overclockzonefanpage  overclockzoneth  TV  
Results 1 to 10 of 10

Thread: ช่วยด้วยคับ ติดไวรัส ทำให้เครื่องcpu100%

  1. #1
    OverclockZone Member tucky15's Avatar
    Join Date
    23 Dec 2007

    Default ช่วยด้วยคับ ติดไวรัส ทำให้เครื่องcpu100%

    ผมติดไวรัส ทำให้เครื่องcpu100% ผมว่ามันเกิดจาก ekrn.exe แต่มันก้อน่าจะไม่ใช่เพราะเป็นตัวของ nod32
    เอารูปมาให้ดูคับ ใครแก้ได้ช่วยแก้ให้ทีน่ะคับ ขอบคุณมากคับ
    http://www.googeb.com/viewer.php?id=rgh1202321772k.jpg

    แถมlogfile ของ hijackมาให้ด้วยคับ

    Logfile of HijackThis v1.99.1
    Scan saved at 003, on 7/2/2551
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ATKKBService.exe
    C:\WINDOWS\VistaDrive\VistaDrive.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\LClock\LClock.exe
    C:\Program Files\VisualTaskTips\VisualTaskTips.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Winamp\winamp.exe
    C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cz.podzone.net:88/index3.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
    O2 - BHO: (no name) - {447948BA-7F55-4981-A055-30D13195F93D} - C:\WINDOWS\system32\awvvt.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {9AA57522-2ECD-47DF-BD38-20E7E577A464} - C:\WINDOWS\system32\gebxvur.dll
    O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\rjzamadc.dll (file missing)
    O2 - BHO: {1adc20aa-0fd8-38ab-0e24-fb0bedfd28ed} - {de82dfde-b0bf-42e0-ba83-8df0aa02cda1} - C:\WINDOWS\system32\cbgwbqep.dll
    O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
    O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Windows Video Component] wvcsvc.exe
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [386eefad] rundll32.exe "C:\WINDOWS\system32\nnhgdunk.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
    O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
    O8 - Extra context menu item: &ดาวน์โหลดทั้งหมดโดยใช้ FlashGet - C:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: &ดาวน์โหลดโดยใช้ FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D98375A3-E45F-4007-8346-98EDD35EBB30}: NameServer = 192.168.2.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: gebxvur - C:\WINDOWS\SYSTEM32\gebxvur.dll
    O20 - Winlogon Notify: rjzamadc - rjzamadc.dll (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe


    ลงผิดกระทู้ป่าวไม่แน่ใจ ถ้าผิดยังไงแจ้งย้ายกระทู้ได้เลยคับ

  2. #2
    ผู้ผ่านมาเยือน
    Guest

    Default

    NOD32 นี่เวอร์ชั่น 3 ใช่ไหมครับไม่คุ้นเลย เพราะผมยังใช้ 2.7 อยู่ครับ ต้องทำ mirror ให้ วิน9x ด้วย

    ถ้ากำปั้นทุบติดเลยก็

    O2 - BHO: (no name) - {447948BA-7F55-4981-A055-30D13195F93D} - C:\WINDOWS\system32\awvvt.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {9AA57522-2ECD-47DF-BD38-20E7E577A464} - C:\WINDOWS\system32\gebxvur.dll
    O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\rjzamadc.dll (file missing)
    O2 - BHO: {1adc20aa-0fd8-38ab-0e24-fb0bedfd28ed} - {de82dfde-b0bf-42e0-ba83-8df0aa02cda1} - C:\WINDOWS\system32\cbgwbqep.dll

    O4 - HKLM\..\Run: [Windows Video Component] wvcsvc.exe ------ (ไม่แน่ใจนะครับอาจจะมากับระบบของ ATI ที่ผมไม่คุ้นเลยเพราะเคยเลย จับแต่รุ่นเก่าๆอย่าง Rage ที่มันก็ไม่มีอะไรมากมาย - -")
    O4 - HKLM\..\Run: [386eefad] rundll32.exe "C:\WINDOWS\system32\nnhgdunk.dll",b


    O20 - Winlogon Notify: gebxvur - C:\WINDOWS\SYSTEM32\gebxvur.dll
    O20 - Winlogon Notify: rjzamadc - rjzamadc.dll (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll


    เพราะชื่อไฟล์ประหลาดเกินไป ดูแล้วไม่มีที่มาที่ไป
    วิธีตรวจสอบคือ ให้ไปคลิ๊กขวาดู Properties ไฟล์พวกนั้นว่า มันมี Tab ที่ชื่อ Version บอกที่มาที่ไปว่าใครเป็นเจ้าของไฟล์หรือเปล่า
    ส่วนใหญ่มันจะไม่มีอะไรบอกนอกจาก Tab ที่ชื่อ General อย่างเดียว
    หรือร้ายกว่านั้นหน่อยก็คือ จะเลียนแบบ เป็นชื่อบริษัทที่เชื่อถือได้อย่างเช่น Adobe

    สงสัยไฟล์อีก 1 ตัวคือ
    C:\WINDOWS\VistaDrive\VistaDrive.exe

    คือมันมากะ วิสต้าแพ็ค หรือเปล่าครับ ดูมันไม่สำคัญเท่าไหร่หรืออาจจะเป็นชื่อเลียนแบบอย่างที่ว่าไว้
    ไม่เหมือนส่วนประกอบ
    C:\Program Files\LClock\LClock.exe
    C:\Program Files\VisualTaskTips\VisualTaskTips.exe

    แค่นี้ก็พอใช้แล้ว

    VistaDrive.exe
    อันนี้จริงๆแล้ว ส่วนตัวก็ไม่แน่ใจเช่นกันเพราะผมก็ถอด วิสต้าแพ็ค ไปนานแล้วครับ ถอดเพราะรู้สึกอืดขึ้นนิดหน่อยเนื่องจากคอมเก่าตามอายุ สเป็คค่อนข้างต่ำ แต่ไม่มีปัญหาว่า CPU 100% นะครับ อาจจะลืมๆไปบ้าง
    แค่รู้สึกว่ามันไม่น่าจะมีเพราะระบบเป็น Windows XP SP2



    แต่ทั้งหมดทั้งมวลคือ
    กด Fix checked แล้วมันกลับเข้ามาอีกใช่ไหมครับ ?

    ถ้าสังเกตดูที่หมวด O20
    ก็พอจะเดาได้ว่า มันทำงานก่อน NOD32 ครับซึ่งไฟล์ที่กำลังถูก process อยู่มันจะลบไม่ได้ ย้ายไม่ได้
    ลองบูทเข้า safe mode ดูนะครับแต่ ....
    safe mode ไม่ค่อยถูกโฉลกกับ HijackThis ครับมันจะสแกนออกมาไม่ครบเหมือนบูทเต็มรูปแบบ
    ถ้าโชคดีก็ยังเลือก Fix checked ได้อยู่ครับ

    ถ้าขี้เกียจเข้า safe mode
    ก็ลอง kill process จากปรกติเลยก็ได้ ไปที่ config... > misc tools > open process manager
    kill ทุกตัวที่ไม่ได้อยู่ใน C:\WINDOWS\system32\
    และ
    C:\Documents and Settings\Administrator\Desktop\HijackThis.exe <---- ไม่บอกก็คงรู้ว่าไม่ต้องคิล คิลไปแล้วก็จบกันเลย อิอิ
    แล้วอาจจะจำเป็นต้อง kill
    C:\WINDOWS\Explorer.EXE
    นี้ด้วย ถ้ามันไม่ทำให้ HijackThis.exe ปิดตัวลงนะครับ ถ้ามันปิดก็ใช้ 3 ปุ่มในตำนาน new task เฉพาะ HijackThis.exe ขึ้นมาใหม่ ถ้ายังไม่ได้ก็เปิด Explorer.EXE มาด้วยก็ได้

    โดยเฉพาะตัวแรกที่สงสัยเลยก็คือ
    C:\WINDOWS\VistaDrive\VistaDrive.exe
    อื่นๆไม่เท่าไหร่เครับ

    แล้วไป Fix checked รายการที่แยกไว้ แล้วลอง restart เครื่องใหม่น่าจะอาการดีขึ้น
    โชคดีครับ

  3. #3
    OverclockZone Member Kengjeed's Avatar
    Join Date
    27 Sep 2007
    Location
    บางกรวย-ไทรน้อย

    Default

    เอาโปรแกรมนี้ไปแก้เลยครับ ใช้ได้ 100%
    ลองดูนะครับป๋ม

    Last edited by Kengjeed; 7 Feb 2008 at 12:01:37.

  4. #4
    OverclockZone Member tucky15's Avatar
    Join Date
    23 Dec 2007

    Default

    ขอบคุณทุกท่านมากคับที่ช่วยเหลือ

  5. #5
    OverclockZone Member tucky15's Avatar
    Join Date
    23 Dec 2007

    Default

    Quote Originally Posted by Kengjeed View Post
    เอาโปรแกรมนี้ไปแก้เลยครับ ใช้ได้ 100%
    ลองดูนะครับป๋ม

    ลองแล้วคับ ยังแก้ไม่ได้เลยคับ

  6. #6
    OverclockZone Member Kengjeed's Avatar
    Join Date
    27 Sep 2007
    Location
    บางกรวย-ไทรน้อย

    Default

    Quote Originally Posted by tucky15 View Post
    ลองแล้วคับ ยังแก้ไม่ได้เลยคับ

    สงสัย อาการ จะหนัก แหะ

  7. #7
    เมพขิงๆ Mania ! TWK.'s Avatar
    Join Date
    5 Dec 2006
    Location
    สำโรง-บางนา-สัตหีบ

    Default

    format ลงวินโดวส์ใหม่ ง่ายดี หิหิหิ

  8. #8
    OverclockZone Member nuttapum_plum's Avatar
    Join Date
    5 Jun 2007

    Default

    แก้ไม่ได้ ลงใหม่ดีกว่า

  9. #9
    ผู้มาเยือน นิรนาม
    Guest

    Thumbs up มาช้าไปป่าว

    ไม่รู้มาช้าไปป่าว ......
    ลองดู นะ อีก หนึ่งหนทาง .....
    จาก อาการที่ว่ามา มันอาจจะเกิดจาก การSCAN ตลอดเวลา ของไฟล์ NOD32 ver 3.0
    สาเหตุ มาจากการที่ มีไฟล์ ถูกกักเอาไว้ ที่ Quarantine
    วิธีแก้ ให้ ลบไฟล์ นั้น ออกไปซะ
    แล้วลองดู ที่ Process ใหม่ เคยลองมาหลายเครื่องแล้ว หายเป็นปกติ.....

  10. #10
    OverclockZone Member
    Join Date
    5 Jul 2008

    Default

    ลองดู รวมตัวแก้ไวรัสตัวดังๆ พร้อมวิธีใช้

    http://www.freesoftwarehost.com/freeware/antivirus.asp


Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •