กลุ่มผู้ดูแลระบบแห่งประเทศไทย
2 กันยายน 2015, 19:47:20 *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว:
 
   หน้าแรก   ช่วยเหลือ ค้นหา เข้าสู่ระบบ สมัครสมาชิก  
หน้า: 1 [2] 3  ทั้งหมด   ลงล่าง
  พิมพ์  
ผู้เขียน หัวข้อ: วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup  (อ่าน 131233 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #30 เมื่อ: 6 มีนาคม 2009, 11:19:19 »

เข้าใจ คำว่า Helpdesk เราก็เล่นตัวบ้าง ซิครับ
มันเป็นงานของ EN ที่ต้องคอยดูแล ระบบ การ down แต่ละครั้ง แจ้ง ให้ EN ทำการ Down เลย เปิด Request ไปเลย
Helpdesk Level หรือ สิทธิ์ น้อยกว่า EN ถ้า Helpdesk ก้าวพลาด ไม่มี EN มาช่วยหรอก นะ
ผมก็อยู่ในฐานะ Helpdesk คนนึงเหมือนกัน

ส่วน SAMBA บน files share Virus เข้าไป ฝังตัวเองได้อยู่แล้วหล่ะ
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Vivid
Intelligent Layer 1
*

จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 369


« ตอบ #31 เมื่อ: 6 มีนาคม 2009, 23:18:26 »

ผมโดนเข้าไปอีกรายครับ แก้ตั้งแต่ 11 โมง จนใกล้จะเที่ยงคืนแล้ว
จะบ้าตาย แล้วเนี่ย เสาร์อาทิตย์นี้ไม่ได้หยุดแน่นอน เฮ้อ
บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
Jame@Bond
บุคคลทั่วไป
« ตอบ #32 เมื่อ: 9 มีนาคม 2009, 11:46:29 »

 แล้วเจ้าไวรัสที่ชื่อ win32/autorun.agent.fw worm แก้อย่างไรครับ
บันทึกการเข้า
Nostalgia
Thaiadmin Global Staff
*****

จิตพิสัย: 140
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 3,863


<= ถึงจะเป็น admin เซอๆ แต่ผมก็จน =>


เว็บไซต์
« ตอบ #33 เมื่อ: 9 มีนาคม 2009, 15:25:01 »

ลองประยุกต์ดัดแปลงแก้ไขใช้งานดูว่าได้ป่าวนะครับ และก็ลองดูหลายๆ วิธีการแก้ไข เพราะปัยหาบางอย่างใช้วิธีการคล้ายๆ กัน

ลองดูนะครับ  Wink

บันทึกการเข้า

ให้ฉันดูแลเธอ รักเธอได้ไหม

(\_/)
(='.'=)
("")_("")
Vivid
Intelligent Layer 1
*

จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 369


« ตอบ #34 เมื่อ: 9 มีนาคม 2009, 16:16:56 »

ผมกำลังแก้อยู่เหมือนกัน ก็ใช้เครื่องมือที่ท่านนิค แนะนำไว้ รวม ๆ กัน
ทั้ง Bitdefender ทั้ง Mcafee ทั้ง Update Patch
แต่ที่แนะนำ ตัดเครื่อง client ที่ยังไม่ได้สแกนไวรัส ออกจากเน็ตเวิร์คให้หมดก่อน
และไล่สแกนทีละเครื่อง ไม่งั้นเจอยิงรอบสองเข้าไปตายครับ ต้องสแกนกันใหม่
บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
figorus
บุคคลทั่วไป
« ตอบ #35 เมื่อ: 17 มีนาคม 2009, 10:29:46 »

ที่ทำงานผมเครื่องที่ติดไวรัสจะเป็นแบบนี้หมดเลยครับ  ไม่สามารถแชร์เครื่องพิมพ์และfolder ได้เลย  ปวดหัวมากครับ


* 001.jpg (54.48 KB, 365x451 - ดู 415 ครั้ง.)
บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #36 เมื่อ: 17 มีนาคม 2009, 10:32:03 »

ที่ทำงานผมเครื่องที่ติดไวรัสจะเป็นแบบนี้หมดเลยครับ  ไม่สามารถแชร์เครื่องพิมพ์และfolder ได้เลย  ปวดหัวมากครับ


เป็นยังไง หรือ ครับ ในภาพ มันก็ปกติ นะครับ
ลองทำตามขั้นตอนการแก้ไขดู หาก ติดไวรัส ตัวนี้ นะครับ
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #37 เมื่อ: 17 มีนาคม 2009, 10:38:46 »

ตอนที่มันปกติมันจะเป็นแบบนีครับ  จะมีครบที้ง 3 tap  และ  ตรงเครื่องหมายถูกสามารถคลิ๊กเลือกได้ครับ


* network.jpg (41.95 KB, 364x542 - ดู 426 ครั้ง.)
บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #38 เมื่อ: 17 มีนาคม 2009, 11:36:28 »

ไม่ทราบว่า มันมี อะไรเกิน มาบ้างครับ
ในรูป มันไม่เห็น

เป็น Personal firewall ของโปรแกรม หรือเปล่า
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #39 เมื่อ: 17 มีนาคม 2009, 11:48:28 »

ส่วนที่เกินคือ  1.  Client for Microsoft Sharing ปกติจะไม่มี  2.  ช่องสี่เหลี่ยมหน้าตัวเลือกจะเป็นสีเทาไม่สามารถคลิ๊กเลือกได้
ส่วนที่หายไปคือ  2.  แถบ  Advance
                         


* 001.jpg (54.48 KB, 365x451 - ดู 398 ครั้ง.)
บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #40 เมื่อ: 18 มีนาคม 2009, 08:24:08 »

Client for Microsoft Sharing ต้องมี
Netware ต้องไม่มี หากไม่ได้ ใช้ Netware หรือ เล่นเกมส์

แปลกดี ครับ


* ScreenShot004.jpg (54.63 KB, 394x495 - ดู 419 ครั้ง.)
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
niravit
บุคคลทั่วไป
« ตอบ #41 เมื่อ: 18 มีนาคม 2009, 13:32:47 »

 Afro ขอบคุณคุณนิค มากครับสำหรับความรู้ แอบอ่านอยู่นาน วันนี้ขอเข้ามาขอบคุณซะที

ขอบคุณมากครับ
บันทึกการเข้า
Jame@Bond
บุคคลทั่วไป
« ตอบ #42 เมื่อ: 18 มีนาคม 2009, 15:07:26 »

ของผม  ลบไฟล์ dll ที่ malware ออกไม่ได้ ทำตามขึ้นตอนทุกอย่างครับ  ไง คุณนิค แนะนำนิดนึง ใน %systemroot%system32/... .dll
บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #43 เมื่อ: 18 มีนาคม 2009, 15:13:05 »

Conficker
ถ้า Update Patch Windows แล้ว + Scan Virus แล้ว  + windows-kb890830-v2.8 แล้ว จะหาย ครับ

Virus น่าจะคนละตัวกันแล้ว
ลอง Update Signature ของ โปรแกรม  Antivirus ดู ก่อน มันจะได้ รู้จักไวรัส ตัวใหม่ๆ
แล้ว ค่อย Scan Virus บน WIndows Safemode นะครับ
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #44 เมื่อ: 18 มีนาคม 2009, 16:38:10 »

ถ้าเครื่องไหนติดไวรัส  มันจะมีไฟล์นี้คับ  อาการตามรูปกระทู้เดิม  ไม่สามารถเข้าไปยังเครื่องอื่นได้  ใช้เครื่องพิมพ์ที่แชร์ไม่ได้  อินเตอร์เน็ตใช้ได้ถ้า reset IP
%System%\Drivers\ndisio.sys
บันทึกการเข้า
olelemon
บุคคลทั่วไป
« ตอบ #45 เมื่อ: 19 มีนาคม 2009, 14:28:40 »

สวัสดีครับ ทุกท่าน  Grin ผมยังแก้ไม่ได้เลยครับ สองอาทิตย์ผ่านมาแล้ว  Cry
สิ่งที่ทำไปทั้งหมดแล้วนะครับ
ทำการ Update Patch ต่างๆ ของ Microsoft โดยผ่าน WSUS Server
กลับ Update Path ไม่ครบ เพิ่ม Logon Scrip ดังนี้ เพื่อ update แล้วก็ scan virus ไปด้วย
Account Domain Uer ก็ ยังโดน Lock อยู่ดีครับ  สั่ง Menul Scan โดย Symantec ทุกเครื่องในองค์กร ก็ยังไม่หาย
หมดปัญญาของชาวนาบ้านนอกแล้วครับ  Cry
 Lips Sealed
========================================================
@echo off
dns.vbs
@echo off
color 0A
ECHO. ***********************************************************************************************
ECHO.                DCServer Information Technology - Do It Securely or Not At All
ECHO.                                Multi OS W32.Downadup Cleaner
ECHO. ***********************************************************************************************


ver | find "2003" > nul
if %ERRORLEVEL% == 0 goto ver_2003

ver | find "XP" > nul
if %ERRORLEVEL% == 0 goto ver_xp

ver | find "2000" > nul
if %ERRORLEVEL% == 0 goto ver_2000

ver | find "Version 6.0.6000" > nul
if %ERRORLEVEL% == 0 goto ver_vista-sp0

ver | find "Version 6.0.6001" > nul
if %ERRORLEVEL% == 0 goto ver_vista-sp1


goto exit

:ver_2003
echo Microsoft Windows 2003
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Enabling Windows Error Reporting Service (ERSvc) ...
sc config ERSvc start= auto
echo Starting Windows Error Reporting ...
net start ERSvc
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
echo Patching MS08-067 ...
\\DCServerdc1\Share\WindowsServer2003-KB958644-x86-ENU.exe /quiet /norestart
goto exit

:ver_xp
echo Microsoft Windows XP
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Error Reporting Service (ERSvc) ...
sc config ERSvc start= auto
echo Starting Windows Error Reporting ...
net start ERSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\WindowsXP-KB958644-x86-ENU.exe /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
\\DCServerdc1\Share\windows-kb890830-v2.8.exe /q
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt

goto exit

:ver_2000
echo Microsoft Windows 2000
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows2000-KB958644-x86-ENU.EXE /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
goto exit

:ver_vista-sp0
echo Microsoft Windows Vista
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "wuauserv"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Defender Service (WinDefend) ...
sc config WinDefend start= auto
echo Starting Windows Defender ...
net start WinDefend
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows6.0-KB958644-x86.msu /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
goto exit

:ver_vista-sp1
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Microsoft Windows Vista SP1
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Defender Service (WinDefend) ...
sc config WinDefend start= auto
echo Starting Windows Defender ...
net start WinDefend
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows6.0-KB958644-x86.msu /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt

goto exit

:exit

echo   Runing Scrip Success...............
exit
==================================================================================================
บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #46 เมื่อ: 19 มีนาคม 2009, 16:06:18 »

ผมว่า ปัญหา คุณ ไม่น่าเกิดจาก Patch ตัวนี้ แค่ตัวเดียวกระมังครับ

ลอง ใช้ windows-kb890830-v2.8

echo Fixing Downadup infection ...
ให้ใช้ windows-kb890830-v2.8 ในการ Scan Clean + เข้าไป นะครับ
อัด เพิ่มเข้าไป ดู นะครับ

ลอง Update MS Patch อื่น เพิ่มเติม นะครับ
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
TechToy
Proficient Level 3
***

จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

อยากรู้ ต้องลอง


เว็บไซต์
« ตอบ #47 เมื่อ: 19 มีนาคม 2009, 17:34:03 »

วิธีที่ผมใช้อยู่ตอนนี้
1. Update Patch (WSUS)
2. Update Antivirus + ลงใหม่ (สำหรับบางเครื่องที่ไม่มี หรือไม่ update มานานมาก)
3. Deploy MRT (KB890830) ผ่าน Group policy ให้ scan user ใน AD (Logon script)
   รายละเอียดการทำ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html
4. ตรวจสอบผ่าน AD server เครื่องไหนมีอาการ (ยิง Authen เข้ามาผิดปกติ) Block Mac เลย (ผ่าน L3 switch ของแต่ละชั้น)
   อาจดูโหด แต่จำเป็นครับ Cool

User ผมพันกว่าคน ตอนนี้ก็ยังมีติดอยู่ประปราย(ตรวจสอบจาก AD) แต่ดีขึ้นเยอะครับเมื่อเทียบกับตอนแรกๆที่เริ่มติด  Afro
บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
ThaiAnime
บุคคลทั่วไป
« ตอบ #48 เมื่อ: 6 เมษายน 2009, 19:15:31 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก
บันทึกการเข้า
Vivid
Intelligent Layer 1
*

จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 369


« ตอบ #49 เมื่อ: 7 เมษายน 2009, 08:58:10 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

ถ้าลงวินโดว์ใหม่ให้คุณต้อง update patch ที่คุณนิคแปะลิงค์ไว้นั้น ให้ครับทุกตัว
และติดตั้ง Antivirus ที่รู้จักไวรัสตัวนี้ก่อน และค่อยทำการเชื่อมต่อกับระบบ Network ครับ
บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #50 เมื่อ: 7 เมษายน 2009, 09:42:35 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

ลงใหม่ Virus หายไปจากเครื่องแต่ยังอยู่ในระบบ และ Handdy Drive USB นะครับ
เมื่อคุณ Plug อุปกณณ์ เข้ามาเมื่อใด มันก้อจะเข้ามาเครื่องคุณอีก

1. Clean Windows ,Install OS
2. Update Security Patch OS KBxx
3. Install Antivirus and Update Signature
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #51 เมื่อ: 16 เมษายน 2009, 14:23:37 »

W32.Downadup Removal Tool

* SUMMARY

Discovered: January 13, 2009
Type: Removal Information

This tool is designed to remove the infections of:

    * W32.Downadup
    * W32.Downadup.B
    * W32.Downadup.C
    * W32.Downadup.E

ดาวน์โหลด ลิงค์ http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe

ที่มา http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****

จิตพิสัย: 50
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 4,865


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด


« ตอบ #52 เมื่อ: 24 เมษายน 2009, 19:45:03 »

วิธีที่ผมใช้อยู่ตอนนี้
1. Update Patch (WSUS)
2. Update Antivirus + ลงใหม่ (สำหรับบางเครื่องที่ไม่มี หรือไม่ update มานานมาก)
3. Deploy MRT (KB890830) ผ่าน Group policy ให้ scan user ใน AD (Logon script)
   รายละเอียดการทำ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html
4. ตรวจสอบผ่าน AD server เครื่องไหนมีอาการ (ยิง Authen เข้ามาผิดปกติ) Block Mac เลย (ผ่าน L3 switch ของแต่ละชั้น)
   อาจดูโหด แต่จำเป็นครับ Cool

User ผมพันกว่าคน ตอนนี้ก็ยังมีติดอยู่ประปราย(ตรวจสอบจาก AD) แต่ดีขึ้นเยอะครับเมื่อเทียบกับตอนแรกๆที่เริ่มติด  Afro


แล้วถ้ากรณีที่เราต้องการให้ windows-kb890830-v2.9 มันสแกนแบบไดร์ฟ C ทั้งไดร์ฟเลยจะต้องเป็นคำสั่งไหนใน bat ไฟล์ครับคือตอนนี้มันมีปัญหาอยู่ว่าสคริปต์ที่ทำตามลิงค์ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html แล้วมันดันเป็นแบบ Quick ซึ่งในบางเครื่องยังมีสแกนเจออยู่อีกครับจึงต้องการให้มันสแกนแบบ Customise ที่ไดร์ฟ C ทั้งหมดเลยครับ

 Huh Huh
บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

TechToy
Proficient Level 3
***

จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

อยากรู้ ต้องลอง


เว็บไซต์
« ตอบ #53 เมื่อ: 27 เมษายน 2009, 09:35:38 »

แล้วถ้ากรณีที่เราต้องการให้ windows-kb890830-v2.9 มันสแกนแบบไดร์ฟ C ทั้งไดร์ฟเลยจะต้องเป็นคำสั่งไหนใน bat ไฟล์ครับคือตอนนี้มันมีปัญหาอยู่ว่าสคริปต์ที่ทำตามลิงค์ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html แล้วมันดันเป็นแบบ Quick ซึ่งในบางเครื่องยังมีสแกนเจออยู่อีกครับจึงต้องการให้มันสแกนแบบ Customise ที่ไดร์ฟ C ทั้งหมดเลยครับ

 Huh Huh


เท่าที่ดู Command น่าจะ /F:Y ครับ 
แต่อย่าลืมข้อเสียคือ เรื่องเวลา และ Resource ที่ใช้ด้วยนะครับ Afro

โค๊ด:
Support for command-line switches
The Malicious Software Removal Tool supports four command-line switches:
Collapse this tableExpand this table
Switch Purpose
/Q or /quiet Uses quiet mode. This option suppresses the user interface of the tool.
/? Displays a dialog box that lists the command-line switches.
/N Runs in detect-only mode. In this mode, malicious software will be reported to the user, but it will not be removed.
/F Forces an extended scan of the computer.
/F:Y Forces an extended scan of the computer and automatically cleans any infections that are found.
« แก้ไขครั้งสุดท้าย: 27 เมษายน 2009, 09:45:23 โดย TechToy » บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
นิค ณ ระยอง
Thaiadmin Global Staff
*****

จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,538


นิค ณ ระยอง


เว็บไซต์
« ตอบ #54 เมื่อ: 27 เมษายน 2009, 09:41:37 »

Paramotor เอ้ย Parameter อิอิ
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B890830
« แก้ไขครั้งสุดท้าย: 28 เมษายน 2009, 08:06:57 โดย นิค ณ.ระยอง ™ » บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****

จิตพิสัย: 50
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 4,865


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด


« ตอบ #55 เมื่อ: 27 เมษายน 2009, 09:45:17 »

เอาแบบเป็นสคริปต์นะ ถ้าแบบ Manual อ่ะอันนี้ก็ทำอยู่นะ
/F:Y   Forces an extended scan of the computer and automatically cleans any infections that are found. เดี๋ยวค่อยเอาบรรทัดนี้ไปใส่แต่เท่าที่ดูแล้วเหมือนกับว่ามันจะทำการ Clean ทันทีที่ตรวจเจอ
บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

ตาน้อยคุง
Intelligent Layer 3
***

จิตพิสัย: 5
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 398


ผมไม่หล่อ... แต่ผมจน


« ตอบ #56 เมื่อ: 27 เมษายน 2009, 18:02:44 »

ดีนะ ที่ server ลง Trend Micro

 >Cheesy   >Cheesy   >Cheesy
บันทึกการเข้า

Do it better with Linux
My Server : FreeBSD 8.2 , Ubuntu 10.10
My Desktop : Ubuntu 10.04 , Windows XP (Sp3) x64, Windows 7 Ultimate
EcstracyFly
บุคคลทั่วไป
« ตอบ #57 เมื่อ: 27 เมษายน 2009, 18:36:31 »

เอ่อ มีคนเจอ Conficker.agent ผมแก้โดยการ

1. msconfig > start up แล้ว เอา สิ่งที่ไม่รู้ ออกให้หมด แล้วไม่ต้อง restart
2. regedit hkey_local machine_software_microsoft_windows_current version_run หาสิ่งที่ไม่จำเป็นในนี้ หาไฟล์ น่าสงใส แล้วก็เอาชื่อไฟล์เสริชที่ local pc ได้เลย แล้วก็ ลบไฟล์น่าสงใสออก แล้วก็ลบ registry ที่ไฟล์นั้นใช้อยู่ แล้วก็ reboot

เสร็จสรรพเรียบร้อย

ปล. ก่อนอื่นต้อง end process tree ที่ task manager ก่อนนะครับ แล้วค่อยลบไฟล์ ลบ registry value ได้
บันทึกการเข้า
18Crowns
บุคคลทั่วไป
« ตอบ #58 เมื่อ: 1 มิถุนายน 2009, 15:05:56 »

รบกวนนะครับ

เครื่องผมน่าจะปกติทุกอย่าง ยกเว้น at.. ใน schedule task ครับ มันยังเกิดขึ้นเรื่อยๆ ใครเป็นเหมือนผมบ้าง

- เครื่อง up patch ที่จำเป็น 958644 และล่าสุดแล้ว ใช้ wsus
- ใช้ msrt 2.10 และ full scan ด้วย symantec antivirus ซึ่ง update แล้ว

ทุกอย่างดูปกติดี แต่มีแค่เรื่องเดียว คือ at.. ใน schedule task ซึ่งผมปิด service "task scheduler"
ไม่ได้จำเป็นต้องเปิดไว้ run batch ครับ 

ผมควรต้องทำอะไรเพิ่มอีกมั้ย
บันทึกการเข้า
เป่า
Intelligent Layer 5
*****

จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 492


« ตอบ #59 เมื่อ: 1 มิถุนายน 2009, 15:16:56 »

รบกวนนะครับ

เครื่องผมน่าจะปกติทุกอย่าง ยกเว้น at.. ใน schedule task ครับ มันยังเกิดขึ้นเรื่อยๆ ใครเป็นเหมือนผมบ้าง

- เครื่อง up patch ที่จำเป็น 958644 และล่าสุดแล้ว ใช้ wsus
- ใช้ msrt 2.10 และ full scan ด้วย symantec antivirus ซึ่ง update แล้ว

ทุกอย่างดูปกติดี แต่มีแค่เรื่องเดียว คือ at.. ใน schedule task ซึ่งผมปิด service "task scheduler"
ไม่ได้จำเป็นต้องเปิดไว้ run batch ครับ 

ผมควรต้องทำอะไรเพิ่มอีกมั้ย


ทุกวันนี้ผมใช้ bat file แบบนี้ครับ
del C:\WINDOWS\Tasks\at*
net stop "Task Scheduler"
sc config Schedule start= disabled
บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
หน้า: 1 [2] 3  ทั้งหมด   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2015, Simple Machines Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.076 วินาที กับ 19 คำสั่ง