Jump to content


ประกาศย้าย Thaiware Community ไปที่ QA.THAIWARE.COM

ขณะนี้ทางเว็บ Thaiware.com ได้เปิด บริการใหม่ภายใต้หัวข้อ THAIWARE Q&A (ถาม - ตอบ) เมื่อต้นเดือน มกราคม พ.ศ. 2556 (2013) ที่ผ่านมา หากใครมีข้อสงสัย มีคำถามต่างๆ จะสอบถาม เรามีทีมงานที่จะคอยดูแลตอบคำถาม ไขข้อข้องใจตลอดเวลา


สำหรับในหน้า COMMUNITY.THAIWARE.COM นี้เราจะเก็บเอาไว้เป็นคลังกระทู้เก่า เพื่อค้นคว้าหาความรู้ที่เคยพูดคุยกันมา ตลอด 10 ปีที่ผ่านมา ซึ่งต่อไปโดยจะไม่สามารถตั้งกระทู้ หรือ สมัครสมาชิกใหม่ ในหน้านี้ได้ ดังนั้นขอเชิญที่ QA.THAIWARE.COM แทน สำหรับสมาชิกเก่าในที่นี้ กรุณาสมัครสมาชิกใหม่อีกครั้งก่อนการใช้งานที่ THAIWARE Q&A (ถาม - ตอบ)


ขอบคุณที่ใช้บริการตลอดมา
ทีมงาน Thaiware.com
หากมีข้อสงสัยติดต่อ 0-2635-0744 ต่อ 12



Photo

dll หาย แต่หาโหลดจากเว็บไม่เจอ!?


  • Please log in to reply
7 replies to this topic

#1 PluslE

PluslE

    สมาชิกใหม่กั๊บ ;)

  • Members
  • Pip
  • 8 posts

Posted 13 December 2008 - 10:19 PM

คือตอนนี้ผมเจอปันหาที่ว่า

พอเปิดเครื่องขึ้นมา มันฟ้องว่า ไฟล์ dll ได้หายไป 3 ตัว
คือ
yfaqyfum.dll
dcbueofn.dll
mgauipkf.dll

แต่พอไปหาโหลดจากเว็บที่ไห้ดาวโหลดไฟล์ dll อย่าง dll-files.com
ก็ไม่สามารถหาไฟล์เหล่านี้เจอ

จึงอย่างถามผู้รุ้ว่า ไฟล์เหล่านี้เป็นไฟล์อะไร(ใช่ Virusมั้ย? ถ้าใช่ จะแก้ได้อย่างไร) แต่ถ้าไม่ไช่ จะมีวิธีหาไฟล์เหล่านี้มาลงไหม หรือถ้าไม่ลงจะมีผลกระทบอะไรไหมครับ


รบกวนด้วยนะครับๆ

ขอบคุนคัฟฟ

#2 OctraBond

OctraBond

    คนเลี้ยงแมว

  • Global Moderator
  • 4,769 posts
  • Gender:Male
  • Location:Dragon Isle

Posted 13 December 2008 - 10:28 PM

ไฟล์พวกนี้ชื่อประหลาดครับ เป็นไวรัสที่ตั้งชื่อมั่วๆ เพื่อสำรองข้อมูลของตัวมันเองในการแพร่กระจาย ก็ลองสแกนในเซฟโหมดดูครับ ถ้าไม่พบแสดงว่าไฟล์ถูกลบไปแล้ว แต่การเรียกใช้ยังคงมีอยู่ และอาจกลับมาได้อีกถ้าไวรัสตัวแม่ยังคงทำงาน ก็ลองเอา hijackthis log มาดู

Edited by OctraBond, 13 December 2008 - 10:33 PM.


#3 PluslE

PluslE

    สมาชิกใหม่กั๊บ ;)

  • Members
  • Pip
  • 8 posts

Posted 13 December 2008 - 11:13 PM

เอิ่มมม

สแกนในเซฟโหลด คือเราเปิดแบบเซฟโหมดแล้วแสกนไวรัสดูสินะครับบ
เดวจะลองดูครับบ


ว่าแต่ ไอ highjackthis log คือไรอ่ะครับ?

#4 OctraBond

OctraBond

    คนเลี้ยงแมว

  • Global Moderator
  • 4,769 posts
  • Gender:Male
  • Location:Dragon Isle

Posted 13 December 2008 - 11:19 PM

http://community.tha...p;hl=hijackthis

#5 MIX THE WIZARD

MIX THE WIZARD

    ถึงตาย ข้าก็จะไม่เข้าลัทธิบูจูเด็ดขาด

  • Exclusive Members
  • PipPipPipPipPipPipPip
  • 4,065 posts
  • Gender:Male
  • Location:ลืมไปแล้วอ่า
  • Interests:Computer

Posted 14 December 2008 - 10:25 AM

เอาออกจาก msconfig ตรง startup ก็ได้ครับ
กองกำลังต่อต้าน GM & บูจู
ฝาก MyBlog ครับ


#6 PluslE

PluslE

    สมาชิกใหม่กั๊บ ;)

  • Members
  • Pip
  • 8 posts

Posted 14 December 2008 - 04:08 PM

อ่าาา

เอาออกแล้ว กลัวว่า ถ้าต่อไปนี่เปนไวรัสจิง มันจะไปทำลายอย่างอ่ะงับบ

แต่ก็กะจะเอาออกไปก่อนเพราะจะได้ไม่รำคานงับๆ
= ="



นี่ครับ log
CODE
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ADSL\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.118.95.2:80
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ADSL\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Host Booter] hostbooter.exe
O4 - HKLM\..\Run: [System CGI Manager] syscgmgr.exe
O4 - HKLM\..\Run: [58803be0] rundll32.exe "C:\WINDOWS\system32\yfaqyfum.dll",b
O4 - HKLM\..\Run: [BM5bb3087c] Rundll32.exe "C:\WINDOWS\system32\dcbueofn.dll",s
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BM5bb3087c] Rundll32.exe "C:\WINDOWS\system32\mgauipkf.dll",s
O4 - HKCU\..\Run: [42024529110998148761758295084933] C:\Program Files\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://www.solidstat...lidstateion.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab
O17 - HKLM\System\CS3\Services\Tcpip\..\{420B8AB8-7454-4BD0-A127-4925ACAFE6D7}: NameServer = 203.113.127.199 203.113.24.199
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: ljJYsTLE - ljJYsTLE.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe




ปล.สิ่งที่ทำไปแล้วคือ
- หลังจากแสกนเสด เอา log ที่ได้ไป analyze ในเวบที่อยู่ในบอดที่ไห้มา (เวบ highjackthis.us มั้ง) จากนั้นทำการลบไฟล์ที่เปนกากบาทสีแดงทิ้งๆ โดย 1 ในนั้น มีชื่อ yfaqyfum ด้วย

Edited by PluslE, 14 December 2008 - 04:55 PM.


#7 MIX THE WIZARD

MIX THE WIZARD

    ถึงตาย ข้าก็จะไม่เข้าลัทธิบูจูเด็ดขาด

  • Exclusive Members
  • PipPipPipPipPipPipPip
  • 4,065 posts
  • Gender:Male
  • Location:ลืมไปแล้วอ่า
  • Interests:Computer

Posted 14 December 2008 - 05:04 PM

FIX ตัวพวกนี้นะ(ไม่รู้จักเก็บหมด)
O4 - HKLM\..\Run: [Windows Host Booter] hostbooter.exe
O4 - HKLM\..\Run: [System CGI Manager] syscgmgr.exe
O4 - HKLM\..\Run: [58803be0] rundll32.exe "C:\WINDOWS\system32\yfaqyfum.dll",b
O4 - HKLM\..\Run: [BM5bb3087c] Rundll32.exe "C:\WINDOWS\system32\dcbueofn.dll",s
O4 - HKCU\..\Run: [BM5bb3087c] Rundll32.exe "C:\WINDOWS\system32\mgauipkf.dll",s
O4 - HKCU\..\Run: [42024529110998148761758295084933] C:\Program Files\Antivirus 2009\av2009.exe
กองกำลังต่อต้าน GM & บูจู
ฝาก MyBlog ครับ


#8 b3HeM0tH

b3HeM0tH

    สุดยอดแฟนพันธ์แท้

  • Forum Moderator
  • 1,758 posts
  • Gender:Male
  • Location:COE KKU
  • Interests:Computer Security and Network

Posted 14 December 2008 - 05:39 PM

สังเกตง่ายๆ ไฟล์ส่วนใหญ่ใน C:\windows\system32\ ทั้งหมดเป็นไฟล์ระบบ ซึ่งจะมีชื่อของไฟล์ที่แน่นนอนและสื่อความหมาย

แต่ไฟล์ที่หายไปเป็นชื่อมั่วๆ ไวรัสจะ random ชื่อไฟล์ออกมาแล้วสร้างไว้ใน C:\windows\system32\

ดังนั้น ไม่ต้องไปสนใจ ถ้าไฟล์พวกนี้หายไป อาจโดน anti virus ในเครื่องคุณ จับกินไปแล้ว

ปัญหาอยู่ที่ไฟล์ตัวแม่ของมันที่คอยรันไฟล์เหล่านั้นในเครื่องคุน

ต้องหาไฟล์ตัวหลักแล้ว ลบทิ้งก็หายครับ








0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

ประกาศ ! : ข้อความที่ถูกพิมพ์ หรือเผยแพร่ออกจากเว็บบอร์ด Thaiware Community Board แห่งนี้ ถือเป็น ความคิดเห็นส่วนบุคคลทั้งสิ้น ซึ่งทางเว็บไซต์ Thaiware.com จะ ไม่รับผิดชอบ ต่อสิ่งที่เกิดขึ้น อันเป็นเหตุมาจากการพิมพ์จากทางผู้ใช้ และสมาชิก แต่อย่างไรก็ตามถ้าหาก ท่านใดพบ ข้อความที่เป็นสิ่งที่ไม่เหมาะสม ได้ถูกเผยแพร่ลงในเว็บไซต์ อาทิเช่น คำพูดที่ลบหลู่ ดูหมิ่นต่อ ความมั่นคงของชาติ ศาสนา และ พระมหากษัตริย์ รวมไปถึงการเผยแพร่รูปภาพที่ไม่เหมาะสม หรือ สิ่งผิดกฏหมายต่างๆ กรุณาแจ้ง ทางทีมงาน มาได้ที่ webmaster@thaiware.com หรือ โทรศัพท์มาแจ้งได้ที่ 0-2635-0744 (ทุกวัน จันทร์ - ศุกร์ เวลา 9.30 - 17.30 น.) ซึ่งเราจะรีบดำเนินการลบโดยเร็วที่สุด ...