ข่าว IT ล่าสุด
ถูกใจอย่าลืม Like Fanpage
ทำไม Nod32 Eset V.4 ของผมมันไม่สามารถแสกนใน Safemode ได้ครับ
แสดงแล้ว 6741 ครั้ง /
กันยายน 25, 2010, 14:30:29

Pokin

ออฟไลน์
กระทู้ : 22
คะแนนขอบคุณ : 0
เครื่องผมมันดดนไวรัส nvvsvc.exe csrss.exe winlogon.exe ผมจะลองเข้าไปแสกนใน Safemode แต่ทำยังไงก็ไม่สามรถแสกนได้ มันฟ้อง Comunication kernel failed ประมาณนี้อ่ะครับ  ไม่ทราบต้องทำยังไงครับ แล้ววิธีแก้ไวรัสพวกนี้ทำวิธีไหนได้บ่างครับ ขอบคุณครับ


ßë©äûšë

ออฟไลน์ ( แค่นี้ยังอ่อนหัดอยู่นะ )
กระทู้ : 1,534
คะแนนขอบคุณ : 13
เลขเด็ด เลขเด็ด เลขดัง เกร็งเลข ใบ้หวย ประจำงวดนี้ ที่นี่ อาจารย์ตี๋
กันยายน 25, 2010, 14:53:38
โห..ถ้ารู้ขนาดนั้นคงไม่ต้องพึ่ง Nod แล้วมั้งครับ ของผมก็รัน Nod ใน Safe Mode ไม่ได้เหมือนกันครับ

ใน safemode กราฟฟิคจะไม่ทำงาน Nod ม้นเป็นกราฟฟิค เพราะฉะนั้นก็เลยเป็นงั้นแหละครับ

ก็ไม่ยาก เข้า safemode แล้วก็ search หาชื่อไวรัสแล้วก็ลบแค่นั้นแหละครับ

Pokin

ออฟไลน์
กระทู้ : 22
คะแนนขอบคุณ : 0
กันยายน 25, 2010, 15:08:09
โห..ถ้ารู้ขนาดนั้นคงไม่ต้องพึ่ง Nod แล้วมั้งครับ ของผมก็รัน Nod ใน Safe Mode ไม่ได้เหมือนกันครับ

ใน safemode กราฟฟิคจะไม่ทำงาน Nod ม้นเป็นกราฟฟิค เพราะฉะนั้นก็เลยเป็นงั้นแหละครับ

ก็ไม่ยาก เข้า safemode แล้วก็ search หาชื่อไวรัสแล้วก็ลบแค่นั้นแหละครับ
ขอบคุณครับ จะลองดูนะครับ

Moshi

ออฟไลน์
กระทู้ : 16,996
คะแนนขอบคุณ : 45
it4x สังคมแห่งการเรียนรู้
กันยายน 25, 2010, 15:34:08
ทางที่ดีสำหรับผมลงวินโดว์ใหม่อ่ะครับ เพราะไวรัสกินไฟล์ exe กับระบบไปแล้ว แก้ไปก็เหมือนไม่มีประโยชน์อ่ะครับ

ถ้าเทียบเหมือนกับว่า ขาโดนน้ำร้อนลวกแล้ว เรารักษาหายดี สุดท้ายก็ยังเป็นลอยแผลเหมือนเดิมประมาณนี้

แต่ถ้าจะแก้ก็ได้นะลองดูทีละตัวเลย

csrss.exe

แก้โดยเข้า safemode แล้วไปที่ C:WindowsSystemLevelx *ที่ใส่ x เพราะอาจไม่เหมือนกัน แล้วไฟล์ csrss.exe ลบทิ้งได้เลย

จากนั้นไปหา Csrss.exe จากเครื่องอื่น มา Copy ไปไว้ที่ C:WINDOWSsystem32dllcache

แล้วลบไฟล์ Csrss.exe ที่อยู่ C:WINDOWSsystem32  ถ้าลบไม่ได้ ก็ copy ไฟล์ใหม่มาทับ



ส่วน Winlogon ตามนี้

1. เข้า safe mode
2. เข้า msconfig (start/run/msconfig -> startup)
เอาเครื่องหมายหน้าไฟล์เหล่านี้ออกครับ
- norBtok
- smss
3. boot เครื่องใหม่ตามปกติ
หลังจากนี้ virus จะหยุดทำงานแล้วครับ ต่อไปเราจะตามลบมันออกให้หมด

4. โหลด file นี้ครับ เพื่อปลดล๊อกให้ใช้ Regedit
[direct]http://securityresponse.symantec.com/avcenter/UnHookExec.inf[/direct]
เมื่อโหลดเสร็จให้ คลิ๊กขวาที่คำว่า install นะครับ
5. เข้า regedit (start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer
ลบ NoFolderOptions ออก (อันนี้ virus มันซ่อน menu Options...ไว้ครับ)
6. search ใน my computer (My computer/search...)

หาไฟล์ *.exe
โดยใช้ filter
--> what size is it?
specify size
at most 85 kb (เผื่อไว้หน่อย)
จากผลลัพย์ที่ได้ กด คอลัมน์ size แล้วดู ให้ลบไฟลที่ความจุ 80 kb ที่ icon จะเป็นรูป คล้ายกับ Folder
มาก ลบทิ้งเลยครับ (อย่าเพลอไป ดับเบิ้ลคลิ๊กหล่ะ ต้องเริ่มข้อ 1 ใหม่เลยนะครับ หุหุ เตือนไว้ก่อน)
7. ลบไฟล์ เหล่านี้ด้วยครับ
%UserProfile%TemplatesA.kotnorB.com
%Windir%infnorBtok.exe
%Windir%system323D Animation.scr

จบครับ
ข้อมูลเพิ่มเติมได้ที่นี้ครับ
\inside2printSymantec Security Response - [email protected]




ส่วน nvvsvc.exe ผมไม่แน่จัยว่าเป็นไวรัสหรือเปล่านะครับ เพราะว่ามันเป็นผลรันของการ์ดจอ nvidia ไม่ใช่เหรอ


มีเทคนิคเพิ่มเติมจากคุณ CyberJiab นะครับ

โค๊ด: [Select]
เรารู้ว่า file ติดไวรัสชื่อว่า c:windowssystem32prai.dll

เราก็สั่งคำสั่ง

cacls c:windowssystem32prai.dll /p everyone:N

จากนั้นก็ลอง boot เครื่องใหม่   prai.dll virus ที่ติดใน winlogon.exe หรือ process อื่นๆก็ไม่สามารถ load เข้าสู้ memory ได้

จากนั้นเราก็ไปสั่ง

cacls c:windowssystem32prai.dll /p everyone:Y
del /f c:windowssystem32prai.dll
ก็จะลบ virus ตัวนี้ได้ตามต้องการ

วิธีนี้เท่าที่เคยลองมา ได้ผล 100% ครับ ตัวไหนฆ่าไม่ได้เจอวิธีนี้ตายเรียบ ไม่เชื่อไปลองดูได้ ยิ้ม

Pokin

ออฟไลน์
กระทู้ : 22
คะแนนขอบคุณ : 0
กันยายน 25, 2010, 15:40:39
ทางที่ดีสำหรับผมลงวินโดว์ใหม่อ่ะครับ เพราะไวรัสกินไฟล์ exe กับระบบไปแล้ว แก้ไปก็เหมือนไม่มีประโยชน์อ่ะครับ

ถ้าเทียบเหมือนกับว่า ขาโดนน้ำร้อนลวกแล้ว เรารักษาหายดี สุดท้ายก็ยังเป็นลอยแผลเหมือนเดิมประมาณนี้

แต่ถ้าจะแก้ก็ได้นะลองดูทีละตัวเลย

csrss.exe

แก้โดยเข้า safemode แล้วไปที่ C:WindowsSystemLevelx *ที่ใส่ x เพราะอาจไม่เหมือนกัน แล้วไฟล์ csrss.exe ลบทิ้งได้เลย

จากนั้นไปหา Csrss.exe จากเครื่องอื่น มา Copy ไปไว้ที่ C:WINDOWSsystem32dllcache

แล้วลบไฟล์ Csrss.exe ที่อยู่ C:WINDOWSsystem32  ถ้าลบไม่ได้ ก็ copy ไฟล์ใหม่มาทับ



ส่วน Winlogon ตามนี้

1. เข้า safe mode
2. เข้า msconfig (start/run/msconfig -> startup)
เอาเครื่องหมายหน้าไฟล์เหล่านี้ออกครับ
- norBtok
- smss
3. boot เครื่องใหม่ตามปกติ
หลังจากนี้ virus จะหยุดทำงานแล้วครับ ต่อไปเราจะตามลบมันออกให้หมด

4. โหลด file นี้ครับ เพื่อปลดล๊อกให้ใช้ Regedit
[direct]http://securityresponse.symantec.com/avcenter/UnHookExec.inf[/direct]
เมื่อโหลดเสร็จให้ คลิ๊กขวาที่คำว่า install นะครับ
5. เข้า regedit (start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer
ลบ NoFolderOptions ออก (อันนี้ virus มันซ่อน menu Options...ไว้ครับ)
6. search ใน my computer (My computer/search...)

หาไฟล์ *.exe
โดยใช้ filter
--> what size is it?
specify size
at most 85 kb (เผื่อไว้หน่อย)
จากผลลัพย์ที่ได้ กด คอลัมน์ size แล้วดู ให้ลบไฟลที่ความจุ 80 kb ที่ icon จะเป็นรูป คล้ายกับ Folder
มาก ลบทิ้งเลยครับ (อย่าเพลอไป ดับเบิ้ลคลิ๊กหล่ะ ต้องเริ่มข้อ 1 ใหม่เลยนะครับ หุหุ เตือนไว้ก่อน)
7. ลบไฟล์ เหล่านี้ด้วยครับ
%UserProfile%TemplatesA.kotnorB.com
%Windir%infnorBtok.exe
%Windir%system323D Animation.scr

จบครับ
ข้อมูลเพิ่มเติมได้ที่นี้ครับ
\inside2printSymantec Security Response - [email protected]




ส่วน nvvsvc.exe ผมไม่แน่จัยว่าเป็นไวรัสหรือเปล่านะครับ เพราะว่ามันเป็นผลรันของการ์ดจอ nvidia ไม่ใช่เหรอ


มีเทคนิคเพิ่มเติมจากคุณ CyberJiab นะครับ

โค๊ด: [Select]
เรารู้ว่า file ติดไวรัสชื่อว่า c:windowssystem32prai.dll

เราก็สั่งคำสั่ง

cacls c:windowssystem32prai.dll /p everyone:N

จากนั้นก็ลอง boot เครื่องใหม่   prai.dll virus ที่ติดใน winlogon.exe หรือ process อื่นๆก็ไม่สามารถ load เข้าสู้ memory ได้

จากนั้นเราก็ไปสั่ง

cacls c:windowssystem32prai.dll /p everyone:Y
del /f c:windowssystem32prai.dll
ก็จะลบ virus ตัวนี้ได้ตามต้องการ

วิธีนี้เท่าที่เคยลองมา ได้ผล 100% ครับ ตัวไหนฆ่าไม่ได้เจอวิธีนี้ตายเรียบ ไม่เชื่อไปลองดูได้ ยิ้ม
ขอบคุณครับ

ßë©äûšë

ออฟไลน์ ( แค่นี้ยังอ่อนหัดอยู่นะ )
กระทู้ : 1,534
คะแนนขอบคุณ : 13
เลขเด็ด เลขเด็ด เลขดัง เกร็งเลข ใบ้หวย ประจำงวดนี้ ที่นี่ อาจารย์ตี๋
กันยายน 25, 2010, 15:47:25
ทางที่ดีสำหรับผมลงวินโดว์ใหม่อ่ะครับ เพราะไวรัสกินไฟล์ exe กับระบบไปแล้ว แก้ไปก็เหมือนไม่มีประโยชน์อ่ะครับ

ถ้าเทียบเหมือนกับว่า ขาโดนน้ำร้อนลวกแล้ว เรารักษาหายดี สุดท้ายก็ยังเป็นลอยแผลเหมือนเดิมประมาณนี้



โห..เปรียบซะ55+ สรุปลงใหม่เร็วและดีสุด ฮะฮะ

 

ด้วยฟังค์ชั่น ตอบด่วน คุณสามารถใช้โค๊ดและ เครื่องหมายแสดงอารมณ์ได้ เหมือนการตั้งกระทู้ธรรมดา แต่สามารถทำได้สะดวกกว่า

ระวัง: หัวข้อนี้ไม่มีการอัพเดทมานานถึง 120 วัน

แจ้งเตือน: โพสของคุณจะไม่แสดงจนกว่าผู้ดูแลจะอนุมัติ.
ชื่อ: อีเมล์: