lsass.exe มี usage ใน cpu มากกว่าปกติ

ปกติแล้วตัว lsass.exe นี้จะไม่กิน cpu usage ของเครื่องเลย หรือถ้าใช้ก็แค่ประมาณ 0.xxx%
แต่ก็มีบ้างเหมือนกันที่ lsass.exe ใช้งานมากเกินเหตุ ทั้งที่ตรวจสอบดีแล้วว่าเครื่องไม่ได้ติดไวรัส

สาเหตุน่าจะมาจาก virtual memory fragmentation ซึ่งจะเกิดกับ hardisk ที่ใช้งานมาเป็นเวลานานแล้ว
วิธีแก้คือ ให้ lsass.exe เปลี่ยนมาใช้  Low Fragmentation Heap algorithm แทน ซึ่งทำได้โดย add registry เข้าไปตัวหนึ่ง โดยทำดังนี้คะ

1. คลิก start >> run  พิมพ์ regedit แล้วกด OK
2. ไปที่  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
3. ไปที่ menubar คลิก edit >> new >> DWORK Value
4. พิมพ์ UseLowFragHeap แล้วกด enter
5. คลิกขวาที่ UseLowFragHeap registry แล้วกด modify
6. พิมพ์ 1 ในช่องของ Value Data แล้วกด OK
7. ปิด registry editor
8. restart เครื่อง

อ้างอิง http://support.microsoft.com/kb/842382

จะทำยังไงเมื่อเข้า window ไม่ได้

วันก่อน พยายามแก้ไวรัสซึ่งในเครื่องมีอยู่หลายตัวมาก ตัวหนึ่งที่พบคือ
C:\WINDOWS\system32\userinic.exe [TROJ_AGENT.BNG]
C:\WINDOWS\system32\userinig.exe [TROJ_RIPKILL.A]
สังเกตไหมว่า ชื่อมันไปคล้ายกับ 
 C:\WINDOWS\system32\userinit.exe
ซึ่งเป็น process ที่จำเป็นของ window

และในระหว่างที่กำลังลบ registry ที่ไวรัสทั้งหลายไปเกาะอยู่นั้น ก็เผลอไปลบตัวหนึ่งที่ใช้ config ไฟล์ userinit.exe เข้า (เบลอขนาดหนัก)
โดยมารู้ทีหลังเมื่อ login เข้า window ไม่ได้ ว่าเผลอลบ registry สำคัญไปซะแล้ว และที่แย่กว่านั้นคือจำไม่ได้ด้วยว่าเป็นตัวไหนเพราะลบไปเยอะมาก
(เนื่องจากติดไวรัสหลายตัว)

ว้า ทำไงดี ไม่ใช่เครื่องตัวเองซะด้วย แล้วก็ไม่ได้นึกถึงการ backup registry ไว้เลย (ต้องขอบอกว่ามือใหม่จริงๆ)

พยายาม search หาใน google บางเว็บบอกว่าให้ใช้แผ่นบูต augiePE (อะไรก็ไม่รู้) เรียก prog registry editor ขึ้นมาแล้วแก้ไปตรงๆ
ซึ่งมันคงจะดีถ้าเรามีแผ่นบูตที่ว่านั้นและรู้ว่าจะแก้ที่ registry ตรงไหน

แต่โชคร้ายที่ไม่มีทั้งสองอย่าง

บางเว็บบอกว่าให้ถอด harddisk ไปต่อกับเครื่องอื่นเพื่อก๊อบ userinit.exe ของเครื่องนั้นมาใส่
แต่เราไม่ได้ลบเจ้าตัวนั้นสักหน่อย ที่ลบคือ registry ที่ config ต่างหาก

หาต่อไปเรื่อยๆ ก็ไปพบเว็บหนึ่งของ microsoft เองเลย
 
“How to recover from a corrupted registry that prevents Windows XP from starting”

วิธีที่ว่าคือ

1. ใส่แผ่นบูต window เข้าไป (ต้องไปแก้ bios ให้บูตจากแผ่น cd เป็นอันดับแรก)
2. เมื่อหน้าจอแสดงทางเลือกว่าจะติดตั้ง window ใหม่หรือ repair window ให้เลือก repair ด้วยการกด R
3. จากนั้นจะปรากฏหน้าจอเหมือน command prompt เรียกว่า Recovery Console ให้ระบุหมายเลขของระบบปฏิบัติการที่มีในเครื่อง ถ้าเครื่องมีระบบเดียวก็ให้พิมพ์เลข 1
4. ถัดมาจะแสดงข้อความให้กรอก administrator password  ถ้าไม่ได้ตั้ง password ไว้ก็ให้กด enter
5. ต่อมาให้พิมพ์ตามนี้ โดยเมื่อพิมพ์แต่ละบรรทัดเสร็จให้กด enter

md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

6. พิมพ์ exit เพื่อปิด Recovery Console เครื่องจะ restart เข้าสู่ window

วิธีข้างต้นนี้เป็นการเอา registry ที่ใช้สำหรับติดตั้ง window ครั้งแรกมาใช้แทน registry ปัจจุบันของเราที่มีปัญหา

window ที่บูตขึ้นมานี้ยังคงมีข้อมูลและโปรแกรมต่างๆ ครบถ้วน แต่ โปรแกรมส่วนใหญ่จะใช้ไม่ได้เนื่องจากค่าต่างๆที่ config ใน registry หายไป

ขั้นตอนต่อไปนี้คือการนำเอา registry files ที่ window backup ไว้ให้จาก system restore มาติดตั้ง

1. เปิดหน้าต่าง window ขึ้นมา แล้วคลิกเมนู tools และเลือก folder options
2. คลิกแท็บ view แล้ว ดูที่หัวข้อ Hidden files and folders เลือก Show hidden files and folders แล้วติ๊กเครื่องหมายอื่นในหัวข้อนี้ออกให้หมด
ในระหว่างนี้อาจมีหน้าต่าง confirm ปรากฏขึ้นมาก็ให้คลิก yes แล้ว กด OK เพื่อปิดหน้าต่าง floder options
3. เข้าไปที่ drive ที่ติดตั้ง window เช่น drive C:
4. คลิกเข้าไปที่ folder System Volume Information
ถ้าคลิกเข้าไปไม่ได้ให้ทำตามนี้ วิธีเข้า folder ที่ window ปฏิเสธการเข้าถึง (access denied)
5.  เปิด folder ที่ชื่อประมาณนี้

C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP1\Snapshot

ถ้าหาก _restorexxx นี้มีหลาย folder ก็ให้เลือกโดยดูจากวันที่ที่สร้าง file ขึ้นมาว่าอยากให้ window กลับไปเหมือนกับวันไหน

6. ใน folder snapshot นี้ให้ copy ไฟล์ เหล่านี้ไปไว้ที่ C:\windows\Tmp

• _REGISTRY_USER_.DEFAULT
• _REGISTRY_MACHINE_SECURITY
• _REGISTRY_MACHINE_SOFTWARE
• _REGISTRY_MACHINE_SYSTEM
• _REGISTRY_MACHINE_SAM

7. เปลี่ยนชื่อไฟล์ต่อไปนี้ใน C:\windows\Tmp
•  _REGISTRY_USER_.DEFAULT เปลี่ยนเป็น  DEFAULT
•  _REGISTRY_MACHINE_SECURITY เปลี่ยนเป็น  SECURITY
•  _REGISTRY_MACHINE_SOFTWARE เปลี่ยนเป็น  SOFTWARE
•  _REGISTRY_MACHINE_SYSTEM เปลี่ยนเป็น  SYSTEM
•  _REGISTRY_MACHINE_SAM เปลี่ยนเป็น  SAM

ต่อไปเป็นการนำ registry file ที่เตรียมไว้มาติดตั้ง
1. ใส่แผ่นบูตแล้วเรียก Recovery Console ขึ้นมา (ทำเหมือนขั้นตอนที่ได้บอกไว้ตอนต้น)
2. พิมพ์ข้อความต่อไปนี้โดยเมื่อจบแต่ละบรรทัดให้ enter
del c:\windows\system32\config\sam

del c:\windows\system32\config\security

del c:\windows\system32\config\software

del c:\windows\system32\config\default

del c:\windows\system32\config\system

copy c:\windows\tmp\software c:\windows\system32\config\software

copy c:\windows\tmp\system c:\windows\system32\config\system

copy c:\windows\tmp\sam c:\windows\system32\config\sam

copy c:\windows\tmp\security c:\windows\system32\config\security

copy c:\windows\tmp\default c:\windows\system32\config\default

3. พิมพ์ exit เพื่อปิด Recovery Console แล้วเครื่องจะ restart เข้าสู่ window

เพิ่มเติม : คุณสามารถสร้าง text file ที่มีข้อความตามที่ระบุในข้อ 2 แล้วเก็บไว้ที่ C:\windows โดยอาจจะตั้งชื่อไฟล์เป็น  regcopy2.txt
ซึ่งแทนที่จะต้องเหนื่อยพิมพ์ทุกบรรทัดตามข้อ 2  ก็สามารถทำได้เพียงบรรทัดเดียวโดยพิมพ์ว่า

 batch regcopy2.txt
ต่อไปเป็นการใช้ system restore เพื่อเลือกวันที่ที่จะให้ window กลับไปเป็นเหมือนวันนั้น

1. คลิก start เลือก All Programs
2. คลิก Accessories เลือก System Tools
3. คลิก System Restore แล้วเลือก Restore to a previous RestorePoint
4. คลิก next แล้วเลือก วันที่ต้องการ แล้วคลิก next ไปเรื่อยๆ จากนั้นกด OK เครื่องจะ restart อีกครั้ง

 เป็นอันเสร็จขั้นตอน
ที่มา
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q307545&ID=KB;EN-US;Q307545
http://support.microsoft.com/kb/309531/

วิธีเข้า folder ที่ window ปฏิเสธการเข้าถึง (access denied)

บางครั้งมีความจำเป็นต้องเข้าไปที่ folder ที่ window ป้องกันไม่ให้เข้า เช่น อาจมี virus เข้าไปอยู่ หรือ แค่ความอยากรู้อยากเห็นก็ตาม คุณสามารถทำได้ไม่ยาก ดังนี้

1. logon ด้วย user ที่มี type เป็น Administrator
2. เปิด My Computer
3. คลิกเมนู Tools แล้วเลือก Folder Options
4. คลิกแท็บ View แล้ว คลิก Show hidden files and folders
5. ติ๊กเครื่องหมายถูกออก ที่  Hide protected operating system files (Recommended)
6. จะปรากฏ confirm window ขึ้นมาให้คลิก yes
7. กด OK

ถ้ายังคลิกเข้าไปไม่ได้อีก ให้ทำตามนี้
1. คลิกเข้าไปที่ Folder Options ในแท็บ View ให้ติ๊กเครื่องหมยถูกออกที่ Use simple file sharing (Recommended)
2. คลิก OK
3. เลือก folder ที่ต้องการเข้า แล้วคลิกขวา เลือก Properties
4. คลิกแท็บ Security  แล้วคลิก Add จากนั้นจะปรากฏหน้าต่าง Select Users or Groups ให้ใส่ชื่อ user ที่ต้องการให้เข้าถึง folder เหล่านี้
ถ้าไม่รู้ให้คลิก advance จะปรากฏหน้าต่างอีกอันขึ้นมาให้คลิก Find Now เพื่อค้นหา user ทั้งหมดที่มีใน window จากนั้นเลือก user ที่ต้องการแล้ว กด OK 
5. กด OK เพื่อปิดหน้าต่าง Select Users or Groups
6. กด OK เพื่อปิดหน้าต่าง properties

ถึงตอนนี้คุณก็สามารถเข้า folder นั้นได้แล้ว

ที่มา http://support.microsoft.com/kb/309531/

MSN Messenger Error Code: 80048820 Extended: 80048416

วิธีแก้ 

1.  คลิก  Tools ที่ menu bar เลือก Internet Options…

internetoption.jpg

2. คลิก tab Advanced , ในหัวข้อ security  คลิกเครื่องหมายออกใน Checkbox  Server certificate revocation (requires restart)  ถึงไม่มีเครื่องหมายถูกอยู่ ก็ให้คลิก 2 ครั้ง ครั้งแรกให้มีเครื่องหมาย ครั้งที่สองเอาเครื่องหมายออก ssl.jpg

3. คลิก OK แล้ว ปิด Internet Exprorer

4. เปิด MSN Messenger แล้ว Sign in อีกครั้ง

ที่มา : http://messenger-support.spaces.live.com/blog/cns!8B3F39C76A8B853F!12862.entry

วิธีกำจัดไวรัสที่ง่ายๆ และได้ผล ด้วย Sysclean.com จาก Trend Micro

1. download โปรแกรม Sysclean.com ที่นี่
2. download pattern ไฟล์ ชื่อ lptxxx.zip ที่นี่  
(ทุกครั้งที่ใช้งาน  Sysclean.com ต้อง download ไฟล์ pattern ตัวล่าสุดมาใช้)   
3. แตกไฟล์ lptxxx.zip ไว้ใน floder เดียวกันกับโปรแกรม Sysclean.com
4. ปิดการเชื่อมต่ออินเตอร์เน็ต
5. ปิดโปรแกรมทั้งหมด รวมทั้ง โปรแกรมป้องกันไวรัส (ถ้ามี)
6. รันไฟล์ Sysclean.com จากนั้นกดปุ่ม scan
7. เมื่อ scan เสร็จสิ้น เปิดโปรแกรมป้องกันไวรัส (ถ้ามี)เพื่อ scan อีกครั้ง
8.  restart เครื่อง

sysclean.jpg

หลังจากปล่อยให้มันสแกนไปจนเสร็จ คุณจำเป็นจะต้องดู log ที่โปรแกรมสร้างขึ้นอีก (sysclean.log)

เนื่องจากบางไฟล์โปรแกรม ไม่สามารถลบได้ คุณจึงต้องลบมันด้วยตัวเอง

เมื่อคุณเปิด log ขึ้นมาดูจะพบว่า ไฟล์ไหนบ้างที่โปรแกรมลบไม่ได้ ซึ่งอาจเพราะว่าไฟล์นั้นถูก set ให้เป็น hidden file หรือ read only 

แต่คุณก็สามารถลบมันได้อยู่ดี โดยทำดังนี้

1. คลิก start , คลิก run แล้วพิมพ์ cmd กด enter

2.  พิมพ์ attrib -a -r -h -s <ระบุที่อยู่และชื่อไฟล์ที่ต้องการ>

เช่น attrib -a -r -h -s C:\WINDOWS\system32\userinic.exe

3. พิมพ์ del  <ระบุที่อยู่และชื่อไฟล์ที่ต้องการ>

เช่น del C:\WINDOWS\system32\userinic.exe

ถ้ายังลบไม่ได้อีก อาจเพราะว่า window กำลัง run process บางอย่างที่ใช้ไฟล์นั้นอยู่ให้คุณ download program เล่านี้มาใช้ เพื่อลบ process นั้นทิ้งไป

–  Process Explorer  : แสดง process ที่กำลัง run ทั้งหมดของ window  โดยคุณจะต้อง kill process ที่น่าสงสัยทิ้งไป

–  Unlocker : ปิดไฟล์หรือ process ที่กำลังใช้งานไฟล์ที่คุณเลือก

จากนั้นค่อยลบไฟล์ตามวิธีข้างต้น

การลบไฟล์พวกนี้เป็นการหยุดทำการทำงานของไวรัสแค่ชั่วคราว

เมื่อคุณ restart window มันก็จะกลับมาปรากฏอีก

การลบไวรัสออกไปอย่างถาวรนั้นต้องไปลบค่าใน registry เป็นขั้นตอนสุดท้ายซึ่งต้องกระทำอย่างระมัดระวัง เพราะไม่เช่นนั้นคุณอาจไม่สามารถเข้า window ได้อีกเลย

การลบไวรัสที่อยู่ใน regsitry

1. คลิก start , คลิก run แล้ว พิมพ์ regedit

หากพิมพ์แล้ว Program registry editor ไม่ทำงานก็ให้ คลิก start , คลิก run แล้วพิมพ์ดังนี้

 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

จากนั้น คลิก run แล้ว พิมพ์ regedit อีกครั้ง คราวนี้โปรแกรม registry editor ก็สามารถใช้งานได้แล้ว

2. คลิกเมนู edit แล้วเลือก find หรือ กด Ctrl+F

3. กรอกบางส่วนของชื่อไฟล์ไวรัส แล้วกด find next

4. หากพบชื่อไฟล์ไวรัสปรากฏที่ใดก็ให้ลบ ค่า registry ตัวนั้นทิ้งไปซะ แต่ต้องดูให้ดีก่อน โดยค่าที่ว่านั้นจะต้องตรงกันทั้ง path และชื่อของไฟล์ไวรัสที่ sysclean.com ตรวจพบ และต้องแน่ใจว่า นั้นไม่ใช่ไฟล์สำคัญของ window

5. กด F3 เพื่อค้นหาไปเรื่อยๆ จนกระทั้งการค้นหาทั้งหมด เสร็จสิ้นลงแล้ว

6. อย่างไรก็ดี sysclean.com อาจไม่เก่งพอที่จะค้นพบไวร้สทั้งหมด

ให้คุณลอง search หาใน drive ทั้งหมดของคุณอีกครั้งด้วยคำค้นเป็นชื่อไฟล์ไวรัส เมื่อเจอก็ต้องให้แน่ใจว่าไม่ใช่ไฟล์สำคัญของ window แล้วค่อยลบทิ้งไป

7. restart เครื่อง

เพียงเท่านี้ เครื่องของคุณก็น่าจะ clean จากไวร้สทั้งหมดแล้ว

ที่มา : http://www.trendmicro.com/download/sysclean.asp

MSN บังคับให้ update a newer version

สำหรับผู้ที่ใช้ window นั้น อาจเคยพบปัญหา msn ที่เคยใช้ได้ปกติๆ อยู่มาวันหนึ่ง login ได้สำเร็จแต่ไม่อาจเล่น M ได้ เพราะเกิด show popup ให้ update a newer version ทางเลือกของคุณมีแค่ yes /no ถ้าเลือก no ก็ไม่สามารถเข้า M ได้ แต่หากเลือก yes msn ของคุณก็จะถูก update กลายเป็น Windows Live Messenger 8.1

มันจะไม่ก่อให้เกิดปัญหา สำหรับผู้ที่ใช้ เครื่องคอมแรงๆ ซึ่งมี ram เหลือเฝือ ให้เจ้า msn version นี้ แต่ในทางตรงกันข้าม ผู้ใช้คอมเก่าๆ cpu และ ram น้อย จะต้องประสบปัญหามากมายทีเดียว เพราะ เมื่อมีใครสักคนทักทายมา คุณอาจต้องใช้เวลาหลายนาทีกว่าจะตอบกลับไปได้ หรือถ้าโชคร้ายกว่านั้น เครื่องคอมของคุณก็อาจจะแฮงค์ได้

สาเหตุที่ทีมงาน msn ต้องทำเช่นนี้ก็เผื่ออุดช่องโหว่ที่แสนอันตรายซึ่งอาจเกิดขึ้นกับผู้ใช้ MSN Messenger 6.2, 7.0 and  7.5 and Windows Live Messenger 8.0

ในสภาวะปกติก็ไม่มีปัญหาใดๆ แต่หากคุณใช้ webcam หรือ chat ผ่าน video กับผู้ไม่หวังดีล่ะก็ คนๆนั้นก็จะสามารถควบคุมเครื่องคอมพิวเตอร์ของคุณได้อย่างเบ็ดเสร็จเด็ดขาดโดยคุณไม่สามารถช่วยตัวเองได้เลย ซึ่งอันตรายนี้จะมากหรือน้อยก็ขึ้นอยู่กับว่า สิทธิของ account user ของคุณในขณะนั้นมากแค่ไหน ซึ่งจะโชคร้ายอย่างสูงสุดถ้า account ของคุณคือ administrator ดังนั้นคุณจึงควรระลึกไว้อยู่เสมอว่าเมื่อใช้อินเตอร์เน็ต ไม่ควร login ด้วย account ที่มีสิทธ์เป็น administrator และควรจะมีไว้หลาย user เพราะเมื่อเกิดปัญหากับ user ใดแล้ว คุณสามารถใช้อีก user หนึ่งเพื่อแก้ปัญหาได้

อย่างไรก็ดีผู้ใช้จะปลอดภัยจากปัญหานี้ถ้าใช้ MSN Messenger 7.0.0820 หรือ Windows Live Messenger 8.1.0178 ซึ่งถ้ารู้ตัวว่าเครื่องช้าหรือ ram น้อย คุณก็ควรจะหันไปใช้ MSN Messenger 7.0.0820

คำแนะนำจาก microsoft
สำหรับ Windows Vista and Windows 2003 – ควรใช้ Windows Live Messenger 8.1.0178
สำหรับ Windows XP – ควรใช้ Windows Live Messenger 8.1.0178 หรือ MSN Messenger 7.0.0820
สำหรับ Windows 2000, Windows 98 and Windows Me – ควรใช้ MSN Messenger 7.0.0820
สำหรับ Windows 95 – ควรใช้ MSN Messenger 5.0

สำหรับผู้ที่รักจะใช้ MSN Messenger 7.5 แต่ไม่อาจใช้ได้เนื่องจากถูกบังคับให้ติดตั้ง version ใหม่ท่าเดียวนั้น สามารถทำได้โดย
1. ปิด msn แล้วเข้าไปที่ C:\Program Files\MSN Messenger
2. คลิกขวาที่ msnmsgr.exe เลือก properties


3. คลิก tab compatibiliy แล้วเลือก compatibility mode เป็น window 2000 แล้วคลิก OK

Download MSN version ต่างๆ : http://www.microsoft.com/downloads/browse.aspx?displaylang=en&productID=8437C7E3-E073-4FDD-9832-300EF8E82334 

ที่มา:

http://www.microsoft.com/technet/security/Bulletin/MS07-054.mspx

http://messengersays.spaces.live.com/blog/cns!5B410F7FD930829E!29167.entry

http://messenger-support.spaces.live.com/blog/cns!8B3F39C76A8B853F!12746.entry