Pinit virus user32.dll ลบไม่ได้ครับ
ผมใช้ NOd 32 antivirus 4 อัพเดทล่าสุด ลบไม่ได้ครับ มันขึ้นตอนเปิดเครื่องทุกครั้งว่ามี virus แต่ลบไม่ได้ช่วยด้วยนะครับ
http://img141.imageshack.us/img141/4623/123large.jpg
Printable View
Pinit virus user32.dll ลบไม่ได้ครับ
ผมใช้ NOd 32 antivirus 4 อัพเดทล่าสุด ลบไม่ได้ครับ มันขึ้นตอนเปิดเครื่องทุกครั้งว่ามี virus แต่ลบไม่ได้ช่วยด้วยนะครับ
http://img141.imageshack.us/img141/4623/123large.jpg
ปกติไฟล์ user32.dll มันเป็นไฟล์สำคัญของ system นะครับ ลบไม่ได้อยู่แล้ว ลบไปเมื่อไหร่ล่ะก็ ใบ้กิน windows แน่ :P
ผมแนะนำว่าเอา hijackthis ไปรันแล้วเอา log มาวิเคราะห์น่าจะหาสาเหตุได้มากขึ้นนะครับ
ดูจากชื่อไฟล์เป็นตัวพิมใหญ่อาจจะเป็นพวก spayware เลียนแบบไฟล์ระบบ
ลองลบแบบเมนวลดูครับโดยการค้นหา USER32.dll ใน sytem32 เลยครับเเล้วลบออกและถ้ามันมาอีกมันต้องโปรแกรมบางตัวรันตัวเองเเล้ว
ผลิต USER32.dll ออกมาอีกให้ไปดู task manager หาลบโปรเซตที่เราไม่จักลบไปเลยครับแล้วสังเกตุไปเรื่อยๆว่ามันออกมาอีกไหม
**ถ้าอยากจะรู้โปรเซตไวรัสที่เข้ามารันดูที่ msconfig จะดูง่ายกว่า task manager เพราะว่ามันจะบอกที่มาของโปรเซตที่รันตัวเองด้วยอัน
แปลกๆเอาออกเลยครับ
****อย่างลืมปิดซ่อนไฟล์ระบบก่อนน่ะครับ****
หาใน directory ตามที่คุณบอกแล้ว ไม่มีไฟล์อื่นเลยครับ นอกจากไฟล์ ระบบ user32.dll ตัวเดียว
แต่สังเกตได้ว่า user32.dll บางทีก้เป็น user32.DLL ตัวใหญ่ก็งงๆ ครับ แต่ delete ไม่ได้ มันมีไวรัสบางตัวฝังตัวเองลงไปรึปล่าวครับ
ยังงั้นก็แย่สิครับ
Quote:
ปกติไฟล์ user32.dll มันเป็นไฟล์สำคัญของ system นะครับ ลบไม่ได้อยู่แล้ว ลบไปเมื่อไหร่ล่ะก็ ใบ้กิน windows แน่ :P
ผมแนะนำว่าเอา hijackthis ไปรันแล้วเอา log มาวิเคราะห์น่าจะหาสาเหตุได้มากขึ้นนะครับ
[/b]
เห็นด้วยเป็นอย่างยิงครับ run hijackthis แล้วมาโพสไว้ครับ จะได้ช่วยถูกครับ
ลองสังเกตุ size ของ user32.dll ว่าเท่ากับเครื่องอื่นหรือไม่ หรือลอง copy เอาจากเครื่องอื่นมา
วางทับไปเลยก็ได้ทำใน safe mode หรือ hijackthis scan ออกมาวิเคราะห์ดูเพื่อมี อะไรพยายาม
ไป patch หรือ โหลดอยู่
- นี่ครับ log ของผม คุณ pspn.n ช่วยวิเคราะห์ด้วยนะครับ
log file ครับ
- เรียนคุณ neoclassic ครับ ผมเช็คเครื่องอื่นแล้วขนาดเท่ากันครับ 626 kb แล้วถ้าเอาของเครื่องอื่นมาทับเลย มันไม่มีผลกระทบอะไรชัวร์นะครับ เดี๋ยวผมจะลองทำดู
ยังไงรบกวนด้วยนะครับ ขอบคุณครับ
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe << บรรทัดนี้น่าสงสัย เป็นโปรแกรมอะไรพอจะทราบรึป่าว (ผมไม่ทราบอ่ะ)Quote:
- นี่ครับ log ของผม คุณ pspn.n ช่วยวิเคราะห์ด้วยนะครับ
log file ครับ
- เรียนคุณ neoclassic ครับ ผมเช็คเครื่องอื่นแล้วขนาดเท่ากันครับ 626 kb แล้วถ้าเอาของเครื่องอื่นมาทับเลย มันไม่มีผลกระทบอะไรชัวร์นะครับ เดี๋ยวผมจะลองทำดู
ยังไงรบกวนด้วยนะครับ ขอบคุณครับ
[/b]
ส่วนเรื่อง user32.dll ผมว่าถ้าจะทับนะต้องหาเครื่องที่เป็น windows service pack เดียวกันอ่ะ ยิ่งถ้าหาที่เป็น version เดียวกันได้ยิ่งดี เพราะ service pack ต่างกัน พวก system dll แบบนี้มีโอกาสเปลี่ยน version ได้
แนะนำว่าควรจะ backup ตัวเดิมไว้ก่อน แล้วก็ใน safe mode ผมไม่ชัวร์นะว่ามันจะเอาไปทับได้ ถ้าใน safe mode ไม่ได้ ให้ลองพวก linux livecd หรือ windows repair อะไรพวกนี้ดูนะครับ
ปล. ถ้าจะเอามาทับจริงๆ ผมแนะนำว่าเอาไว้เป็นทางเลือกสุดท้ายดีกว่า :P
ส่วนชื่อไฟล์ตัวใหญ่หรือตัวเล็กมันไม่เกี่ยวนะ windows มองเป็นตัวเดียวกันน่ะแหละ
ผมว่านะครับไวรัส ตัวนี้ น่าจะฆ่าได้ด้วย**Hidden Content: To see this hidden content your post count must be 1 or greater.**ครับ ลองหาโหลดมาใช้ดูครับ น่าจะได้ ถ้าเป็นไวรัส Hijack this
Quote:
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe << บรรทัดนี้น่าสงสัย เป็นโปรแกรมอะไรพอจะทราบรึป่าว (ผมไม่ทราบอ่ะ)[/b]
***ตามนี้เลยครับ****
**Hidden Content: To see this hidden content your post count must be 1 or greater.**
ผมดูให้แล้วครับ เห็นมีอันเดียวต้องสงสัย เหมือนกับที่ Gen0TypE และ nirvana02
ลองเข้า Saftmode ลองตามนี้ดูก่อนครับ
1. ไปลบ Registy นี้ออก O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
2. ลบ ไฟล์นี้ออกด้วย C:\WINDOWS\system32\olhrwef.exe
และลง Patch ของ Microsoft ที่ Disable Autorun และ AutoPlay ครับ เพื่อไม่ให้มันกลับมาอีก...
จำไม่ได้แล้วว่าชื่ออะไร ไปหาต่อนะ กลับบ้านแล้ว....
log file ที่กำจัด olhrwef.exe แล้วครับ
NOD 32 ของผมก็ยังแจ้งทุกครั้งที่เปิดเครื่องทำยังไงดีครับ
หรือว่า NOD ของผมมันเน่าล้วครับ
พอดีเคยเห็นมัน update faile ครั้งนึง ทั้งๆที่ทุกครั้งมันไม่เคยเป็นหลังจากนั้นมามันเพี้ยนเลยครับ
รบกวนที
ลอง restore ไฟล์ ตัวมีปัญหานี้จาก nod32 เเล้วอัดใส่ rar ส่งมาให้ผมหน่อย
**จะได้ดูว่า nod32 ผมเป็นเหมือนกันไหมผมก็ใช้ v.4**
///////////////////////////////////////////////////////////
และลองเอาตัวไปแสกนดูครับ http://www.superantispyware.com/downloadfi...ANTISPYWAREFREE
สรุปว่าหาไฟล์นี้เจอหรือป่าว C:\WINDOWS\system32\olhrwef.exe
เข้าไปลบหรือยังครับ ผมเข้าใจว่าตัวนี้มันไปส่งงาน user32.dll อีกทีครับ....
ไม่เห็นมีสรุปเลยว่าดำเนินการอะไรไปบ้างแล้ว...
เรียนคุณ pspn.n ผมได้ทำตามขั้นตอนที่คุณ nervan02 บอกครับ ใช้ตัว NOD32 Registry Recovery V1.1
เพื่อคืนค่าทั้งหมดแล้วก้กดปิดการ autorun ของ olhrwef.exe ใน msconfig แล้วก็ไล่ลบใน regidtry คอมมานหรือคำสั่งต่างๆที่มี root ของ olhrwef.exe อยู่
แต่ผมหาตัวที่เป็นไฟล์จริงๆไม่เจอครับ ใน directory ของ window ผมไม่เห็นเลยครับ ดูแบบ un hidden ก็ไม่เห็นครับ
ตอนนี้ก็แสกนใน registry ก็ไม่เจอแต่ตอนเปิดเครื่องมามันก็ยังขึ้นแจ้งไวัสเหมือนเดิมไม่มีอะไรเปลี่ยนแปลงไปเลยครับ
ทำยังไงดีครับ
ถึงคุณ nirvana02 restore ไฟล์ยังไงครับ อธิบายผมทีครับ
เข้า tools เเล้วเลือก Quarantine คลิกขวา restore เลยครับQuote:
ถึงคุณ nirvana02 restore ไฟล์ยังไงครับ อธิบายผมทีครับ [/b]
**ถ้ามีน่ะครับเเต่มันเป็นตัวที่อันตรายจริงๆมันไม่เข้าใน Quarantine มันจะอยู่ log file ชึ่ง log file จะ export ได้เฉพาะ text file เท่านั้น
**ลอง super antispyware ที่โพสไว้ให้ยังครับเเน่ะนำให้ลองใช้ดูก่อนบางที่อาจจะหาย