กลุ่มผู้ดูแลระบบแห่งประเทศไทย กลุ่มผู้ดูแลระบบแห่งประเทศไทย
1 สิงหาคม 2014, 14:47:57 *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

Thaiadmin on Social NetworkThaiadmin on TwitterThaiadmin on Facebook Group

ข่าว: อาลัยการจากไปของ Sandbox หนึ่งใน Staff Thaiadmin.org รายละเอียด
  หน้าแรก   เวบบอร์ด   ค้นหา ช่วยเหลือ เจ้าหน้าที่ เข้าสู่ระบบ ลืมรหัสผ่าน? คำเแนะนำ สมัครสมาชิก Register via Facebook Register via Google+  
+ กลุ่มผู้ดูแลระบบแห่งประเทศไทย » Emergency Zone » Antivirus » หัวข้อ:
|-+ วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup


หน้า: 1 [2] 3  ทั้งหมด   ลงล่าง
  เพิ่มบุ้คมาร์ค  |  พิมพ์  
ผู้เขียน หัวข้อ: วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup  (อ่าน 112106 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #30 เมื่อ: 6 มีนาคม 2009, 11:19:19 »

เข้าใจ คำว่า Helpdesk เราก็เล่นตัวบ้าง ซิครับ
มันเป็นงานของ EN ที่ต้องคอยดูแล ระบบ การ down แต่ละครั้ง แจ้ง ให้ EN ทำการ Down เลย เปิด Request ไปเลย
Helpdesk Level หรือ สิทธิ์ น้อยกว่า EN ถ้า Helpdesk ก้าวพลาด ไม่มี EN มาช่วยหรอก นะ
ผมก็อยู่ในฐานะ Helpdesk คนนึงเหมือนกัน

ส่วน SAMBA บน files share Virus เข้าไป ฝังตัวเองได้อยู่แล้วหล่ะ


ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Vivid
Intelligent Layer 1
*


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 360

สมาชิกลำดับที่ 18060

Posting Frequency










 ระดับถัดไป:
 50% ( 10 / 20 )

« ตอบ #31 เมื่อ: 6 มีนาคม 2009, 23:18:26 »

ผมโดนเข้าไปอีกรายครับ แก้ตั้งแต่ 11 โมง จนใกล้จะเที่ยงคืนแล้ว
จะบ้าตาย แล้วเนี่ย เสาร์อาทิตย์นี้ไม่ได้หยุดแน่นอน เฮ้อ

Share topic : บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
Jame@Bond
บุคคลทั่วไป
« ตอบ #32 เมื่อ: 9 มีนาคม 2009, 11:46:29 »

 แล้วเจ้าไวรัสที่ชื่อ win32/autorun.agent.fw worm แก้อย่างไรครับ

Share topic : บันทึกการเข้า
Nostalgia
Thaiadmin Global Staff
*****

 Thaiadmin Professional


จิตพิสัย: 140
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 3,862

สมาชิกลำดับที่ 4528

Posting Frequency


<= ถึงจะเป็น admin เซอๆ แต่ผมก็จน =>


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #33 เมื่อ: 9 มีนาคม 2009, 15:25:01 »

ลองประยุกต์ดัดแปลงแก้ไขใช้งานดูว่าได้ป่าวนะครับ และก็ลองดูหลายๆ วิธีการแก้ไข เพราะปัยหาบางอย่างใช้วิธีการคล้ายๆ กัน

ลองดูนะครับ  Wink



^-^ nostalgia ^-^
Share topic : บันทึกการเข้า

ให้ฉันดูแลเธอ รักเธอได้ไหม

(\_/)
(='.'=)
("")_("")
Vivid
Intelligent Layer 1
*


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 360

สมาชิกลำดับที่ 18060

Posting Frequency










 ระดับถัดไป:
 50% ( 10 / 20 )

« ตอบ #34 เมื่อ: 9 มีนาคม 2009, 16:16:56 »

ผมกำลังแก้อยู่เหมือนกัน ก็ใช้เครื่องมือที่ท่านนิค แนะนำไว้ รวม ๆ กัน
ทั้ง Bitdefender ทั้ง Mcafee ทั้ง Update Patch
แต่ที่แนะนำ ตัดเครื่อง client ที่ยังไม่ได้สแกนไวรัส ออกจากเน็ตเวิร์คให้หมดก่อน
และไล่สแกนทีละเครื่อง ไม่งั้นเจอยิงรอบสองเข้าไปตายครับ ต้องสแกนกันใหม่

Share topic : บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
figorus
บุคคลทั่วไป
« ตอบ #35 เมื่อ: 17 มีนาคม 2009, 10:29:46 »

ที่ทำงานผมเครื่องที่ติดไวรัสจะเป็นแบบนี้หมดเลยครับ  ไม่สามารถแชร์เครื่องพิมพ์และfolder ได้เลย  ปวดหัวมากครับ




* 001.jpg (54.48 KB, 365x451 - ดู 288 ครั้ง.)
Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #36 เมื่อ: 17 มีนาคม 2009, 10:32:03 »

ที่ทำงานผมเครื่องที่ติดไวรัสจะเป็นแบบนี้หมดเลยครับ  ไม่สามารถแชร์เครื่องพิมพ์และfolder ได้เลย  ปวดหัวมากครับ


เป็นยังไง หรือ ครับ ในภาพ มันก็ปกติ นะครับ
ลองทำตามขั้นตอนการแก้ไขดู หาก ติดไวรัส ตัวนี้ นะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #37 เมื่อ: 17 มีนาคม 2009, 10:38:46 »

ตอนที่มันปกติมันจะเป็นแบบนีครับ  จะมีครบที้ง 3 tap  และ  ตรงเครื่องหมายถูกสามารถคลิ๊กเลือกได้ครับ



* network.jpg (41.95 KB, 364x542 - ดู 299 ครั้ง.)
Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #38 เมื่อ: 17 มีนาคม 2009, 11:36:28 »

ไม่ทราบว่า มันมี อะไรเกิน มาบ้างครับ
ในรูป มันไม่เห็น

เป็น Personal firewall ของโปรแกรม หรือเปล่า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #39 เมื่อ: 17 มีนาคม 2009, 11:48:28 »

ส่วนที่เกินคือ  1.  Client for Microsoft Sharing ปกติจะไม่มี  2.  ช่องสี่เหลี่ยมหน้าตัวเลือกจะเป็นสีเทาไม่สามารถคลิ๊กเลือกได้
ส่วนที่หายไปคือ  2.  แถบ  Advance
                         



* 001.jpg (54.48 KB, 365x451 - ดู 290 ครั้ง.)
Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #40 เมื่อ: 18 มีนาคม 2009, 08:24:08 »

Client for Microsoft Sharing ต้องมี
Netware ต้องไม่มี หากไม่ได้ ใช้ Netware หรือ เล่นเกมส์

แปลกดี ครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์


* ScreenShot004.jpg (54.63 KB, 394x495 - ดู 288 ครั้ง.)
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
niravit
บุคคลทั่วไป
« ตอบ #41 เมื่อ: 18 มีนาคม 2009, 13:32:47 »

 Afro ขอบคุณคุณนิค มากครับสำหรับความรู้ แอบอ่านอยู่นาน วันนี้ขอเข้ามาขอบคุณซะที

ขอบคุณมากครับ


Share topic : บันทึกการเข้า
Jame@Bond
บุคคลทั่วไป
« ตอบ #42 เมื่อ: 18 มีนาคม 2009, 15:07:26 »

ของผม  ลบไฟล์ dll ที่ malware ออกไม่ได้ ทำตามขึ้นตอนทุกอย่างครับ  ไง คุณนิค แนะนำนิดนึง ใน %systemroot%system32/... .dll

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #43 เมื่อ: 18 มีนาคม 2009, 15:13:05 »

Conficker
ถ้า Update Patch Windows แล้ว + Scan Virus แล้ว  + windows-kb890830-v2.8 แล้ว จะหาย ครับ

Virus น่าจะคนละตัวกันแล้ว
ลอง Update Signature ของ โปรแกรม  Antivirus ดู ก่อน มันจะได้ รู้จักไวรัส ตัวใหม่ๆ
แล้ว ค่อย Scan Virus บน WIndows Safemode นะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
figorus
บุคคลทั่วไป
« ตอบ #44 เมื่อ: 18 มีนาคม 2009, 16:38:10 »

ถ้าเครื่องไหนติดไวรัส  มันจะมีไฟล์นี้คับ  อาการตามรูปกระทู้เดิม  ไม่สามารถเข้าไปยังเครื่องอื่นได้  ใช้เครื่องพิมพ์ที่แชร์ไม่ได้  อินเตอร์เน็ตใช้ได้ถ้า reset IP
%System%\Drivers\ndisio.sys

Share topic : บันทึกการเข้า
olelemon
บุคคลทั่วไป
« ตอบ #45 เมื่อ: 19 มีนาคม 2009, 14:28:40 »

สวัสดีครับ ทุกท่าน  Grin ผมยังแก้ไม่ได้เลยครับ สองอาทิตย์ผ่านมาแล้ว  Cry
สิ่งที่ทำไปทั้งหมดแล้วนะครับ
ทำการ Update Patch ต่างๆ ของ Microsoft โดยผ่าน WSUS Server
กลับ Update Path ไม่ครบ เพิ่ม Logon Scrip ดังนี้ เพื่อ update แล้วก็ scan virus ไปด้วย
Account Domain Uer ก็ ยังโดน Lock อยู่ดีครับ  สั่ง Menul Scan โดย Symantec ทุกเครื่องในองค์กร ก็ยังไม่หาย
หมดปัญญาของชาวนาบ้านนอกแล้วครับ  Cry
 Lips Sealed
========================================================
@echo off
dns.vbs
@echo off
color 0A
ECHO. ***********************************************************************************************
ECHO.                DCServer Information Technology - Do It Securely or Not At All
ECHO.                                Multi OS W32.Downadup Cleaner
ECHO. ***********************************************************************************************


ver | find "2003" > nul
if %ERRORLEVEL% == 0 goto ver_2003

ver | find "XP" > nul
if %ERRORLEVEL% == 0 goto ver_xp

ver | find "2000" > nul
if %ERRORLEVEL% == 0 goto ver_2000

ver | find "Version 6.0.6000" > nul
if %ERRORLEVEL% == 0 goto ver_vista-sp0

ver | find "Version 6.0.6001" > nul
if %ERRORLEVEL% == 0 goto ver_vista-sp1


goto exit

:ver_2003
echo Microsoft Windows 2003
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Enabling Windows Error Reporting Service (ERSvc) ...
sc config ERSvc start= auto
echo Starting Windows Error Reporting ...
net start ERSvc
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
echo Patching MS08-067 ...
\\DCServerdc1\Share\WindowsServer2003-KB958644-x86-ENU.exe /quiet /norestart
goto exit

:ver_xp
echo Microsoft Windows XP
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Error Reporting Service (ERSvc) ...
sc config ERSvc start= auto
echo Starting Windows Error Reporting ...
net start ERSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\WindowsXP-KB958644-x86-ENU.exe /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
\\DCServerdc1\Share\windows-kb890830-v2.8.exe /q
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt

goto exit

:ver_2000
echo Microsoft Windows 2000
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows2000-KB958644-x86-ENU.EXE /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
goto exit

:ver_vista-sp0
echo Microsoft Windows Vista
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "wuauserv"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Defender Service (WinDefend) ...
sc config WinDefend start= auto
echo Starting Windows Defender ...
net start WinDefend
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows6.0-KB958644-x86.msu /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt
goto exit

:ver_vista-sp1
echo %computername% %username% > \\DCServerdc1\Share\Logs\%computername%_%username%.txt
echo Microsoft Windows Vista SP1
echo Enabling BITs ...
sc config bits start= auto
echo Starting BITs ...
net start "Background Intelligent Transfer Service"
echo Enabling Automatic Updates ...
sc config Wuauserv start= auto
echo Starting Automatic Updates ...
net start "Windows Automatic Update Service"
echo Checking MS WSUS for any missing updates ...
wuauclt.exe /detectnow
echo Enabling Windows Security Center Service (wscsvc) ...
sc config wscsvc start= auto
echo Starting Windows Security Center ...
net start wscsvc
echo Enabling Windows Defender Service (WinDefend) ...
sc config WinDefend start= auto
echo Starting Windows Defender ...
net start WinDefend
echo Enabling Windows Error Reporting Service (WerSvc) ...
sc config WerSvc start= auto
echo Starting Windows Error Reporting ...
net start WerSvc
echo Delete Autorun.inf
del c:\Autorun.inf /f
del d:\Autorun.inf /f
del e:\Autorun.inf /f
del f:\Autorun.inf /f
del g:\Autorun.inf /f
echo Patching MS08-067 ...
\\DCServerdc1\Share\Windows6.0-KB958644-x86.msu /quiet /norestart
echo Fixing Downadup infection ...
\\DCServerdc1\Share\f-downadup.exe
echo %computername% %username% Scan Success... > \\DCServerdc1\Share\Logs\%computername%_%username%_scanSuccess.txt

goto exit

:exit

echo   Runing Scrip Success...............
exit
==================================================================================================

Share topic : บันทึกการเข้า
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #46 เมื่อ: 19 มีนาคม 2009, 16:06:18 »

ผมว่า ปัญหา คุณ ไม่น่าเกิดจาก Patch ตัวนี้ แค่ตัวเดียวกระมังครับ

ลอง ใช้ windows-kb890830-v2.8

echo Fixing Downadup infection ...
ให้ใช้ windows-kb890830-v2.8 ในการ Scan Clean + เข้าไป นะครับ
อัด เพิ่มเข้าไป ดู นะครับ

ลอง Update MS Patch อื่น เพิ่มเติม นะครับ

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
TechToy
Proficient Level 3
***


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

สมาชิกลำดับที่ 1855

Posting Frequency


อยากรู้ ต้องลอง


เว็บไซต์






 ระดับถัดไป:
 60% ( 6 / 10 )

« ตอบ #47 เมื่อ: 19 มีนาคม 2009, 17:34:03 »

วิธีที่ผมใช้อยู่ตอนนี้
1. Update Patch (WSUS)
2. Update Antivirus + ลงใหม่ (สำหรับบางเครื่องที่ไม่มี หรือไม่ update มานานมาก)
3. Deploy MRT (KB890830) ผ่าน Group policy ให้ scan user ใน AD (Logon script)
   รายละเอียดการทำ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html
4. ตรวจสอบผ่าน AD server เครื่องไหนมีอาการ (ยิง Authen เข้ามาผิดปกติ) Block Mac เลย (ผ่าน L3 switch ของแต่ละชั้น)
   อาจดูโหด แต่จำเป็นครับ Cool

User ผมพันกว่าคน ตอนนี้ก็ยังมีติดอยู่ประปราย(ตรวจสอบจาก AD) แต่ดีขึ้นเยอะครับเมื่อเทียบกับตอนแรกๆที่เริ่มติด  Afro




Confirmed by: นิค ณ ระยอง

Share topic : บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
ThaiAnime
บุคคลทั่วไป
« ตอบ #48 เมื่อ: 6 เมษายน 2009, 19:15:31 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

Share topic : บันทึกการเข้า
Vivid
Intelligent Layer 1
*


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 360

สมาชิกลำดับที่ 18060

Posting Frequency










 ระดับถัดไป:
 50% ( 10 / 20 )

« ตอบ #49 เมื่อ: 7 เมษายน 2009, 08:58:10 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

ถ้าลงวินโดว์ใหม่ให้คุณต้อง update patch ที่คุณนิคแปะลิงค์ไว้นั้น ให้ครับทุกตัว
และติดตั้ง Antivirus ที่รู้จักไวรัสตัวนี้ก่อน และค่อยทำการเชื่อมต่อกับระบบ Network ครับ

Share topic : บันทึกการเข้า

"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #50 เมื่อ: 7 เมษายน 2009, 09:42:35 »

ถ้าลง windows ใหม่หมด ไวรัสนี้จะหายมั้ยคะ?
ลงใหม่รอบนึงแล้ว เห็นมันยังเป็นอยู่อีก

ลงใหม่ Virus หายไปจากเครื่องแต่ยังอยู่ในระบบ และ Handdy Drive USB นะครับ
เมื่อคุณ Plug อุปกณณ์ เข้ามาเมื่อใด มันก้อจะเข้ามาเครื่องคุณอีก

1. Clean Windows ,Install OS
2. Update Security Patch OS KBxx
3. Install Antivirus and Update Signature


ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #51 เมื่อ: 16 เมษายน 2009, 14:23:37 »

W32.Downadup Removal Tool

* SUMMARY

Discovered: January 13, 2009
Type: Removal Information

This tool is designed to remove the infections of:

    * W32.Downadup
    * W32.Downadup.B
    * W32.Downadup.C
    * W32.Downadup.E

ดาวน์โหลด ลิงค์ http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe

ที่มา http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****


จิตพิสัย: 50
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 4,211

สมาชิกลำดับที่ 15820

Posting Frequency


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด









สมบูรณ์ 100%

« ตอบ #52 เมื่อ: 24 เมษายน 2009, 19:45:03 »

วิธีที่ผมใช้อยู่ตอนนี้
1. Update Patch (WSUS)
2. Update Antivirus + ลงใหม่ (สำหรับบางเครื่องที่ไม่มี หรือไม่ update มานานมาก)
3. Deploy MRT (KB890830) ผ่าน Group policy ให้ scan user ใน AD (Logon script)
   รายละเอียดการทำ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html
4. ตรวจสอบผ่าน AD server เครื่องไหนมีอาการ (ยิง Authen เข้ามาผิดปกติ) Block Mac เลย (ผ่าน L3 switch ของแต่ละชั้น)
   อาจดูโหด แต่จำเป็นครับ Cool

User ผมพันกว่าคน ตอนนี้ก็ยังมีติดอยู่ประปราย(ตรวจสอบจาก AD) แต่ดีขึ้นเยอะครับเมื่อเทียบกับตอนแรกๆที่เริ่มติด  Afro


แล้วถ้ากรณีที่เราต้องการให้ windows-kb890830-v2.9 มันสแกนแบบไดร์ฟ C ทั้งไดร์ฟเลยจะต้องเป็นคำสั่งไหนใน bat ไฟล์ครับคือตอนนี้มันมีปัญหาอยู่ว่าสคริปต์ที่ทำตามลิงค์ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html แล้วมันดันเป็นแบบ Quick ซึ่งในบางเครื่องยังมีสแกนเจออยู่อีกครับจึงต้องการให้มันสแกนแบบ Customise ที่ไดร์ฟ C ทั้งหมดเลยครับ

 Huh Huh

Share topic : บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

TechToy
Proficient Level 3
***


จิตพิสัย: 2
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 166

สมาชิกลำดับที่ 1855

Posting Frequency


อยากรู้ ต้องลอง


เว็บไซต์






 ระดับถัดไป:
 60% ( 6 / 10 )

« ตอบ #53 เมื่อ: 27 เมษายน 2009, 09:35:38 »

แล้วถ้ากรณีที่เราต้องการให้ windows-kb890830-v2.9 มันสแกนแบบไดร์ฟ C ทั้งไดร์ฟเลยจะต้องเป็นคำสั่งไหนใน bat ไฟล์ครับคือตอนนี้มันมีปัญหาอยู่ว่าสคริปต์ที่ทำตามลิงค์ http://techtoy-blog.blogspot.com/2009/02/win32conficker.html แล้วมันดันเป็นแบบ Quick ซึ่งในบางเครื่องยังมีสแกนเจออยู่อีกครับจึงต้องการให้มันสแกนแบบ Customise ที่ไดร์ฟ C ทั้งหมดเลยครับ

 Huh Huh


เท่าที่ดู Command น่าจะ /F:Y ครับ 
แต่อย่าลืมข้อเสียคือ เรื่องเวลา และ Resource ที่ใช้ด้วยนะครับ Afro

โค๊ด: Select | Copy
Support for command-line switches
The Malicious Software Removal Tool supports four command-line switches:
Collapse this tableExpand this table
Switch Purpose
/Q or /quiet Uses quiet mode. This option suppresses the user interface of the tool.
/? Displays a dialog box that lists the command-line switches.
/N Runs in detect-only mode. In this mode, malicious software will be reported to the user, but it will not be removed.
/F Forces an extended scan of the computer.
/F:Y Forces an extended scan of the computer and automatically cleans any infections that are found.


« แก้ไขครั้งสุดท้าย: 27 เมษายน 2009, 09:45:23 โดย TechToy » Share topic : บันทึกการเข้า

คอมพิวเตอร์ ไม่ได้มีไว้บูชานะเฟ้ย!!!
นิค ณ ระยอง
Thaiadmin Global Staff
*****


จิตพิสัย: 19
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1537

สมาชิกลำดับที่ 7062

Posting Frequency


นิค ณ ระยอง


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #54 เมื่อ: 27 เมษายน 2009, 09:41:37 »

Paramotor เอ้ย Parameter อิอิ
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B890830

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
« แก้ไขครั้งสุดท้าย: 28 เมษายน 2009, 08:06:57 โดย นิค ณ.ระยอง ™ » Share topic : บันทึกการเข้า

ผู้ไม่มีแผลเป็น คือผู้ไม่มีประสบการณ์
wason555
Thaiadmin Global Staff
*****


จิตพิสัย: 50
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 4211

สมาชิกลำดับที่ 15820

Posting Frequency


ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด









สมบูรณ์ 100%

« ตอบ #55 เมื่อ: 27 เมษายน 2009, 09:45:17 »

เอาแบบเป็นสคริปต์นะ ถ้าแบบ Manual อ่ะอันนี้ก็ทำอยู่นะ
/F:Y   Forces an extended scan of the computer and automatically cleans any infections that are found. เดี๋ยวค่อยเอาบรรทัดนี้ไปใส่แต่เท่าที่ดูแล้วเหมือนกับว่ามันจะทำการ Clean ทันทีที่ตรวจเจอ


Share topic : บันทึกการเข้า

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews

ตาน้อยคุง
Intelligent Layer 3
***


จิตพิสัย: 5
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 397

สมาชิกลำดับที่ 20171

Posting Frequency


ผมไม่หล่อ... แต่ผมจน









 ระดับถัดไป:
 35% ( 7 / 20 )

« ตอบ #56 เมื่อ: 27 เมษายน 2009, 18:02:44 »

ดีนะ ที่ server ลง Trend Micro

 >Cheesy   >Cheesy   >Cheesy

Share topic : บันทึกการเข้า

Do it better with Linux
My Server : FreeBSD 8.2 , Ubuntu 10.10
My Desktop : Ubuntu 10.04 , Windows XP (Sp3) x64, Windows 7 Ultimate
EcstracyFly
บุคคลทั่วไป
« ตอบ #57 เมื่อ: 27 เมษายน 2009, 18:36:31 »

เอ่อ มีคนเจอ Conficker.agent ผมแก้โดยการ

1. msconfig > start up แล้ว เอา สิ่งที่ไม่รู้ ออกให้หมด แล้วไม่ต้อง restart
2. regedit hkey_local machine_software_microsoft_windows_current version_run หาสิ่งที่ไม่จำเป็นในนี้ หาไฟล์ น่าสงใส แล้วก็เอาชื่อไฟล์เสริชที่ local pc ได้เลย แล้วก็ ลบไฟล์น่าสงใสออก แล้วก็ลบ registry ที่ไฟล์นั้นใช้อยู่ แล้วก็ reboot

เสร็จสรรพเรียบร้อย

ปล. ก่อนอื่นต้อง end process tree ที่ task manager ก่อนนะครับ แล้วค่อยลบไฟล์ ลบ registry value ได้

Share topic : บันทึกการเข้า
18Crowns
บุคคลทั่วไป
« ตอบ #58 เมื่อ: 1 มิถุนายน 2009, 15:05:56 »

รบกวนนะครับ

เครื่องผมน่าจะปกติทุกอย่าง ยกเว้น at.. ใน schedule task ครับ มันยังเกิดขึ้นเรื่อยๆ ใครเป็นเหมือนผมบ้าง

- เครื่อง up patch ที่จำเป็น 958644 และล่าสุดแล้ว ใช้ wsus
- ใช้ msrt 2.10 และ full scan ด้วย symantec antivirus ซึ่ง update แล้ว

ทุกอย่างดูปกติดี แต่มีแค่เรื่องเดียว คือ at.. ใน schedule task ซึ่งผมปิด service "task scheduler"
ไม่ได้จำเป็นต้องเปิดไว้ run batch ครับ 

ผมควรต้องทำอะไรเพิ่มอีกมั้ย

Share topic : บันทึกการเข้า
เป่า
Intelligent Layer 5
*****


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 492

สมาชิกลำดับที่ 10942

Posting Frequency










 ระดับถัดไป:
 51.67% ( 62 / 120 )

« ตอบ #59 เมื่อ: 1 มิถุนายน 2009, 15:16:56 »

รบกวนนะครับ

เครื่องผมน่าจะปกติทุกอย่าง ยกเว้น at.. ใน schedule task ครับ มันยังเกิดขึ้นเรื่อยๆ ใครเป็นเหมือนผมบ้าง

- เครื่อง up patch ที่จำเป็น 958644 และล่าสุดแล้ว ใช้ wsus
- ใช้ msrt 2.10 และ full scan ด้วย symantec antivirus ซึ่ง update แล้ว

ทุกอย่างดูปกติดี แต่มีแค่เรื่องเดียว คือ at.. ใน schedule task ซึ่งผมปิด service "task scheduler"
ไม่ได้จำเป็นต้องเปิดไว้ run batch ครับ 

ผมควรต้องทำอะไรเพิ่มอีกมั้ย


ทุกวันนี้ผมใช้ bat file แบบนี้ครับ
del C:\WINDOWS\Tasks\at*
net stop "Task Scheduler"
sc config Schedule start= disabled


Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
กลุ่มผู้ดูแลระบบแห่งประเทศไทย
   


โปรดอ่านกฎกติกาก่อนแสดงความคิดเห็น


1. โปรดงดเว้น การใช้คำหยาบคาย ส่อเสียด ดูหมิ่น กล่าวหาให้ร้าย สร้างความแตกแยก หรือกระทบถึงสถาบันอันเป็นที่เคารพ
2. ข้อความหรือรูปภาพที่ปรากฏในกระทู้ที่ท่านเห็นอยู่นี้ เกิดจากการตั้งกระทู้และถูกส่งขึ้นเวบบอร์ดโดยอัตโนมัติจากบุคคลทั่วไปและสมาชิก
ซึ่งทีมงานกลุ่มผู้ดูแลระบบแห่งประเทศไทย มิได้มีส่วนร่วมรู้เห็น หรือพิสูจน์ข้อเท็จจริงใดๆ ทั้งสิ้น
และไม่สามารถนำไปอ้างอิงทางกฎหมายได้
3. หากท่านพบเห็นข้อความ หรือรูปภาพในกระทู้ที่ไม่เหมาะสม กรุณาแจ้งทีมงานทราบ เพื่อดำเนินการต่อไป
4. ทีมงานกลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอสงวนสิทธิ์ในการลบความคิดเห็น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของความคิดเห็นนั้น

 บันทึกการเข้า
หน้า: 1 [2] 3  ทั้งหมด   ขึ้นบน
  เพิ่มบุ้คมาร์ค  |  พิมพ์  
+ กลุ่มผู้ดูแลระบบแห่งประเทศไทย » Emergency Zone » Antivirus » หัวข้อ:
|-+ วิธีการลบไวรัส W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup


 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 Thaiadmin Edition | Sitemap| SMF © 2013, Simple Machines
Thai Language by ThaiSMF. Modifications by Thailand System Administrator Group.
Valid XHTML 1.0! Valid CSS!

หน้านี้ถูกสร้างขึ้นภายในเวลา 0.157 วินาที กับ 67 คำสั่ง

Google visited last this page 29 กรกฎาคม 2014, 22:17:04