overclockzonefanpage  overclockzoneth  TV  
Results 1 to 9 of 9

Thread: IE ติดไวรัส IE เปิดหน้าต่างเวปเอง ทำไงดีคะ T^T

  1. #1
    OverclockZone Member Nee's Avatar
    Join Date
    21 Aug 2008

    Talking IE ติดไวรัส IE เปิดหน้าต่างเวปเอง ทำไงดีคะ T^T มี logflie ด้วยคะ

    IE ติดไวรัส IE เปิดหน้าต่างเวปเอง ทำไงดีคะ T^T



    ก็ เครื่องที่บ้านนู๋ มีปัญหานี้มานานแล้ว หาทางแก้อยู่มานานแล้วก็ยังไม่เจออ่าคะ

    (ถ้าใช้ FireFox ก็ไม่มีปัญหาอะไรนะ เป็นปกติดี แต่บางทีก็ต้องใช้ IE บ้างในบางเวป)



    อาการก็คือ

    เวลาเปิดเครื่องมา ถ้าไม่ได้ไปยุ่งอะไรกับ IE เครื่องก็จะเป็นปกติดี ไม่มีอะไร

    แต่เมื่อไรที่เปิด Internet Explorer ขึ้นมา ปุ๊บ ก็จะขึ้นหน้าจอ

    เวปของ จีน ชื่อ Taobao อะไรนี้ละ (จะตั้ง Use blank ยังไง อย่างไรก็ขึ้นเวปนี้ตลอด) แต่ก็สามารถไปเปิดเวปอื่นต่อได้ตามปกตินะ

    แต่ว่า เมื่อเปิดเวปอื่นเสร็จแล้ว เช่นเปิด Google หา ข้อมูลเสร็จ ก็ปิด IE



    แล้วก็ไปทำงานอย่างอื่นต่อเช่น พิมพ์ world

    อยู่ดีๆ IE มันก็เปิดเองขึ้นมาเฉย มาเวป Taobao เหมือนเดิม ถ้าไม่รีบกดปิด มันก็จะค่อยๆ ทยอยเปิดขึ้นมา ทีละโฆษณาของเวปนั้น

    ซึ่ง นู๋ รำคาญมาก ทำอย่างไรก็ไม่หาย สแกนไวรัส สแกนโทรจัน ก็แล้ว ใช้ Nod Tool ที่ ช่วยตั้งค่า IE ให้เป็นว่างเปล่าก็แล้ว Delete Cookies Delete Files Clear History ใน IE ทุกอย่างหมดแล้ว

    มันก็ไม่ยอมหาย ไม่รู้จะหาวิธีแก้อย่างไรกับไวรัสด้วยนี้ดีค่า ผู้รู้ช่วยบอกทีน่าขอบคุณมากๆ ค่า



    ปล. เครื่อง นู๋็ เวลาปิดเครื่อง จะมีหน้าต่าง End Programe ว่า Win32.exe ขึ้นมาทุกครั้ง อันนี้ก็หาวิธีแก้อยู่เหมือนกันค่า ไม่รู้อาการจะเชื่อมโยงกันรึเปล่า


    ไฟล์อันไหนผิดปกติ บ้างคะ แล้วจะแกล้งอย่างไรอ่า

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 2046, on 21/8/2551
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\5fa.exe
    C:\Program Files\Siemens\Tango Access Lite\app\TangoService.exe
    C:\WINDOWS\system32\15a01.exe
    C:\WINDOWS\system32\5fa.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Documents and Settings\1\Desktop\ygLight_2_7_4_0\ygLight.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ddt:81
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush1.dll
    O2 - BHO: IncePrivate Class - {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\Office\USERDATA\RsSdT0Ygjx.dll
    O2 - BHO: Invoke Class - {6B76DDAB-898D-4e5b-917C-2B697C2EA7A4} - C:\WINDOWS\system32\1g5.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll
    O2 - BHO: Invoke Class - {D44A7C31-7D76-4cce-AB9E-7C0DEE5B8D04} - C:\WINDOWS\system32\7151.dll
    O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [AVG] C:\WINDOWS\system32\wins\system\taskbar.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpyClean] C:\Program Files\Netcom3 Cleaner\SpyClean.exe
    O4 - HKLM\..\Policies\Explorer\Run: [imk1rbgr] rundll32 "C:\WINDOWS\Downlo~1\imk1rbgr.dll",start
    O4 - HKLM\..\Policies\Explorer\Run: [6e8b] rundll32 "C:\WINDOWS\Downlo~1\6e8b.dll",Run
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DE751D50-D234-4BFA-841F-73D2EC16CC57}: NameServer = 202.80.255.150 58.64.124.150
    O23 - Service: NetCom3 Service (Netcom3) - Unknown owner - C:\Program Files\Netcom3 Cleaner\PSCMonitor.exe (file missing)
    O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Program Files\Siemens\Tango Access Lite\app\TangoService.exe

    --
    End of file - 4636 bytes


    ช่วยบอกทีน่าค่า ขอบคุณมากๆ คะ T^T
    Last edited by Nee; 21 Aug 2008 at 20:29:50.

  2. #2
    OverclockZone Member
    Join Date
    31 Jul 2008

    Thumbs down

    ของผมก็เคยเจอ แต่พอใช้ nod32 สแกนโดยอัพเดตไวรัสล่าสุด ก็สามารถจัดการกับเจ้าตัวนี้ได้ ส่วนใหญ่เป็นพวกโทรจัน ลองดูละกันนะครับ

  3. #3
    OverclockZone Member Nee's Avatar
    Join Date
    21 Aug 2008

    Default

    Quote Originally Posted by rang_com View Post
    ของผมก็เคยเจอ แต่พอใช้ nod32 สแกนโดยอัพเดตไวรัสล่าสุด ก็สามารถจัดการกับเจ้าตัวนี้ได้ ส่วนใหญ่เป็นพวกโทรจัน ลองดูละกันนะครับ
    นู๋ไม่มี nod32 อ่าคะ

    แต่จะโหลดตัวทดลองใช้มาแก้ได้ไหมอ่าคะ

    ช่วยบอกทีน่าค่า ขอบคุณมากๆ ค่าา

  4. #4
    OverclockZone Member LigerZero's Avatar
    Join Date
    23 Jul 2007

    Default

    มันเป็น spyware ครับ ลองตัวนี้ครับของฟรีและดีมีในโลก

    http://www.malwarebytes.org/mbam.php

    ลงแล้วอัพเดตก่อนหลังจากนั้น รีสตาร์ทเครื่องแล้วกด F8 รัวๆพอมีตัวเลือกขั้นมาก็กดที่ safe mode พอเข้ามาแล้วก็เริ่ม scan ได้เลยครับ

    ถ้าจะใช้ Hijack ก็ลบตามนี้ (พอลองไล่ log แล้วเยอะกว่าที่บอกนะนั่นใช้ตัวข้างบนดีกว่านะ)

    C:\WINDOWS\system32\15a01.exe

    O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush1.dll

    O2 - BHO: Invoke Class - {6B76DDAB-898D-4e5b-917C-2B697C2EA7A4} - C:\WINDOWS\system32\1g5.dll

    O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll

    O4 - HKCU\..\Run: [SpyClean] C:\Program Files\Netcom3 Cleaner\SpyClean.exe

    O4 - HKLM\..\Policies\Explorer\Run: [imk1rbgr] rundll32 "C:\WINDOWS\Downlo~1\imk1rbgr.dll",start

    O4 - HKLM\..\Policies\Explorer\Run: [6e8b] rundll32 "C:\WINDOWS\Downlo~1\6e8b.dll",Run
    Last edited by LigerZero; 21 Aug 2008 at 22:27:01.

  5. #5
    OverclockZone Member
    Join Date
    19 Aug 2007
    Location
    โคราช

    Default

    ใช้ตัวนีครับ
    http://download.sysinternals.com/Files/Autoruns.zip
    สีแดง 6 อัน ต้องใช้
    ที่เหลือ ลบให้หมด
    Last edited by superkid; 20 Jan 2009 at 22:39:21.

  6. #6
    OverclockZone Member Nee's Avatar
    Join Date
    21 Aug 2008

    Default

    ขอขอบคุณ ทุกๆ คนที่เข้ามาช่วยมากๆ เลยน่าค่า


    เดี๋ยวแก้แล้วอาการจะเป็นอย่างไรบ้างจะมาแจ้งให้ทราบน่า

    ใจดีกันทุกคนเลย > <

  7. #7
    OverclockZone Member Nee's Avatar
    Join Date
    21 Aug 2008

    Default

    แหะๆ แก้ตามทุกคนบอกแล้วก็ยังไม่หายอ่าคะ

    แต่ก็ดีขึ้นนิดนึงน่า
    ได้ลบ Malware ไป 502 ตัว
    แล้วก็ปิดไฟล์ที่ทำงานแปลกๆ ใน IE ได้อีก 3 ตัว

    อาการตอนนี้ก็คือ จากเมื่อก่อนเปิด IE มายังไงก็จะเข้า เวป ไวรัส Taobao ทันที แต่เดี๋ยวนี้เวลาเปิด IE ก็เป็นหน้าจอ Use Blank ได้แล้วคือหน้าจอเปล่าๆ

    แต่พอไม่ว่าจะเปิดเวปอะไรต่อ สักพัก ไม่เกิน 5 วินาที ก็จามี หน้าเวปเพจของ Taobao โผล่ออกมา ดูคล้ายๆ Popup


    อยากถามต่อว่า ถ้า นู๋ เข้าไป Deleted ไฟล์ cpush1.dll

    ตามนี้ >>>
    O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush1.dll

    มันใช่ไวรัส Ad popup ของ เวป Taobao รึเปล่า เพราะ ใช้ HijackThis ลบเอาไฟล์นั้นออกแล้วก็ไม่หายง่า ถ้าเข้าไปลบใน Forder นั้นเลย จะหายไหมเอ่ย


    แล้วผลพวงจากการซ่อม เวลาใช้เครื่องตอนนี้ อยู่ดีๆ สักประมาณ 3 ชั่วโมง อยู่ดีๆ Windows ก็ปิด ตัวเอง ลง

    แล้วขึ้นกรอกว่า Windoes Log off Admin ให้ ใส่ User กับ PW

    นู๋ก็งง อาการนี้ไม่เคยเป็นมาก่อน นู๋เลยกด restart เครื่องใหม่ เพราะกลัวว่าใส่ Pw ไปแล้วเดี๋ยวจะเข้าไม่ได้อีกอ่า

    นี้มันคืออาการอะไรเอ่ยอ่าค่า


    แล้วอีกอย่างนึงก็คือ Temporary ของ IE ไม่สามารถลบได้จาก IE ถ้าเข้าไปลบเองได้ โพลเดอร์ Temporary โดยลบทั้งหมดจะเป็นอย่างไรไหมเอ่ยอ่ะคะ


    ช่วยหน่อยน่าค่า ขอบคุณมากๆ ค่าาา
    Last edited by Nee; 22 Aug 2008 at 10:28:30.

  8. #8
    OverclockZone Member LigerZero's Avatar
    Join Date
    23 Jul 2007

    Default

    ตัวที่คุณโพสมาได้ผมตามนี้ครับ

    Must be fixed! cpush.dll - Sogou.Toolbar, http://www.symantec.com/enterprise/secur ity_response/writeup.jsp?docid=2006-0727 15-4249-99 adware
    Short analysis

    ประมาณว่าต้องรีบ fix ด่วน แนะนำให้ลองทำใน safe mode ส่วน IE ลองรีเซ็ทค่ามันดูนะครับ internet option >>>>advance >>>reset

    ส่วนพวก temp file ของ IE ถ้าลบไมไ่ด้ลองใช้ Ccleaner ดูครับพิมลง google แล้วกดเข้าไปโหลดได้เลยของฟรี

    แล้วก็ antispyware ถ้าใช่แล้วเอาออกไม่หมดให้ลองยี่ห้ออื่นด้วยครับ เอาหลายๆยี่ห้อเลย spybot /adaware se/superantispyware พวกนี้หาได้บนเน็ทหมดครับ+ฟรี แล้วไป scan ใน safe mode ด้วยน่อ
    Last edited by LigerZero; 23 Aug 2008 at 15:04:19.

  9. #9
    OverclockZone Member Nee's Avatar
    Join Date
    21 Aug 2008

    Default

    ขอบคุณทุกท่าน มากๆ เลยน่า


    เดี๋ยวจะลองทำตามที่แนะนำน่าค่า > <

    ไวรัสใกล้หมดเครื่องแล้ว อิอิ


Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •