แบบmanual ลบตรงไหนเหรอคับ

เข้า safe mode

ลบแบบ manually
รายการที่ต้องลบ
รายการนี้ ใช้ search จาก start->seacrh (ส่วนมากจะอยู่ใน C:\WINDOWS\system32)
qpfffqik.dll
pivxrjze.dll
thkqcvqa.dll
cgloko.dll
tbrxbxbw.dll
ntdll64.dll
tefmdw.dll

รายการที่ต้องปิด processes
อันนี้จะต้องใช้ startupCPL ลบ processes ตามรายการข้างล่าง

lphcgbrj0er5n.exe
lphc73wj0e9cc.exe
internet.exe
cssrrh.exe
winhlep.exe
lphc1jaj0el6j.exe
lphcgsgj0e309.exe
lphca21j0eebv.exe
lphcls4j0e58t.exe
vcheck.exe
scvhost.exe
lsass.exe
hgcheck.exe
VKNT.EXE
18808.exe
4645.exe
lphctj5j0e539.exe
msmsgsd.exe
pscmain2.exe

รายการที่ต้องไปลบใน registry ใช้ startupCPL หาแล้วไปลบ ตัวหนังสือสีแดงครับ
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ Vietkey
RUNNING PROGRAM\lsass.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ hgcheck
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ msconfig
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ lphcls4j0e58t
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ VersionCheck
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ lphca21j0eebv
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ lphcgsgj0e309
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ lphc1jaj0el6j
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ lphc73wj0e9cc
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ lphcgbrj0er5n
RUNNING PROGRAM\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ Internet Explorer Content Server
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CUR

http://www.exterminate-it.com/malped...e-crypt#howreg <-- อันนี้อีกเจ้า ที่เค้าบอกวิธีแก้ครับ แต่ไม่แน่ใจใช่หรือเปล่า

ไฟล์ผมโหลดช้าหน่อยครับ เน็ตที่ทำงาน TOT 1 M เล่นได้จริง 128k


น่าจะเป็นไฟล์ spyware สร้างขึ้นมาครับ ไฟล์จริงน่าจะโดนซ่อนไว้

CAP หน้าจอของ windows task mamager ให้ดูหน่อยได้ไหมครับ หน้าของ processes น่ะครับ แบบข้างล่างน่ะครับ

ปัญหาก็คือไอไฟล์ที่ผมว่ามันอยู่ในไดรฟ์D

BCU.exe ครับ

แป๊บนุงนะ หาวิธีแก้ให้

BCU.exe is located in a subfolder of "C:\Program Files". The file size on Windows XP is 346,320 bytes.http://www.file.net/process/bcu.exe.html
The process is loaded during the Windows boot process (see Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
It is not a Windows system file. The program has no visible window. BCU.exe is able to monitor applications. Therefore the technical security rating is 46% dangerous, however also read the users reviews.

they are located in c:\windows or c:\windows\system32 folder. ลองseach แล้ว delete ใน safemode ดูครับ

What is BCU.exe and How to Remove BCU.exe
BCU.exe is located under C:\Program Files, this propram has no visible window just a digital signature. BCU.exe will start automatically when Windows starts. BCU.exe file is not a system file it can used by hackers to infect your computer. There are some methods for you to judge whether your computer is infected with BCE.exe and there are three steps for you to remove it. Step 1: Find BCU.exe Path with Windows File Search Tool
1. Click Start, and then click Search; select All files and folders in the Search Companion window.
2. Under the "All or part of the file name" item, enter "BCU.exe".
3. Under the "Look in" item, select "Local Hard Drives" or "My Computer", and then click "Search" button.
4. When Windows search is complete, highlight and right-click on the file "BCU.exe" that you want to delete and select "Delete". (Alternatively, you can select the file and press the "Delete" button on your keyboard.)

Step 2: Remove BCU.exe Processes with Windows Task Manager

1. Press the combination keys CTRL+ALT+DEL or CTRL+SHIFT+ESC to open Windows Task Manager.
2. Under the tab Processes, search for "BCU.exe" process by name from the list of "Image Name".
3. Select the "BCU.exe" process and click on the "End Process" button to stop it.

Step 3: Check for and Delete Other BCU.exe Files

1. To open the Command Prompt window, click Start and then click Run; type in cmd and then press the "OK" button.
2. In the emerged window, to change directory, type in "cd name_of_the_folder" (for example, cd C:\Spyware-folder); press Enter button.
3. Type in "dir /a" and press Enter button to display the folder's content even the hidden files.
4. Once you find the file you're looking for, type in "del name_of_the_file".
Hope the information will work for you. If your computer has been infected by any virus/spyware, welcome to contact Tee Support for 24/7 online remote tech support.

ทำแล้วครับBCUหายไปแล้ว แต่ ไฟล์ยังเป็น .CrYpTeDเหมือนเดิม ยังเปิดไฟล์ไม่ได้อะคับ

ลองใช้ Malwarebytes แสกนดูครับ

ลองแล้วครับ ไม่ได้ผล

เค้า scan เจอ 2 ตัว ก็ไม่หายครับ

เคยลองใช้ combofix รึยังครับ


แต่ต้องไป D/L ที่ http://www.bleepingcomputer.com/down...virus/combofix

ไอ้พวกไฟล์ที่ผมว่าเนี่ย มันอยู่ไดรฟ์D คิอสงสัยว่ามันเกี่ยวกันมั๊ย
ลงวินโดเท่าไหร่ก็ไม่ไปอะ เพราะมันอยู่ไดรฟ์D เหมือนกับมันเกาะติดไฟล์อยู้เลย

มันน่าจะฝังอยู่ใน Drive D: แหล่ะครับ เพียงแต่ต้องหา anti spyware scan หาให้เจอให้ได้น่ะครับ