(- งุงิ เสร็จแย้ว โปรแกรมแพช Windows Live Messenger 14.0.3921.0717 ตัวใหม่ อิอิ หลังจากทิ้งสเปซไปนาน เพราะงอมแงมกับเกมส์ อิอิ ว่างๆ จะมาอัพเดทสเปซให้เรื่อยๆ นะครับผม แล้วเจอกัน -)



สามารถของโปรแกรม
   - เปิด คุณสมบัติเล่น Messenger หลายๆ อีเมล์พร้อมกัน ( Polygamy (Run multiple copies of Messenger) )
   - เปิด คุณสมบัติรัว Nudge ( Remove Nudge Delay )



   - ลบ ป้ายโฆษณาในหน้าต่างหลัก ( Remove Ad Banner in main contact list window ) Windows Live Messenger 9 Build 14.0.3921.0717


   - ลบ ลิ้งค์ข้อ ความโฆษณาด้านล่างในหน้าต่างสนทนา ( Remove Ad Textlinks in conversation window )

วิธีใช้ 

   * อัพเดท 07/11/2007 12:35 p.m. *
กรณีหาไฟล์ไวรัสไม่เจอนะครับ โดยปกติ Default ของวินโดว์จะไม่เปิดฟังก์ชั่น แสดง โฟล์เดอร์/ไฟล์ ที่ถูกเซ็ตสถานะซ่อนไว้นะครับ และไวรัส MSN เองได้เซ็ตตัวมันเองในโหมดซ่อนไฟล์ เราจึงหาตัวไฟล์ไวรัสไม่เจอ หากไม่ได้เปิดฟังก์ชั่นนี้ เราสามารถเปิดฟังก์ชั่นนี้ได้โดย ไปที่ Control Panel เลือกดับเบิ้ลคลิก Folder Options จากนั้นเลือกแท็บ View ติ๊กเลือก Show hidden files and folders และอีกที่ เอาเครื่องหมายติ๊กถูกออกหน้า Hide protected oparating system files (Recommended) แล้วคลิก Apply และ OK

   * อัพเดท 07/11/2007 00:40 a.m. *
 ยังมีอีกโปรแกรมอีกตัวที่น่าสนใจ และใช้ง่ายกว่าการเข้าไปแก้ไขในรีจิสตรี้(Registry) โดยใช้โปรแกรม Regedit Editor โปรแกรมนี้มีชื่อว่า System Configuration Utility เป็นเครื่องมืออัตถประโยชน์(Utilities Tools) ของวินโดว์เองครับ วิธีเรียกใช้เริ่มที่เมนู Start > Run... จากนั้นพิมพ์ใน Run.. นะครับว่า msconfig แล้วเอนเทอร์ หรือคลิกปุ่ม OK มันเป็นทางลัด(ShortCut) ซึ่งไว้เรียกโปรแกรม System Configuration Utility ซึ่งตัวโปรแกรมจริงๆจะเก็บไว้ที่ c:\windows\system32\msconfig.exe ในที่นี้เราเรียกใช้เพื่อจะหยุดการทํางานของไวรัส ที่สั่งไว้ให้รันตัวมันทุกครั้งเมื่อเปิดวินโดว์ เราจะมาหยุดมันได้โดยเลือกที่แท็บ Startup แล้วมองหาโปรแกรมต้องสงสัย ที่คิดว่าเป็นไวรัส หรือตามชื่อการตั้งค่าของไวรัสนั้นๆ ที่ผมบอกไว้ในหัวข้อวิธีแก้ไวรัสต่างๆ ด้านล่าง ให้ติ๊กเครื่องหมายออกนะครับ แล้วคลิก Apply และ OK จะเป็นการสั่งหยุดรันไวรัส ครั้งต่อไปเมื่อเปิดวินโดว์ ไวรัสมันจะไม่รันเปิดทํางานอีกครับ (จบโพรเซสไวรัสก่อนนะครับแล้วค่อยทําขึ้นตอนนี้ ขืนไปทําก่อนที่ไวรัสยังรันอยู่มันก็เซ็ตค่ากลับไว้เหมือนเดิมอยู่ดี)
   OK นะครับ มีอะไรใหม่จะมาอัพเดทให้อีก ค่อยๆเรียนรู้กันไป
   * * * * * * * * ** * * * * * * * *

  หัวข้อนี้เขียนสําหรับมือใหม่โดยเฉพาะ และผู้ใช้อย่างเราๆ(User) ซึ่งผมเข้าใจ ว่าคุณคงไม่รู้หรอกว่าจะเข้าถึงโปรแกรมต่างๆ ได้อย่างไร เมื่อประสบปัญหากับไวรัส โปรแกรมหรือวิธีการเหล่านี้ต้องถูกนํามาใช้แน่นอน มาเริ่มกันเลยครับ

   1. โปรแกรม Windows Task Manager เป็นโปรแกรมที่ให้คุณสามารถจัดการ การประมวลผลต่างๆของโปรแกรมที่เปิดทํางานอยู่ ณ ขณะนั้น โดยสามารถสั่งหยุดการทำงานบางอย่าง เช่นไวรัส ออกไป ฯลฯ วิธีเข้าถึง โปรแกรม  Windows Task Manager เข้าได้โดยเริ่มที่เมนู Start > Run... จากนั้นพิมพ์ใน Run.. นะครับว่า taskmgr แล้วเอนเทอร์ หรือกดคีย์บอร์ด Ctrl+Alt+Del พร้อมกันสามปุ่มก็ได้เหมือนกัน มันเป็นทางลัด(ShortCut) ซึ่งตัวโปรแกรมจริงๆจะเก็บไว้ที่ c:\windows\system32\taskmgr.exe จะเป็นการเรียกโปรแกรม Windows Task Manager ครับ ในที่นี้คือ เรียกมาเพื่อจบโพรเซส(End Process) ของไวรัสครับ โดยเลือกที่แท็บ Processes นะครับแล้วดูที่ช่อง Image Name เมื่อมีโปรแกรมหรือโพรเซสอะไรก็ตามรันขึ้นมา เช่นไวรัส เราสามารถจบโพรเซส(End Process) หรือดูโพรเซสต่างๆได้ด้วยโปรแกรมนี้ครับ
 
   2. โปรแกรม Regedit Editor คือโปรแกรมที่มีไว้ปรับแต่งแก้ไขระบบรีจิสตรี้ (Registry) รีจิสตรี้คือ ฐานข้อมูลส่วนกลางของระบบวินโดว์ และแน่นอนมันสําคัญ และอันตรายหากเข้าไปแก้ไขไม่ถูกวิธี ทุกครั้งที่เข้าไปแก้ไขปรับแต่งมันต้องสํารองข้อมูลก่อนทุกครั้ง วิธีเข้าถึง โปรแกรม Regedit Editor เข้าได้โดยเริ่มที่เมนู Start > Run... จากนั้นพิมพ์ใน Run.. นะครับว่า Regedit หรือ regedt32 มันเป็นทางลัด(ShortCut) ซึ่งตัวโปรแกรมจริงๆจะเก็บไว้ที่ c:\windows\system32\regedt32.exe แล้วเอนเทอร์ จะเป็นการเรียกโปรแกรม Regedit Editor ขึ้นเพื่อให้เราจัดการแก้ไขข้อมูล ในที่นี้คือ เข้าไปลบคีย์ที่ไวรัสได้สร้างขึ้นมา เพื่อสั่งตัวมันเองรันทุกครั้งเมื่อเปิดวินโดว์ เราต้องหยุดมันเพื่อไม่ให้มันทํางานในครั้งต่อไปเมื่อเปิดวินโดว์ใหม่

   ง่ายไหมครับที่จะจัดการกับไวรัส MSN มันเป็นไวรัสเด็กๆครับ เราหยุดโพรเซสมันได้ ปิดทางสั่งรันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ ได้ก็จบแล้วครับ ถ้าเจอไวรัสของพวกเหล่าเทพละก็  ไม่ต้องพูดถึง วิธีเหล่านี้ก็เอาไม่อยู่เหมือนกัน

* อัพเดท 31/01/2008 11:00 a.m. *
   หัวข้อวิธีกําจัดไวรัสในส่วนนี้รายละเอียดเต็มแล้วนะครับ ขอให้ไปดูหัวข้ออัพเดตไวรัสใหม่ๆ ด้านบนแทนนะครับผม

* อัพเดท 17/01/2008 15:09 p.m. *
   ไวรัส photo09.zip ไฟล์ภายใน zip ชื่อ photo09.jpg_scannedby-Msn.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wlivemsgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\wlivemsgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Live Msgs! คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 70.5 KB (72,192 bytes)
5. MD5 = cdea89c615162855d4475dd9697ae0af

 อัพเดท 17/01/2008 14:30 p.m. * 
   ไวรัส facebookpic.com.zip ไฟล์ภายใน zip ชื่อ picture021.JPEG_ScannedBy-Msn.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ msgnms.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\msgnms.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Live คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 71.5 KB (73,216 bytes)
5. MD5 = 2644ebd7c1ba79951df5d6c94e5ce430

* อัพเดท 14/01/2008 17:14 p.m. * 
   ไวรัส Image071.zip ไฟล์ภายใน zip ชื่อ Image071.JPEG_www.FreeImages.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ prcsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\prcsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Network Service คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 72.5 KB (74,240 bytes)
5. MD5 = 7edb523712e754c715bddc9d9a62231f 

*** สวัสดีปีใหม่ครับทุกท่าน หลังจากหายไปหลายวันกลับมาแล้วครับ ***
* อัพเดท 04/01/2008 11:58 a.m. * 
   เริ่มกันด้วยไวรัส NewYear2008.zip ชื่อไฟล์ที่ส่งหลอกมาเพื่อเข้ากับช่วงเทศกาลปีใหม่พอดี ถ้าใครคิดว่าเป็นการ์ดอวยพรและเผลอคลิกมันติดไวรัสตัวนี้แล้วล่ะ และไฟล์ภายใน zip ชื่อ Image027.JPEG_VirusScannedBy-Msn.com  
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ usnserv.exe (ไม่รู้ว่าสุ่มชื่อเปล่า ยังไงผมจะตามอัพเดทให้อีกที) จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\usnserv.exe คุณต้องเข้าไปลบมันทิ้งซะ
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Userfile Sharing Server คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ภายในไฟล์ ZIP 71.0 KB (72,704 bytes)
5. MD5 = 9f5f62c2af86b7a0af00ef9a178f5c3c
6. ตัวอย่าง ข้อความที่ส่งมาพร้อมกับตัวไวรัส เช่น
   Could I have really had sex with them?
   Does my new style *oo* hot?

* อัพเดท 17/12/2007 17:30 p.m. * 
   อัพเดทเพิ่มเติมครับ !! ไวรัสอีกตัวที่ทํางานคล้ายกันกับ image68.zip มาในชื่อ picture[สุ่มตัวเลข 4 หลัก].zip เช่น picture0081.zip แก้ตาม image68.zip ข้างล่าง

* อัพเดท 16/12/2007 21:50 p.m. * 
   ไวรัส image68.zip ไฟล์ภายใน zip ชื่อ image68.JPG-www.onlinealbums.zip  
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ regsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\regsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Registry Service คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 48.5 KB (49,664 bytes)
5. MD5 = 243c9007f1dd910ff721da5e520881f7
6. ข้อความที่ส่งมาพร้อมกับตัวไวรัส เช่น
   just found this one on ebaumsworld, I'm still falling over laughing!
   you seriously won't believe this....
   you care if i throw this pic of us on myspace?
   This picture can't be real right?
   got some new pics for my album! Tak* a*look.
   holy shit, this girl is FINE!

* อัพเดท 15/12/2007 17:10 p.m. * 
   ไวรัส photo[สุ่มตัวเลข 3 หลัก][สุ่มตัวอักษร 1 หลัก].zip ไฟล์ภายใน zip ชื่อ photo-[สุ่มตัวเลข 3 หลัก].JPeG_อีกเมลผู้รับ เช่น photo528b.zip , photo889o.zip ตัวเดียวกันแต่ส่งต่างชื่อเท่านั้นเอง
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ ไวรัสสุ่มชื่อ.exe เท่าที่ผมเคยเจอมันใช้ชื่อ t.exe หรือ ss.exe ไม่แน่นอนนะคับผมบอกแค่เป็นแนวทางว่ามันสุ่มชื่อสั้นๆน่ะ จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\ไวรัสสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ไวรัสสุ่มชื่อ คลิกขวาเลือก Delete ทิ้งได้เลยครับ
   - และอีกที่ ไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ไว้ด้วย คุณต้องถอนการติดตั้งของมันด้วย วิธีแก้ คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์(Enter) หรือคลิก OK จะแสดงหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Services ดูที่คอลลัมน์ Service หา Service ที่ชื่อ Print Spooler Service จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
4. ขนาดไฟล์ 96.0 KB (98,304 bytes)
5. MD5 = baa55c201b5acc6865a81031a43925a7
   * ไวรัสตัวนี้ทํางานคล้ายๆ mystuff.zip หรือ pictures.zip หรือ pics.zip ดูวิธีแก้เหล่านั้นประกอบ

* อัพเดท 11/12/2007 13:50 p.m. * 
   ไวรัส image028.zip ไฟล์ภายใน zip ชื่อ image028.jpg-www.photoalbums.com 
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnpcgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnpcgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Remote Addressing คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 46.5 KB (47,616 bytes)

* อัพเดท 03/12/2007 17:24 p.m. * 
   ไวรัส image010.zip ไฟล์ภายใน zip ชื่อ image010.jpg-www.photoalbums.com รวมถึงไฟล์ image020.zip , image030.zip ตัวเดียวกันแต่ส่งต่างชื่อเท่านั้นเอง
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnpmcs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnpmcs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Remote Launcher คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 45.5 KB (46,592 bytes)
5. MD5 = 3ba96283c991c133fbca2c79b1c1a378

* อัพเดท 28/11/2007 14:30 p.m. *
   อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip ที่ชื่อ image19.zip
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnrsvc.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnrsvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Logical Connection คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

* โปรแกรมกําจัดยังไม่เสร็จหาเวลาอยู่ครับ แก้ด้วยมือไปก่อนนะครับ จะได้เก่งๆ *

* อัพเดท 26/11/2007 14:20 p.m. *
    เพื่อแก้ปัญหาและลดความยุ่งยาก กับวิธีกําจัด ไวรัสสุ่มชื่อและการตั้งค่าต่างๆของไวรัสที่แตกต่างกัน ทําให้ผู้ใช้ไม่สามารถลบไวรัสเหล่านั้นออกจากระบบได้้โดยง่าย ณ ขณะนี้ผมกําลังพัฒนาโปรแกรมกําจัดไวรัสเหล่านี้โดยอัตโนมัติอยู่ครับ รอหน่อยนะครับ อีกไม่นาน โปรแกรมนี้ชื่อ T.I.S.R. IM-Worm Remover



ตัวนี้เขียนด้วย Delphi และ Interface กับ Flash ActionScript 3.0

* อัพเดท 14/11/2007 12:10 p.m. *
   ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่(หรือเปล่าหว๋า...) ความร้ายกาจของมันคือ ส่งไวรัสนี้ออกไปให้เพื่อนๆ ของเราโดยที่เราไม่รู้ตัว มันจะส่งไฟล์ชื่อ mystuff.zip หรือ pictures.zip หรือ pics.zip ไฟล์ภายใน zip ชื่อ pic_[สุ่มตัวเลข 3 หลัก].jpeg_[ตรงนี้ชื่ออีเมล์คนส่ง ก็คือเมล์ของเรานั่นเอง(สมมุติว่าเราได้ติดไวรัสตัวนี้)] ไวรัสตัวนี้หาตัวยากนิดหน่อย เพราะสุ่มชื่อไวรัส ทุกครั้งที่แพร่เชื้อ แต่ละเครื่องที่ติดไวรัสตัวนี้จึงมีชื่อแตกต่างกัน แต่ไฟล์ zip ที่ส่งออกไปพบบ่อยจะชื่อ mystuff.zip หรือ pictures.zip หรือ pics.zip แต่การเข้ารหัส MD5 ไฟล์ภายใน zip จะไม่เปลี่ยนแปลง และวิธีหาว่าไวรัสตัวนี้สุ่มชื่ออะไรไว้ ทําได้ง่ายมาก คือดูจาก Services มันจะใช้ชื่อ Print Spooler Service เสมอ
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ ไวรัสจะสุ่มชื่อ.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
   - แล้วเราจะรู้ได้อย่างไรว่ามันสุ่มไฟล์อะไรขึ้นมา ทางนี้ครับ เริ่มที่เมนู Start > Run... พิมพ์ใน Run... ว่า Regedit แล้วเอนเทอร์ หรือคลิก OK จากนั้นเข้าไปที่คีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services แตกเครื่องหมายบวกเข้าไปทีละคีย์นะครับจนถึงคีย์ Services จากนั้นกดแป้นคีย์บอร์ด Ctrl+F เพื่อจะค้นหา Print Spooler Service แล้วคลิกปุ่ม Find Next มันจะโฟกัสไปที่ DisplayName ที่ชื่อ Print Spooler Service จนเจอแล้วดูที่ ImagePath จะเห็นไวรัสสุ่มชื่อไว้เช่น C:\WINDOWS\system32\ไวรัสจะสุ่มชื่อ.exe /service
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\ไวรัสจะสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส
- ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ตามที่ไวรัสได้สุ่มชื่อไว้ คลิกขวาเลือก Delete ทิ้งได้เลยครับ และแก้ได้อีกทาง เป็นวิธีที่ง่ายกว่า คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์ หรือคลิก OK จะขึ้นหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Startup ดูที่คอลลัมน์ Startup Item หา Startup Item ตามที่ไวรัสได้สุ่มชื่อไว้ จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
- และไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ไว้ด้วย คุณต้องถอนการติดตั้งของมันด้วย โดยเข้าไปที่คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ในชื่อ ตามที่ไวรัสได้สุ่มชื่อไว้ คลิกขวาเลือก Delete ทิ้งได้เลยครับถ้าไม่เจอไม่เป็น และแก้ได้อีกทาง เป็นวิธีที่ง่ายกว่า คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์ หรือคลิก OK จะขึ้นหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Services ดูที่คอลลัมน์ Service หา Service ที่ชื่อ Print Spooler Service จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
4. ขนาดไฟล์ 81.0 KB (82,944 bytes)
5. MD5 = 1ea48a3b730705c75a42102b9d00f6b6
ไว้มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้ เพราะถึงไวรัสจะสุ่มชื่อเป็นอะไรก็ตาม ผมก็สามารถเขียนกําจัดมันได้แน่นอน และมีอะไรใหม่ๆ ผมจะมาอัพเดทไวรัสตัวนี้ใหม่ เพราะมีอะไรน่าสนใจเยอะดี

* อัพเดท 12/11/2007 11:55 a.m. *
   อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip ตัวนี้ชื่อ image30.zip , image32.zip , image34.zip
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ smtsvc.exe หรือ mdesvc.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\smtsvc.exe หรือ C:\WINDOWS\system32\mdesvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ System Terminal Server หรือ System Terminal Storage คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

* อัพเดท 12/11/2007 00:24 a.m. *
   อัพเดทอีกตัวครับ! ตัวนี้มีน้องคนหนึ่งติดมันและผมได้หาวิธีแก้ให้น้องเค้าแล้ว วิธีแพร่กระจายของไวรัสตัวนี้มันจะส่ง URL เช่น http://msn-contact.com/contact.php?email=[ตรงนี้จะเป็นชื่ออีเมล์เพื่อนของเรา] จากนั้นมันจะให้โหลด msn.com ถ้าไปเผลอกด Open จะติดไวรัสตัวนี้ทันที ผมไม่รู้ว่ามันจะเจาะผ่านช่องโหว่ของ Internet Explorer(IE) ด้วยหรือเปล่า ถ้าเป็นเช่นนั้น และผู้ใช้ไม่ได้อัพเดทแพชปิดช่องโหว่ของ IE จะติดไวรัสตัวนี้ทันโดยไม่จําเป็นต้องโหลด msn.com ผมไม่ค่อยเวลาตรวจสอบเท่าไหร่ช่วงนี้ยุ่งๆอยู่
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ msmsgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ %userprofile%\Local Settings\Temp\msmsgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN Plus คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 28.0 KB (28,672 bytes)

* อัพเดท 11/11/2007 19:55 p.m. *
* อัพเดท 26/11/2007 14:15 p.m. (ขออภัยนะครับ หากมีข้อมูลบางส่วนผิดพลาดหรือตกหล่นไปด้วยความรีบเร่งและไม่ได้ตรวจซํ้า จึงขออัพเดทข้อมูลในส่วนนี้ใหม่ครับเพื่อความถูกต้อง เพราะไวรัสตัวนี้มันสุ่มชื่อและการตั้งค่าทุกครั้งที่แพร่กระจาย)*
   อัพเดทอีกตัวครับ! ตัวนี้ได้รับหลายวันแล้วแต่ตกหล่นลืมอัพเดทให้ ส่งมาในไฟล์นี้ครับ kodak.zip ไฟล์ภายใน zip ชื่อ photo_082.jpeg-facebook.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ ไวรัสสุ่มชื่อ.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\Windows\system32\ไวรัสสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ไวรัสสุ่มชื่อ คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 231 KB (237,445 bytes)
5. MD5 = b676a272c66762453f42aa683cdda24d
   * หมายเหตุ ผู้ใช้ไม่สามารถหามันเจอได้โดยง่าย หรือเจาะจงได้ว่ามันเป็นไวรัส เพราะมันสุ่มชื่อและการตั้งค่าทุกครั้งที่แพร่กระจาย ผมกําลังพัฒนาเครื่องมือกําจัดไวรัสเหล่านี้แบบอัตโนมัติอยู่ครับ เพื่อลดความยุ่งยาก เพราะผู้ใช้อย่างเราๆ คงไม่สามารถถอดถอนไวรัสออกได้ง่ายๆ เป็นแน่

* อัพเดท 07/11/2007 17:07 p.m. *
   อีกเดทอีกตัว มาในไฟล์ชื่อ stuff.zip ไฟล์ภายใน zip ชื่อ photo_070.jpeg-facebook.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mlf.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mlf.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ mlf คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 231 KB (237,372 bytes)

* อัพเดท 05/11/2007 21:54 p.m. *
   อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image24.zip
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mdesvc.exe หรือ smtsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdesvc.exe หรือ C:\WINDOWS\system32\smtsvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Detection หรือ System Terminal Storage คลิกขวาเลือก Delete ทิ้งได้เลยครับ

* อัพเดท 04/11/2007 02:00 a.m. * + * อัพเดท 07/11/2007 21:30 p.m. * เพิ่มเติม
   ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่ มาในไฟล์ชื่อ pics.zip ไฟล์ภายใน zip ชื่อ image_071.JPEG-secured-by-MSN.scr ไวรัสตัวนี้หาตัวยากนิดนึงเพราะ สุ่มชื่อไวรัส ทุกครั้งที่แพร่เชื้อ แต่ละเครื่องที่ติดไวรัสตัวนี้จึงมีชื่อแตกต่างกัน
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ สุ่มชื่อไวรัส.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\สุ่มชื่อไวรัส.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ สุ่มชื่อไวรัส คลิกขวาเลือก Delete ทิ้งได้เลยครับ
และอีกคีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ในชื่อ สุ่มชื่อไวรัส คลิกขวาเลือก Delete ทิ้งได้เลยครับ และไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ ไว้ด้วยคุณต้องถอนการติดตั้งของมันด้วย ทําได้โดยไปที่ Start > Run... พิมพ์ใน Run... ว่า msconfig เลือกที่แท็บ Services มองหา Services ชื่อ Print Spooler Service แล้วยกเลิกเครื่องหมายติ๊กถูก แล้วคลิกปุ่ม Apply และ OK
4. ขนาดไฟล์ 232 KB (238,590 bytes)
5. MD5 = b580988905b8d5ef8bf05b484433f129
   * ไว้มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้ เพราะถึงไวรัสจะสุ่มชื่อเป็นอะไรก็ตาม ผมก็สามารถเขียนกําจัดมันได้แน่นอน

* อัพเดท 04/11/2007 01:33 a.m. *
   อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image26.zip , image27.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com เช่น image07.JPG-www.photobucket.com ผมไม่แน่ใจว่าไวรัสสายพันธุ์นี้ สุ่มค่าไว้กี่ค่า เพราะแต่ละรุ่นตั้งค่าไว้ต่างกันไป ผมจะอัพเดทให้อีกสองตัวแล้วกันนะครับ
มาดูหลักการทํางานคร่าวๆกัน สําหรับไวรัส image26.zip ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ rndsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\rndsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Application Process คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

และสําหรับไวรัส image27.zip มาดูวิธีกําจัดกันเลย
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mdasvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdasvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Awareness คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

* อัพเดท 25/10/2007 23:33 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายบ๊วย นะคับ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ไวรัสตัวนี้มาในชื่อ image[สุ่มตัวเลขสองหลัก].zip เช่น image07.zip หรือ image09.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com เช่น image07.JPG-www.photobucket.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสจะสร้างไฟล์ชื่อ vbcsvc.exe ไว้ที่ C:\WINDOWS\System32\vbcsvc.exe และสั่งรันตัวมัน และจากนั้นไวรัสจะโหลดไฟล์อีกสองไฟล์เพิ่มเติมบนเว็บไซต์ ดังนี้
- โหลดไฟล์ที่ไซต์ http://www.sterrenkids.nl/ps/ps.exe ไว้ที่ Temp และสั่งรัน
- โหลดไฟล์ที่ไซต์ http://www.jeroenmaas.nl/path/gen5.exe ไว้ที่ Temp และสั่งรัน
- ผมยังไม่ได้ตรวจสอบไฟล์ทั้งสองเลยทํางานอะไร แต่ผมว่าเป็นโปรแกรมไม่ประสงค์ดีแน่ๆ
2. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ vbcsvc.exe , ps.exe , gen5.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
3. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\System32\vbcsvc.exe และ ps.exe , gen5.exe อยู่ที่โฟลเดอร์ Temp คุณต้องเข้าไปลบมันทิ้งเสีย
4. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Volume Shadow Manager คลิกขวาเลือก Delete ทิ้งได้เลยครับ
5. ขนาดไฟล์ 10.5 KB (10,752 bytes)
6. MD5 = 9263a498f54c5ed6baa4311a50731030
ไว้มีเวลาผมจะมาอัพเดทข้อมูลไวรัสตัวนี้ใหอีกนะครับ

* อัพเดท 17/10/2007 15:55 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายแชมป์อีกๆ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ที่จริงได้รับตัวนี้ก่อนหน้า Nokia_19_jpg.zip อีกครับพอดีลืมอัพเดท แหะๆ มันมาในไฟล์ชื่อ spiderpig.zip ไฟล์ภายใน zip ชื่อ spiderpig.scr
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ install.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\install.exe และ C:\WINDOWS\images.zip คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 116 KB (118,784 bytes)
5. MD5 = d36c98c03930e94693342d859aaccb7e

* อัพเดท 16/10/2007 14:55 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายบ๊วย สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ มาในไฟล์ชื่อ Nokia_19_jpg.zip ไฟล์ภายใน zip ชื่อ www.Nokia_19_jpg-msn.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ LBTWiz.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\LBTWiz.exe และ C:\WINDOWS\Nokia_19_jpg.zip คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ LBTWiz.exe คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ไวรัสได้แก้ไขดัดแปลงไฟล์ยูทิลิตี้ของระบบ ftp.exe และ tfpt.exe ถ้าไม่ได้ใช้เปลี่ยนชื่อเป็น ftp.bak และ tfpt.bak อยู่ที่โฟลเดอร์ C:\WINDOWS\system32\ และ C:\WINDOWS\system32\dllcache
5. ขนาดไฟล์ 544 KB (557,056 bytes)
6. MD5 = 52768baf56d7f31d34f3d3645a9b6778

* อัพเดท 09/10/2007 16:15 p.m. *
อัพเดท! mypic4u.zip นิดนึงครับ ไฟล์ภายใน zip จะชื่อ picture-ofme-001.JPEG-www.myspace.com เท่าที่ผมได้รับอีกครั้งและลองรันครั้งที่ 2 ปรากฏว่าไวรัสตัวนี้สุ่มชื่อ และสุ่มการตั้งค่าในรีจิสตรี้ด้วย และไม่รู้ว่าไวรัสตัวนี้สุ่มไว้กี่ค่า ไว้มีเวลาผมจะหาค่าสุ่มอื่นๆ ให้นะครับผม ผมได้มาอีกการตั้งค่าสุ่มอีกค่าหนึ่ง ดังนี้ครับ
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wfsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wfsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Firewall Service คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 60.0 KB (61,440 bytes)
5. MD5 = 5677e921a704a44269cf3008868a5ad9

* อัพเดท 09/10/2007 08:55 a.m. *
อัพเดทตัวใหม่ครับ! Thx คุณแชมป์อีกครั้ง สําหรับไวรัสอีกตัวที่ส่งมาให้ผมนะครับ มันมาในไฟล์ชื่อ image23.zip ไฟล์ภายใน zip ชื่อ image23.JPG-www.slideshows.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ nvsvc64.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\nvsvc64.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ nVidia Display Drive คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 64.0 KB (65,536 bytes)
5. MD5 = e10e05e0604d266f45dc6dbd7ebc85d2

* อัพเดท 06/10/2007 21:39 p.m. *
อัพเดทตัวใหม่ครับ! Thx คุณแชมป์นะครับ สําหรับไวรัสตัวใหม่ที่ส่งมาให้ผม มันมาในไฟล์ชื่อ mypic4u.zip ไฟล์ภายใน zip ชื่อ picture-ofme-001.JPEG-www.myspace.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wmpsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
- วิธีจบโพรเซส กดแป้นคีย์บอร์ดนะครับพร้อมกันสามปุ่ม Ctrl + Alt + Del (ไม่รวมเครื่องหมาย + นะครับ) จะเป็นการเรียก Task Manager หรือคลิกที่ Task bar บริเวณที่ว่างๆ แล้วเลือก Task Manager ก็ได้เช่นกัน คลิกที่แท็บ Processess ดูที่คอลัมน์แรก มองหา wmpsvc.exe คลิกเลือกแล้วคลิกปุ่ม End Process หรือคลิกขวาเลือกก็ได้
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wmpsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย ถ้ามองไม่เห็นเพราะไวรัสอยู่ในโหมดซ่อนตัว ทําดังนี้ครับ
- วิธีลบไฟล์ที่ถูกซ่อน ต้องเปิดระบบซ่อนไฟล์ของระบบก่อน ทําได้โดย เปิด Explore(หรือ My Computer บนหน้าจอ(เดสค์ทอป)เรานั่นแหละ) ไปที่เมนู Tools > Folder Options... เลือกแท็บ View ติ๊กเลือก Show hidden files and folders และอีกอัน เอาเครื่องหมายออกนะครับ ข้างหน้า Hide protected operating system files (Recommended) แล้วคลิก Apply และ OK เสร็จแล้วเข้าไปลบไฟล์ C:\WINDOWS\system32\wmpsvc.exe อีกครั้งครับ
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Media Protection คลิกขวาเลือก Delete ทิ้งได้เลยครับ ถ้าไม่รู้ว่าเข้าทางไหน ทําดังนี้เลย
- เริ่มที่คลิกปุ่มเมนู Start เลือก Run... จากนั้นพิมพ์ regedit แล้วเอนเทอร์ หรือคลิก OK จะเป็นการเรียกโปรแกรม Registry Editor ขึ้นมา เข้าไปตามคีย์ที่กล่าวข้างบนเลยครับ แตกเครื่องบวกเข้าไปทีละคีย์ จนถึงคีย์ Run แล้วมองที่ช่อง Name ฝั่งขวาที่ชื่อ Windows Media Protection คลิกขวาเลือก Delete ทิ้งได้เลยครับ เป็นอันเสร็จสิ้นขั้นตอนนี้คครับผม ไวรัสส่วนมากมักจะฝั่งสั่งรันตัวเองในคีย์นี้แหละครับ แต่ยังมีอีกหลายคีย์ที่สั่งรันโปรแกรมโดยอัตโนมัติเมื่อสู่วินโดว์ ผู้ใช้ต้องหมั่นตรวจสอบครับ ว่าต้องการให้มันรันหรือเปล่า และผู้ใช้ยังมีวิธีที่จะดูโปรแกรมรันอัตโนมัติเหล่านี้ได้ครับ โดยพิมพ์ที่ Run... นะครับว่า msconfig แล้วดูที่แท็บ Startup รายการโปรแกรมเหล่านั้นจะรันโดยอัตโนมัติเมื่อเข้าสู่วินโดว์ ดูตัวไหนที่เราไม่รู้จัก ติ๊กเครื่องหมายออก และคลิก OK เอามันออกไปเลยครับ จะเป็นการหยุดสั่งรันไวรัสได้อีกทาง
4. ขนาดไฟล์ 64.0 KB (65,536 bytes)
5. MD5 = c1bff194ab44fc8b36675179cb88bef9

มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้นะครับผม โชคดีครับ

* อัพเดท 03/10/2007 00:10 p.m. *
อัพเดทตัวใหม่ครับ! Thx คุณเชษฐ์ ครับสําหรับไวรัสที่ส่งมาให้ผมสองตัว ในไฟล์ชื่อ picts-[xxxx].zip ไฟล์ภายใน zip ชื่อ img0794-www.photoshare.com ไวรัสตัวนี้น่าจะพัฒนามาจากคนๆเดียวกัน จากไวรัสสายพันธุ์(Variant) IMG-[xxxx] .zip ซึ่งสังเกตุได้จาก ไวรัสภายในไฟล์ zip ที่ต่างกันเพียงชื่อ img0794-www.photoshare.com กับ img0794-www.photoupload.com และขนาดไฟล์ที่ต่างกันประมาณ 1 kb และใช้ภาษาเขียนโปรแกรมตัวเดียวกัน และพฤติกรรมการทํางานที่คล้ายๆกัน และขนาดไฟล์บนฮาร์ดดิสก์ 76.0 KB (77,824 bytes)
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ jucheck.exe รันพร้อมกันสองโพรเซสครับ ทําให้ยุ่งยากที่จะจบโพรเซส(End Process) ของมัน แนะนําให้ไปดาว์นโหลดโปรแกรมจัดการโพรเซส Process Explorer ที่ http://www.microsoft.com/technet/sysinternals/utilities/processexplorer.mspx มาจบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\picts-[สุ่มตัวเลขสี่หลัก].zip และอีกตัวไว้ที่ C:\WINDOWS\system32\dllcache\jucheck.exe คุณต้องเข้าไปลบ picts-[สุ่มตัวเลขสี่หลัก].zip และ jucheck.exe ทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส เซ็ตไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ jucheck คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. เปิดขออนุญาติให้ตัวไวรัสเปิด Port ผ่าน Windows Firewall เพื่อให้ตัวไวรัสสามารถเชื่อมต่อสู่อินเตอร์เน็ต และรอรับการเชื่อมต่อจากโปรแกรมภายนอกได้ โดยเซ็ตไว้ที่รีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List ในชื่อ C:\WINDOWS\system32\dllcache\jucheck.exe คลิกขวาเลือก Delete ทิ้งไปเลยครับ
ผมมีเวลา ผมจะเขียนโปรแกรมกําจัดให้โดยอัติโนมัตินะครับผม (Note: การใช้ศัพย์เรียกแทนโปรแกรมไม่ประสงค์ดีต่างๆ ในที่นี้ ไม่ว่าจะเป็น Virus , Worm , Spyware , Adware , Malware ผมจะเหมารวมเรียกเป็นไวรัสนะครับ เพื่อให้ผู้อ่านเข้าใจง่ายๆ ซึ่งผู้สนใจที่จะลงลึกในรายละเอียด สามารถค้นหาได้จากแหล่งข้อมูลทั่วไป ซึ่งมีอยู่มากมาย )

* อัพเดท 30/09/2007 20:43 p.m. *
ปัญหาเรื่องการดาว์นไฟล์ไม่ได้ผมแก้ลิ้งค์โดยเอาไปฝากไว้ที่ Thaiware ให้แล้วนะครับ ส่วนไวรัสตัวอื่นๆ ที่ไม่มีอยู่ในรายการข้างล่าง ใครมีช่วยกรุณาส่งมาที่เมล msgmixlive@msn.com หรือส่งผ่านเอ็มผมก็ได้ครับ ผมจะหาทางแก้ไขและช่วยเหลือต่อไป
Download ที่นี่

* อัพเดท 26/09/2007 21:50 p.m. *
ขอเพิ่มเติมข้อมูลไวรัสในชื่อ mtpics.zip หรือ myupics.zip หน่อยครับ พอดีเพิ่งได้รับไวรัสอีกตัวในชื่อ pics.zip ไม่แน่ใจว่าเป็นสายพันธุ์เดียวกันกับ mtpics.zip หรือเปล่า เพราะมีชื่อภายในไฟล์ zip ข้างในเหมือนกันในชื่อ IMAGE066.JPEG-www.myspace.com แต่ขนาดต่างกันนิดเดียว และตัว pics.zip ผมยังไม่ได้เขียนตัวกําจัดให้เลย ลองแก้ไขด้วยมือคุณเอง(Manual) ไปก่อนละกัน วันนี้ผมปวดหัว ต้องขอตัวนอนก่อนนะครับ
มาดูวิธีแก้กันครับ สําหรับวิธีกําจัดไวรัส pics.zip
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wscsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wscsvc.exe เข้าไปลบ wscsvc.exe
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Security Center คลิกขวาเลือก Delete ทิ้งได้เลยครับ

เดี๋ยวพรุ่งนี้จะเขียนตัวกําจัดแบบอัตโนมัติให้ครับผม ฝันดีนะครับ

* อัพเดท 26/09/2007 16:57 p.m. *
มันมาอีกแล้วครับไวรัส MSN เพิ่งได้รับจากน้องเมื่อกลางวันนี้เอง ตามชื่อนี้เลย N039_jpg.zip และ mtpics.zip และแล้วผมก็เตรียมเครื่องมือกําจัดไว้เรียบร้อยแล้วครับ สําหรับเพื่อนๆ พี่น้อง คนไหน ติดไวรัสสองตัวนี้ ตามรายการข้างล่าง โหลดโปรแกรมกําจัดข้างล่างได้เลยนะครับผม ^^ จะรับไฟล์อะไร ควรตรวจสอบดีๆหน่อยนะครับ จะได้ไม่เกิดปัญหา และก่อกวนคนอื่นเค้าด้วย โดยที่เราไม่ได้ตั้งใจ - - และจําไว้เป็นบทเรียนด้วยนา

   ใน Kaspersky จะเรียกหนอนตัวนี้ว่า Type_Script (probable variant) เพราะเป็นสคริปต์ที่ถูกปรับแต่งจากหนอนรุ่นเก่า ต่อๆกันมา
หนอนตัวนี้เป็นหนอนจําพวก Autorun ที่แพร่ระบาดผ่าน USB Flash Drive หรือ Handy drive ครับ

   * หลักการทํางานของหนอน *
1. เข้าไปแก้ไขรีจิสตรี้(Registry) เพื่อเปลี่ยนแปลงระบบวินโดว์ส โดยเข้าไปปรับเปลี่ยนค่าดังต่อไปนี้
   " ค่าในรีจิสตรี้ที่ไวรัสแก้ไข "                                          " ความหมาย "
- NoDriveTypeAutoRun=REG_DWORD:2                    สั่งเปิดให้ AutoRun ทํางาน
- NoFolderOptions=REG_DWORD:100                        ปิดการเรียกใช้ Folder Options
- NoDrives=REG_DWORD:28                                    ซ่อนไดร้ฟวของ USB Flash Drive หรือ Handy drive ฟิคซ์(Fix) ค่าตัวเลขไม่ได้หรอกครับแต่ละเครื่อง Flash Drive จะโผล่ที่ไดร้ฟวแตกต่างกัน ต้องรู้ก่อนครับว่าไดร้ฟวไหนเป็น Flash Drive ถึงจะคํานวนเป็นตัวเลข และซ่อนไดร้ฟวมันได้ครับ
- DisableTaskMgr=REG_DWORD:1                             ปิดการเรียกใช้ Task Manager
- DisableRegistryTools=REG_DWORD:1                      ปิดการเรียกใช้ Registry Editor
- SuperHidden=REG_DWORD:1                                 เปิดระบบซ่อนไฟล์ระบบ
- ShowSuperHidden=REG_DWORD:0                         เปิดระบบซ่อนไฟล์ระบบ
- HideFileExt=REG_DWORD:1                                    ซ่อนนามสกุลของไฟล์
- Hidden=REG_DWORD:1                                          เปิดระบบซ่อนไฟล์และโฟลเดอร์ (ไม่ถูกต้อง ผู้เขียนไวรัสคงสอบตก ที่จริงต้องเป็น Hidden=REG_DWORD:2)
- Windows Title=REG_SZ:Microsoft Windows Hack-life  เปลี่ยน Title ของ IE (แต่เปลี่ยนไม่ได้ ผู้เขียนไวรัสเขียนคงสอบตกอีกครั้ง ที่จริงต้องเป็น Window Title)
- Start Page=REG_SZ:http://www.google.com             เปลี่ยนหน้า Home Page ไปยัง http://www.google.com
 
หากท่านใดติดไวรัสตัวนี้ โหลดตัวกําจัดลิ้งค์ข้างล่างได้เลยครับ

 ดาว์นโหลดที่นี่

* อัพเดท 19/09/50 16.16 p.m *
   * อัพเดทอีกตัวครับ ชื่อนี้เลย IMG-[สุ่มเป็นตัวเลข].zip วิธีสังเกตุว่าใช่ไวรัสตัวนี้หรือไม่ ชื่อภายในไฟล์ .zip จะใช้ชื่อ img0794-www.photoupload.com เสมอ แต่จะส่งชื่อไฟล์ ZIP ที่แตกต่างกัน
   มาดูหลักการทํางานของไวรัสตัวนี้กันอย่างคร่าวๆ
1. การแพร่กระจาย คัดลอกตัวเองไปยังโฟลเดอร์ (สมมุติว่าลงระบบวินโดว์สไว้ที่ไดร์วฟ C:\ นะครับ)
   - C:\WINDOWS\System\explorer.exe
2. เปิดทํางานในโพรเซส (Processes) 2 โพรเซส 
   - เปิดรันโพรเซส 2 โพรเซสในชื่อ explorer.exe

* อัพเดท 19/09/50 14.25 p.m *
   * อัพเดทอีกตัวครับ ชื่อนี้เลย IMG012.zip หรืออีกชื่อ IMG028.zip อาจจะสุ่มชื่อไฟล์เวลาส่ง ชื่อภายในไฟล์ ZIP จะเป็น [สุ่มชื่อ].JPG-www.imageshack.com
   มาดูหลักการทํางานของไวรัสตัวนี้กันอย่างคร่าวๆ
1. การแพร่กระจาย คัดลอกตัวเองไปยังโฟลเดอร์ (สมมุติว่าลงระบบวินโดว์สไว้ที่ไดร์วฟ C:\ นะครับ)
   - C:\WINDOWS\System32\servicer.exe
   - %userprofile%\local settings\Temp\IMG028.zip
2. เปิดทํางานในโพรเซส (Processes) 1 โพรเซส 
   - เปิดรัน 1 โพรเซสในชื่อ servicer.exe

* อัพเดท 19/09/50 13.31 p.m *
   * อัพเดทอีกตัวครับ ชื่อนี้เลย X_0005_jpg.zip
   มาดูหลักการทํางานของไวรัสตัวนี้กันอย่างคร่าวๆ
1. การแพร่กระจาย คัดลอกตัวเองไปยังโฟลเดอร์ (สมมุติว่าลงระบบวินโดว์สไว้ที่ไดร์วฟ C:\ นะครับ)
   - C:\WINDOWS\X_0005_jpg.zip
   - C:\WINDOWS\mono.exe
   - C:\WINDOWS\perfmon.exe
2. เปิดทํางานในโพรเซส (Processes) 3 โพรเซส 
   - เปิดรัน mono.exe 1 โพรเซส และ เปิดเซอร์วิส(Services) 2 โพรเซสชื่อ perfmon.exe คือจะเห็น perfmon.exe รันอยู่ในโพรเซส 2 ตัว
3. สํารอง ftp.exe กับ tftp.exe ไว้ที่ C:\windows\system32\Microsoft\backup.ftp และ C:\windows\system32\Microsoft\backup.tftp
   

   IMG-0012.zip ลบยากดีครับตัวนี้ ไม่ธรรมดาจริงๆ แต่ก็มันก็ต้องสยบให้กับผม
* อัพเดท 12/09/50 15.00 p.m *
  Kaspersky รู้จักไวรัสตัวนี้แล้วครับในชื่อ Backdoor.Win32.SdBot.bxr สําหรับใครที่ลง Kaspersky Anti-Virus หมดห่วงไวรัสตัวนี้ได้เลยครับ Kaspersky สามารถจัดการกับมันได้ครับผม

* อัพเดท 12/09/50 เวลา 11.00 a.m*
   มาดูหลักการทํางานของไวรัสตัวนี้กัน ที่บอกว่ามันไม่ธรรมดา
1. การแพร่กระจาย คัดลอกตัวเองไปยังโฟลเดอร์ (สมมุติว่าลงระบบวินโดว์สไว้ที่ไดร์วฟ C:\ นะครับ)
   - C:\WINDOWS\IMG-0012.zip
   - C:\WINDOWS\system\lsass.exe (ซ่อนตัวไว้ วิธีดูไฟล์ที่ซ่อนไว้ เปิด Explore ไปที่เมนู Tools > Folder Options... เลือกแท็บ View ติ๊กเลือก Show hidden files and folders แล้วคลิก Apply และ OK)
2. เปิดทํางานในโพรเซส (Processes) สองโพรเซส เพื่อป้องกันผู้ใช้พยายามจบโพรเซสมัน ทําให้เราจบโพรเซสมันยากขึ้น
3. Hijack เข้าไปยัง โพรเซส Explorer.exe เพื่อฝังตัวเองอยู่ในเมมโมรี่ เพื่อคอยตรวจสอบตัวเอง ว่าโพรเซสของมันยังเปิดทํางานอยู่หรือไม่ ถ้าไม่พบ มันจะเปิดตัวมันเองใหม่ ทําให้ยาก ที่จบโพรเซสมันง่ายๆ (ถ้าผู้ใช้พยายามที่จบมันด้วยตนเอง ต้องจบโพรเซส explorer.exe ด้วยครับ แล้วหาเครื่องมือจบโพรเซส (End process) ได้ทีเดียวหลายๆพร้อมกัน ถึงจะจบโพรเซสของไวรัสตัวนี้ได้)
4. ข้อความที่ส่งผ่าน MSN มีดังต่อไปนี้
   - lol remember when you used to have your hair like this
   - wanna see the pics from :Dy vacation?  
   - Check out my nice photo album. :D
   - hey i'm going to add this picture of us to my weblog
   - Here are my private pictures for you
   - My friend took nice photos of me.you Should see em loL!
   - Nice new photos of me and my friends and stuff and when i was young lol...
   - ..

ดาว์นโหลดเครื่องมือกําจัดไวรัสตัวนี้ ข้างล่างนะครับ ผมเขียนไว้สองตัว

โปรแกรมกําจัด IM-Worm Win32/IRCBot & Trojan Win32/Agent.axx ที่แพร่ระบาดผ่าน MSN ดังเช่นหากคุณได้รับไฟล์เหล่านี้
photos.zip
images.zip
pic.zip
img807.zip
img317.zip
imgac157.zip
img301.zip

(img4851.zip < สายพันธุ์เดียวกันแต่ชื่อต่างกัน > img09-11-07.zip, DC58712.zip, funny.zip, image4751.zip, IMG09-06-07.zip, tributeslideshow.zip, IMG48571.zip, lastnight.zip, Sep11thSlideShow.zip, September11th.zip, September11thTribute.zip)

S_00305_jpg.zip
G038_jpg.zip
IMG0024.zip - & Trojan Win32/Agent.axx (Kaspersky)

IMG-0012.zip (ตัวใหม่ร้ายกว่าเก่า)

X_0005_jpg.zip (อัพเดท)

*มาดูผลลัพธ์การสแกนค้นพบไวรัส IMG-0012.zip*

/*
     Tools name: IM-Worm Win32/IRCBot - Remover    
     Thailand Internet Security Response Team (GMT +07:00)    
     By: เซียน(M) M!s(T00lz - E-Mail: misctoolz@msn.com + MSN: msgmixlive@msn.com + Space: http://msgmixlive.spaces.live.com/     
*/

-\-     เริ่มค้นหาและจบกระบวนการงานของไวรัส      -/-
!!! ได้จบการประมวลผล : Explorer.EXE

-\-     จบการค้นหากระบวนการงานของไวรัส      -/-

-\-     เริ่มค้นหาและจบกระบวนการงานของไวรัส      -/-
!!! ได้จบการประมวลผล : services.exe
!!! ได้จบการประมวลผล : lsass.exe
!!! ได้จบการประมวลผล : lsass.exe
!!! ได้จบการประมวลผล : lsass.exe
!!! ได้จบการประมวลผล : img0012-www.photostorage.com
!!! ได้จบการประมวลผล : img0012-www.photostorage.com

-\-     จบการค้นหากระบวนการงานของไวรัส      -/-

-\-     เริ่มค้นหาและจบกระบวนการงานของไวรัส      -/-
!!! ได้จบการประมวลผล : services.exe
!!! ได้จบการประมวลผล : lsass.exe

-\-     จบการค้นหากระบวนการงานของไวรัส      -/-
!!! ค้นพบไวรัสและได้ลบมันแล้ว : C:\WINDOWS\IMG-0012.zip
!!! ค้นพบไวรัสและได้ลบมันแล้ว : C:\WINDOWS\system\lsass.exe

-\-     เริ่มค้นหาไวรัสในไดเรกทอรี่ : C:\Documents and Settings\misctoolz\My Documents\My Received Files\*.*      -/-

-\-     เริ่มค้นหาไวรัสในไดเรกทอรี่ : C:\Documents and Settings\misctoolz\My Documents\My Received Files\IMG-0012\*.*      -/-
!!! ค้นพบไวรัสและได้ลบมันได้แล้ว : C:\Documents and Settings\misctoolz\My Documents\My Received Files\IMG-0012\img0012- www.photostorage.com
-\-     จบการค้นหาไวรัสในไดเรกทอรี่ที่รับไฟล์     -/-
-\-     จบการค้นหาไวรัสในไดเรกทอรี่ที่รับไฟล์     -/-

-\-     เริ่มค้นหาไวรัสในไดเรกทอรี่ : C:\Documents and Settings\misctoolz\My Documents\ไฟล์ที่ได้รับของฉัน\*.*      -/-

-\-     เริ่มค้นหาไวรัสในไดเรกทอรี่ : C:\Documents and Settings\misctoolz\My Documents\ไฟล์ที่ได้รับของฉัน\services\*.*      -/-
-\-     จบการค้นหาไวรัสในไดเรกทอรี่ที่รับไฟล์     -/-

-\-     เริ่มค้นหาไวรัสในไดเรกทอรี่ : C:\Documents and Settings\misctoolz\My Documents\ไฟล์ที่ได้รับของฉัน\IMG0024\*.*      -/-
-\-     จบการค้นหาไวรัสในไดเรกทอรี่ที่รับไฟล์     -/-

-\-     เริ่มค้นหาไวรัสในไดเรกทอรี่ : C:\Documents and Settings\misctoolz\My Documents\ไฟล์ที่ได้รับของฉัน\IMG-0012\*.*      -/-
!!! ค้นพบไวรัสและได้ลบมันได้แล้ว : C:\Documents and Settings\misctoolz\My Documents\ไฟล์ที่ได้รับของฉัน\IMG-0012\img0012- www.photostorage.com
-\-     จบการค้นหาไวรัสในไดเรกทอรี่ที่รับไฟล์     -/-
-\-     จบการค้นหาไวรัสในไดเรกทอรี่ที่รับไฟล์     -/-
!!! ค้นพบไวรัสและได้ลบมันแล้ว : C:\Documents and Settings\misctoolz\My Documents\My Received Files\IMG-0012.zip
!!! ค้นพบไวรัสและได้ลบมันแล้ว : C:\Documents and Settings\misctoolz\My Documents\ไฟล์ที่ได้รับของฉัน\IMG-0012.zip

-\-     ซ่อมแซมระบบรีจิสตรี้เสร็จสิ้น     -/-

โหลดที่ลิ้งค์ข้างล่างได้เลยครับ จัดการไวรัสข้างบนได้หมดครับผม ^^

* อัพเดท 12/09/50 - 00:30 a.m *
ถ้าตัวกําจัดไวรัสตัว 1 ลิ้งค์แรก ลบไม่ได้ ดาว์นโหลดตัวที่ 2 นะครับ ตัวแรกจะลบไวรัสตามรายชื่อข้างบนได้นะครับผม แต่ตัวที่ 2 จะลบเฉพราะ IMG-0012.zip เท่านั้นนะครับ พอดีเจอปัญหาบางคนลบไม่ได้ เลยจัดการเขียนตัวใหม่ให้แล้วครับ ตัวแรกด้วยขนาดเล็ก อาจจะมีปัญหาได้ เลยจัดตัวที่ 2 มาแทน 
 

   7.  MD5: 8b3dd2b2168277b001073ca48fb64e1e

*อัพเดท 11/09/50*ปรับปรุงแก้ไขโปรแกรมใหม่ครับ คราวนี้น่าจะกําจัดได้ 100% นะครับผม ถึงไวรัสจะสุ่มสร้างชื่อหรือคอนฟิกยังไง ก็ตามกําจัดได้หมดแล้วครับ โหลดตัวอัพเดทข้างล่างเลยครับ 

มีการรายงานว่า ค้นพบช่องโหว่ใน Video Conversation(Web Cam) ถึงขั้นระดับความรุนแรงสูงสุด !
   ช่องโหว่นี้เกิดการข้อผิดพลาดของการจัดการข้อมูล Video Conversations ที่ผู้บุกรุกส่งโค้ดข้อมูลพิเศษที่ถูกสร้างมาโดยเฉพาะเพื่อโจมตี ซึ่งจะส่งผลให้การทำงานของ MSN ผิดพลาดและเป็นผลให้การยึดครองระบบทั้งหมดสามารถทำได้ โดยผ่านการเชื้อเชิญผู้ใช้ร่วมสนทนาทางเว็บแคม ถ้าผู้ใช้ยอมรับร่วมสนทนา อาจโดนบุกรุกได้ นอกจากนั้นผู้บุกรุกยังอาจทำให้ระบบ MSN ไม่สามารถให้บริการได้ คือเกิดอาการ MSN ค้างไปเลยระหว่างที่เรากดยอมรับ(Accept) เพื่อร่วมสนทนาผ่านเว็บแคม

   เราแนะนําว่า หากเพื่อนๆ คนไหนใช้ MSN Messenger version 7.x หรือรุ่นที่ตํ่ากว่า 8.1 และรุ่น 8.0 ยังไม่มีการยืนยันว่าจะมีผลกระทบด้วยหรือเปล่า และถ้าหากมีใครที่เราไม่รู้จัก ส่งคําร้องขอร่วมสนทนากับเราผ่านทางเว็บแคม อย่าไปยอมรับ(Accept) นะครับ เพราะท่านอาจถูกโจมตีได้

ซอฟต์แวร์ที่ได้รับผลกระทบ
   - MSN Messenger version 7.x

การแก้ปัญหา
   - แนะนําให้เปลี่ยนไปใช้ MSN Messenger version 8.1 หรือสูงกว่าขึ้นไป
   - ณ ขณะนี้ ไมโครซอร์ฟยังไม่มีแพชมาปิดช่องโหว่นี้  

References
   http://www.frsirt.com/english/advisories/2007/2987
   http://www.team509.com/modules.php?name=News&file=article&sid=50

* อารัมภบทหน่อยครับ งืมๆงําๆ *
   ติติงหน่อยครับ! เกี่ยวกับแอนตี้ไวรัสต่างๆ เพราะเป็นปัญหาเหลือเกินกับการพัฒนาซอฟต์แวร์โปรแกรมด้วยกัน ผมว่าโปรแกรมเมอร์คนอื่นๆ ก็ประสบปัญหาเช่นกัน การที่จะเขียนโปรแกรมขึ้นมาสักตัวหนึ่ง เช่นผมเขียนโปรแกรมแอนตี้ไวรัสอย่างง่ายๆ เพื่อตามลบไวรัส/เวิร์ม ขึ้นเอง ก็เป็นปัญาหาได้แล้ว ซึ่งทําให้โปรแกรมของผมไม่สามารถรันผ่านแอนตี้ไวรัสได้ เพราะปัญหาเกิดจากการบล็อกของแอนตี้ไวรัสบางตัว ซึ่งมันฉลาดเกินไปหรือมั่วก็ไม่รู้ มองว่ามันเป็นโปรแกรมไม่ประสงค์ดีต่างๆ หรือเหมารวมว่าเป็นไวรัสที่เกิดขึ้นมาใหม่ ซึ่งเป็นข้อเสียของแอนตี้ไวรัสในปัจจุบันหรือเปล่า แค่เพียงคุณใส่ Pattern MD5,CRC32 ของไวรัส/เวิร์ม เข้าไปในโปรแกรมของคุณ หรือจะเป็น ชื่อ, ค่าการ Config ของไวรัสก็ได้ และถ้าเขียนอะไรก็ตามที่ไปชนกับ Pattern หรือ Routine ของไวรัส แอนตี้ไวรัสก็จะเหมารวม ว่าโปรแกรมของคุณเป็นไวรัสได้แล้ว ไม่รู้ว่าเป็นการกีดกลั้นหรือเป็นการผูกขาดหรือเปล่าก็ไม่รู้ ไม่ใช่ผู้ผลิตแอนตี้ไวรัสเท่านั้น ที่จะเป็นเขียนทูลเพื่อตามลบไวรัส/เวิร์มต่างๆ ได้แต่เพียงผู้เดียว คนอื่นๆ ที่มีความาสามารถและความเข้าใจในระบบก็เขียนได้ไม่แตกต่างกัน ถ้าลงแอนตี้แล้วไม่ทําให้เครื่องช้าทํางานหนัก และกําจัดไวรัสใหม่ๆ และช่วยเหลือได้ทันท่วงที ได้ก็คงจะดี ซึ่งผมเห็นว่า มันแทบจะไม่มีทางเป็นไปได้เลยที่จะป้องกันไวรัสรุ่นใหม่ๆ ได้ นอกจากกันได้เฉพาะไวรัสเด็กๆ ผมว่านักพัฒนาไวรัส ก็รู้ทางหนีทีไล่ ไม่แตกต่างจากแอนตี้ไวรัสเท่าไหร่หรอกครับ และเทคนิคหลบหลีกแอนตี้ด้วยวิธีใหม่ๆ ที่เกิด ขึ้นทุกๆวัน แอนตี้ไวรัสไม่มีทางชนะหรอกได้นะครับผมว่างั้นนะ แล้วก็ทําได้ด้วยวิธีเดาสุ่มสี่สุ่มห้าไปอย่างนี้ โดยไม่แคร์ว่านักพัฒนาซอฟต์แวร์โปรแกรมด้วยกัน จะมีผลกระทบกับการพัฒนาซอฟต์แวร์ขึ้นมาบ้างหรือไร ทั้งๆที่โปรแกรมของเขาไม่ได้จุดมุ่งร้ายใดๆ ทําเพื่อผลประโยชน์ของตนเองฝ่ายเดียวหรือยังไง

Note:
   หลักการของแอนตี้ไวรัสที่ผมคาดว่า แอนตี้จะคาดเดาว่าเป็นไวรัสหรือไม่ คงใช้หลักการคํานวนหา Pattern ของไวรัส จากไบนารี่ของไฟล์ รวมถึงการดูพฤติกรรมของมัน ถ้ามี Pattern หรือ Routine ไหนตรงกับไวรัสหรือคล้ายใกล้เคียงก็จะเหมารวมไปเลย

ซึ่งผมเขียนโปรแกรมกําจัด IM-Worm_Win32/Sohanad ที่ให้ดาว์นโหลดไปใช้กันนี้ กลับถูกมองว่าเป็นโปรแกรมไม่ประสงค์ดีไปเลย ทั้งๆที่มัน เข้าไปแก้ไข และตามลบค่าคอนฟิกของระบบให้กลับคืนเดิม ที่ถูกแก้ไขด้วยไวรัส และด้วยกันใส่ Pattern MD5 ไวรัสเข้าไปเพื่อให้ตามลบไวรัสไม่ผิดตัวและกําจัดได้อย่างถูกต้อง และโค้ดที่เขียนก็เรียบง่าย แต่ทําไมเป็นเช่นนั้นไปได้ - -* ผมว่าคงลําบากแน่ถ้าใครคิดจะเขียนโปรแกรมกําจัดไวรัสแบบง่ายๆ ขึ้นมาสักตัวแล้วนํามาจากแจกจ่ายให้เพื่อนๆไม่ได้ -*- ไม่เช่นนั้นก็คงต้องหันไปเขียนสคริปต์แทน เพื่อให้แอนตี้ตรวจสอบได้ง่ายกว่า จะดีกว่าไหม? *และโปรแกรมตัวนี้ ผมบีบอัดด้วยโปรแกรมบีบอัดไฟล์ด้วย เพื่อหลบหลีกแอนตี้ไวรัสที่ชอบเหมามั่วๆ
เช่น แอนตี้ไวรัสบางตัว จะบอกว่าเป็นโปรแกรมไม่ประสงค์ดี ในชื่อ Generic.Malware.SDspg.CAC60F33
และ แอนตี้ไวรัสอีกตัว จะบอกว่าเป็นโปรแกรมไวรัสที่เกิดขึ้นมาใหม่ จากลักษณะคล้ายๆไวรัสรุ่นก่อนๆ ในชื่อ NewHeur_PE virus

* เข้าเรื่อง *
   งืมๆงําๆ มากกว่าเนื้อหาสาระซะอีก เก็บกดมานาน อิอิ  เวบนี้เลยคับเวบอันตราย!! ห้ามเข้าเด็ดขาด www.thecoolpics.com เข้าไปแล้วจะติดไวรัสทันที ผมโดนมาแล้ว และถ้าพบใครส่งข้อความ http://thecoolpics.net/vacation2.jpg <:P ให้เราผ่านเอ็มหรือยาฮู อย่าคลิกเข้าไปนะครับ และหากเกิดรันโปรแกรมที่ผมเขียนไม่ได้ เพราะแอนตี้บางตัวบล็อก เพราะคิดว่ามันเป็นไวรัสรุ่นใหม่ๆ แท้ที่จริงแล้วมันไม่ใช่นะครับ ให้ยกเลิก Disable แอนตี้ไว้ชั่วคราวก่อนนะครับ แล้วรัน IM-Worm_Win32-Sohanad_Remover.exe เพื่อที่จะลบ IM-Worm Win32/Sohanad ต่อไปครับผม ดาว์นโหลดโปรแกรมกําจัด IM-Worm Win32/Sohanad ข้างล่างครับ

* อัพเดทข้อมูลสําหรับบล็อกนี้ใหม่ครับ 16/08/50*
   ตัวก่อนหน้านี้ที่ผมเขียนแล้วอธิบายปัญหาที่ได้พบข้างบน ตอนนี้ผมเขียนโค้ดใหม่แล้ว และแก้ปัญหาได้แล้ว และพอจะรู้ปัญหาและวิธีหลีกเลี่ยงแล้ว ว่าทําไมแอนตี้ไวรัส ถึงมองโปรแกรมที่ผมเขียนคล้ายๆไวรัส แค่แก้โค้ดโปรแกรมบรรทัดเดียวจริงๆ เฮ้อ.. แค่นี้เองเหรอที่บอกว่ามันเป็นไวรัสได้ ง่ายจังเนอะ เวงกรรมจริงๆ อืม.. และสุดท้ายผมก็แก้มันหยุดเตือนได้สักที แล้วเขียนโค้ดใหม่ให้มีความสามารถได้เยอะกว่าเดิมคือตามลบการตั้งค่าทั้งหมดและไฟล์ที่แพร่กระจายอยู่ทุกๆไดร์ฟวได้ด้วยครับ และแก้ลิ้งค์ดาว์นโหลดให้ใหม่แล้ว ดาวน์โหลดข้างล่างเลยครับ ขอให้ทุกคนโชคดีครับ ^^ (My Style DEv-C0de: โปรแกรมต้องมีขนาดที่เล็กที่สุด และให้ความสามารถมากที่สุด)

 ดาว์นโหลดได้ที่นี่ Download 
 

REM # คัดลอกคําสั่ง แบตไฟล์ เหล่านี้ทั้งหมดบันทึกในโน้ตแพตเป็นไฟล์ชื่อ Vir_M_Killer.bat

REM # พิมแสดงผล เริ่มต้นคําสั่ง
@ECHO Virus MSN Killer - Start Removing...

REM # คําสั่งจบ กระบวนการ msnmsg.exe ที่รันทํางานอยู่ในโพรเซส #
taskkill /F /IM msnmsg.exe

REM # พิมพ์แสดงผลระหว่างค้นหา
@ECHO finding for msnmsg.exe files in %Windir%\

REM # เปลี่ยนทิศทางไปที่โฟลเดอร์ระบบ เพื่อเข้าไปลบไฟล์ msnmsg.exe
cd "%Windir%\"

REM # พิมพ์แสดงผล กําลังลบไฟล์
@ECHO Deleting %Windir%\msnmsg.exe
REM # คําสั่งลบ โดยไม่สนใจว่าไฟล์นั้นจะสําหรับอ่าน ด้วย /F โดยยึด /A ด้วยคุณสมบัติของไฟล์ /RH คือไฟล์ที่สําหรับอ่านอย่างเดียวและซ่อน (พิมพ์ del /? สําหรับความหมายของพารามิเตอร์ต่างๆ) #
del /F /A:RH msnmsg.exe
del /F msnmsg.exe
del /F pic.zip

REM # พิมพ์แสดงผล กําลังลบค่าในรีจิสตรี
@ECHO Removing value in registry
REM # คําสั่งลบ ค่าสั่งรันไวรัสเมื่อเปิดวินโดว์สในรีจิสตรี้ #
Reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Genuine Logon" /f

REM # เสร็จสิ้น
@ECHO Done
PAUSE

New! Messenger M!X Live v.1.3.00 - Coming Soon! (อยู่ระหว่างการพัฒนา)

   คุณสมบัติของโปรแกรม Messenger M!X Live v.1.3.00 (เป็นโปรแกรมเสริมลูกเล่นและความสามารถของ Windows Live messenger) รุ่น Windows Live Messenger ที่รองรับ 8.0.0812, 8.1.0106, 8.1.0178, 8.5.1235.0517, 8.5.1238.0601, 8.5.1302.1018 และ 9.0.1407.1107

(OS Support: Windows XP, Windows Vista)

• รายละเอียดข้อมูล Messenger 
  
  
• สามารถ สแปมป๊อบอัพ สถานะ ได้ และสแปม nudge แบบต่อเนื่องได้ (Messenger Spammer, Status/Nudge Spammer)
• สามารถ สร้าง/เพิ่ม Content packs เพิ่มเติมได้เช่น Winks,DDP ทั้งภายในเครื่องและลิ้งค์จากเวบไซต์ (MCO Installer and Content Packs Creator) 
  
   
  - ติดตั้ง Wink ใน Windows live messenger 8.1.0178
• สามารถ ขโมย Display picture จากผู้ติดต่อได้ รวมถึงการค้นหา Content อื่นๆ เช่น Emotion, Animation, Display picture ที่มีอยู่ทั้งหมด และ บันทึก, ลบทิ้ง, สร้าง Content packs เอาไว้ติดตั้ง Emotion, Animation, Display picture ทีเดียวพร้อมๆกันเลย โดยไม่ต้องเสียเวลา Add เหล่านั้นทีละรูป สร้างชุด content packs โดยเลือกติ๊กเครื่องหมายที่หน้ารูปนั้น แล้วคลิ๊กปุ่ม สร้าง Pack (CE/DP Stealer + Content Packs Creator)
  
  
• สามารถ Patch Messenger 
     - เปิด คุณสมบัติเล่น Messenger หลายๆ อีเมล์พร้อมกัน
     - เปิด คุณสมบัติรัว Nudge
     - ลบ ป้ายโฆษณาในหน้าต่างหลัก
     - ลบ ลิ้งข้อความโฆษณาด้านล่างในหน้าต่างสนทนา
     - ลบแถบ MSN Search
     - ลบ Premium Services
     - เพิ่มปุ่ม MessengerM!X ในหน้าต่างสนทนา
• สามารถ สร้างชื่อเล่นแบบหลายๆรูปแบบ (Nick Creator)
• สามารถ แสดง Contacts Info & Management
     - ดูรายละเอียดข้อมูลเกี่ยวกับผู้ติดต่อแต่ละคน
    - และการจัดการกับรายชื่อผู้ติดต่อ
  
  
• สามารถ Fix Messenger ซ่อมแซมปัญหาเกี่ยวกับการออนไลน์ Messenger ไม่ได้ เช่น ลงไฟล์ DLL ที่เกี่ยวข้องให้ แก้ไขวันที่ แก้ไขไฟล์ Host 
• สามารถ ลบ Virus , worm, adware, spyware
     - สแกน All Disks 
     - สแกน Network 
     - ไวรัสเวิร์มที่ฆ่าได้ Block checker, IM Names, IMProfile, Win32/IRCBot, W32/Brontok, (W32/Moafy+W32/Generic.d+Moaphie),   killVBS.vbs, happy.vbs, VBS/Butsur.C worm, Win32/Wenna.E worm, Win32.Worm.Tellsky, Win32/Agent.WJ trojan, Win32/VB.NIV worm, Win32/Agent.NAG worm, Win32/Disabler.I trojan และอีกหลายๆตัว.
  
  
• สามารถ จัดการควบคุมเกี่ยวกับ Messages
     - ไม่ต้องกะพริบไคคอนที่ Taskbar เมื่อได้รับข้อความ.
     - กะพริบไฟ Scroll lock บนคีย์บอร์ดเมื่อได้รับข้อความ.
     - แจ้งเตือนถ้าผู้ติดต่อลบเราออกจากรายชื่อติดต่อ ของเขา/เธอ
   
  
     - บล็อคการ Invite จากใครก็ตามที่ลากเราเข้าไปในกลุ่มสนทนา. 
     - แสดงหน้าต่างผู้ติดต่ออยู่บนสุด เมื่อมีข้อความใหม่.
• สามารถ จัดการ Personal Messaage
  
  
     - เปิดคุณสมบัติให้ผู้อื่นเห็นเรากําลังฟังเพลงใน Winamp & JetAudio + AIMP2
     - ปรับแต่งรูปแบบตัวอักษรได้ เช่น สีตัวอักษร + สีพื้นหลัง + ตัวหนา + ตัวเอียง + ขีดเส้นใต้ + ตัวขีดฆ่า 
  
  
• 
  
• ดีบัก(Debug) Messenger
  
   
• สามารถ ป้องกันเจ้านาย (Boss Protection)  
• สามารถ คัดลอก(Copy) Display picture ของผู้ติดต่อ (Display Stealer)
• สามารถ คัดลอก(Copy) Display Name ของผู้ติดต่อ (Nick Copier)
• สามารถ จับภาพ เวบแคม ของผู้ติดต่อ (Webcam Snapshot)

Visit Counter