กระทู้เก่าบอร์ด อ.Yeadram
1,471 6
URL.หัวข้อ /
URL
นอกเรื่อง : trenz.pl
คอมฯ ที่บ้านผม มีปัญหาลงวินโดวส์ใหม่มา 7-8 รอบ ภายใน 3 วัน
ยังมีปัญหาอยู่
อาการเบื้องต้น
- ติดตั้ง msn ไม่ได้ สืบต่อได้ความว่า
- เข้าทุกเว็บของค่าย microsoft.com ไม่ได้ ยกเว้น live.com
- เข้า live.com ได้ โหลดตัวติดตั้ง msn ได้ แต่
- ติดตั้งไม่ได้
- ตรวจเช็ค อัพเดตวินโดวส์ไม่ได้ เพราะเข้าสังกัด microsoft.com ไม่ได้ทุกเว็บ
ตรวจสอบ Process ต่างๆ เป็นปกติ
สแกนไวรัส ก็เจอแต่ระดับลูกๆ ของมัน
ตรวจต่อไปถึง port ต่างๆ ที่เปิด ขณะนั้น ด้วยโปรแกรม tcpview
- ถ้าถอดสายแลนออกไม่ต่อเน็ต จะไม่เจอมัน
- แต่ถ้าเสียบสายแลนปั๊บ มันจะมาทันทีเลยครับ มันจะสุ่มเปิด port ของมันเอง เพื่อเรียกไปยัง database ในสังกัด [SIZE=4]trenz.pl[/FONT] อันดับแรกที่คุณจะเห็นก็เช่น
ilo.trenz.pl หรือ ant.trenz.pl
เมื่อผมได้ชื่อเว็บมันมาแล้ว ผมก็เอาคำนี้เป็นคีย์เวิร์ดค้นใน กูเกิล (ยกเว้นเว็บในค่าย microsoft.com แล้ว เว็บอื่นๆ ยังใช้ได้อยู่) ปรากฏว่าเจอลิงค์หลายลิงค์เช่นกัน แต่เข้าอ่านไม่ได้ซักลิงค์ มันจะขึ้น The pages cannot be found ทุกเว็บ
[ สุดยอด จริงๆ ทำได้ไง ]
ผมสันนิษฐานว่า มันคงบล็อคได้แม้กระทั่งคีย์เวอร์ดในเว็บเลยทีเดียว
แล้วผมก็เลิกตามล่ามันตอน ตีสองกว่าๆ ของเมื่อคืนนี้
เช้ามาทำงานที่ออฟฟิศ ลองใช้คีย์เวอร์ดเดียวกัน ค้นในกูเกิลในเครื่องที่ทำงาน (ไม่ติดไวรัสตัวนี้) ปรากฎว่า .... เจอลิงค์หลายลิงค์เช่นกัน และสามารถเข้าอ่านข้อมูลของมันได้แทบทุกเพจ (ลองดู 2-3 เพจ)
และด้วยข้อมูลต่างๆ จากเว็บที่เข้าไปอ่าน และสังเกตอาการอยู่ 2-3 วันที่ผ่านมา ทำให้กล้าจะสรุปได้ว่า
- มันเปลี่ยนแปลงไฟล์ต่าง ๆ ในเครื่องของเราเยอะพอสมควร และเป็นไฟล์สำคัญของ วินโดวส์ ซึ่งทำให้เราลบไฟล์เหล่านั้น หรือหยุดการประมวลผลของไฟล์เหล่านั้นไม่ได้ เช่น winlogon.exe
- มันบล็อคเราทุกอย่างที่จะทำให้เรารู้จักมันด้วยการบล็อคคีย์เวิร์ดที่อยู่ในเนื้อหาของเว็บที่เราจะเข้าไปโหลดมาอ่าน
- มันบล็อกไม่ให้เราเข้าเว็บ microsoft update เพราะถ้าเราเข้าไปได้ ตัววินโดวส์อัพเดต จะต้องรู้ทันทีว่า ไฟล์หลายๆ ไฟล์ในเครืองของเรา มีอะไรผิดปกติ
-มันไม่มีตัวตนฝังอยู่ที่ใดเป็นหลักแหล่ง มันกระจายตัวเองอยู่ตาม Process ต่างๆ ได้อย่างแนบเนียน ยกตัวอย่างถ้าเราดู แหล่งที่ winlogon.exe รัน จะเป็นว่า path ของมันคือ \??\windows\system32\ ทำให้โปรแกรมฆ่าไวรัสหลายตัวหามันไม่เจอ เพราะโปรแกรมฆ่าไวรัส ไม่เคยรู้มาก่อน หรือไม่สามารถหา path นี้เจอ ดังนั้นก็ไม่เข้าไปสแกน [ path อะไรเนี่ย เริ่มต้นด้วยเครื่องหมายคำถาม อิอิ ]
ข้อสรุปของผมอาจจะไม่ถูกต้องทั้งหมด หรืออาจจะผิดทั้งมด แต่เบื้องต้นผมก็สรุปได้แค่นี้จริงๆ ตามสภาวะของภูมิความรู้ แต่อยากบอกอย่างหนึ่งว่า [SIZE=4]มัน สุดยอดจริงๆ[/FONT]
แต่ผมยังไม่ยอมแพ้มันหรอก อิอิ แม้จนปัจจุบันยังไม่รู้จะทำยังไงกับมันดีเหมือนกัน แต่ก็จะหาวิธีต่อไป
----- จบ การระบายความอึดอัด ----- ขออภัยหากข้อความนี้รบกวนจิตใจท่าน อิอิ ---
ยังมีปัญหาอยู่
อาการเบื้องต้น
- ติดตั้ง msn ไม่ได้ สืบต่อได้ความว่า
- เข้าทุกเว็บของค่าย microsoft.com ไม่ได้ ยกเว้น live.com
- เข้า live.com ได้ โหลดตัวติดตั้ง msn ได้ แต่
- ติดตั้งไม่ได้
- ตรวจเช็ค อัพเดตวินโดวส์ไม่ได้ เพราะเข้าสังกัด microsoft.com ไม่ได้ทุกเว็บ
ตรวจสอบ Process ต่างๆ เป็นปกติ
สแกนไวรัส ก็เจอแต่ระดับลูกๆ ของมัน
ตรวจต่อไปถึง port ต่างๆ ที่เปิด ขณะนั้น ด้วยโปรแกรม tcpview
- ถ้าถอดสายแลนออกไม่ต่อเน็ต จะไม่เจอมัน
- แต่ถ้าเสียบสายแลนปั๊บ มันจะมาทันทีเลยครับ มันจะสุ่มเปิด port ของมันเอง เพื่อเรียกไปยัง database ในสังกัด [SIZE=4]trenz.pl[/FONT] อันดับแรกที่คุณจะเห็นก็เช่น
ilo.trenz.pl หรือ ant.trenz.pl
เมื่อผมได้ชื่อเว็บมันมาแล้ว ผมก็เอาคำนี้เป็นคีย์เวิร์ดค้นใน กูเกิล (ยกเว้นเว็บในค่าย microsoft.com แล้ว เว็บอื่นๆ ยังใช้ได้อยู่) ปรากฏว่าเจอลิงค์หลายลิงค์เช่นกัน แต่เข้าอ่านไม่ได้ซักลิงค์ มันจะขึ้น The pages cannot be found ทุกเว็บ
[ สุดยอด จริงๆ ทำได้ไง ]
ผมสันนิษฐานว่า มันคงบล็อคได้แม้กระทั่งคีย์เวอร์ดในเว็บเลยทีเดียว
แล้วผมก็เลิกตามล่ามันตอน ตีสองกว่าๆ ของเมื่อคืนนี้
เช้ามาทำงานที่ออฟฟิศ ลองใช้คีย์เวอร์ดเดียวกัน ค้นในกูเกิลในเครื่องที่ทำงาน (ไม่ติดไวรัสตัวนี้) ปรากฎว่า .... เจอลิงค์หลายลิงค์เช่นกัน และสามารถเข้าอ่านข้อมูลของมันได้แทบทุกเพจ (ลองดู 2-3 เพจ)
และด้วยข้อมูลต่างๆ จากเว็บที่เข้าไปอ่าน และสังเกตอาการอยู่ 2-3 วันที่ผ่านมา ทำให้กล้าจะสรุปได้ว่า
- มันเปลี่ยนแปลงไฟล์ต่าง ๆ ในเครื่องของเราเยอะพอสมควร และเป็นไฟล์สำคัญของ วินโดวส์ ซึ่งทำให้เราลบไฟล์เหล่านั้น หรือหยุดการประมวลผลของไฟล์เหล่านั้นไม่ได้ เช่น winlogon.exe
- มันบล็อคเราทุกอย่างที่จะทำให้เรารู้จักมันด้วยการบล็อคคีย์เวิร์ดที่อยู่ในเนื้อหาของเว็บที่เราจะเข้าไปโหลดมาอ่าน
- มันบล็อกไม่ให้เราเข้าเว็บ microsoft update เพราะถ้าเราเข้าไปได้ ตัววินโดวส์อัพเดต จะต้องรู้ทันทีว่า ไฟล์หลายๆ ไฟล์ในเครืองของเรา มีอะไรผิดปกติ
-มันไม่มีตัวตนฝังอยู่ที่ใดเป็นหลักแหล่ง มันกระจายตัวเองอยู่ตาม Process ต่างๆ ได้อย่างแนบเนียน ยกตัวอย่างถ้าเราดู แหล่งที่ winlogon.exe รัน จะเป็นว่า path ของมันคือ \??\windows\system32\ ทำให้โปรแกรมฆ่าไวรัสหลายตัวหามันไม่เจอ เพราะโปรแกรมฆ่าไวรัส ไม่เคยรู้มาก่อน หรือไม่สามารถหา path นี้เจอ ดังนั้นก็ไม่เข้าไปสแกน [ path อะไรเนี่ย เริ่มต้นด้วยเครื่องหมายคำถาม อิอิ ]
ข้อสรุปของผมอาจจะไม่ถูกต้องทั้งหมด หรืออาจจะผิดทั้งมด แต่เบื้องต้นผมก็สรุปได้แค่นี้จริงๆ ตามสภาวะของภูมิความรู้ แต่อยากบอกอย่างหนึ่งว่า [SIZE=4]มัน สุดยอดจริงๆ[/FONT]
แต่ผมยังไม่ยอมแพ้มันหรอก อิอิ แม้จนปัจจุบันยังไม่รู้จะทำยังไงกับมันดีเหมือนกัน แต่ก็จะหาวิธีต่อไป
----- จบ การระบายความอึดอัด ----- ขออภัยหากข้อความนี้รบกวนจิตใจท่าน อิอิ ---
6 Reply in this Topic. Dispaly 1 pages and you are on page number 1
2 @R06198
hdd 3 ลูก
handy drive 2 ตัว
มีข้อมูลเก่า ที่สำคัญเยอะแยะ หลังจากลงวินโดวส์ใหม่แล้ว ยังไงเราก็ต้องกลับเข้าไปเอาข้อมูลเหล่านั้นมาใช้อยู่ดีครับ
ไวรัสตัวนี้น่าจะมาจากที่ใดที่หนึ่งใน รายการที่กล่าว
ถ้าผมแค่ลงวินโดวส์ใหม่ แล้วทำอย่างอื่นต่อไปได้เลย ไอ้เจ้าตัวนี้ก็ไม่กวนผมหรอกครับ แต่ปัญหาคือ ผมต้องใช้ข้อมูลเก่าให้ได้ และที่ผ่านมา หลังจากทดลองลงวินโดวส์ไปหลายรอบ แล้วตามด้วยหา anti ทั้งหลาย (หามาหลายตระกูล หลายซี่รีส์แล้ว) มาสแกนข้อมูลเก่าทั้งหมด (ใจเย็นทำจนครบทุก drive ทุกไฟล์แล้วนะเนี่ย) มันก็หาไวรัสไม่เจอ
แต่พอเปิดเข้าไปเอาข้อมูล ซัก 2-3 ไฟล์ หรือบางที เปิดไปเอางานมาทำ ได้ซัก 2-3 ชม. เอาล่ะซิ รู้ตัวแล้วว่ามันกลับมาอีกแล้ว
ตอนนี้
-ข้อสังเกตแบบกว้างๆ ก็คือ ไวรัส มันเกาะอยู่ตามพวกข้อมูลเก่า แต่ไม่รู้แน่ชัดได้ว่า อยู่ที่ไหน
-การหา anti ทั้งหลายมาสแกน ก็ยังพยายามหาเรื่อยๆ ครับ กะว่าจะเอาให้ครบทุกตระกูลที่มีในโลกเลย อิอิ (ตอนนี้ยังลองไม่ครบทุกตระกูลเลย)
-พยายาม ใช้ system restore + ghost + roll back อะไรหลายๆ อย่างที่จะไม่ต้องลง os ใหม่ เพื่อที่จะ แค่ต้องการทดสอบความอันตรายของข้อมูลเก่าใดๆ
แต่ก็ต้องบอกได้แค่ว่า ตอนนี้ ก็แค่ ทดลองด้วยวิธีต่างๆ นานา ตามข้อสมมมิฐานไปเรื่อยๆ ครับ ยังไม่ได้ข้อสรุปใดๆ (มีเวลาเล่นกับมันแค่วันละ ไม่กี่ชั่วโมงครับ มันก็เลยคืบหน้าไปได้วันละน้อย) ข้อมูลเก่ามันสำคัญมา ตัดใจไม่ได้จริงๆ ครับ อิอิ
จบการรายงานความคืบหน้า...................... ขอบคุณคุณรักน้องบิวท์ ที่เป็นห่วงและเอาใจช่วยครับ
handy drive 2 ตัว
มีข้อมูลเก่า ที่สำคัญเยอะแยะ หลังจากลงวินโดวส์ใหม่แล้ว ยังไงเราก็ต้องกลับเข้าไปเอาข้อมูลเหล่านั้นมาใช้อยู่ดีครับ
ไวรัสตัวนี้น่าจะมาจากที่ใดที่หนึ่งใน รายการที่กล่าว
ถ้าผมแค่ลงวินโดวส์ใหม่ แล้วทำอย่างอื่นต่อไปได้เลย ไอ้เจ้าตัวนี้ก็ไม่กวนผมหรอกครับ แต่ปัญหาคือ ผมต้องใช้ข้อมูลเก่าให้ได้ และที่ผ่านมา หลังจากทดลองลงวินโดวส์ไปหลายรอบ แล้วตามด้วยหา anti ทั้งหลาย (หามาหลายตระกูล หลายซี่รีส์แล้ว) มาสแกนข้อมูลเก่าทั้งหมด (ใจเย็นทำจนครบทุก drive ทุกไฟล์แล้วนะเนี่ย) มันก็หาไวรัสไม่เจอ
แต่พอเปิดเข้าไปเอาข้อมูล ซัก 2-3 ไฟล์ หรือบางที เปิดไปเอางานมาทำ ได้ซัก 2-3 ชม. เอาล่ะซิ รู้ตัวแล้วว่ามันกลับมาอีกแล้ว
ตอนนี้
-ข้อสังเกตแบบกว้างๆ ก็คือ ไวรัส มันเกาะอยู่ตามพวกข้อมูลเก่า แต่ไม่รู้แน่ชัดได้ว่า อยู่ที่ไหน
-การหา anti ทั้งหลายมาสแกน ก็ยังพยายามหาเรื่อยๆ ครับ กะว่าจะเอาให้ครบทุกตระกูลที่มีในโลกเลย อิอิ (ตอนนี้ยังลองไม่ครบทุกตระกูลเลย)
-พยายาม ใช้ system restore + ghost + roll back อะไรหลายๆ อย่างที่จะไม่ต้องลง os ใหม่ เพื่อที่จะ แค่ต้องการทดสอบความอันตรายของข้อมูลเก่าใดๆ
แต่ก็ต้องบอกได้แค่ว่า ตอนนี้ ก็แค่ ทดลองด้วยวิธีต่างๆ นานา ตามข้อสมมมิฐานไปเรื่อยๆ ครับ ยังไม่ได้ข้อสรุปใดๆ (มีเวลาเล่นกับมันแค่วันละ ไม่กี่ชั่วโมงครับ มันก็เลยคืบหน้าไปได้วันละน้อย) ข้อมูลเก่ามันสำคัญมา ตัดใจไม่ได้จริงๆ ครับ อิอิ
จบการรายงานความคืบหน้า...................... ขอบคุณคุณรักน้องบิวท์ ที่เป็นห่วงและเอาใจช่วยครับ
3 @R06199
ขอแบ่งปันประสบการณ์ครับ
ผมเคยเจอน่าจะคล้ายๆกัน คือผมเจอไวรัสประเภท autorun โดยมันจะกระจายไปเกาะอยู่กับทุกๆไดร์ฟ ที่เราเคยเรียกใช้ขณะที่เจ้าไวรัสมันทำงานอยู่ ซึ่งภายหลังแม้เราจะฟอร์แมทเครื่อง ลงวินโดวส์ใหม่ แบบสะอาดเอี่ยมอ่องซักกี่ครั้งก็ตาม
เมื่อใดที่เราเปิดเข้าไปยังไดร์ฟต่างๆ ซึ่งมีไวรัสเกาะอาศัยอยู่ มันก็จะโดดกลับเข้ามาใหม่ทันที แบบไม่ได้เชิญ
ผมหาวิธีสู้กับมันอยู่นานหลายวัน จนสุดท้ายก็พบวิธีแบบไม่น่าเชื่อว่าจะแก้ได้ แต่มันก็ใช้ได้ผลครับ อิอิ
ผมใช้วิธีไปเชิญเพื่อนเก่ามาช่วยจัการให้ครับ โดยการฟอร์แมทเครื่องเพื่อลงวินโดวส์ใหม่อีกครั้งหนึ่ง แต่...คราวนี้ผมลง วินโดวส์ 98 ครับท่าน (เจ้าไวรัสตัวนี้มันไม่รูจัก วินโดวส์ 98 ครับ อิอิ เสร็จเราล่ะ)
เสร็จแล้วผมก็หา HDD ว่างๆ ซักลูกหนึ่ง ฟอร์แมทให้เรียบร้อย จากนั้นก็ทยอยย้ายข้อมูลที่เราต้องการ จากไดร์ฟต่างๆ ที่เจ้าไวรัสมันอาศัยอยู่ มาไว้ที่นี่ให้หมด แล้วไงต่อ...
พอย้ายข้อมูลมาหมดแล้ว ก็จัดการฟอร์แมทไดร์ฟที่เจ้าไวรัส มันเคยอาศัยอยู่ซะให้หมด ทุกไดร์ฟ
เสร็จแล้วก็ทำพิธีส่งเพื่อนเก่ากลับบ้าน โดยกลับไปฟอร์แมท แล้วลงวินโดวส์ XP ใหม่อีกครั้งหนึ่ง จากนั้นก็ทยอยย้ายข้อมูลกลับมาอยู่ที่เดิม โอ้ว...ได้ผล เจ้าไวรัสตัวแสบ มันไม่มาให้เห็นหน้าอีกเลย
ผมเคยเจอน่าจะคล้ายๆกัน คือผมเจอไวรัสประเภท autorun โดยมันจะกระจายไปเกาะอยู่กับทุกๆไดร์ฟ ที่เราเคยเรียกใช้ขณะที่เจ้าไวรัสมันทำงานอยู่ ซึ่งภายหลังแม้เราจะฟอร์แมทเครื่อง ลงวินโดวส์ใหม่ แบบสะอาดเอี่ยมอ่องซักกี่ครั้งก็ตาม
เมื่อใดที่เราเปิดเข้าไปยังไดร์ฟต่างๆ ซึ่งมีไวรัสเกาะอาศัยอยู่ มันก็จะโดดกลับเข้ามาใหม่ทันที แบบไม่ได้เชิญ
ผมหาวิธีสู้กับมันอยู่นานหลายวัน จนสุดท้ายก็พบวิธีแบบไม่น่าเชื่อว่าจะแก้ได้ แต่มันก็ใช้ได้ผลครับ อิอิ
ผมใช้วิธีไปเชิญเพื่อนเก่ามาช่วยจัการให้ครับ โดยการฟอร์แมทเครื่องเพื่อลงวินโดวส์ใหม่อีกครั้งหนึ่ง แต่...คราวนี้ผมลง วินโดวส์ 98 ครับท่าน (เจ้าไวรัสตัวนี้มันไม่รูจัก วินโดวส์ 98 ครับ อิอิ เสร็จเราล่ะ)
เสร็จแล้วผมก็หา HDD ว่างๆ ซักลูกหนึ่ง ฟอร์แมทให้เรียบร้อย จากนั้นก็ทยอยย้ายข้อมูลที่เราต้องการ จากไดร์ฟต่างๆ ที่เจ้าไวรัสมันอาศัยอยู่ มาไว้ที่นี่ให้หมด แล้วไงต่อ...
พอย้ายข้อมูลมาหมดแล้ว ก็จัดการฟอร์แมทไดร์ฟที่เจ้าไวรัส มันเคยอาศัยอยู่ซะให้หมด ทุกไดร์ฟ
เสร็จแล้วก็ทำพิธีส่งเพื่อนเก่ากลับบ้าน โดยกลับไปฟอร์แมท แล้วลงวินโดวส์ XP ใหม่อีกครั้งหนึ่ง จากนั้นก็ทยอยย้ายข้อมูลกลับมาอยู่ที่เดิม โอ้ว...ได้ผล เจ้าไวรัสตัวแสบ มันไม่มาให้เห็นหน้าอีกเลย
4 @R06200
ไม่ค่อยรู้เรื่อง Virus แต่ขอเข้ามาอ่าน และขอบคุณที่ให้ความรู้ใหม่ๆครับ
:Share ยามใดที่ผมมีปัญหา Virus ผมมักจะใช้ ComboFix Drownload ได้จาก NET มีคนแนะนำมา ผมใช้แล้วมัน OK เลยบอกต่อนะครับ
:Share ยามใดที่ผมมีปัญหา Virus ผมมักจะใช้ ComboFix Drownload ได้จาก NET มีคนแนะนำมา ผมใช้แล้วมัน OK เลยบอกต่อนะครับ
5 @R06203
ไวรัสนี่ น่ากลัวมากครับ...
เอาใจช่วยให้หาเจอครับ..
เอาใจช่วยให้หาเจอครับ..
6 @R06208
รอฟังความคืมหน้าครับ
Time: 0.2161s
ไวรัสมาจากทางไหนครับ
จากแผ่นที่ติดตั้งวินโดวส์ หรือ จะการเชื่อมต่ออินเตอร์เน็ท?