Sign In
Register
Help
เจ๋งเลย
► Trend Micro™ HijackThis™ แก้ปัญหาการตั้งค่าไม่พึงประสงค์ อันเกิดจากไวรัส/สปายแวร์
MultiQuote
#32
- สมาชิกใหม่กั๊บ ;)
-
- Group: Members
- Posts: 2
- Joined: 18-September 07
Posted 18 September 2007 - 06:53 AM
ดีคะ ช่วยหน่อยนะคะ ทำขั้นตอนมาเสร็จจนถึงที่จะบูทเครื่องคะ ก็ได้ทำการบูทไปแล้ว และก็ได้เลือกตามที่บอก แต่ว่า ตรงที่ไปหาลบในไดเรกทอรี่นี่มันทำยังไงอ่าคะ เลยงงอ่าคะ แล้วมันก็ขึ้นไรมาไม่รู้แบบว่าคิดว่าคอมเจ๊งแล้วซะอีก ทีนี้อยู่ๆมันก็รีสตาร์ทแล้วขึ้นหน้าวินโดร์มา แต่แบบแปลกๆคือภาพใหญ่ๆ มีข้างบนว่า เซฟโหมด ทำไงต่อไม่ถูกก็เลยไปรีสตอร์เครื่อง จากนั้นก็กลับมาเหมือนเดิมคะ แต่ว่าจะทำอย่างไรต่อไปดีคะ เข้าไปกำจัดมันยังไง อธิบายหน่อยคะ คือไม่ค่อยเก่งเท่าไหร่ ขอรบกวนหน่อยนะคะ
#38
- สมาชิกใหม่กั๊บ ;)
-
- Group: Members
- Posts: 1
- Joined: 11-March 07
Posted 21 November 2007 - 09:00 AM
รบกวนช่วยดู Log file ให้ด้วยนะคะ คาดว่าเครื่องน่าจะมีปัญหาแต่ไม่มีความรู้เรื่ืองนี้เลยค่ะ
เปิดเครื่องมายังไม่ได้เปิดโปรแกรมอะไร ก็ได้ยินเสียงพัดลมเครื่องรันตลอดเวลาค่ะ
Logfile of HijackThis v1.99.1
Scan saved at 09:04:19, on 21/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Automatos\Secure Remote Control\Server\asrcse.exe
C:\Program Files\Automatos\Auto Update\aau.exe
C:\Program Files\Automatos\Desktop Agent\aengine.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\Ora92\bin\omtsreco.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Automatos\Software Uninstaller\Uninstall.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\Automatos\Secure Remote Control\Server\asrcsti.exe
C:\Program Files\Pandion\Pandion.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\DOWNLO~1\SIEBEL~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\sunantsu\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.employee.ais.co.th
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.babylon.c...mp;version=6000
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.208.5.242:2520
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *10.217.97.4*;*corpwebboard*;*10.216.128.18*;*ais-omc*;*netstat.ais*;*cdr-service.ais.co.th*;*hrmweb.ais.co.th*;*wlonline.ais.co.th*;*mrrs.ais.co.th*;*tts
.engineer.ais*;*cnms.ais.co.th*;*wlonline.ais.co.th*;*172.*;*10.218.91.44*;*10.23
9.15.61*;*web.sfe.ais*;*172.16.252.102*;*web.cmit.ais*;*employee2*;*10.217.90.12*
;*10.217.97.4*;*usmapsso.ais.co.th*;*10.212.8.230*;*staffpromotion.ais.co.th*;*co
rpappl.ais.co.th*;*cdr-service.ais.co.th*;*10.13.163.26*;*urs.ais.co.th*;*intranet.shincorp*;*shinpeopl
e*;*192.6.1.68*;*customerprofiles.ais.co.th*;*10.210.2.230*;*192.6.9.51*;*10.216.
32.230*;*10.212.4.230*;*172.16.15.105*;*ais-dpc*;*www.one-2-call.ais.co.th*;*changepwd.ais.co.th*;*10.210.4.230*;*vsmp.ais.co.th*;*aisproxy.
ais.co.th*;*web.ttc.ais*;*cdr-service.ais.co.th*;*tts.engineer.ais*;*10.212.8.234*;*192.6.1.181*;*aissupportce
nter.ais.co.th*;*204.151.152.243*;*192.6.1.78*;*192.6.1.227*;*tts.engineer.ais*;*
192.11.9.243*;*192.11.9.13
O1 - Hosts: 172.19.19.30 dbsp1
O1 - Hosts: 172.16.99.71 winnt4
O1 - Hosts: 172.16.99.100 winnt_ts
O1 - Hosts: 172.16.249.42 vivart
O1 - Hosts: 172.16.249.41 vivard
O1 - Hosts: 172.16.252.43 vivar1
O1 - Hosts: 172.16.252.43 vivar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CA-AMAgent] C:\Program Files\CA\Unicenter Asset Management\Agents\amagent.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [asrcs] "C:\Program Files\Automatos\Secure Remote Control\Server\asrcsti.exe"
O4 - HKLM\..\Run: [AutomatosUserAttributesForm] C:\Program Files\Automatos\UserForm\lmanager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [protect_autorun] G:\cpe17antiautorun0651.exe /start
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Pandion.lnk = C:\Program Files\Pandion\Pandion.exe
O4 - Global Startup: SAPlpd.lnk = C:\Program Files\SAP\FrontEnd\SAPgui\SAPlpd\SAPlpd.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\sunantsu\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.employee.ais.co.th
O16 - DPF: {253A9D23-F982-11D4-8BE4-00D0B7E61414} (SiebelHTMLApplication Class) - http://pwn1.ccarepro.../siebelhtml.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide....ageUploader.cab
O16 - DPF: {ECB40B9A-5869-476D-9110-8E171A5929B2} (Siebel Option Pack for IE 7.5.3) - http://pwn1.ccarepro...lOptionPack.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = corp.ais900.org
O17 - HKLM\Software\..\Telephony: DomainName = corp.ais900.org
O17 - HKLM\System\CCS\Services\Tcpip\..\{D405F38D-44C9-43FF-8EA8-C20544877AF2}: NameServer = 10.13.133.26,10.13.133.23,10.13.133.25,10.13.133.24,204.151.152.237
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = corp.ais900.org
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll
O20 - Winlogon Notify: aloginout - C:\WINDOWS\SYSTEM32\aloginout.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Asset Management Agent (AmoAgent) - Computer Associates International, Inc. - C:\WINDOWS\UMCSTUB.EXE
O23 - Service: Automatos SRC Server (asrcs) - Automatos - C:\Program Files\Automatos\Secure Remote Control\Server\asrcse.exe
O23 - Service: Automatos Auto Update 0 - Automatos - C:\Program Files\Automatos\Auto Update\aau.exe
O23 - Service: Automatos Desktop Agent (AutomatosDesktopAgent) - Automatos Inc. - C:\Program Files\Automatos\Desktop Agent\aengine.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - Unknown owner - C:\Program Files\SQLLIB\bin\db2jds.exe
O23 - Service: DB2 Security Server (DB2NTSECSERVER) - International Business Machines Corporation - C:\Program Files\SQLLIB\bin\db2sec.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORANT\BIN\ONRSD80.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Ora92\bin\omtsreco.exe
O23 - Service: OracleOra6iClientCache80 - Unknown owner - C:\Ora6i\BIN\ONRSD80.EXE
O23 - Service: OracleOracle8iClientCache - Unknown owner - C:\Oracle8i\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Ora92\BIN\ONRSD.EXE
O23 - Service: Oracle Reports Server [Rep60_ADVANCE-4ZPDQW2-Ora6i] (OracleReportServer-Rep60_ADVANCE-4ZPDQW2-Ora6i) - Oracle Corp - C:\Ora6i\bin\rwmts60.exe
O23 - Service: Automatos ฎ Uninstall (Uninstall) - Automatos Inc. - C:\Program Files\Automatos\Software Uninstaller\Uninstall.exe
เปิดเครื่องมายังไม่ได้เปิดโปรแกรมอะไร ก็ได้ยินเสียงพัดลมเครื่องรันตลอดเวลาค่ะ
Logfile of HijackThis v1.99.1
Scan saved at 09:04:19, on 21/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
CODE
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Automatos\Secure Remote Control\Server\asrcse.exe
C:\Program Files\Automatos\Auto Update\aau.exe
C:\Program Files\Automatos\Desktop Agent\aengine.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\Ora92\bin\omtsreco.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Automatos\Software Uninstaller\Uninstall.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\Automatos\Secure Remote Control\Server\asrcsti.exe
C:\Program Files\Pandion\Pandion.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\DOWNLO~1\SIEBEL~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\sunantsu\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.employee.ais.co.th
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.babylon.c...mp;version=6000
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.208.5.242:2520
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *10.217.97.4*;*corpwebboard*;*10.216.128.18*;*ais-omc*;*netstat.ais*;*cdr-service.ais.co.th*;*hrmweb.ais.co.th*;*wlonline.ais.co.th*;*mrrs.ais.co.th*;*tts
.engineer.ais*;*cnms.ais.co.th*;*wlonline.ais.co.th*;*172.*;*10.218.91.44*;*10.23
9.15.61*;*web.sfe.ais*;*172.16.252.102*;*web.cmit.ais*;*employee2*;*10.217.90.12*
;*10.217.97.4*;*usmapsso.ais.co.th*;*10.212.8.230*;*staffpromotion.ais.co.th*;*co
rpappl.ais.co.th*;*cdr-service.ais.co.th*;*10.13.163.26*;*urs.ais.co.th*;*intranet.shincorp*;*shinpeopl
e*;*192.6.1.68*;*customerprofiles.ais.co.th*;*10.210.2.230*;*192.6.9.51*;*10.216.
32.230*;*10.212.4.230*;*172.16.15.105*;*ais-dpc*;*www.one-2-call.ais.co.th*;*changepwd.ais.co.th*;*10.210.4.230*;*vsmp.ais.co.th*;*aisproxy.
ais.co.th*;*web.ttc.ais*;*cdr-service.ais.co.th*;*tts.engineer.ais*;*10.212.8.234*;*192.6.1.181*;*aissupportce
nter.ais.co.th*;*204.151.152.243*;*192.6.1.78*;*192.6.1.227*;*tts.engineer.ais*;*
192.11.9.243*;*192.11.9.13
O1 - Hosts: 172.19.19.30 dbsp1
O1 - Hosts: 172.16.99.71 winnt4
O1 - Hosts: 172.16.99.100 winnt_ts
O1 - Hosts: 172.16.249.42 vivart
O1 - Hosts: 172.16.249.41 vivard
O1 - Hosts: 172.16.252.43 vivar1
O1 - Hosts: 172.16.252.43 vivar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CA-AMAgent] C:\Program Files\CA\Unicenter Asset Management\Agents\amagent.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [asrcs] "C:\Program Files\Automatos\Secure Remote Control\Server\asrcsti.exe"
O4 - HKLM\..\Run: [AutomatosUserAttributesForm] C:\Program Files\Automatos\UserForm\lmanager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [protect_autorun] G:\cpe17antiautorun0651.exe /start
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Pandion.lnk = C:\Program Files\Pandion\Pandion.exe
O4 - Global Startup: SAPlpd.lnk = C:\Program Files\SAP\FrontEnd\SAPgui\SAPlpd\SAPlpd.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\sunantsu\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.employee.ais.co.th
O16 - DPF: {253A9D23-F982-11D4-8BE4-00D0B7E61414} (SiebelHTMLApplication Class) - http://pwn1.ccarepro.../siebelhtml.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide....ageUploader.cab
O16 - DPF: {ECB40B9A-5869-476D-9110-8E171A5929B2} (Siebel Option Pack for IE 7.5.3) - http://pwn1.ccarepro...lOptionPack.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = corp.ais900.org
O17 - HKLM\Software\..\Telephony: DomainName = corp.ais900.org
O17 - HKLM\System\CCS\Services\Tcpip\..\{D405F38D-44C9-43FF-8EA8-C20544877AF2}: NameServer = 10.13.133.26,10.13.133.23,10.13.133.25,10.13.133.24,204.151.152.237
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = corp.ais900.org
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll
O20 - Winlogon Notify: aloginout - C:\WINDOWS\SYSTEM32\aloginout.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Asset Management Agent (AmoAgent) - Computer Associates International, Inc. - C:\WINDOWS\UMCSTUB.EXE
O23 - Service: Automatos SRC Server (asrcs) - Automatos - C:\Program Files\Automatos\Secure Remote Control\Server\asrcse.exe
O23 - Service: Automatos Auto Update 0 - Automatos - C:\Program Files\Automatos\Auto Update\aau.exe
O23 - Service: Automatos Desktop Agent (AutomatosDesktopAgent) - Automatos Inc. - C:\Program Files\Automatos\Desktop Agent\aengine.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - Unknown owner - C:\Program Files\SQLLIB\bin\db2jds.exe
O23 - Service: DB2 Security Server (DB2NTSECSERVER) - International Business Machines Corporation - C:\Program Files\SQLLIB\bin\db2sec.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORANT\BIN\ONRSD80.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Ora92\bin\omtsreco.exe
O23 - Service: OracleOra6iClientCache80 - Unknown owner - C:\Ora6i\BIN\ONRSD80.EXE
O23 - Service: OracleOracle8iClientCache - Unknown owner - C:\Oracle8i\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Ora92\BIN\ONRSD.EXE
O23 - Service: Oracle Reports Server [Rep60_ADVANCE-4ZPDQW2-Ora6i] (OracleReportServer-Rep60_ADVANCE-4ZPDQW2-Ora6i) - Oracle Corp - C:\Ora6i\bin\rwmts60.exe
O23 - Service: Automatos ฎ Uninstall (Uninstall) - Automatos Inc. - C:\Program Files\Automatos\Software Uninstaller\Uninstall.exe
This post has been edited by Dj'Aqua: 17 March 2008 - 07:17 PM
Reason for edit: codebox
#40
- สุดยอดแฟนพันธ์แท้
-
-
Group:
Forum Moderator
- Posts: 1,758
- Joined: 02-October 06
- Gender:Male
- Location:COE KKU
- Interests:Computer Security and Network
Posted 20 December 2007 - 12:15 AM
รู้สึกว่าหน้าหลังๆมาจะผิดวัตถุประสงค์ท่านเจ้าของกระทู้นะครับ -*- ถ้ามี log file ที่มีปัญหาจริงๆ โพสต์ไว้ในหมวด security เลยครับ ไม่ต้องมาโพสต์ในนี้ ได้โปรด เพราะไม่ค่อยมีใครเข้ามาดูหรอกครับ
ใช่ครับ ลบได้เลย
กากบาทคือไฟล์ที่เป็นอันตราย แต่ที่บอกว่า safe เพราะมันไม่มีอยู่ในเครื่องแล้วไงครับ สังเกตข้างหลัง มันขึ้นว่า file missing คือมันหายไปแล้ว แต่ค่าต่างๆยังอยู่ ให้เราลบไปได้เลย
QUOTE
คือถ้ามานมี (file missing) ด้านหลังลบได้หมดเลยใช่มะคับ
ใช่ครับ ลบได้เลย
QUOTE
คำถาม ----- ตาม คหที่ 18 นะครับ ผมอยากสอบถามด้วยความอ่อนด้อย ความสามารถด้านคอมพิวเตอร์ อยากทราบว่าเวลาถ้าจะลบ ต้องลบอย่างไร กดลบตรงไหนหรือครับ......ขอบคุณครับ
คห. ที่ 18
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
2อันนี้ มันขึ้น กากบาท แต่มันบอกว่า safe
ช่วยดูให้หน่อยสิครับ ว่ามันคืออะไร
คห. ที่ 18
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
2อันนี้ มันขึ้น กากบาท แต่มันบอกว่า safe
ช่วยดูให้หน่อยสิครับ ว่ามันคืออะไร
กากบาทคือไฟล์ที่เป็นอันตราย แต่ที่บอกว่า safe เพราะมันไม่มีอยู่ในเครื่องแล้วไงครับ สังเกตข้างหลัง มันขึ้นว่า file missing คือมันหายไปแล้ว แต่ค่าต่างๆยังอยู่ ให้เราลบไปได้เลย
This post has been edited by MGkunz: 20 December 2007 - 12:15 AM
#41
- สมาชิกใหม่กั๊บ ;)
-
- Group: Members
- Posts: 4
- Joined: 23-December 07
Posted 26 December 2007 - 07:47 AM
ขอบพระคุณพี่มากครับ ผมลองเอาไปใช้ ได้ผลดีมากๆครับ (ส่วนปัญหาโทรจันตัวที่ผมโพสต์ถามในhttp://community.thaiware.com/index.php?showtopic=329602 นั้นไม่สามารถลบออกได้เลยครับ ผมเลยต้อง ฟอร์แมตเครื่องใหม่หมดเลย)
#42
- เพื่อนไทยแวร์ :)
-
-
Group:
Gold Members
- Posts: 142
- Joined: 06-October 04
- Location:ในหัวใจแฟนทุกคน (ทำไปได้)
Posted 29 December 2007 - 01:35 PM
C:\WINDOWS\system\svchost.exe กับ C:\WINDOWS\services.exe << มันเป็นกากบาท แต่ใน HijackThis Ver.2 มันไม่มีให้ติ๊กอะ มีแต่
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\svchost.exe
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\svchost.exe
นี่คือลายเซ็น
!?? งง ??!
!?? งง ??!
#44
- สมาชิกใหม่กั๊บ ;)
-
- Group: Members
- Posts: 7
- Joined: 18-January 08
Posted 24 January 2008 - 12:12 PM
อาจารย์ครับ เครื่องคอมที่บ้านผมซึ่งเป็นแบบกึ่ง ออฟฟิศ-บ้าน มีอาการต่างๆดังนี้ เครื่องแรกที่มีอาการ คือ ตอนแรก เครื่องเริ่มเกิดอาการรีสตารท์เครื่องเอง พอผม scan ไวรัสก็เจอชื่อว่า rootkit แล้วพอลบออกไปก้อเกิดอาการ lan connect แต่ไม่มีข้อมูลส่งผ่าน (จำนวนไบต์เป็น0 ทั้งทางด้านรับ-ส่ง) พอดีผมจะเล่าความก่อนนะครับ เครื่องเซิฟเวอร์นี่จะใช้ทั้งหมด 2เครื่องคือ เครื่องหนึ่งใช้เป็น server โปรแกรม ที่ใช้งานขาย อยู่ในปัจจุบัน share network drive ครับ อีกเครื่องคือใช้ต่อ adsl และเครื่องที่เกิดอาการนั้น ปกติ ถ้าผมจะใช้งานเน็ต ผมจะเข้าไปใน local area connect/status/properties/tcp-ip/properties/advancdและ edit ตรง defalth gateway เอาครับ แต่ ตั้งแต่เครื่องเริ่มรีสตารท์เองนี่ มันไม่สามารถเข้าไปเปลี่ยนได้ครับ พอชี้ไปที่tcp/ip มันกดตรงproperties ไม่ได้ครับ มีแต่ขึ้นว่า install อย่างเดียวครับ และซักวันนึงก้อเกิด อาการเครื่องปริ้นเตอร์ที่share ไว้ในเครื่องที่ต่อ lan ต่างๆ ไม่ สามารถสั่งปริ้นตได้เหมือนเคย ผมจึงเปลี่ยน เครื่องใหม่อีกเครื่อง ปรากฎว่าใช้ไปซักพัก อีกเครื่องนึงก้อเกิดอาการ คือหน้าwindow xp เราพิมพ์ pass เข้าได้แล้วเกิด log off อัตโนมัติ อีก ช่วยตอบทีครับ ไม่รู้จะทำไง
