กลุ่มผู้ดูแลระบบแห่งประเทศไทย
1 กันยายน 2015, 10:49:52 *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว:
 
   หน้าแรก   ช่วยเหลือ ค้นหา เข้าสู่ระบบ สมัครสมาชิก  
หน้า: [1]   ลงล่าง
  ตอบ  |  พิมพ์  
ผู้เขียน หัวข้อ: มี Rundll32.exe ขึ้นเต็มเลยแบบนี้เป็นไวรัสรึเปล่าครับ ?  (อ่าน 19750 ครั้ง)
0 สมาชิก และ 2 บุคคลทั่วไป กำลังดูหัวข้อนี้
ผู้ดูแลระบบมือใหม่ครับ
Savant Grade 1
*

จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 256


เว็บไซต์
« เมื่อ: 26 กุมภาพันธ์ 2009, 09:35:19 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ไปดู Task Manager ที่เครื่อง Server เจอ Rundll32.exe ขึ้นเต็มเลย
ก็เลยลองใช้โปรแกรม Process Explorer ดู Process
ในส่วนของ Command Line ที่ใช้มันขึ้นว่า
rundll32.exe tcptta.fm,ynxisc   
ผมลองใช้คำสั่งนี้ดูในโดยเข้าไปใน Folder system32 ก่อน
แล้วลองใช้โปรแกรมอื่นเปิดกับไฟล์ที่ผมลองสร้างขึ้นมา 
เข้าใจว่า  คำสั่งคือไฟล์ tcptta.fm เรียกใช้ rundll32.exe
แต่ไม่เข้าใจว่า comma ที่ตามหลังมันหมายความว่าอย่างไร

มันเป็นไวรัสหรือเปล่าครับ แล้วมีวิธีแก้ยังไงเหรอครับ ?  Cry

บันทึกการเข้า

ร่วมสนุกรับ Sticker Line ฟรีได้ที่ !!
http://www.facebook.com/lineaddme

รับฝากซื้อ Sticker Line ถูกกว่าซื้อเอง !!
ราคา 50 Coin  ลายละ 30 บาท
ราคา 100 Coin ลายละ 55 บาท
ราคา Theme 150 Coin ลายละ 85 บาท
สนใจติดต่อ Line ID : smartpor
maximusmx
Stager Tier 3
***

จิตพิสัย: 6
ออฟไลน์ ออฟไลน์

กระทู้: 943

TH@min Membership


« ตอบ #1 เมื่อ: 26 กุมภาพันธ์ 2009, 13:21:38 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ดูดีๆครับว่าเป็น rundll32.exe หรือ rundl(ไอใหญ่).exe หรือ ถ้าเป็น RUNDLI หรือ RUNDII แสดงว่าโดนไวรัส แต่ถ้าไม่ใช่ค่อยว่ากันใหม่ โดยอาจจะใช้ security taskmager เช็คดู
บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
insanity
Thaiadmin Global Staff
*****

จิตพิสัย: 77
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,789


Life would be much easier if I had the source code


เว็บไซต์
« ตอบ #2 เมื่อ: 26 กุมภาพันธ์ 2009, 20:43:17 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ลองเช็คดูนะ ถ้าใน Scheduled Task มี task แปลกๆ ชือ่ At ตามด้วยเลข  ก็สงสัยจะติด Conficker หรือ Downadup แล้วหละ

ลองหารายละเอียดจาก ห้อง Antivirus ดูอ่ะครับ

เบื้องต้นก็เอานี่ไป scan ดูสักรอบก่อน
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
บันทึกการเข้า
ผู้ดูแลระบบมือใหม่ครับ
Savant Grade 1
*

จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 256


เว็บไซต์
« ตอบ #3 เมื่อ: 27 กุมภาพันธ์ 2009, 11:56:19 »
ตอบโดยอ้างถึงข้อความอ้างถึง

เจอแล้วครับ  ทำการลบ Schedule Task แล้วหายครับ   
มันแสบจริงๆ เซ็ตให้  รันทุกวัน,ทุกๆชั่วโมง,ทุกๆสัปดาห์
แล้วเรียกไฟล์อะไรก็ไม่รู้ชื่อแปลกๆ 
ช่วงนี้ที่บริษัทติดไวรัส Downadup อยู่น่ะครับ
ขอบคุณทุกท่านสำหรับคำแนะนำครับ


* 1.JPG (121.24 KB, 820x618 - ดู 2360 ครั้ง.)

* 2.JPG (227.44 KB, 886x604 - ดู 1137 ครั้ง.)

* 3.JPG (116.99 KB, 774x618 - ดู 1150 ครั้ง.)
บันทึกการเข้า

ร่วมสนุกรับ Sticker Line ฟรีได้ที่ !!
http://www.facebook.com/lineaddme

รับฝากซื้อ Sticker Line ถูกกว่าซื้อเอง !!
ราคา 50 Coin  ลายละ 30 บาท
ราคา 100 Coin ลายละ 55 บาท
ราคา Theme 150 Coin ลายละ 85 บาท
สนใจติดต่อ Line ID : smartpor
หน้า: [1]   ขึ้นบน
  ตอบ  |  พิมพ์  
 
กระโดดไป:  

+ ตอบด่วน
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2015, Simple Machines Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.067 วินาที กับ 18 คำสั่ง