ไม่ค่อยได้อัพบล๊อกนานเลย ติด twitter ครับ มุขที่จะนำมาอัพปล่อยไปใน twitter บ่อยๆ
พาลขี้เกียจเขียน เพราะปล่อยไปหมดไม่รู้จะอัพอะไรพอดีวันนี้มีเรื่องเครื่องโดนไวรัส
เลยมาแชร์กันให้อ่านเป็นความรู้ครับ
ก่อนหน้านี้ผมมีปัญหากับ Malware ครับ
โดยเจ้า NOD32 จะตรวจสอบว่ามีการเชื่อมต่อไป idfxy.info
เจ้า NOD32 ก็ทำการ terminate การเชื่อมต่อนั้น แต่ก็เหมือนไม่ค่อยได้ผลเท่าไร
ในเครื่องนอกจากจะมี NOD32 V3 แล้วยังมี Malwarebytes' Antimalware ด้วย
ผมลองสั่งสแกนก็พบไฟล์บางไฟล์ที่คาดว่าจะเป้น malware อยู่หลายไฟล์ด้วยกัน
ก็ทำการ fix, remove ออกไป ลง CClean ทำการเคลีย์ temp
มี Registry Booster ก็สแกนหา registry ทีี่่มีปัญหา แล้วก็ทำการ fix
บูตใหม่ 1 รอบ เรียบร้อย
BOD (BlueScreen of Dead) ขึ้นเต็มหน้า
เวรกำ จิ้ม reset 1 ที เปิดอีกครั้ง
ดีขึ้นนิด แต่คราวนี้ ขึ้น generic host process for win32 service
เกลียดมาก เพราะก่อนนี้เพื่อนพึ่งโดนไปนั่งข้างๆกัน
คราวนี้ถึงตาผมแล้วที่จะต้องเจอ
อาการนี้ถ้าคุณกด Don't Send Windows คุณจะค้างทันทีใช้งานอะไรไม่ได้
บูตใหม่เพียงอย่างเดียว ถ้ากด Debug จะใช้สักพักก็ค้างเหมือนกัน
วิธีแก้แบบมึนๆ คือ ลา่กหน้าจอนี้หลบ ไม่ต้องไปกดอะไรมัน
คุณก็จะสามารถใช้ได้ ตราบจนกว่าคุณยังไม่กด กดเมื่อไรค้างเมื่อนั้น
เลยนึกถึง Comodo Personal Firewall ขึ้นมาเลยหามาติดตั้งครับ
พอลงเสร็จตัว Comodo จะขึ้น PopUp มาแจ้งโปรแกรมต่างๆที่ทำการเชื่อมต่อ
ให้เราลองดู Process ไหนแปลกๆ ให้ Block ไว้ก่อน
ในที่นี้ผมเจอ msdrive32.exe อยู่ใน C:\Windows\
ตัว msdrive32.exe จะส่งข้อมูลจากเครื่องเราสุ่ม port ตั้งแต่ 1029 ขึ้นไป ไปยัง
IP : 67.43.232.36:47221
IP : 67.215.8.138:47221
ก็ทำการ Block Process msdrive32.exe ซะ
จากนั้นพบว่า explorer.exe ส่งข้อมูลไปยัง
IP : 91.207.5.202:8448
IP : 91.207.5.194:8448
ก็ำทำการ Block Process explorer.exe ด้วย
รายละเอียด IP : 67.215.8.138
OrgName: GloboTech Communications
OrgID: GLOBO
Address: PO Box 1402
City: Saint-Quentin
StateProv: NB
PostalCode: E8A-1A2
Country: CA
NetRange: 67.215.0.0 - 67.215.15.255
CIDR: 67.215.0.0/20
NetName: GTCOMM
NetHandle: NET-67-215-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.GTCOMM.NET
NameServer: NS1.GTCOMM.NET
Comment: Standard hours are 8am to 9pm AST
RegDate: 2007-10-08
Updated: 2008-11-25
RAbuseHandle: GNO-ARIN
RAbuseName: GloboTech Network Operations Center
RAbusePhone: +1-514-907-0050
RAbuseEmail: noc@gtcomm.net
RNOCHandle: GNO-ARIN
RNOCName: GloboTech Network Operations Center
RNOCPhone: +1-514-907-0050
RNOCEmail: noc@gtcomm.net
RTechHandle: PQU-ARIN
RTechName: Quimper, Pierre-Luc
RTechPhone: +1-514-907-0050
RTechEmail: plquimper@gtcomm.net
OrgTechHandle: PQU-ARIN
OrgTechName: Quimper, Pierre-Luc
OrgTechPhone: +1-514-907-0050
OrgTechEmail: plquimper@gtcomm.net
# ARIN WHOIS database, last updated 2009-08-26 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
CustName: Nader Dara
Address: N/A
City: Beirut
StateProv: N/A
PostalCode: 00961
Country: LB
RegDate: 2009-03-15
Updated: 2009-03-15
NetRange: 67.215.8.136 - 67.215.8.143
CIDR: 67.215.8.136/29
NetName: GTCOMM-486
NetHandle: NET-67-215-8-136-1
Parent: NET-67-215-0-0-1
NetType: Reassigned
Comment:
RegDate: 2009-03-15
Updated: 2009-03-15
RAbuseHandle: GNO-ARIN
RAbuseName: GloboTech Network Operations Center
RAbusePhone: +1-514-907-0050
RAbuseEmail: noc@gtcomm.net
RNOCHandle: GNO-ARIN
RNOCName: GloboTech Network Operations Center
RNOCPhone: +1-514-907-0050
RNOCEmail: noc@gtcomm.net
RTechHandle: PQU-ARIN
RTechName: Quimper, Pierre-Luc
RTechPhone: +1-514-907-0050
RTechEmail: plquimper@gtcomm.net
OrgTechHandle: PQU-ARIN
OrgTechName: Quimper, Pierre-Luc
OrgTechPhone: +1-514-907-0050
OrgTechEmail: plquimper@gtcomm.net
# ARIN WHOIS database, last updated 2009-08-26 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
MAP:
รายละเอียด IP : 91.207.5.202
OrgName: GloboTech Communications
OrgID: GLOBO
Address: PO Box 1402
City: Saint-Quentin
StateProv: NB
PostalCode: E8A-1A2
Country: CA
NetRange: 67.215.0.0 - 67.215.15.255
CIDR: 67.215.0.0/20
NetName: GTCOMM
NetHandle: NET-67-215-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.GTCOMM.NET
NameServer: NS1.GTCOMM.NET
Comment: Standard hours are 8am to 9pm AST
RegDate: 2007-10-08
Updated: 2008-11-25
RAbuseHandle: GNO-ARIN
RAbuseName: GloboTech Network Operations Center
RAbusePhone: +1-514-907-0050
RAbuseEmail: noc@gtcomm.net
RNOCHandle: GNO-ARIN
RNOCName: GloboTech Network Operations Center
RNOCPhone: +1-514-907-0050
RNOCEmail: noc@gtcomm.net
RTechHandle: PQU-ARIN
RTechName: Quimper, Pierre-Luc
RTechPhone: +1-514-907-0050
RTechEmail: plquimper@gtcomm.net
OrgTechHandle: PQU-ARIN
OrgTechName: Quimper, Pierre-Luc
OrgTechPhone: +1-514-907-0050
OrgTechEmail: plquimper@gtcomm.net
# ARIN WHOIS database, last updated 2009-08-26 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
CustName: Nader Dara
Address: N/A
City: Beirut
StateProv: N/A
PostalCode: 00961
Country: LB
RegDate: 2009-03-15
Updated: 2009-03-15
NetRange: 67.215.8.136 - 67.215.8.143
CIDR: 67.215.8.136/29
NetName: GTCOMM-486
NetHandle: NET-67-215-8-136-1
Parent: NET-67-215-0-0-1
NetType: Reassigned
Comment:
RegDate: 2009-03-15
Updated: 2009-03-15
RAbuseHandle: GNO-ARIN
RAbuseName: GloboTech Network Operations Center
RAbusePhone: +1-514-907-0050
RAbuseEmail: noc@gtcomm.net
RNOCHandle: GNO-ARIN
RNOCName: GloboTech Network Operations Center
RNOCPhone: +1-514-907-0050
RNOCEmail: noc@gtcomm.net
RTechHandle: PQU-ARIN
RTechName: Quimper, Pierre-Luc
RTechPhone: +1-514-907-0050
RTechEmail: plquimper@gtcomm.net
OrgTechHandle: PQU-ARIN
OrgTechName: Quimper, Pierre-Luc
OrgTechPhone: +1-514-907-0050
OrgTechEmail: plquimper@gtcomm.net
# ARIN WHOIS database, last updated 2009-08-26 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
MAP:
ตามไปตบกบาลกันถึงบ้านได้เลย
ขอขอบคุณ
http://www.yougetsignal.com/
สำหรับเครื่องมือ Trace Route ดีๆ ด้วยครับ
แต่ตอนนั้นจำไม่ได้แล้วว่าไปแก้ยังไง
รู้ตัวการแบบนี้รวมพลไปตบกบาลมันเลย หึหึหึ
#1 By elRion on 2009-08-27 14:35