โดนเล่นงานจาก digeste.dll อะครับ

[Yookung]

โดนเล่นงานจาก digeste.dll อะครับ คือดูแล้วใน system32 มันมีแค่ digest.dll เท่านั้น หาจาก process exp. ไม่เจอ ตอนนี้ระบาดไปทั่ว Lan แล้วครับ

[alcoholic]

ลอง Click
แล้วทำตามวิธีที่สอนดูนะครับ
ส่วน อันนี้ คือรายงาน threat ที่พบ
ลองดูครับไม่ยากเกินความสามารถ

[Yookung]

คือผมใช้ NOD ในการ scan อะครับแต่ว่า มัน Show ว่า Quanrantie ไว้ แล้ว ไม่แน่จัยว่า NOD มัน Quanrantie ไว้ที่ไหนครับ ซึ่งหาตาม path ของ NOD ใน system32 แล้วไม่เจอครับ

[akira]

ท่านช่วยจับภาพหน้าจอมาหน่อยสิครับว่ามันเกิดอะไรขึ้นอะไรเป็นยังไง แล้วตอนมันตรวจพบเนี่ยมันบอกชื่อไหมครับว่าชื่ออะไร ใช้ hijackthis สแกน log file มาด้วยก็ดีครับ

[sect0r]

สมัครมาครั้งแรกเลยครับ ขอแสดงความคิดเห็นด้วยคนหล่ะกันนะครับ

ผมว่าถ้าดูจาก Process ด้วย Task Manager ของ Windows ไม่น่าจะพบต้วเจ้าปัญหาที่ว่านี้ ลองใช้ Security Task Manger ตรวจสอบดูอีกที่นะครับ (ผมไม่แน่ใจว่ามันระบาดผ่านวง lan ไปได้อย่างไร)

[Yookung]

ก็ประมาณนี้ครับท่าน ซึ่งมันก็ชื่อ digeste.dll เลยครับผม ว่าจะเรียนถามท่าน Akira ว่า เวลา nod มัน quanrantine มันเก็บไว้ที่ไหนครับเพื่อจะไปตามลบได้

[sect0r]

ไปเจอมาพอดีเลย ขอตอบหล่ะกันครับ

hmm I don't they will be deleted AFAIK they are all encrypted for inspection and btw if you want to delete it then go to safe mode and delete the file in following location .

Code:

%AppData%\ESET\ESET NOD32 Antivirus\Quarantine

[/b]

จาก vinumsv เว็บ NBreview ครับ

P.S. เข้า Path นั้นได้จาก RUN หรือไม่ก็ Address ใน MyComputer ครับ

[akira]

ท่านมาดูที่นี่ครับ ว่าอาการเดียวกันไหม
http://www.palomides.net/viewtopic.php?p=5...b651fde6f90fc7f

so now i'm really fuqd

well, remember some time ago i posted asking help from the nerds in the audience. i eventually tracked down the problem, it was zonealarm, and eliminating zonealarm fixed it.

i never bothered to download anything to replace it.

so today i was updating things for work and i click to add notes and my computer restarts itself. that's odd, says i. upon restarting it is totally fucked. and when i say totally fucked, i mean that i am a semi-nerd and i have been completely unable to accomplish anything in 2 hours of trying.

i just restarted computer. it comes up and i get a "security center alert" notifying me that windows firewall has blocked some features of:

win32.zafi.b

if i click enable protection, it tries to start firefox but firefox wont start.

i get mozilla crash reporter.

firefox had a problem and crashed, we'll try to restore tabs and windows on restart, quit for restart

pick restart, opens firefox, immediately closes.

try firefox again, back to crash reporter, stuck in loop.

ok so try to start IE. takes me straight to "insecure internet activity" page. click here to continue unprotected, click here to get "full advanced real time protection" which takes you to a web site and IE closes. open IE again and get this box msg:

dwwin.exe - bad image
the application or dll c:\windows\system32\digeste.dll is not a valid windows image

also see this sometimes:

svchost.exe - bad image
the application or dll c:\windows\system32\digeste.dll is not a valid windows image

try again a couple of times, now i have:

http://www.defender-review.com/?a=112

if you keep trying over and over eventually i can download defender 2009 whatever that is. it scanned and found 7 "high risk" problems. 2 trojans, one being the listed above, and 5 other things. i supposedly quarantined them but wouldn't fix anything unless i paid and registered - which of course tries to open firefox which auto-closes every time.

why IE works for varied periods of time i dont know.

i tried to dl something from mcafee, they're pay only. i tried some of the online tools that will scan your hd, it seems that those work as those are mainly apparently run through java apps and dont cause IE to close? but neither brought anything up other than tracking cookies. so i deleted defender 2009 to see if it quarantining things mattered, ran the dumb online scanner again, and still it finds no viruses.

i tried an old disk of crap, an old version of norton and an old version of mcafee claim they dont like my version of windows and wont run.

i tried ... i think it was avs.com to download a trial copy of antivirus but it's 17 megs and IE always closes before it completes.

any suggestions on a virus checker that is 5 megs or less that is a minimal # of clicks to actually get to download? IE will sit there indefinitely on a page as long as you dont click and as long as you aren't actively downloading something. so minimal clicking is important.

and any other suggestions as to what the image issue is, or anything else that is going on.

oh yeah and ventrilo sometimes works, sometimes doesn't. but actually right now ventrilo is up and running and somehow that is making firefox work?!! so i'm trying to download a free version of AVG virus checker

or what this is:

application error
exception eaccessvilation in module lptspcp.dll at 000022b0. access violation blah blah, write adress 9224111

error
runtime error 216 at 018c1ed5


ehm .... HAAAALLLLPPPP!!!!!!

[/b]

อ่านที่นี่ http://www.suggestafix.com/index.php?showtopic=32165 จะมีความเกี่ยวข้องกับไฟล์ชื่อว่า Cogad.exe ด้วย

Files to delete:
C:\WINDOWS\system32\hyruirsy.ini
C:\WINDOWS\system32\WxbJkUvw.ini2
C:\WINDOWS\system32\WxbJkUvw.ini
C:\WINDOWS\system32\9b314c6a-.txt
C:\WINDOWS\system32\gsdrgfdrrgnd.dll.vir
C:\WINDOWS\system32\ddcDuvwU.dll.vir
C:\WINDOWS\system32\digeste.dll.vir

Folders to delete:
C:\Documents and Settings\Justin\Application Data\cogad

ที่นี่ก็เช่นเดียวกัน
แต่หน้าต่างจะเป็น
MsnMsgr.Exe - Bad Image
"The application or DLL C:\\WINDOWS\system32\digeste.dll is not a valid Windows image. Please check against your installation diskette."

รีจิสทรีที่เกี่ยวข้องอยูที่
HKCU\..\Run: [cogad] "C:\Documents and Settings\Work2\Application Data\cogad\cogad.exe"

และอ่านที่นี่ด้วย http://community.thaiware.com/thai/index.p...howtopic=345947



เป็นไปได้ที่คุณจะคลิก enable protection หน้าต่างหลอกนี้เข้าและอาการในเครื่องจึงเป็นดังปัจจุบัน ที่บอกว่าเป็นหน้าต่างหลอกเพราะว่า security center ของวินโดวส์เองนั้นแม้มัลแวร์จะติดในเครื่องจริงแต่ไม่สามารถบอกรายละเอียดของมัลแวร์อะไรได้อย่างในภาพ

หากอาการเป็นตามนี้มีคนแนะนำให้ใช้ trojan remover จะสามารถกำจัดได้ ไปที่ห้องนี้เลยครับ http://citec.us/forum/Anti-Trojan-Rootkit-f214.html

[Yookung]

ท่าน Akira สุดยอดจริงๆ ท่าน ว่าแต่ว่าผมสนใจ เรื่องของการ ตั้งให้มันลบไฟล์ที่ักักไว้ออกไปด้วยไม่เก็บไว้อีก ตั้งตรงไหนหรอครับ ผมใช้ NOD32 V.3 ครับท่าน แต่ท่านไม่กลัวว่า มันจะลบ file สำคัญๆ หรอครับ

[akira]

เรื่องการตั้งค่าให้มีการลบอัตโนมัติแค่ไหนสามารถตั้งได้สามระดับตามนี้ครับ
1.no cleaning



ในโหมดนี้ จะไม่มีการลบอัตโนมัติ แต่ถ้าตรวจพบภัยคุกคาม จะมีหน้าต่างแจ้งเตือน พร้อมกับลิสต์รายการว่าเราจะทำอย่างไรกับไฟล์นี้
เช่นอาจจะปล่อยทิ้งไว้อย่างนั้น เลือกกักบริเวณไม่ให้ไฟล์ทำงาน และ ไม่ให้มีการเข้าถึงได้นอกจากจะใช้การรีสโตร์กลับด้วย หรือเลือกลบทิ้งอย่างถาวร
การรีสโตร์ไฟล์ที่ถูกกักไว้



2.standard cleaning



ในโหมดนี้ โปรแกรมจะเป็นตัวตัดสินเองว่าจะทำการคลีนไฟล์(แยกส่วนดีๆของไฟล์ออกจากไฟล์มัลแวร์ที่ฝังตัวอยู่) หรือว่าจะทำการลบไฟล์ที่ติดเชื้ออย่างถาวร ถ้าไม่สามารถคลีน หรือ ลบไฟล์ที่ติดได้จึงจะแสดงหน้าต่างมาบอก ซึ่งก็คือ จะให้ปล่อยไว้เฉยๆ หรือว่าจะกักกันไว้ ในกรณีนี้แสดงว่าโปรแกรมตรวจพบพฤติกรรมต้องสงสัยว่าไฟล์นี้เข้าค่ายว่าเป็นมัลแวร์ แต่เนื่องจากมันเป็นตัวใหม่ ดังนั้นจึงยังไม่มี definition สำหรับกำจัดหรือคลีนอย่างเหมาะสมออกมา ในกรณีนี้ให้คุณเลือกกักกันไฟล์นั้นไว้ก่อน แล้ว submit ไฟล์นั้นส่งไปให้ทาง eset วิเคราะห์และไม่นานจะมี definition ออกมาแก้ไข หรือทำให้ทราบชื่ออย่างเป็นทางการทำให้คุณสามารถนำชื่อไปค้นใน encyclopedia ของมัลแวร์สายพันธุ์ต่างๆที่แอนตี้ไวรัสแต่ละยี่ห้อจะมีผู้เชี่ยวชาญทำการวิเคราะห์เปรียบเทียบกันไว้อยู่ เพื่อหา solution ได้อย่างถูกต้อง หรือในกรณีที่มันมีความร้ายแรงและระบาดในวงกว้างมากจะมี removal tool ออกมากำจัดให้อย่างทันท่วงที

3.strict cleaning



ในโหมดนี้โปรแกรมแอนตี้ไวรัสจะทำการคลีน หรือลบไฟล์ที่ติดเชื้อทั้งหมดโดยไม่ต้องการให้ผู้ใช้เป็นคนตัดสินใจ คือจะไม่มีหน้าต่างมาถามอีกว่าคุณจะลบหรือไม่ ให้คุณลองจินตนาการดูนะครับ เช่น
คอมพิวเตอร์เครื่องหนึ่งไม่ได้ต่ออินเตอร์เน็ตคือเป็นสแตนโลน หรือว่าอาจจะไม่มีการอัพเดต definition ของแอนตี้ไวรัสเลยมาเป็นเวลานานมาก อาจจะเป็นเพราะขาดความรู้ว่าการอัพเดต definition มีความจำเป็น หรือว่าสาเหตุมากมายทำให้แอนตี้ไวรัสไม่อัพเดตพอ เมื่อเครื่องเหล่านี้ติดไวรัสจะพบว่าเครื่องเหล่านี้จะมีไฟล์ที่ติดปริมาณมาก ดังนั้นหากต้องมาคอยยุ่งกับหน้าต่างเตือนเหล่านี้ก็จะวุ่นมาก โหมดนี้จะเหมาะมากสำหรับท่านที่ต้องการกวาดล้างแบบล้างบาง และถ้ามีไฟล์ไหนที่ล้มเหลวในการกำจัดจึงจะแจ้งเตือน รวมถึงแจ้งเตือนไฟล์ที่มีการบีบอัดแบบติดพาสเวิร์ดด้วยว่าไม่สามารถสแกนเข้าไปได้ว่ามันมีความเสี่ยง


ส่วนในเรื่องประเด็นว่าไม่กลังหรือว่าแอนตี้ไวรัสจะลบไฟล์งานของเราไปด้วย
ประเด็นนี้ต้องมีความเข้าใจในเรื่องมัลแวร์เล็กน้อย

1.หากมัลแวร์เป็นไวรัส ไวรัสจะแทรกตัวเองเข้ากับไฟล์งาน สังเกตุได้จากไฟล์งานที่ติดจะมีขนาดใหญ่ขึ้นเท่าๆกันในทุกๆไฟล์ที่ติด
แอนตี้ไวรัสที่มี definition ถูกต้อง จะสามารถคลีนไวรัสออกจากไฟล์งานได้
ผล:ได้ไฟล์งานกลับมาปกติ
2.หากมัลแวร์ เป็นเวิร์ม ตัวเวิร์มสามารถอยู่ได้ด้วยตัวเองลำพังไม่จำเป็นต้องฝังตัวในไฟล์งานเพื่อเอคซีคิวต์ตัวเองเหมือนไวรัส แต่จะอาศัยการซ่อนไฟล์งาน และโฟลเดอร์งานจริงๆไว้ แล้วสร้างตัวเองให้มีไอคอนเป็นโฟลเดอร์ และมีชื่อเดียวกับโฟลเดอร์งานทั้งๆที่นามสกุลเป็น exe หากไม่ได้เลือก folder option ให้แสดงนามสกุลไฟล์ท่านจะไม่ทราบความแตกต่างๆ แต่ไฟล์เวิร์มพวกนี้มักมีขนาดเล็ก หากท่านสังเกตเวลาเอาเมาส์ไปชี้ใกล้ๆจะมีขนาดโฟลเดอร์ถ้าปกติท่านเก็บงานเอาไว้มากมายแต่โฟลเดอร์มีขนาดเล็กนิดเดียวอันนี้น่าสงสัย และเมื่อตรวจสอบพื้นที่ว่างบนดิสก์จะพบว่าพื้นที่ไม่ได้ลดลง แต่งานบางส่วนกลับหายไปเป็นต้น
ในกรณีนี้แอนตี้ไวรัสจะเข้าไปตรวจสอบโค้ดของเวิร์ม md5 และขนาด เพื่อทำการลบอย่างแม่นยำ
ผล:เวิร์มจะถูกลบไป ไฟล์งานจะยังถูกซ่อนไว้ ท่านต้องไปแก้ไข attribute ของไฟล์และโฟลเดอร์งานเอง

3.ในกรณีที่ไฟล์ที่ตรวจพบว่าเป็นมัลแวร์ นั้นมากับแครก แพทช์ คีย์เจน หรือซอฟท์แวร์ มากับ bot เกมส์ หน้าเว็บ หรือเป็นซอฟท์แวร์เวอร์ชั่นล่าสุดจากเทพปล่อยมาทาง torrent อันนี้ให้ลบโดยไม่ต้องเสียดาย

4.ในกรณีที่เมื่อเปิดหนังสกุล wmv แล้วมีการถามหา codec แล้วมีหน้าต่างเตือนว่าพบมัลแวร์ให้ท่านลบหนังทั้งเรื่องที่โหลดมานั้นทิ้งเพราะมันไม่ใช่หนัง
คุณควรจะสงสัยอย่างยิ่งในกรณีที่มีการลง klite codec เรียบร้อยแล้ว การเปิดไฟล์ wmv เป็นไปไม่ได้ที่จะถามหา codec อีก

5.หากไฟล์นั้นเป็นโปรแกรมที่ท่านเขียนขึ้นเองและท่านเข้าใจการทำงานของมันอย่างลึกซึ้งแน่นอน แล้วแอนตี้ไวรัสยี่ห้อนี้ยี่ห้อเดียวตรวจสอบว่าเป็นมัลแวร์ (สามารถตรวจสอบได้บน virustotal หรือเว็บรูปแบบเดียวกันเว็บอื่นๆ) เหตุการณ์แบบนี้เราเรียกว่า False Positive ให้ท่านส่งไฟล์นั้น submit ไปยัง eset ตรวจสอบ หรือ ส่งเข้าอีเมล์เพื่อขอคำแนะนำ