* อัพเดท 31/01/2008 11:00 a.m. *
หัวข้อวิธีกําจัดไวรัสในส่วนนี้รายละเอียดเต็มแล้วนะครับ ขอให้ไปดูหัวข้ออัพเดตไวรัสใหม่ๆ ด้านบนแทนนะครับผม
* อัพเดท 17/01/2008 15:09 p.m. *
ไวรัส photo09.zip ไฟล์ภายใน zip ชื่อ photo09.jpg_scannedby-Msn.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wlivemsgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\wlivemsgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Live Msgs! คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 70.5 KB (72,192 bytes)
5. MD5 = cdea89c615162855d4475dd9697ae0af
อัพเดท 17/01/2008 14:30 p.m. *
ไวรัส facebookpic.com.zip ไฟล์ภายใน zip ชื่อ picture021.JPEG_ScannedBy-Msn.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ msgnms.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\msgnms.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Live คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 71.5 KB (73,216 bytes)
5. MD5 = 2644ebd7c1ba79951df5d6c94e5ce430
* อัพเดท 14/01/2008 17:14 p.m. *
ไวรัส Image071.zip ไฟล์ภายใน zip ชื่อ Image071.JPEG_www.FreeImages.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ prcsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\prcsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Network Service คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 72.5 KB (74,240 bytes)
5. MD5 = 7edb523712e754c715bddc9d9a62231f
*** สวัสดีปีใหม่ครับทุกท่าน หลังจากหายไปหลายวันกลับมาแล้วครับ ***
* อัพเดท 04/01/2008 11:58 a.m. *
เริ่มกันด้วยไวรัส NewYear2008.zip ชื่อไฟล์ที่ส่งหลอกมาเพื่อเข้ากับช่วงเทศกาลปีใหม่พอดี ถ้าใครคิดว่าเป็นการ์ดอวยพรและเผลอคลิกมันติดไวรัสตัวนี้แล้วล่ะ และไฟล์ภายใน zip ชื่อ Image027.JPEG_VirusScannedBy-Msn.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ usnserv.exe (ไม่รู้ว่าสุ่มชื่อเปล่า ยังไงผมจะตามอัพเดทให้อีกที) จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\usnserv.exe คุณต้องเข้าไปลบมันทิ้งซะ
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Userfile Sharing Server คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ภายในไฟล์ ZIP 71.0 KB (72,704 bytes)
5. MD5 = 9f5f62c2af86b7a0af00ef9a178f5c3c
6. ตัวอย่าง ข้อความที่ส่งมาพร้อมกับตัวไวรัส เช่น
Could I have really had sex with them?
Does my new style *oo* hot?
* อัพเดท 17/12/2007 17:30 p.m. *
อัพเดทเพิ่มเติมครับ !! ไวรัสอีกตัวที่ทํางานคล้ายกันกับ image68.zip มาในชื่อ picture[สุ่มตัวเลข 4 หลัก].zip เช่น picture0081.zip แก้ตาม image68.zip ข้างล่าง
* อัพเดท 16/12/2007 21:50 p.m. *
ไวรัส image68.zip ไฟล์ภายใน zip ชื่อ image68.JPG-www.onlinealbums.zip
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ regsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\regsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Registry Service คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 48.5 KB (49,664 bytes)
5. MD5 = 243c9007f1dd910ff721da5e520881f7
6. ข้อความที่ส่งมาพร้อมกับตัวไวรัส เช่น
just found this one on ebaumsworld, I'm still falling over laughing!
you seriously won't believe this....
you care if i throw this pic of us on myspace?
This picture can't be real right?
got some new pics for my album! Tak* a*look.
holy shit, this girl is FINE!
* อัพเดท 15/12/2007 17:10 p.m. *
ไวรัส photo[สุ่มตัวเลข 3 หลัก][สุ่มตัวอักษร 1 หลัก].zip ไฟล์ภายใน zip ชื่อ photo-[สุ่มตัวเลข 3 หลัก].JPeG_อีกเมลผู้รับ เช่น photo528b.zip , photo889o.zip ตัวเดียวกันแต่ส่งต่างชื่อเท่านั้นเอง
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ ไวรัสสุ่มชื่อ.exe เท่าที่ผมเคยเจอมันใช้ชื่อ t.exe หรือ ss.exe ไม่แน่นอนนะคับผมบอกแค่เป็นแนวทางว่ามันสุ่มชื่อสั้นๆน่ะ จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\ไวรัสสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ไวรัสสุ่มชื่อ คลิกขวาเลือก Delete ทิ้งได้เลยครับ
- และอีกที่ ไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ไว้ด้วย คุณต้องถอนการติดตั้งของมันด้วย วิธีแก้ คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์(Enter) หรือคลิก OK จะแสดงหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Services ดูที่คอลลัมน์ Service หา Service ที่ชื่อ Print Spooler Service จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
4. ขนาดไฟล์ 96.0 KB (98,304 bytes)
5. MD5 = baa55c201b5acc6865a81031a43925a7
* ไวรัสตัวนี้ทํางานคล้ายๆ mystuff.zip หรือ pictures.zip หรือ pics.zip ดูวิธีแก้เหล่านั้นประกอบ
* อัพเดท 11/12/2007 13:50 p.m. *
ไวรัส image028.zip ไฟล์ภายใน zip ชื่อ image028.jpg-www.photoalbums.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnpcgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnpcgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Remote Addressing คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 46.5 KB (47,616 bytes)
* อัพเดท 03/12/2007 17:24 p.m. *
ไวรัส image010.zip ไฟล์ภายใน zip ชื่อ image010.jpg-www.photoalbums.com รวมถึงไฟล์ image020.zip , image030.zip ตัวเดียวกันแต่ส่งต่างชื่อเท่านั้นเอง
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnpmcs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnpmcs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Remote Launcher คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 45.5 KB (46,592 bytes)
5. MD5 = 3ba96283c991c133fbca2c79b1c1a378
* อัพเดท 28/11/2007 14:30 p.m. *
อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip ที่ชื่อ image19.zip
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnrsvc.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnrsvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Logical Connection คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)
* โปรแกรมกําจัดยังไม่เสร็จหาเวลาอยู่ครับ แก้ด้วยมือไปก่อนนะครับ จะได้เก่งๆ *
* อัพเดท 26/11/2007 14:20 p.m. *
เพื่อแก้ปัญหาและลดความยุ่งยาก กับวิธีกําจัด ไวรัสสุ่มชื่อและการตั้งค่าต่างๆของไวรัสที่แตกต่างกัน ทําให้ผู้ใช้ไม่สามารถลบไวรัสเหล่านั้นออกจากระบบได้้โดยง่าย ณ ขณะนี้ผมกําลังพัฒนาโปรแกรมกําจัดไวรัสเหล่านี้โดยอัตโนมัติอยู่ครับ รอหน่อยนะครับ อีกไม่นาน โปรแกรมนี้ชื่อ T.I.S.R. IM-Worm Remover
ตัวนี้เขียนด้วย Delphi และ Interface กับ Flash ActionScript 3.0
* อัพเดท 14/11/2007 12:10 p.m. *
ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่(หรือเปล่าหว๋า...) ความร้ายกาจของมันคือ ส่งไวรัสนี้ออกไปให้เพื่อนๆ ของเราโดยที่เราไม่รู้ตัว มันจะส่งไฟล์ชื่อ mystuff.zip หรือ pictures.zip หรือ pics.zip ไฟล์ภายใน zip ชื่อ pic_[สุ่มตัวเลข 3 หลัก].jpeg_[ตรงนี้ชื่ออีเมล์คนส่ง ก็คือเมล์ของเรานั่นเอง(สมมุติว่าเราได้ติดไวรัสตัวนี้)] ไวรัสตัวนี้หาตัวยากนิดหน่อย เพราะสุ่มชื่อไวรัส ทุกครั้งที่แพร่เชื้อ แต่ละเครื่องที่ติดไวรัสตัวนี้จึงมีชื่อแตกต่างกัน แต่ไฟล์ zip ที่ส่งออกไปพบบ่อยจะชื่อ mystuff.zip หรือ pictures.zip หรือ pics.zip แต่การเข้ารหัส MD5 ไฟล์ภายใน zip จะไม่เปลี่ยนแปลง และวิธีหาว่าไวรัสตัวนี้สุ่มชื่ออะไรไว้ ทําได้ง่ายมาก คือดูจาก Services มันจะใช้ชื่อ Print Spooler Service เสมอ
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ ไวรัสจะสุ่มชื่อ.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
- แล้วเราจะรู้ได้อย่างไรว่ามันสุ่มไฟล์อะไรขึ้นมา ทางนี้ครับ เริ่มที่เมนู Start > Run... พิมพ์ใน Run... ว่า Regedit แล้วเอนเทอร์ หรือคลิก OK จากนั้นเข้าไปที่คีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services แตกเครื่องหมายบวกเข้าไปทีละคีย์นะครับจนถึงคีย์ Services จากนั้นกดแป้นคีย์บอร์ด Ctrl+F เพื่อจะค้นหา Print Spooler Service แล้วคลิกปุ่ม Find Next มันจะโฟกัสไปที่ DisplayName ที่ชื่อ Print Spooler Service จนเจอแล้วดูที่ ImagePath จะเห็นไวรัสสุ่มชื่อไว้เช่น C:\WINDOWS\system32\ไวรัสจะสุ่มชื่อ.exe /service
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\ไวรัสจะสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส
- ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ตามที่ไวรัสได้สุ่มชื่อไว้ คลิกขวาเลือก Delete ทิ้งได้เลยครับ และแก้ได้อีกทาง เป็นวิธีที่ง่ายกว่า คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์ หรือคลิก OK จะขึ้นหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Startup ดูที่คอลลัมน์ Startup Item หา Startup Item ตามที่ไวรัสได้สุ่มชื่อไว้ จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
- และไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ไว้ด้วย คุณต้องถอนการติดตั้งของมันด้วย โดยเข้าไปที่คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ในชื่อ ตามที่ไวรัสได้สุ่มชื่อไว้ คลิกขวาเลือก Delete ทิ้งได้เลยครับถ้าไม่เจอไม่เป็น และแก้ได้อีกทาง เป็นวิธีที่ง่ายกว่า คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์ หรือคลิก OK จะขึ้นหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Services ดูที่คอลลัมน์ Service หา Service ที่ชื่อ Print Spooler Service จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
4. ขนาดไฟล์ 81.0 KB (82,944 bytes)
5. MD5 = 1ea48a3b730705c75a42102b9d00f6b6
ไว้มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้ เพราะถึงไวรัสจะสุ่มชื่อเป็นอะไรก็ตาม ผมก็สามารถเขียนกําจัดมันได้แน่นอน และมีอะไรใหม่ๆ ผมจะมาอัพเดทไวรัสตัวนี้ใหม่ เพราะมีอะไรน่าสนใจเยอะดี
* อัพเดท 12/11/2007 11:55 a.m. *
อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip ตัวนี้ชื่อ image30.zip , image32.zip , image34.zip
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ smtsvc.exe หรือ mdesvc.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\smtsvc.exe หรือ C:\WINDOWS\system32\mdesvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ System Terminal Server หรือ System Terminal Storage คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)
* อัพเดท 12/11/2007 00:24 a.m. *
อัพเดทอีกตัวครับ! ตัวนี้มีน้องคนหนึ่งติดมันและผมได้หาวิธีแก้ให้น้องเค้าแล้ว วิธีแพร่กระจายของไวรัสตัวนี้มันจะส่ง URL เช่น http://msn-contact.com/contact.php?email=[ตรงนี้จะเป็นชื่ออีเมล์เพื่อนของเรา] จากนั้นมันจะให้โหลด msn.com ถ้าไปเผลอกด Open จะติดไวรัสตัวนี้ทันที ผมไม่รู้ว่ามันจะเจาะผ่านช่องโหว่ของ Internet Explorer(IE) ด้วยหรือเปล่า ถ้าเป็นเช่นนั้น และผู้ใช้ไม่ได้อัพเดทแพชปิดช่องโหว่ของ IE จะติดไวรัสตัวนี้ทันโดยไม่จําเป็นต้องโหลด msn.com ผมไม่ค่อยเวลาตรวจสอบเท่าไหร่ช่วงนี้ยุ่งๆอยู่
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ msmsgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ %userprofile%\Local Settings\Temp\msmsgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN Plus คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 28.0 KB (28,672 bytes)
* อัพเดท 11/11/2007 19:55 p.m. *
* อัพเดท 26/11/2007 14:15 p.m. (ขออภัยนะครับ หากมีข้อมูลบางส่วนผิดพลาดหรือตกหล่นไปด้วยความรีบเร่งและไม่ได้ตรวจซํ้า จึงขออัพเดทข้อมูลในส่วนนี้ใหม่ครับเพื่อความถูกต้อง เพราะไวรัสตัวนี้มันสุ่มชื่อและการตั้งค่าทุกครั้งที่แพร่กระจาย)*
อัพเดทอีกตัวครับ! ตัวนี้ได้รับหลายวันแล้วแต่ตกหล่นลืมอัพเดทให้ ส่งมาในไฟล์นี้ครับ kodak.zip ไฟล์ภายใน zip ชื่อ photo_082.jpeg-facebook.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ ไวรัสสุ่มชื่อ.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\Windows\system32\ไวรัสสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ไวรัสสุ่มชื่อ คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 231 KB (237,445 bytes)
5. MD5 = b676a272c66762453f42aa683cdda24d
* หมายเหตุ ผู้ใช้ไม่สามารถหามันเจอได้โดยง่าย หรือเจาะจงได้ว่ามันเป็นไวรัส เพราะมันสุ่มชื่อและการตั้งค่าทุกครั้งที่แพร่กระจาย ผมกําลังพัฒนาเครื่องมือกําจัดไวรัสเหล่านี้แบบอัตโนมัติอยู่ครับ เพื่อลดความยุ่งยาก เพราะผู้ใช้อย่างเราๆ คงไม่สามารถถอดถอนไวรัสออกได้ง่ายๆ เป็นแน่
* อัพเดท 07/11/2007 17:07 p.m. *
อีกเดทอีกตัว มาในไฟล์ชื่อ stuff.zip ไฟล์ภายใน zip ชื่อ photo_070.jpeg-facebook.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mlf.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mlf.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ mlf คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 231 KB (237,372 bytes)
* อัพเดท 05/11/2007 21:54 p.m. *
อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image24.zip
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mdesvc.exe หรือ smtsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdesvc.exe หรือ C:\WINDOWS\system32\smtsvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Detection หรือ System Terminal Storage คลิกขวาเลือก Delete ทิ้งได้เลยครับ
* อัพเดท 04/11/2007 02:00 a.m. * + * อัพเดท 07/11/2007 21:30 p.m. * เพิ่มเติม
ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่ มาในไฟล์ชื่อ pics.zip ไฟล์ภายใน zip ชื่อ image_071.JPEG-secured-by-MSN.scr ไวรัสตัวนี้หาตัวยากนิดนึงเพราะ สุ่มชื่อไวรัส ทุกครั้งที่แพร่เชื้อ แต่ละเครื่องที่ติดไวรัสตัวนี้จึงมีชื่อแตกต่างกัน
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ สุ่มชื่อไวรัส.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\สุ่มชื่อไวรัส.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ สุ่มชื่อไวรัส คลิกขวาเลือก Delete ทิ้งได้เลยครับ
และอีกคีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ในชื่อ สุ่มชื่อไวรัส คลิกขวาเลือก Delete ทิ้งได้เลยครับ และไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ ไว้ด้วยคุณต้องถอนการติดตั้งของมันด้วย ทําได้โดยไปที่ Start > Run... พิมพ์ใน Run... ว่า msconfig เลือกที่แท็บ Services มองหา Services ชื่อ Print Spooler Service แล้วยกเลิกเครื่องหมายติ๊กถูก แล้วคลิกปุ่ม Apply และ OK
4. ขนาดไฟล์ 232 KB (238,590 bytes)
5. MD5 = b580988905b8d5ef8bf05b484433f129
* ไว้มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้ เพราะถึงไวรัสจะสุ่มชื่อเป็นอะไรก็ตาม ผมก็สามารถเขียนกําจัดมันได้แน่นอน
* อัพเดท 04/11/2007 01:33 a.m. *
อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image26.zip , image27.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com เช่น image07.JPG-www.photobucket.com ผมไม่แน่ใจว่าไวรัสสายพันธุ์นี้ สุ่มค่าไว้กี่ค่า เพราะแต่ละรุ่นตั้งค่าไว้ต่างกันไป ผมจะอัพเดทให้อีกสองตัวแล้วกันนะครับ
มาดูหลักการทํางานคร่าวๆกัน สําหรับไวรัส image26.zip ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ rndsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\rndsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Application Process คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)
และสําหรับไวรัส image27.zip มาดูวิธีกําจัดกันเลย
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mdasvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdasvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Awareness คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)
* อัพเดท 25/10/2007 23:33 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายบ๊วย นะคับ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ไวรัสตัวนี้มาในชื่อ image[สุ่มตัวเลขสองหลัก].zip เช่น image07.zip หรือ image09.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com เช่น image07.JPG-www.photobucket.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสจะสร้างไฟล์ชื่อ vbcsvc.exe ไว้ที่ C:\WINDOWS\System32\vbcsvc.exe และสั่งรันตัวมัน และจากนั้นไวรัสจะโหลดไฟล์อีกสองไฟล์เพิ่มเติมบนเว็บไซต์ ดังนี้
- โหลดไฟล์ที่ไซต์ http://www.sterrenkids.nl/ps/ps.exe ไว้ที่ Temp และสั่งรัน
- โหลดไฟล์ที่ไซต์ http://www.jeroenmaas.nl/path/gen5.exe ไว้ที่ Temp และสั่งรัน
- ผมยังไม่ได้ตรวจสอบไฟล์ทั้งสองเลยทํางานอะไร แต่ผมว่าเป็นโปรแกรมไม่ประสงค์ดีแน่ๆ
2. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ vbcsvc.exe , ps.exe , gen5.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
3. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\System32\vbcsvc.exe และ ps.exe , gen5.exe อยู่ที่โฟลเดอร์ Temp คุณต้องเข้าไปลบมันทิ้งเสีย
4. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Volume Shadow Manager คลิกขวาเลือก Delete ทิ้งได้เลยครับ
5. ขนาดไฟล์ 10.5 KB (10,752 bytes)
6. MD5 = 9263a498f54c5ed6baa4311a50731030
ไว้มีเวลาผมจะมาอัพเดทข้อมูลไวรัสตัวนี้ใหอีกนะครับ
* อัพเดท 17/10/2007 15:55 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายแชมป์อีกๆ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ที่จริงได้รับตัวนี้ก่อนหน้า Nokia_19_jpg.zip อีกครับพอดีลืมอัพเดท แหะๆ มันมาในไฟล์ชื่อ spiderpig.zip ไฟล์ภายใน zip ชื่อ spiderpig.scr
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ install.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\install.exe และ C:\WINDOWS\images.zip คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ขนาดไฟล์ 116 KB (118,784 bytes)
5. MD5 = d36c98c03930e94693342d859aaccb7e
* อัพเดท 16/10/2007 14:55 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายบ๊วย สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ มาในไฟล์ชื่อ Nokia_19_jpg.zip ไฟล์ภายใน zip ชื่อ www.Nokia_19_jpg-msn.com
มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ LBTWiz.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\LBTWiz.exe และ C:\WINDOWS\Nokia_19_jpg.zip คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ LBTWiz.exe คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. ไวรั
กลุ่มเครือข่าย "รายงานแล...PhotosProfileFriendsMore 
Tools 
