Hadyai Internet R&D LAB

ผลงานของ Hadyai Internet R&D LAB => คุยกับทีมวิจัย => ข้อความที่เริ่มโดย: NarOkOnLiNE ที่ 21 กันยายน 2008, 03:58:14

หัวข้อ: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: NarOkOnLiNE ที่ 21 กันยายน 2008, 03:58:14

พอดีกำลังปวดหัวกับเรื่อง SARG ยังไม่หายก็มีเรื่องไวรัสรุมโทรมมาซ้ำเติมอีก เลยจะมาเล่าอาการให้พี่ ๆ เพื่อน ๆ ได้รับรู้และช่วยแก้ปัญหากันซักหน่อย ( ช่วยกันมาปวดหัวกับผมหน่อยนะ แหะ ๆๆ )

-อาการมีอยู่ว่า ที่ร้านผมใช้ระบบ อันดูด้วยโปรแกรม Deep-Freeze แต่ว่ามีแพทออดิชั่นเริ่มเยอะ เกือบ 10 แพท ผมเลยทำการปลดล๊อคโปรแกรมออกเพื่อจะให้เกมส์ อัปเดสเป็นแพทล่าสุดไม่ต้องรอโหลดอีก พอเสร็จจากการโหลดแพท ก็เลยนั่งเล่นเน็ต อัปแพทเกมส์อื่น ๆ อีกซักพัก อยู่ ๆ โปรแกรมฟ้องขึ้นมาว่าเครื่องที่ผมเล่นอยู่ IP มันชนกับเครื่องอื่น ทั้ง ๆ ที่ในร้านผม FIX ip ทั้งร้านและทุกเครื่องที่ต่อเข้าวง LAN แต่มันก็ฟ้องว่า Ip ชนกัน หลังจากมันฟ้องเท่านั้นแหละครับ

1.ระบบ LAN ในร้าน ปิงหาเครื่อง Server ไม่เจอเป็น Timed out ระบบ Network ล่มทั้งร้าน ^^"
2.แต่พอปิดเครื่องที่ผมเล่นอยู่ ไม่เกิน 3 นาที ก็กลับมาเป็นปกติ
3.เวลาในเครื่องไม่ว่าจะเซ็ทที่ไบออส หรือในตัววินโดวส์ จะย้อนกลับไปเป็นปี 2004 ทันทีหลังจากรีสตาร์ทเครื่อง
4.ลบ Format แบ่งพาทิชั่นใหม่ อาการ  ย้อนกลับไปเป็นปี 2004 ก็ไม่หาย
5.เปลี่ยนถ่านไบออส 3 - 4 ก้อน ก็ยังเหมือนเดิม
6.ลงวินโดวส์ใหม่เสร็จถ้าไม่ทำการล๊อคด้วยโปรแกรม Deep-Freeze เล่นได้ซักพักไม่เกิน 1 ชั่วโมง จะเป็นอาการเดิม คือ ระบบ LAN ในร้าน ปิงหาเครื่อง Server ไม่เจอเป็น Timed out ระบบ Network ล่มทั้งร้าน
7.ในตอนที่ระบบ Network ล่มทั้งหมด ถ้าเอาเครื่องโน๊ตบุคไปลองต่อเข้ากับเครื่อง Server ลองเล่นก็ปกติ ปิงได้ เน็ตไม่หลุด ทุกอย่างเหมือนไม่มีอะไรเกิดขึ้น !!

- มีใครเคยเจอแบบนี้ไหมครับ ถ้าเคยช่วยแนะนำวิธีด้วย ถ้าใครยังไม่เคยจงพึงระวังไว้ครับ ( แต่บอกให้ระวังผมเองยังไม่รู้เลยว่ามันเป็นไวรัสสายพันธุ์ไหนมาได้ยังไง จะป้องกันก็คงลำบากแต่เท่าที่สังเกตุ มันเจาะเข้าระบบ ป้องกันหรือโปรแกรมล๊อคเครื่องไม่ได้ครับ )

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: iCafe ที่ 21 กันยายน 2008, 04:39:18

format /mbr

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: admin ที่ 21 กันยายน 2008, 05:34:20

เคยเจอครับ อาการคล้าย ๆ กับ NetCut แต่ไม่ใช่ NetCut

อาการคือ จะมีเครื่องก่อกวนอยู่เครื่องนึง หรืออาจจะมากกว่า จะพยายามตั้ง ip ตัวเองเป็น ip ใน network ทั้งหมด

เมื่อทำการ arp -a ที่เครื่อง server จะเห็นว่า

root@cyren:~# arp -a
? (192.168.200.122) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.149) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.114) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.107) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.109) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.113) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.126) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.129) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.102) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.140) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.120) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.132) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.112) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.146) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.104) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.142) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.115) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.135) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.138) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.130) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.118) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.123) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.91) at 00:0E:53:05:21:8B [ether] on eth0
? (192.168.200.148) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.124) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.141) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.141) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.121) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.105) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.125) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.147) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.101) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.139) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.117) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.98) at 00:01:29:4A:2C:89 [ether] on eth0
? (192.168.200.5) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.119) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.106) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.136) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.144) at 00:1D:60:78:18:02 [ether] on eth0
? (192.168.200.137) at 00:1D:60:78:18:02 [ether] on eth0

จะเห็นว่ามี MAC Address นึง พยายามตั้ง IP เกือบ 50 IP จนระบบ Network ภายในรวน
ก่อนอื่น ก็จะต้องทำการปิดเครื่องที่ทำการก่อกวนก่อน ถ้าให้ดี ก็ควรจะมีผัง MAC ของแต่ละเครื่อง
ถ้าไม่มีก็ต้องไล่เช็คเอา

ลองเช็คดูนะครับ

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: NarOkOnLiNE ที่ 21 กันยายน 2008, 06:08:36

ตรวจเช็คเจอแล้วครับ แต่ยังงงว่าจะแก้ไขยังไงในอาการ เวลาในเครื่องย้อนกลับไปปี 2004 ทุกครั้งที่มีการ รีสตาร์ทเครื่อง พอรีสตาร์ทเครื่องเปิดมาใหม่ วินโดวส์หมดอายุซะงั้น = ="

- แล้วต้องป้องกันยังไงไม่ให้มันก่อนกวนระบบครับ ?

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: soulgi ที่ 21 กันยายน 2008, 09:17:28

ใช้ aiti virus ของอะไรอยู่เหรอคับ
แนะนำนะคับ ลงเครื่องแม่ ghost ใหม่เลยคับ แล้วใช้วิธี fhost ผ่าน lan หรือ usb ก็ว่ากันไปนะคับ อาการแบบนี้เกิดจาก virus ซ่ะมากกว่าคับ
ถ้ายังไง แนะนำ anti virus Mcafee ตัว demo นะคับ ใช้ฟรี 2 ปีไม่หนักเครื่องเท่าไรคับ

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: NarOkOnLiNE ที่ 21 กันยายน 2008, 09:40:39

ทดสอบ โกสจากเครื่องอื่นที่ไม่ติด หรือ ทำเครื่องขึ้นมาใหม่แล้วสร้างเป็นโกสมาสเตอร์ พอโกสเสร็จเล่นได้ไม่นานอาการเดิม ตัวป้องกันไวรัส Mcafee, AVG, NOD32, ร่มแดง, แคสเปอร์ เอาไม่อยู่ซักตัวครับ

ข้อสังเกตุ
1.เครื่องอื่นในร้านทำไมไม่ติด ( แต่กำลังทยอยติด = =" )
2.ลบพาทิชั่นล้างรวมเป็นลูกเดียวแล้วแบ่งใหม่ ติดตั้งเสร็จไวรัสยังไม่มีแน่นอนครับ แต่ทำไมเวลาในเครื่องมันย้อนไปปี 2004 ?

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: PaKu ที่ 22 กันยายน 2008, 00:04:56

ผมก็เพิ่งเจอไวรัสที่เครื่องเก็บตังค์คับ ปกติไม่ได้ลง antivirus ไว้ มันยึดหมดเลย Task Maneger,Regedit,ลง Program อะไรก็ไม่ได้ เปิด IE ทีขึ้นมา 50 หน้าต่าง เข้า Safe Mode ก็ไม่ได้...ทำไงดีหว่า...ครับ ลงใหม่อย่างเดียวแบบ repair แล้วก็โหลดเจ้าตาเขียวมาใส่เสริมด้วย cpe17 เซ็งเลยครับปิดร้านไปครึ่งวันลงเครืองไหนไม่ลงมาลงที่เครื่องเก็บตังค์...

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: iCafe ที่ 22 กันยายน 2008, 03:14:14

fdisk /mbr ก็พอท่าน  8)

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: Dams ที่ 22 กันยายน 2008, 03:28:19

อาการนี้ ผมเพิ่งไปแก้มาเมื่อวานนี้เองครับ อารการเป็นตามที่ได้บอกมาข้างต้น ใช้วิธีการนี้แก้ครับ

เคลียร์ frox proxy ให้หมด

ปิดร้าน 1 วันครับ ตัดระบบ Lan ออกให้หมด ทุกเครื่อง จากนั้นทำ master ใหม่ แล้ว clone ใหม่ทั้งร้าน
เครื่องลูกเสร็จแล้วก็เครื่องคิดเงิน และเครื่องอื่นๆในร้านก็จัดการซะด้วยครับ

การ format ใช้แผ่น boot บู๊ทเข้า dm แล้ว format /mbr  แล้วลงตามปกติเลยคร้บ

โปรแกรม recovery ผมใช้ recovery genius 6.1

auto recovery  drive c:
manul recovery drive d
game ทั้งหมดลง drive d ครับ
ส่วน audition ใช้โปรแกรมเช็ค registry ชื่อว่า audition auto patch ไรซักอย่างนี่แหละครับ ไม่ต้องมานั่งเซฟแพทเกมส์ใดๆทั้งสิ้น


ลองดูครับ ไปทำมา 50 เครื่อง  ตั้งแต่เที่ยง ถึง 9 โมงเช้าของอีกวัน ทำคนเดียวเพราะทีมงานติดสอบ กพ หมด แต่ผลที่ได้มาก็ถือว่าระบบกลับมา ok เหมือนเดิมครับ มีเบลอๆมั่งนิดหน่อย แค่เซ็งกะโดนขโมยหมวกกันน๊อคนิดหน่อย

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: NarOkOnLiNE ที่ 22 กันยายน 2008, 17:35:39

ขอบคุณสำหรับคำแนะนำต่าง ๆ ครับ ^^

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: ★2@nswεr^^★™` ที่ 19 กุมภาพันธ์ 2009, 04:53:14

เริ่มอยากใช้ recovery genius 6.1 แล้วสิครับ

อิอิ

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: Man_Utd007 ที่ 19 กุมภาพันธ์ 2009, 05:00:07

recovery genius 6.1  ตัวถ้า ชิป nford อะไรนี่แหล่ะ เครื่องปิดแต่ power ไม่ปิดครับ ผมลองกับ Amd ASUS M2N งงเลย

หัวข้อ: Re: เล่าสู่กันฟัง...
เริ่มหัวข้อโดย: ★2@nswεr^^★™` ที่ 19 กุมภาพันธ์ 2009, 07:51:44

อ้างจาก: Man_Utd007 ที่ 19 กุมภาพันธ์ 2009, 05:00:07

recovery genius 6.1  ตัวถ้า ชิป nford อะไรนี่แหล่ะ เครื่องปิดแต่ power ไม่ปิดครับ ผมลองกับ Amd ASUS M2N งงเลย

ง่า ผมก็ m2n เดี๋ยวลงใหม่จะลองใช้ดู อิอิ

พี่ดามเชียร์ไว้เยอะ