๊าก ๆ ค่ะสำหรับขขอมูลและ คำแนะนำดี ๆ เช่นนี้ ว่าแต่ว่า เก่งจังค่ะ Afro .... Cheesy  ได้ใชทันตาเห็นเลยค่ะ เพราะสถานะตอนนี้ ติดอยู่ ทั้ง Domain 30 กว่าเครื่องเห็นจะได้ เงออออ เราควรเริ่มจากตรงไหนดีค่ะ ที่เครื่อง server ต้องปิด อันดับแรก ใช่ไหมค่ะ ต่อมาคงไล่ทำเครื่องลูก ๆ แต่ละเครื่องให้หมด แล้วจะรู้ได้งัยค่ะว่ามันหายแล้ว จริง ๆ สงสัยค่ะ

ถ้าเป็นไปได้ให้ทำเป็น Email แจ้ง พนง. ก่อน ว่าจะทำการ Down ระบบ ช่วงเวลาไหน เพื่อ อะไร กระทบกับอะไรบ้างในช่วงที่ Down

จากนั้น เริ่มต้นที่ Server Antivirus ก่อนเลย Update Patch ตั้งแต่ Server
เมื่อ Server ขึ้นได้แล้ว ต้อง Clean ด้วย
ให้ ทำการ Deploy จาก AD อาจทำเป็น Logon Script Deploy Patch
และ แนะนำให้ Scan Antivirus ที่ Client ตาม

ทำ ครั้งเดียว เสียวทั้งระบบ




Confirmed by:

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #27 เมื่อ: 3 มีนาคม 2009, 16:05:51 »

สรุป ให้ฟังคร่าว นะครับ ส่วนที่ผม ใช้งานแก้ไขให้ User

1. ให้ Admin ทำการ Download Patch ของ Microsoft ทั้งหมดที่เกี่ยวข้อง ไม่ว่า จะเป็น For Windows Server หรือ Windows Client
ปล. Patch ที่ใช้เขียน Batch Files ไว้ Run dos ที่ผม โยนไปให้ User  คือ
* L:\ คือ Drive Share นะครับ ตอนใช้ อาจเพิ่ม คำสั่ง @net use L: \\IP_Server\share_drive เข้าไปก็ได้
** KBxxxxx ผมไม่พูดถึงนะครับ ให้ไป Search Download กันเอง ไม่น่ายากแค่เอาชื่อ KB ไป Search ก็ได้แล้ว ผมรวมแหลกครับ
โค๊ด: Select | Copy
@echo. Security Update for Windows XP.
@net use L: \\192.168.1.200\kb
@start /wait L:\KB894391.exe /quiet /norestart
@start /wait L:\KB921883.exe /quiet /norestart
@start /wait L:\KB927891.exe /quiet /norestart
@start /wait L:\KB958644.exe /quiet /norestart
@start /wait L:\KB957097.exe /quiet /norestart
@start /wait L:\KB835732.exe /quiet /norestart
@start /wait L:\KB958687.exe /quiet /norestart
@start /wait L:\KB957095.exe /quiet /norestart
@start /wait L:\WindowsXP-IE7-KB960714-x86-ENU.exe /quiet /norestart
@start /wait L:\IE7-WindowsXP-KB961260-x86-ENU.exe /quiet /norestart
@start /wait L:\WindowsXP-IE6-KB960714-x86-ENU.exe /quiet /norestart
@net use L: /delete /Yes

2. จัดการ ยิงให้ User
- ใช้ Domain เป็นตัว Deploy ครับ ทำเป็น Script Login เช้าๆ User Login เข้า Domain มันก็จะมี หน้า Dos ขึ้นมา ก็แจ้ง User ให้ทราบก่อนแล้วกันว่า IT มีการ Update โปรแกรม นะครับ  User เขาจะได้ ไม่ปิด หน้าต่าง นั้น
- ใช้วิธี เดิน Admin พบประชาชน เข้าไป Update Patch โดยวิธี เดิน เข้าไปคุย อันนี้ ผมคงไม่ทำอ่ะ เหนื่อยเปล่า แต่ถ้าเครื่องน้อย ทำได้ครับ
แนะนำเพิ่ม สำหรับการเดิน
ให้ รวมๆ ไฟล์ ไว้ที่เดียวกัน แล้ว ใช้ WInrar Zip เป็น EXE นะครับ
วิธีทำลองไป อะแด๊ปจาก http://www.com-th.net/webboard/index.php?topic=19380.0
แต่ผมจะใช้ วิธีกด Accep แล้ว แตกไฟล์ลง C:\MSFixIT แล้วให้ใช้ ไฟล์ bat ข้างบน เป้นตัวเรียก ติดตั้ง อีกครั้งนึง


เมื่อ ติดตั้ง Update Patch Client เสร็จแล้ว
เราก็มาถึงการทำการ Scan Virus กัน
มีทางเลือก ให้ 3 ทาง
1. ใช้ Antivirus ที่คุณใช้งาน สั่ง Scan Client ได้เลย
2. ใช้ Tools Fix ต่างๆ เข้ามาช่วย
3. ใช้ Microsoft Windows Malicious Software Removal Tool  ตาม KB ชื่อ kb890830

มาทำการ SCAN แต่ในเนื้อหานี้ ผมขอเสนอ การใช้งาน การ Scan จาก ข้อ 3 นะครับ
ลำดับแรก เรื่อมด้วยการ เขียน Batch files dos ก่อนครับ ตาม code นี้
* เงื่อนไข การแชร์ไฟล์
\\192.168.1.200\kb\ เอาไว้เก็บ KB ชือ่ windows-kb890830-v2.7.exe   <---Permission = Everyone  Read only
\\192.168.1.200\log\ เอาไว้ เก็บ log Virus ที่ scan มา เก็บไว้ ดู ย้อนหลัง <--- Permission Everyone Full Read/Write

โค๊ด: Select | Copy
@echo off

if exist "%windir%\debug\mrt.log" del "%windir%\debug\mrt.log"

eventcreate /l APPLICATION /so MSRT /t INFORMATION /id 1000 /d " Malicious Software Removal Tool (KB890830): Deleted old log file if exists. Next starting new scan."

Start /wait \\192.168.1.200\kb\windows-kb890830-v2.7.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12

eventcreate /l APPLICATION /so MSRT /t INFORMATION /id 1000 /d " Malicious Software Removal Tool (KB890830) did not report an error and should be executing. Next command is sleep 600"

sleep.exe 600


copy %windir%\debug\mrt.log \\192.168.1.200\log\%computername%_%username%_mrt.log
eventcreate /l APPLICATION /so MSRT /t INFORMATION /id 1000 /d " Malicious Software Removal Tool (KB890830) should have copied the log file to the server."
Goto end


:error13
Ismif32.exe –f MaliciousSoftwareRemovalTool –p KB890830-MaliciousSoftwareRemovalTool –d " text about error 13"
eventcreate /l APPLICATION /so MSRT /t ERROR /id 1000 /d " Malicious Software Removal Tool (KB890830) had error 13"
Goto end


:error 12
Ismif32.exe –f MaliciousSoftwareRemovalTool –p KB890830-MaliciousSoftwareRemovalTool –d " text about error 12"
eventcreate /l APPLICATION /so MSRT /t ERROR /id 1000 /d " Malicious Software Removal Tool (KB890830) had error 12"
Goto end

:end

หนทางการเอาไปใช้งาน
1. Admin จะส่ง email ตัว Script Batch file ไปให้ user run ก้ได้ครับ แต่ user ต้อง ต่อ network  ก่อนนะครับ ถ้าอยู่ บ้าน คง ต้อง VPN เข้ามาแล้วหล่ะ
2. หรือจะใช้ Domain ทำการ deploy เหมือน กับการ Patch ก็ได้
3. หรือ จะใช้วิธี Admin IT พบประชาชน ก็ได้ ครับ จะได้หูชากันไป

Log ที่ได้จากการ Scan จะได้มาเป็น text ไฟล์ ให้ Admin เปิดดู พิจารณา นะครับ ว่ามีการ Clean Virus ให้ด้วยหรือเปล่า ตัวอย่าง

โค๊ด: Select | Copy

---------------------------------------------------------------------------------------

Microsoft Windows Malicious Software Removal Tool v2.6, January 2009
Started On Wed Feb 04 09:51:43 2009

Quick Scan Results:
----------------
Found virus: Worm:Win32/Conficker.B in file://C:\WINDOWS\system32\dhliu.dll

Quick Scan Removal Results
----------------
Start 'remove' for service://rfjqrbgj
Operation succeeded !

Start 'remove' for file://\\?\C:\WINDOWS\system32\dhliu.dll
Operation was scheduled to be completed after next reboot.


Results Summary:
----------------
For cleaning Worm:Win32/Conficker.B, the system needs to be restarted.

Return code: 10
Microsoft Windows Malicious Software Removal Tool Finished On Wed Feb 04 09:52:34 2009

Clean เรียบร้อย ครับ


ในส่วนทั้งหมด ที่กล่าวมา นะครับ
เป็นเพียงการป้องกัน ระดับนึง
ส่วนการทำงาน จริงๆ 365 วัน คุณจะมาป้องกัน หรือ แก้ไขปัญหา แบบนี้ จริงๆ คงไม่ไหว
โปรแกรม Antivirus ดีๆ และ การจัดการ ที่ดีๆ จะช่วยลดภาระ ในส่วนนี้ได้เยอะครับ

ก่อนการตัดสินใจซื้อโปรแกรมองกรณ์ ใดใด แนะนำให้ ท่าน ทำ demo เพื่อในการตัดสิน ด้วยนะครับ


หากมีปัญหา สงสัย ตรงส่วนใด สอบถามเพิ่มเติมได้ครับ

อ้างถึง
เพิ่ม Link สำหรับท่านที่ติดปัญหา Win32/Conficker.b ไป Disable user บน AD
http://support.microsoft.com/kb/962007
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker




Confirmed by: ,

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
« แก้ไขครั้งสุดท้าย: 11 มีนาคม 2009, 12:24:07 โดย นิค ณ.ระยอง » Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #28 เมื่อ: 3 มีนาคม 2009, 16:17:10 »

Files ที่ใช้ ทำ Batch และ install

จะพยายาม นำมาให้ ครับ

อ้างถึง

http://www.mediafire.com/?sharekey=10ea0cde48f85b2072fe51beb8fb6bfb79d731a14ac698f1
Disk Share by Media Files
nick@na-man.com

1. FixDownadup Tools Fix ของ Symantec
2. Malicious Software Removal Tool (KB890830) + สคริป สำหรับ ทำ log Viewer Virus
3. MSPatch เป็นตัว ติดตั้ง อัตโนมัติ สำหรับ เอาไว้เดิน ไปพบประชาชน
4. ScriptLoginDomain สคริป Login


*** ขออภัย Admin ด้วย เพราะ เนื้อหา มันยาว ขอ ซอยกระทู้ นะครับ ***
คนอื่น จะได้แบ่ง คอลั่มถูก



Confirmed by:

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
« แก้ไขครั้งสุดท้าย: 3 มีนาคม 2009, 16:36:51 โดย นิค ณ.ระยอง » Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
poy_local
Proficient Level 4
****


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

กระทู้: 173

สมาชิกลำดับที่ 25044

Posting Frequency


^^หนุ่มสุรินทร์เหลา^^









 ระดับถัดไป:
 30% ( 3 / 10 )

« ตอบ #29 เมื่อ: 5 มีนาคม 2009, 23:44:37 »

ผมก็โดนไอ้ตัวนี้เหมือนกันคับ ปวดหัวไปวันหนึ่งเต็ม ๆ  มันทำให้ระบบแชร์ปริ้น ไม่ทำงาน user ปริ้นไม่ออก ที่ทำงานผม ปริ้นทั้งวันด้วยซิ เดียวก็โทรมาแระ ไม่ออก
อีกแล้ว เดินทั้งวัน เลยไปได้เจ้าตัว  WWDC มีปิดพอร์ต ไว้ดูใน Log ของ Nod ก็เจอ ลองทำเครืองไหม่ 12 ตัวพร้อมกัน  ด้วย systemrescuecd
เสร็จแล้วตั้งเครืองไหม่เลย ประมาณชั่วหนึ่งมาอีกแระ หาไปแต่ละทีทยอยลบไปเรื่อย ไม่หมดสักที
คราวนี้รายงาน it manager ขอเข้าไปดูที่ samba ของ linux เกรงว่าจะอยู่ในนั้น โดนหัวหน้าสวนมาซะยับเลย
ทั้งด่า ทั้งสั่งสอน บอกมันคนละ OS กัน มันจะไปอยู่ได้ คิดหน่อยนะ หัวสมองนะ  ผมนี้    Lips Sealed   เซงเลย

พี่ช่วยตอบผมหนอ่ยซิคับ  มันเป็นไปได้มั่ย กับที่ผมคิดว่ามันอยู่ใน samba น้อยใจนิดๆ กำลังมองหาที่ไหม่ๆ ที่เจ้านายใจกว้างกว่านี้หน่อย
เป็น helpdesk แต่ไม่มีสิทธิ์เข้าห้อง  server เวลาเน็ต down ก็ต้องวิ่งหาที่ telnet ssh ตามโต๊ะ user  เฮ้อ ขอระบายนิดหน่อยนะคับ
เข้าห้อง server เป็นสิทธิ์ของ วิศวะไอที จะ restart network แต่ละทีวิ่งมาถาม helpdesk ว่าลืมแล้ว ใช้คำสั่งอะไร    Tongue  บอกหน่อย
แล้วอยู่ไปเราจะรุ่งหรือจะจมเนี้ย    สู้ๆๆ



Confirmed by:

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #30 เมื่อ: 6 มีนาคม 2009, 11:19:19 »

เข้าใจ คำว่า Helpdesk เราก็เล่นตัวบ้าง ซิครับ
มันเป็นงานของ EN ที่ต้องคอยดูแล ระบบ การ down แต่ละครั้ง แจ้ง ให้ EN ทำการ Down เลย เปิด Request ไปเลย
Helpdesk Level หรือ สิทธิ์ น้อยกว่า EN ถ้า Helpdesk ก้าวพลาด ไม่มี EN มาช่วยหรอก นะ
ผมก็อยู่ในฐานะ Helpdesk คนนึงเหมือนกัน

ส่วน SAMBA บน files share Virus เข้าไป ฝังตัวเองได้อยู่แล้วหล่ะ


ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Vivid
Intelligent Layer 1
*


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 363

สมาชิกลำดับที่ 18060

Posting Frequency










 ระดับถัดไป:
 65% ( 13 / 20 )

« ตอบ #31 เมื่อ: 6 มีนาคม 2009, 23:18:26 »

ผมโดนเข้าไปอีกรายครับ แก้ตั้งแต่ 11 โมง จนใกล้จะเที่ยงคืนแล้ว
จะบ้าตาย แล้วเนี่ย เสาร์อาทิตย์นี้ไม่ได้หยุดแน่นอน เฮ้อ

Share topic : บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
Jame@Bond
บุคคลทั่วไป
« ตอบ #32 เมื่อ: 9 มีนาคม 2009, 11:46:29 »

 แล้วเจ้าไวรัสที่ชื่อ win32/autorun.agent.fw worm แก้อย่างไรครับ

Share topic : บันทึกการเข้า
Nostalgia
Thaiadmin Global Staff
*****

 Thaiadmin Professional


จิตพิสัย: 140
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 3,862

สมาชิกลำดับที่ 4528

Posting Frequency


<= ถึงจะเป็น admin เซอๆ แต่ผมก็จน =>


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #33 เมื่อ: 9 มีนาคม 2009, 15:25:01 »

ลองประยุกต์ดัดแปลงแก้ไขใช้งานดูว่าได้ป่าวนะครับ และก็ลองดูหลายๆ วิธีการแก้ไข เพราะปัยหาบางอย่างใช้วิธีการคล้ายๆ กัน

ลองดูนะครับ  Wink



^-^ nostalgia ^-^
Share topic : บันทึกการเข้า

ให้ฉันดูแลเธอ รักเธอได้ไหม

(\_/)
(='.'=)
("")_("")
Vivid
Intelligent Layer 1
*


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 363

สมาชิกลำดับที่ 18060

Posting Frequency










 ระดับถัดไป:
 65% ( 13 / 20 )

« ตอบ #34 เมื่อ: 9 มีนาคม 2009, 16:16:56 »

ผมกำลังแก้อยู่เหมือนกัน ก็ใช้เครื่องมือที่ท่านนิค แนะนำไว้ รวม ๆ กัน
ทั้ง Bitdefender ทั้ง Mcafee ทั้ง Update Patch
แต่ที่แนะนำ ตัดเครื่อง client ที่ยังไม่ได้สแกนไวรัส ออกจากเน็ตเวิร์คให้หมดก่อน
และไล่สแกนทีละเครื่อง ไม่งั้นเจอยิงรอบสองเข้าไปตายครับ ต้องสแกนกันใหม่

Share topic : บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
figorus
บุคคลทั่วไป
« ตอบ #35 เมื่อ: 17 มีนาคม 2009, 10:29:46 »

ที่ทำงานผมเครื่องที่ติดไวรัสจะเป็นแบบนี้หมดเลยครับ  ไม่สามารถแชร์เครื่องพิมพ์และfolder ได้เลย  ปวดหัวมากครับ




* 001.jpg (54.48 KB, 365x451 - ดู 323 ครั้ง.)
Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #36 เมื่อ: 17 มีนาคม 2009, 10:32:03 »

ที่ทำงานผมเครื่องที่ติดไวรัสจะเป็นแบบนี้หมดเลยครับ  ไม่สามารถแชร์เครื่องพิมพ์และfolder ได้เลย  ปวดหัวมากครับ


เป็นยังไง หรือ ครับ ในภาพ มันก็ปกติ นะครับ
ลองทำตามขั้นตอนการแก้ไขดู หาก ติดไวรัส ตัวนี้ นะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #37 เมื่อ: 17 มีนาคม 2009, 10:38:46 »

ตอนที่มันปกติมันจะเป็นแบบนีครับ  จะมีครบที้ง 3 tap  และ  ตรงเครื่องหมายถูกสามารถคลิ๊กเลือกได้ครับ



* network.jpg (41.95 KB, 364x542 - ดู 330 ครั้ง.)
Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #38 เมื่อ: 17 มีนาคม 2009, 11:36:28 »

ไม่ทราบว่า มันมี อะไรเกิน มาบ้างครับ
ในรูป มันไม่เห็น

เป็น Personal firewall ของโปรแกรม หรือเปล่า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #39 เมื่อ: 17 มีนาคม 2009, 11:48:28 »

ส่วนที่เกินคือ  1.  Client for Microsoft Sharing ปกติจะไม่มี  2.  ช่องสี่เหลี่ยมหน้าตัวเลือกจะเป็นสีเทาไม่สามารถคลิ๊กเลือกได้
ส่วนที่หายไปคือ  2.  แถบ  Advance
                         



* 001.jpg (54.48 KB, 365x451 - ดู 321 ครั้ง.)
Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #40 เมื่อ: 18 มีนาคม 2009, 08:24:08 »

Client for Microsoft Sharing ต้องมี
Netware ต้องไม่มี หากไม่ได้ ใช้ Netware หรือ เล่นเกมส์

แปลกดี ครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์


* ScreenShot004.jpg (54.63 KB, 394x495 - ดู 321 ครั้ง.)
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
niravit
บุคคลทั่วไป
« ตอบ #41 เมื่อ: 18 มีนาคม 2009, 13:32:47 »

 Afro ขอบคุณคุณนิค มากครับสำหรับความรู้ แอบอ่านอยู่นาน วันนี้ขอเข้ามาขอบคุณซะที

ขอบคุณมากครับ


Share topic : บันทึกการเข้า
Jame@Bond
บุคคลทั่วไป
« ตอบ #42 เมื่อ: 18 มีนาคม 2009, 15:07:26 »

ของผม  ลบไฟล์ dll ที่ malware ออกไม่ได้ ทำตามขึ้นตอนทุกอย่างครับ  ไง คุณนิค แนะนำนิดนึง ใน %systemroot%system32/... .dll

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #43 เมื่อ: 18 มีนาคม 2009, 15:13:05 »

Conficker
ถ้า Update Patch Windows แล้ว + Scan Virus แล้ว  + windows-kb890830-v2.8 แล้ว จะหาย ครับ

Virus น่าจะคนละตัวกันแล้ว
ลอง Update Signature ของ โปรแกรม  Antivirus ดู ก่อน มันจะได้ รู้จักไวรัส ตัวใหม่ๆ
แล้ว ค่อย Scan Virus บน WIndows Safemode นะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #44 เมื่อ: 18 มีนาคม 2009, 16:38:10 »

ถ้าเครื่องไหนติดไวรัส  มันจะมีไฟล์นี้คับ  อาการตามรูปกระทู้เดิม  ไม่สามารถเข้าไปยังเครื่องอื่นได้  ใช้เครื่องพิมพ์ที่แชร์ไม่ได้  อินเตอร์เน็ตใช้ได้ถ้า reset IP
%System%\Drivers\ndisio.sys

Share topic : บันทึกการเข้า
olelemon
บุคคลทั่วไป
« ตอบ #45 เมื่อ: 19 มีนาคม 2009, 14:28:40 »

สวัสดีครับ ทุกท่าน  Grin ผมยังแก้ไม่ได้เลยครับ สองอาทิตย์ผ่านมาแล้ว  Cry
สิ่งที่ทำไปทั้งหมดแล้วนะครับ
ทำการ Update Patch ต่างๆ ของ Microsoft โดยผ่าน WSUS Server
กลับ Update Path ไม่ครบ เพิ่ม Logon Scrip ดังนี้ เพื่อ update แล้วก็ scan virus ไปด้วย
Account Domain Uer ก็ ยังโดน Lock อยู่ดีครับ  สั่ง Menul Scan โดย Symantec ทุกเครื่องในองค์กร ก็ยังไม่หาย
หมดปัญญาของชาวนาบ้านนอกแล้วครับ  Cry
 Lips Sealed
========================================================
@echo off
dns.vbs
@echo off
color 0A
ECHO. ***********************************************************************************************
ECHO.                DCServer Information Technology - Do It Securely or Not At All
ECHO.                                Multi OS W32.Downadup Cleaner
ECHO. ***********************************************************************************************


ver | find "2003" > nul
if %ERRORLEVEL% == 0 goto ver_2003

ver | find "XP" > nul
if %ERRORLEVEL% == 0 goto ver_xp

ver | find "2000" > nul
if %ERRORLEVEL% == 0 goto ver_2000

ver | find "Version 6.0.6000" > nul
if %ERRORLEVEL% == 0 goto ver_vista-sp0

ver | find "Version 6.0.6001" > nul
if %ERRORLEVEL% == 0 goto ver_vista-sp1


goto exit

:ver_2003
echo Microsoft Windows 2003
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Enabling Windows Error Reporting Service (ERSvc) ...
sc config ERSvc start= auto
echo Starting Windows Error Reporting ...
net start ERSvc
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
echo Patching MS08-067 ...
\\DCServerdc1\Share\WindowsServer2003-KB958644-x86-ENU.exe /quiet /norestart
goto exit

:ver_xp
echo Microsoft Windows XP
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Error Reporting Service (ERSvc) ...
sc config ERSvc start= auto
echo Starting Windows Error Reporting ...
net start ERSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\WindowsXP-KB958644-x86-ENU.exe /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
\\DCServerdc1\Share\windows-kb890830-v2.8.exe /q
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt

goto exit

:ver_2000
echo Microsoft Windows 2000
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows2000-KB958644-x86-ENU.EXE /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
goto exit

:ver_vista-sp0
echo Microsoft Windows Vista
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "wuauserv"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Defender Service (WinDefend) ...
sc config WinDefend start= auto
echo Starting Windows Defender ...
net start WinDefend
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows6.0-KB958644-x86.msu /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
goto exit

:ver_vista-sp1
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Microsoft Windows Vista SP1
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Defender Service (WinDefend) ...
sc config WinDefend start= auto
echo Starting Windows Defender ...
net start WinDefend
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows6.0-KB958644-x86.msu /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt

goto exit

:exit

echo   Runing Scrip Success...............
exit
==================================================================================================

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #46 เมื่อ: 19 มีนาคม 2009, 16:06:18 »

ผมว่า ปัญหา คุณ ไม่น่าเกิดจาก Patch ตัวนี้ แค่ตัวเดียวกระมังครับ

ลอง ใช้ windows-kb890830-v2.8

echo Fixing Downadup infection ...
ให้ใช้ windows-kb890830-v2.8 ในการ Scan Clean + เข้าไป นะครับ
อัด เพิ่มเข้าไป ดู นะครับ

ลอง Update MS Patch อื่น เพิ่มเติม นะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
TechToy
Proficient Level 3
***


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

สมาชิกลำดับที่ 1855

Posting Frequency


อยากรู้ ต้องลอง


เว็บไซต์






 ระดับถัดไป:
 60% ( 6 / 10 )

« ตอบ #47 เมื่อ: 19 มีนาคม 2009, 17:34:03 »

วิธีที่ผมใช้อยู่ตอนนี้
1. Update Patch (WSUS)
2. Update Antivirus + ลงใหม่ (สำหรับบางเครื่องที่ไม่มี หรือไม่ update มานานมาก)
3. Deploy MRT (KB890830) ผ่าน Group policy ให้ scan user ใน AD (Logon script)
   รายละเอียดการทำ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html
4. ตรวจสอบผ่าน AD server เครื่องไหนมีอาการ (ยิง Authen เข้ามาผิดปกติ) Block Mac เลย (ผ่าน L3 switch ของแต่ละชั้น)
   อาจดูโหด แต่จำเป็นครับ Cool

User ผมพันกว่าคน ตอนนี้ก็ยังมีติดอยู่ประปราย(ตรวจสอบจาก AD) แต่ดีขึ้นเยอะครับเมื่อเทียบกับตอนแรกๆที่เริ่มติด  Afro




Confirmed by: นิค ณ ระยอง

Share topic : บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
ThaiAnime
บุคคลทั่วไป
« ตอบ #48 เมื่อ: 6 เมษายน 2009, 19:15:31 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

Share topic : บันทึกการเข้า
Vivid
Intelligent Layer 1
*


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 363

สมาชิกลำดับที่ 18060

Posting Frequency










 ระดับถัดไป:
 65% ( 13 / 20 )

« ตอบ #49 เมื่อ: 7 เมษายน 2009, 08:58:10 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

ถ้าลงวินโดว์ใหม่ให้คุณต้อง update patch ที่คุณนิคแปะลิงค์ไว้นั้น ให้ครับทุกตัว
และติดตั้ง Antivirus ที่รู้จักไวรัสตัวนี้ก่อน และค่อยทำการเชื่อมต่อกับระบบ Network ครับ

Share topic : บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #50 เมื่อ: 7 เมษายน 2009, 09:42:35 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

ลงใหม่ Virus หายไปจากเครื่องแต่ยังอยู่ในระบบ และ Handdy Drive USB นะครับ
เมื่อคุณ Plug อุปกณณ์ เข้ามาเมื่อใด มันก้อจะเข้ามาเครื่องคุณอีก

1. Clean Windows ,Install OS
2. Update Security Patch OS KBxx
3. Install Antivirus and Update Signature


ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #51 เมื่อ: 16 เมษายน 2009, 14:23:37 »

W32.Downadup Removal Tool

* SUMMARY

Discovered: January 13, 2009
Type: Removal Information

This tool is designed to remove the infections of:

    * W32.Downadup
    * W32.Downadup.B
    * W32.Downadup.C
    * W32.Downadup.E

ดาวน์โหลด ลิงค์ http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe

ที่มา http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****


จิตพิสัย: 50
ออนไลน์ ออนไลน์

เพศ: ชาย
กระทู้: 4362

สมาชิกลำดับที่ 15820

Posting Frequency


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด









สมบูรณ์ 100%

« ตอบ #52 เมื่อ: 24 เมษายน 2009, 19:45:03 »

วิธีที่ผมใช้อยู่ตอนนี้
1. Update Patch (WSUS)
2. Update Antivirus + ลงใหม่ (สำหรับบางเครื่องที่ไม่มี หรือไม่ update มานานมาก)
3. Deploy MRT (KB890830) ผ่าน Group policy ให้ scan user ใน AD (Logon script)
   รายละเอียดการทำ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html
4. ตรวจสอบผ่าน AD server เครื่องไหนมีอาการ (ยิง Authen เข้ามาผิดปกติ) Block Mac เลย (ผ่าน L3 switch ของแต่ละชั้น)
   อาจดูโหด แต่จำเป็นครับ Cool

User ผมพันกว่าคน ตอนนี้ก็ยังมีติดอยู่ประปราย(ตรวจสอบจาก AD) แต่ดีขึ้นเยอะครับเมื่อเทียบกับตอนแรกๆที่เริ่มติด  Afro


แล้วถ้ากรณีที่เราต้องการให้ windows-kb890830-v2.9 มันสแกนแบบไดร์ฟ C ทั้งไดร์ฟเลยจะต้องเป็นคำสั่งไหนใน bat ไฟล์ครับคือตอนนี้มันมีปัญหาอยู่ว่าสคริปต์ที่ทำตามลิงค์ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html แล้วมันดันเป็นแบบ Quick ซึ่งในบางเครื่องยังมีสแกนเจออยู่อีกครับจึงต้องการให้มันสแกนแบบ Customise ที่ไดร์ฟ C ทั้งหมดเลยครับ

 Huh Huh

Share topic : บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

TechToy
Proficient Level 3
***


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

สมาชิกลำดับที่ 1855

Posting Frequency


อยากรู้ ต้องลอง


เว็บไซต์






 ระดับถัดไป:
 60% ( 6 / 10 )

« ตอบ #53 เมื่อ: 27 เมษายน 2009, 09:35:38 »

แล้วถ้ากรณีที่เราต้องการให้ windows-kb890830-v2.9 มันสแกนแบบไดร์ฟ C ทั้งไดร์ฟเลยจะต้องเป็นคำสั่งไหนใน bat ไฟล์ครับคือตอนนี้มันมีปัญหาอยู่ว่าสคริปต์ที่ทำตามลิงค์ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html แล้วมันดันเป็นแบบ Quick ซึ่งในบางเครื่องยังมีสแกนเจออยู่อีกครับจึงต้องการให้มันสแกนแบบ Customise ที่ไดร์ฟ C ทั้งหมดเลยครับ

 Huh Huh


เท่าที่ดู Command น่าจะ /F:Y ครับ 
แต่อย่าลืมข้อเสียคือ เรื่องเวลา และ Resource ที่ใช้ด้วยนะครับ Afro

โค๊ด: Select | Copy
Support for command-line switches
The Malicious Software Removal Tool supports four command-line switches:
Collapse this tableExpand this table
Switch Purpose
/Q or /quiet Uses quiet mode. This option suppresses the user interface of the tool.
/? Displays a dialog box that lists the command-line switches.
/N Runs in detect-only mode. In this mode, malicious software will be reported to the user, but it will not be removed.
/F Forces an extended scan of the computer.
/F:Y Forces an extended scan of the computer and automatically cleans any infections that are found.


« แก้ไขครั้งสุดท้าย: 27 เมษายน 2009, 09:45:23 โดย TechToy » Share topic : บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #54 เมื่อ: 27 เมษายน 2009, 09:41:37 »

Paramotor เอ้ย Parameter อิอิ
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B890830

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
« แก้ไขครั้งสุดท้าย: 28 เมษายน 2009, 08:06:57 โดย นิค ณ.ระยอง ™ » Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****


จิตพิสัย: 50
ออนไลน์ ออนไลน์

เพศ: ชาย
กระทู้: 4362

สมาชิกลำดับที่ 15820

Posting Frequency


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด









สมบูรณ์ 100%

« ตอบ #55 เมื่อ: 27 เมษายน 2009, 09:45:17 »

เอาแบบเป็นสคริปต์นะ ถ้าแบบ Manual อ่ะอันนี้ก็ทำอยู่นะ
/F:Y   Forces an extended scan of the computer and automatically cleans any infections that are found. เดี๋ยวค่อยเอาบรรทัดนี้ไปใส่แต่เท่าที่ดูแล้วเหมือนกับว่ามันจะทำการ Clean ทันทีที่ตรวจเจอ


Share topic : บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

ตาน้อยคุง
Intelligent Layer 3
***


จิตพิสัย: 5
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 398

สมาชิกลำดับที่ 20171

Posting Frequency


ผมไม่หล่อ... แต่ผมจน









 ระดับถัดไป:
 40% ( 8 / 20 )

« ตอบ #56 เมื่อ: 27 เมษายน 2009, 18:02:44 »

ดีนะ ที่ server ลง Trend Micro

 >Cheesy   >Cheesy   >Cheesy

Share topic : บันทึกการเข้า

Do it better with Linux
My Server : FreeBSD 8.2 , Ubuntu 10.10
My Desktop : Ubuntu 10.04 , Windows XP (Sp3) x64, Windows 7 Ultimate
EcstracyFly
บุคคลทั่วไป
« ตอบ #57 เมื่อ: 27 เมษายน 2009, 18:36:31 »

เอ่อ มีคนเจอ Conficker.agent ผมแก้โดยการ

1. msconfig > start up แล้ว เอา สิ่งที่ไม่รู้ ออกให้หมด แล้วไม่ต้อง restart
2. regedit hkey_local machine_software_microsoft_windows_current version_run หาสิ่งที่ไม่จำเป็นในนี้ หาไฟล์ น่าสงใส แล้วก็เอาชื่อไฟล์เสริชที่ local pc ได้เลย แล้วก็ ลบไฟล์น่าสงใสออก แล้วก็ลบ registry ที่ไฟล์นั้นใช้อยู่ แล้วก็ reboot

เสร็จสรรพเรียบร้อย

ปล. ก่อนอื่นต้อง end process tree ที่ task manager ก่อนนะครับ แล้วค่อยลบไฟล์ ลบ registry value ได้

Share topic : บันทึกการเข้า
18Crowns
บุคคลทั่วไป
« ตอบ #58 เมื่อ: 1 มิถุนายน 2009, 15:05:56 »

รบกวนนะครับ

เครื่องผมน่าจะปกติทุกอย่าง ยกเว้น at.. ใน schedule task ครับ มันยังเกิดขึ้นเรื่อยๆ ใครเป็นเหมือนผมบ้าง

- เครื่อง up patch ที่จำเป็น 958644 และล่าสุดแล้ว ใช้ wsus
- ใช้ msrt 2.10 และ full scan ด้วย symantec antivirus ซึ่ง update แล้ว

ทุกอย่างดูปกติดี แต่มีแค่เรื่องเดียว คือ at.. ใน schedule task ซึ่งผมปิด service "task scheduler"
ไม่ได้จำเป็นต้องเปิดไว้ run batch ครับ 

ผมควรต้องทำอะไรเพิ่มอีกมั้ย

Share topic : บันทึกการเข้า
เป่า
Intelligent Layer 5
*****


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 492

สมาชิกลำดับที่ 10942

Posting Frequency










 ระดับถัดไป:
 51.67% ( 62 / 120 )

« ตอบ #59 เมื่อ: 1 มิถุนายน 2009, 15:16:56 »

รบกวนนะครับ

เครื่องผมน่าจะปกติทุกอย่าง ยกเว้น at.. ใน schedule task ครับ มันยังเกิดขึ้นเรื่อยๆ ใครเป็นเหมือนผมบ้าง

- เครื่อง up patch ที่จำเป็น 958644 และล่าสุดแล้ว ใช้ wsus
- ใช้ msrt 2.10 และ full scan ด้วย symantec antivirus ซึ่ง update แล้ว

ทุกอย่างดูปกติดี แต่มีแค่เรื่องเดียว คือ at.. ใน schedule task ซึ่งผมปิด service "task scheduler"
ไม่ได้จำเป็นต้องเปิดไว้ run batch ครับ 

ผมควรต้องทำอะไรเพิ่มอีกมั้ย


ทุกวันนี้ผมใช้ bat file แบบนี้ครับ
del C:\WINDOWS\Tasks\at*
net stop "Task Scheduler"
sc config Schedule start= disabled


Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
martan
บุคคลทั่วไป
« ตอบ #60 เมื่อ: 19 มิถุนายน 2009, 11:34:40 »

ผมโดนแบบนี้นะ เซิพเว่อใช้ macafeเวลาเจอไวรัส มันมีข้อความว่ามีไวรัสมาจากเครื่องไหนพ้อมๆกับเครื่องยูสเซอร์ที่มีนอด32ธรรมาดาบางเครื่องจะบลูสกรีน ผมก้อจะเข้าไปแสกนแล้วก้อลบไห้เรียบร้อย
ปัญหามันก้อน่าจะจบ แต่ตอนนี้พบว่า เครื่องยสเวอร์ยังบลูสกรีนอยุ่ครับ แล้วไม่รุ้ว่ายิงมาจากเครื่องไหนด้วย

Share topic : บันทึกการเข้า
katemon
บุคคลทั่วไป
« ตอบ #61 เมื่อ: 29 มิถุนายน 2009, 15:27:22 »

เพิ่มเติมให้นะคะ สำหรับคนที่ใช้ Kaspersky คะ
http://support.kaspersky.com/wks6mp3/error?qid=208279973
ในหน้านั้นจะมี link ที่ให้ไปโหลด patch windows รวมถึงตัว fix kido ด้วยคะ (คาเปอร์เจอที่ชื่อ kido นะคะ)
ของ Kaspersky จะสบายหน่อยคะ อัพ patch รัน fix tool แล้วสแกนอีกทีน่าจะจบได้คะ แต่ก้อต้องใช้เวลานะคะ ค่อยๆทำไปเรื่อยๆคะ
จากวงเล็กๆออกไปเรื่อยๆ ดีหน่อยตรงที่ว่ามี Anti Hacker ที่ช่วยดูให้ได้ว่ามีเครื่องไหนที่ยิงมา จากนั้นก้อตามไปล่าสังหารได้ถูกเครื่อง อิอิ
ใครที่ติดอยู่เอาใขช่วยให้ผ่านมันไปให้ได้คะ เหนื่อยหน่อยนะคะ แต่สู้ๆคะ

Share topic : บันทึกการเข้า
Rintaro2099
Platinum Fellowship
****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 52

สมาชิกลำดับที่ 26752

Posting Frequency










 ระดับถัดไป:
 40% ( 2 / 5 )

« ตอบ #62 เมื่อ: 29 กรกฎาคม 2009, 23:20:25 »

ขอบคุณสำหรับวิธีการนะขอรับวันนี้เครื่องของบริษัทโดนไปเต็ม.ๆๆ..พร้อมกับอาการdown sever  ยังหาวิธีการจัดการกับไวรัสตัวนี้อยู่พอดี แต่ว่ารู้สึกว่ารังมันจะเป็นเครื่องsever    เฮ้อ...ปวดhead

Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
soulslash
บุคคลทั่วไป
« ตอบ #63 เมื่อ: 5 สิงหาคม 2009, 03:37:20 »

ผมเป็นนักศึกษาคับ
พึ่งจะมารู้ว่าโดนไอตัวนี้ล่ะคับ
ตอนนี้ผมใช้เน็ทที่หออยู่ ผมว่าโดนจากวงแลนหอแน่ๆเลย
อาการแบบว่าเลย และ ผมก้อเข้าเว็บไมโครซอฟที่จะดาวโหลดไม่ได้ด้วย
ผมใช้ avast อยู่ เข้าเว็บมันก้อไม่ได้
แล้วผมต้องทำไงดี ว่าจะไปดาวโหลดตัวแพท ไม่โครซอฟจากคอมเพื่อน แล้วมานั่งแก้ตามที่พวกพี่ๆบอก
แต่อีกใจก้ออยากฟอแมทลงใหม่เลยบ
แล้วทีนี้ถ้าผมแก้ไขได้แล้ว ผมเอาคอมมาต่อเน็ทที่หอเดิม ผมจะกลับมาติดไวรัสตัวนี้อีกไหม
ต้องทำการบล็อคยังไงคับ เพราะว่าทางหอคงไม่แก้ไขอะไรหรอก
แต่ตัวผมต้องบล็อคมันไว้ยังไงคับ กลัวแก้แล้วกลับมาเป็นอีก
ขอบคุณคับ

Share topic : บันทึกการเข้า
oad_gods_a31
Junior Member
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 13

สมาชิกลำดับที่ 57679

Posting Frequency










 ระดับถัดไป:
 60% ( 3 / 5 )

« ตอบ #64 เมื่อ: 3 กันยายน 2009, 22:56:56 »

ผมเป็นนักศึกษาคับ
พึ่งจะมารู้ว่าโดนไอตัวนี้ล่ะคับ
ตอนนี้ผมใช้เน็ทที่หออยู่ ผมว่าโดนจากวงแลนหอแน่ๆเลย
อาการแบบว่าเลย และ ผมก้อเข้าเว็บไมโครซอฟที่จะดาวโหลดไม่ได้ด้วย
ผมใช้ avast อยู่ เข้าเว็บมันก้อไม่ได้
แล้วผมต้องทำไงดี ว่าจะไปดาวโหลดตัวแพท ไม่โครซอฟจากคอมเพื่อน แล้วมานั่งแก้ตามที่พวกพี่ๆบอก
แต่อีกใจก้ออยากฟอแมทลงใหม่เลยบ
แล้วทีนี้ถ้าผมแก้ไขได้แล้ว ผมเอาคอมมาต่อเน็ทที่หอเดิม ผมจะกลับมาติดไวรัสตัวนี้อีกไหม
ต้องทำการบล็อคยังไงคับ เพราะว่าทางหอคงไม่แก้ไขอะไรหรอก
แต่ตัวผมต้องบล็อคมันไว้ยังไงคับ กลัวแก้แล้วกลับมาเป็นอีก
ขอบคุณคับ
ปิดfile and printer sharing ก่อนครับ ถึง download
หรือถ้าจะ format  ก็ต้องลง patch  ป้องกันครับดังกระทู้ด้านบน ไม่งั้น format มาก็ติดเหมือนเดิม
โชคดีครับ ผลเป็นงัยวานบอกด้วยนะคับ

Share topic : บันทึกการเข้า

ซักวันจะเป็น system administrator
teechispong
Bronze Fellowship
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 35

สมาชิกลำดับที่ 6861

Posting Frequency










สมบูรณ์ 100%

« ตอบ #65 เมื่อ: 7 สิงหาคม 2010, 10:05:45 »

ดีนะ ที่ server ลง Trend Micro

 >Cheesy   >Cheesy   >Cheesy
ร้านเพื่อนผมโดนเหมือนกันคบ

ถ้าผม install windows  แล้วลง  Trend Micro  เหมือน กันจะเอา อยู่ใหมอะ เพราะจะปิดร้านทำเลยอะคัฟ

หรือว่าใครมีตัวใหนที่ แนะนำดีๆที่กันเจ้าตัว W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup ได้บ้างคับ

windows  ผมลงมาใหม่ ๆๆ เลย update แล้วพอต่อสายแลนไม่ทันไร ก็ติด
\/
\/
\/
(ผมจะลง windows ใหม่ต้องการวิธีป้องกันแบบ 100% แบบว่าพอเจอแล้วฆ่าได้เลยคับ)

Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
Tuan_korat
Pre Member
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 1

สมาชิกลำดับที่ 93005

Posting Frequency










สมบูรณ์ 100%

« ตอบ #66 เมื่อ: 11 เมษายน 2011, 15:21:39 »

น่าเห็นใจคุณพี่ poy_local จังคับ

จะพูดไปแล้ว ผมก็ประมาณนั้นอะคับ

ห้อง server เข้าไปได้ แต่เข้าเครื่องไม่ได้

เพราะว่านายเขาไม่ให้เรามา เราก็เลยทำอะไรไม่ได้

พอดีที่ บ.ใช้ windows server 2003 (โดเมนอะคับ) มีปัญหาทีโทรหาแต่อาจารย์

บางทีจารย์ก็ไม่รู้ ต้องมานั่งงมหาในเน็ต เซ็งมากเลยอะคับ ยิ่งช่วงนี้ เจอไวรัส Shortcut ยังแก้ไม่ได้เลยค้าบบบ

Share topic : บันทึกการเข้า
nisit_v
Pre Member
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 2

สมาชิกลำดับที่ 93661

Posting Frequency










 ระดับถัดไป:
 50% ( 1 / 2 )

« ตอบ #67 เมื่อ: 29 เมษายน 2011, 09:45:25 »

จากทราบการอับเดจของไวรัส  ที่กระทำผ่านทางอินเตอร์ว่ามีขั้นตอนการupdate  ตัวเองอย่างไร

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1538

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #68 เมื่อ: 29 เมษายน 2011, 10:55:09 »

วิธีการลบไวรัส Conficker หรือ Downadup.AL ด้วยตนเอง

 Cheesy  สรุป ให้ฟังคร่าว นะครับ ส่วนที่ผม ใช้งานแก้ไขให้ User   Cheesy
หรือ เลื่อนลงไปดูที่ ความคิดเห็นที่ 27 ครับ


กระทู้ อ่านเสริมกันไป นะครับ การใช้งาน SCS Scanner Tool เพื่อหาเครื่องที่ติด Conficker



ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากรเครือข่ายเพื่อทำการแพร่ระบาด

ขั้นตอนที่ 2. ทำการหยุดบริการ Server service เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์
**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่

จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services

การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)

http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)

ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้นตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้นตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จแล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
**Note
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง

ขั้นตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง

ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK

ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์

ขั้นตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico

ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK

ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL

ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK

ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
AT /Delete /Yes
ขั้นตอนที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/) ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ห้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/) ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

ขั้นตอนที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal


ขอขอบคุณ
Manual Remove Conficker Downadup Virus
&copy; 2009 Thai Windows Administrator, All Rights Reserved.



ตอบ คุณ darunee
คอมเพิ่งลง windows ใหม่
ก็ยังติดไวรัสอยู่
ทำไงดีค่ะ

แนะนำ ให้อ่าน กระทู้ ซ้ำ ครับ
สำหรับการลง Windows ใหม่ เมื่อ ติดไวรัส อันนี้ เป็นหนทางแบบ Clean Install ที่ดี แต่พึงระลึก เสมอว่า
Virus จะเข้ามาหาเครื่องท่าน ผ่านช่องโหว่ของ Windows นะครับ 
สิ่งที่ต้องนึกถึงเสมอ คือ
1. ห้าม Connection Internet/เชื่อมต่อ Network ใดๆ จนกว่าจะ ติดตั้ง Patch Windows
2. ห้ามนำ Flash Drive, USB Box ที่มีไวรัส น้ำมา Plug กับ Computer เพราะ ไวรัส มันจะลงเครื่อง แล้ว ก็ติดเหมือนเดิม แนะนำว่าให้ใช้ CD-DVD จะดีกว่า
3. ทำการ Update Windows Security Patch , Install Antivirus , Update ก่อนเนิ่นๆ จะได้เป็นการอุดช่องโหว่ และ ป้องกันไวรัส โดย เรียกติดตั้งจาก Media ที่เป็น CD-DVD, หรือ Flash drive USB Box ที่น่าเชื่อถือได้
4. ให้ Update Windows Security Patch กับทาง Windows Security Update จาก Internet site Microsoft อีกครั้ง หรือ Update ผ่านทาง Security Patch Download Update ประจำเดือน



ตอบ คุณ nisit_v
จากทราบการอับเดจของไวรัส  ที่กระทำผ่านทางอินเตอร์ว่ามีขั้นตอนการupdate  ตัวเองอย่างไร
Update ของ ไวรัส หรือ Update โปรแกรมป้องกันไวรัส  อันนี้ ถามไม่เคลีย ครับ ตอบไม่ถูก รบกวน ถามใหม่ อีกครั้ง Huh?


ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
กลุ่มผู้ดูแลระบบแห่งประเทศไทย
   


โปรดอ่านกฎกติกาก่อนแสดงความคิดเห็น


1. โปรดงดเว้น การใช้คำหยาบคาย ส่อเสียด ดูหมิ่น กล่าวหาให้ร้าย สร้างความแตกแยก หรือกระทบถึงสถาบันอันเป็นที่เคารพ
2. ข้อความหรือรูปภาพที่ปรากฏในกระทู้ที่ท่านเห็นอยู่นี้ เกิดจากการตั้งกระทู้และถูกส่งขึ้นเวบบอร์ดโดยอัตโนมัติจากบุคคลทั่วไปและสมาชิก
ซึ่งทีมงานกลุ่มผู้ดูแลระบบแห่งประเทศไทย มิได้มีส่วนร่วมรู้เห็น หรือพิสูจน์ข้อเท็จจริงใดๆ ทั้งสิ้น
และไม่สามารถนำไปอ้างอิงทางกฎหมายได้
3. หากท่านพบเห็นข้อความ หรือรูปภาพในกระทู้ที่ไม่เหมาะสม กรุณาแจ้งทีมงานทราบ เพื่อดำเนินการต่อไป
4. ทีมงานกลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอสงวนสิทธิ์ในการลบความคิดเห็น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของความคิดเห็นนั้น

 บันทึกการเข้า
หน้า: 1 2 3 [ทั้งหมด]   ขึ้นบน
  เพิ่มบุ้คมาร์ค  |  พิมพ์  
+ กลุ่มผู้ดูแลระบบแห่งประเทศไทย » Emergency Zone » Antivirus » หัวข้อ:
|-+ วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup


 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 Thaiadmin Edition | Sitemap| SMF © 2013, Simple Machines
Thai Language by ThaiSMF. Modifications by Thailand System Administrator Group.
Valid XHTML 1.0! Valid CSS!

หน้านี้ถูกสร้างขึ้นภายในเวลา 0.32 วินาที กับ 143 คำสั่ง

Google visited last this page วันนี้ เวลา 05:16:29