Windows LiveWindows Live
 
 
TRAG00L 的个人资料กลุ่มเครือข่าย "รายงานแล...照片日志列表更多 工具 帮助

日志
    9月25日

    -\- โปรแกรมกําจัด IM-Worm และวิธีกําจัด IMG-[xxxx].zip + imag091307.zip , N039_jpg.zip , mtpics.zip + pics.zip + myupics.zip + picts-[xxxx].zip + mypic4u.zip + image23.zip + spiderpig.zip + Nokia_19_jpg.zip + image07.zip + image09.zip + mystuff.zip -/-

    * อัพเดท 31/01/2008 11:00 a.m. *
       หัวข้อวิธีกําจัดไวรัสในส่วนนี้รายละเอียดเต็มแล้วนะครับ ขอให้ไปดูหัวข้ออัพเดตไวรัสใหม่ๆ ด้านบนแทนนะครับผม

    * อัพเดท 17/01/2008 15:09 p.m. *
       ไวรัส photo09.zip ไฟล์ภายใน zip ชื่อ photo09.jpg_scannedby-Msn.com
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wlivemsgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\wlivemsgs.exe คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Live Msgs! คลิกขวาเลือก Delete ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 70.5 KB (72,192 bytes)
    5. MD5 = cdea89c615162855d4475dd9697ae0af

     อัพเดท 17/01/2008 14:30 p.m. * 
       ไวรัส facebookpic.com.zip ไฟล์ภายใน zip ชื่อ picture021.JPEG_ScannedBy-Msn.com
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     msgnms.exe จบโพรเซส(End Process)     ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\msgnms.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Live คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 71.5 KB (73,216 bytes)
    5. MD5 = 2644ebd7c1ba79951df5d6c94e5ce430

    * อัพเดท 14/01/2008 17:14 p.m. * 
       ไวรัส Image071.zip ไฟล์ภายใน zip ชื่อ Image071.JPEG_www.FreeImages.com
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     prcsvc.exe จบโพรเซส(End Process)     ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\prcsvc.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKLM\..\Run ในชื่อ Windows Network Service คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 72.5 KB (74,240 bytes)
    5. MD5 =     7edb523712e754c715bddc9d9a62231f     

    *** สวัสดีปีใหม่ครับทุกท่าน หลังจากหายไปหลายวันกลับมาแล้วครับ ***
    * อัพเดท 04/01/2008 11:58 a.m. * 
       เริ่มกันด้วยไวรัส NewYear2008.zip ชื่อไฟล์ที่ส่งหลอกมาเพื่อเข้ากับช่วงเทศกาลปีใหม่พอดี ถ้าใครคิดว่าเป็นการ์ดอวยพรและเผลอคลิกมันติดไวรัสตัวนี้แล้วล่ะ และไฟล์ภายใน zip ชื่อ Image027.JPEG_VirusScannedBy-Msn.com  
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     usnserv.exe     (ไม่รู้ว่าสุ่มชื่อเปล่า ยังไงผมจะตามอัพเดทให้อีกที) จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\usnserv.exe     คุณต้องเข้าไปลบมันทิ้งซะ
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Userfile Sharing Server คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ภายในไฟล์ ZIP 71.0 KB (72,704 bytes)
    5. MD5 =     9f5f62c2af86b7a0af00ef9a178f5c3c
    6. ตัวอย่าง ข้อความที่ส่งมาพร้อมกับตัวไวรัส เช่น
       Could I have really had sex with them?
       Does my new style *oo* hot?

    * อัพเดท 17/12/2007 17:30 p.m. * 
       อัพเดทเพิ่มเติมครับ !! ไวรัสอีกตัวที่ทํางานคล้ายกันกับ image68.zip มาในชื่อ picture[สุ่มตัวเลข 4 หลัก].zip เช่น picture0081.zip แก้ตาม image68.zip ข้างล่าง

    * อัพเดท 16/12/2007 21:50 p.m. * 
       ไวรัส image68.zip ไฟล์ภายใน zip ชื่อ image68.JPG-www.onlinealbums.zip  
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     regsvc.exe     จบโพรเซส(End Process) ของมันก่อนนะครับ แล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system\regsvc.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Registry Service คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 48.5 KB (49,664 bytes)
    5. MD5 =     243c9007f1dd910ff721da5e520881f7
    6. ข้อความที่ส่งมาพร้อมกับตัวไวรัส เช่น
       just found this one on ebaumsworld, I'm still falling over laughing!
       you seriously won't believe this....
       you care if i throw this pic of us on myspace?
       This picture can't be real right?
       got some new pics for my album! Tak* a*look.
       holy shit, this girl is FINE!

    * อัพเดท 15/12/2007 17:10 p.m. * 
       ไวรัส photo[สุ่มตัวเลข 3 หลัก][สุ่มตัวอักษร 1 หลัก].zip ไฟล์ภายใน zip ชื่อ photo-[สุ่มตัวเลข 3 หลัก].JPeG_อีกเมลผู้รับ เช่น photo528b.zip , photo889o.zip     ตัวเดียวกันแต่ส่งต่างชื่อเท่านั้นเอง
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     ไวรัสสุ่มชื่อ.exe     เท่าที่ผมเคยเจอมันใช้ชื่อ t.exe หรือ ss.exe ไม่แน่นอนนะคับผมบอกแค่เป็นแนวทางว่ามันสุ่มชื่อสั้นๆน่ะ จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\ไวรัสสุ่มชื่อ.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ไวรัสสุ่มชื่อ คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
       - และอีกที่ ไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ไว้ด้วย คุณต้องถอนการติดตั้งของมันด้วย วิธีแก้ คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์(Enter) หรือคลิก OK จะแสดงหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Services ดูที่คอลลัมน์ Service หา Service ที่ชื่อ Print Spooler Service จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
    4. ขนาดไฟล์ 96.0 KB (98,304 bytes)
    5. MD5 =     baa55c201b5acc6865a81031a43925a7
       * ไวรัสตัวนี้ทํางานคล้ายๆ mystuff.zip หรือ pictures.zip หรือ pics.zip     ดูวิธีแก้เหล่านั้นประกอบ

    * อัพเดท 11/12/2007 13:50 p.m. * 
       ไวรัส image028.zip ไฟล์ภายใน zip ชื่อ image028.jpg-www.photoalbums.com 
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     wnpcgs.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnpcgs.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Remote Addressing คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 46.5 KB (47,616 bytes)

    * อัพเดท 03/12/2007 17:24 p.m. * 
       ไวรัส image010.zip ไฟล์ภายใน zip ชื่อ image010.jpg-www.photoalbums.com รวมถึงไฟล์ image020.zip , image030.zip     ตัวเดียวกันแต่ส่งต่างชื่อเท่านั้นเอง
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     wnpmcs.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wnpmcs.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Remote Launcher คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 45.5 KB (46,592 bytes)
    5. MD5 = 3ba96283c991c133fbca2c79b1c1a378

    * อัพเดท 28/11/2007 14:30 p.m. *
       อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip ที่ชื่อ image19.zip
       มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wnrsvc.exe     จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์     C:\WINDOWS\system32\wnrsvc.exe     คุณต้องเข้าไปลบมันทิ้งก่อน
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Logical Connection คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

    * โปรแกรมกําจัดยังไม่เสร็จหาเวลาอยู่ครับ แก้ด้วยมือไปก่อนนะครับ จะได้เก่งๆ *

    * อัพเดท 26/11/2007 14:20 p.m. *
        เพื่อแก้ปัญหาและลดความยุ่งยาก กับวิธีกําจัด ไวรัสสุ่มชื่อและการตั้งค่าต่างๆของไวรัสที่แตกต่างกัน ทําให้ผู้ใช้ไม่สามารถลบไวรัสเหล่านั้นออกจากระบบได้้โดยง่าย ณ ขณะนี้ผมกําลังพัฒนาโปรแกรมกําจัดไวรัส    เหล่านี้    โดยอัตโนมัติอยู่ครับ รอหน่อยนะครับ อีกไม่นาน โปรแกรมนี้ชื่อ T.I.S.R. IM-Worm Remover

    คลิกดูภาพขนาดจริง

    ตัวนี้เขียนด้วย     Delphi และ Interface กับ Flash ActionScript 3.0

    * อัพเดท 14/11/2007 12:10 p.m. *
       ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่(หรือเปล่าหว๋า...) ความร้ายกาจของมันคือ ส่งไวรัสนี้ออกไปให้เพื่อนๆ ของเราโดยที่เราไม่รู้ตัว มันจะส่งไฟล์ชื่อ mystuff.zip หรือ pictures.zip หรือ pics.zip ไฟล์ภายใน zip ชื่อ pic_[สุ่มตัวเลข 3 หลัก].jpeg_[ตรงนี้ชื่ออีเมล์คนส่ง ก็คือเมล์ของเรานั่นเอง(สมมุติว่าเราได้ติดไวรัสตัวนี้)] ไวรัสตัวนี้หาตัวยากนิดหน่อย เพราะสุ่มชื่อไวรัส ทุกครั้งที่แพร่เชื้อ แต่ละเครื่องที่ติดไวรัสตัวนี้จึงมีชื่อแตกต่างกัน แต่ไฟล์ zip ที่ส่งออกไปพบบ่อยจะชื่อ mystuff.zip หรือ pictures.zip หรือ pics.zip     แต่การเข้ารหัส MD5 ไฟล์ภายใน zip จะไม่เปลี่ยนแปลง และวิธีหาว่าไวรัสตัวนี้สุ่มชื่ออะไรไว้ ทําได้ง่ายมาก คือดูจาก Services มันจะใช้ชื่อ Print Spooler Service เสมอ
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     ไวรัสจะสุ่มชื่อ.exe จบโพรเซส(End Process ใน Windows Task Manager    ) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
       - แล้วเราจะรู้ได้อย่างไรว่ามันสุ่มไฟล์อะไรขึ้นมา ทางนี้ครับ เริ่มที่เมนู Start > Run... พิมพ์ใน Run... ว่า Regedit แล้วเอนเทอร์ หรือคลิก OK จากนั้นเข้าไปที่คีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services     แตกเครื่องหมายบวกเข้าไปทีละคีย์นะครับจนถึงคีย์ Services จากนั้นกดแป้นคีย์บอร์ด Ctrl+F เพื่อจะค้นหา Print Spooler Service แล้วคลิกปุ่ม Find Next มันจะโฟกัสไปที่ DisplayName ที่ชื่อ Print Spooler Service จนเจอแล้วดูที่ ImagePath จะเห็นไวรัสสุ่มชื่อไว้เช่น C:\WINDOWS\system32\ไวรัสจะสุ่มชื่อ.exe     /service
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์     C:\WINDOWS\system32\    ไวรัสจะสุ่มชื่อ    .exe คุณต้องเข้าไปลบมันทิ้งก่อน
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส
    - ตั้งค่าไว้ในรีจิสตรี้คีย์     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ ตามที่    ไวรัสได้สุ่มชื่อไว้ คลิกขวาเลือก Delete ทิ้งได้เลยครับ และแก้ได้อีกทาง เป็นวิธีที่ง่ายกว่า คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์ หรือคลิก OK จะขึ้นหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Startup ดูที่คอลลัมน์ Startup Item หา Startup Item ตามที่ไวรัสได้สุ่มชื่อไว้ จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
    - และไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ไว้ด้วย คุณต้องถอนการติดตั้งของมันด้วย โดยเข้าไปที่คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ในชื่อ ตามที่ไวรัสได้สุ่มชื่อไว้ คลิกขวาเลือก Delete ทิ้งได้เลยครับถ้าไม่เจอไม่เป็น และแก้ได้อีกทาง เป็นวิธีที่ง่ายกว่า คือเริ่มที่เมนู Start > Run... พิมพ์ที่ Run... ว่า msconfig แล้วเอนเทอร์ หรือคลิก OK จะขึ้นหน้าต่าง System Configuration Utility ขึ้นมาจากนั้นเลือกที่แท็บ Services ดูที่คอลลัมน์ Service หา Service ที่ชื่อ Print Spooler Service จากนั้นติ๊กเครื่องหมายถูกออก แล้วคลิกปุ่ม Apply และ OK
    4. ขนาดไฟล์ 81.0 KB (82,944 bytes)
    5. MD5 = 1ea48a3b730705c75a42102b9d00f6b6
    ไว้มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้ เพราะถึงไวรัสจะสุ่มชื่อเป็นอะไรก็ตาม ผมก็สามารถเขียนกําจัดมันได้แน่นอน และมีอะไรใหม่ๆ ผมจะมาอัพเดทไวรัสตัวนี้ใหม่ เพราะมีอะไรน่าสนใจเยอะดี

    * อัพเดท 12/11/2007 11:55 a.m. *
       อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip ตัวนี้ชื่อ image30.zip , image32.zip ,     image34.zip
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     smtsvc.exe     หรือ mdesvc.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์     C:\WINDOWS\system32\smtsvc.exe หรือ C:\WINDOWS\system32\mdesvc.exe     คุณต้องเข้าไปลบมันทิ้งก่อน
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ System Terminal Server หรือ System Terminal Storage คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

    * อัพเดท 12/11/2007 00:24 a.m. *
       อัพเดทอีกตัวครับ! ตัวนี้มีน้องคนหนึ่งติดมันและผมได้หาวิธีแก้ให้น้องเค้าแล้ว วิธีแพร่กระจายของไวรัสตัวนี้มันจะส่ง URL     เช่น http://msn-contact.com/contact.php?email=[ตรงนี้จะเป็นชื่ออีเมล์เพื่อนของเรา] จากนั้นมันจะให้โหลด msn.com ถ้าไปเผลอกด Open จะติดไวรัสตัวนี้ทันที ผมไม่รู้ว่ามันจะเจาะผ่านช่องโหว่ของ Internet Explorer(IE) ด้วยหรือเปล่า ถ้าเป็นเช่นนั้น และผู้ใช้ไม่ได้อัพเดทแพชปิดช่องโหว่ของ IE จะติดไวรัสตัวนี้ทันโดยไม่จําเป็นต้องโหลด msn.com ผมไม่ค่อยเวลาตรวจสอบเท่าไหร่ช่วงนี้ยุ่งๆอยู่
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     msmsgs.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ %userprofile%\Local Settings\Temp\msmsgs.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN Plus คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 28.0 KB (28,672 bytes)

    * อัพเดท 11/11/2007 19:55 p.m. *
    * อัพเดท 26/11/2007 14:15 p.m. (ขออภัยนะครับ หากมีข้อมูลบางส่วนผิดพลาดหรือตกหล่นไปด้วยความรีบเร่งและไม่ได้ตรวจซํ้า จึงขออัพเดทข้อมูลในส่วนนี้ใหม่ครับเพื่อความถูกต้อง เพราะไวรัสตัวนี้มันสุ่มชื่อและการตั้งค่าทุกครั้งที่แพร่กระจาย)*
       อัพเดทอีกตัวครับ! ตัวนี้ได้รับหลายวันแล้วแต่ตกหล่นลืมอัพเดทให้ ส่งมาในไฟล์นี้ครับ kodak.zip ไฟล์ภายใน zip ชื่อ photo_082.jpeg-facebook.com
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     ไวรัสสุ่มชื่อ.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\Windows\system32\    ไวรัสสุ่มชื่อ.exe คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ     ไวรัสสุ่มชื่อ คลิกขวาเลือก Delete ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 231 KB (237,445 bytes)
    5. MD5 =     b676a272c66762453f42aa683cdda24d
       * หมายเหตุ ผู้ใช้ไม่สามารถหามันเจอได้โดยง่าย หรือเจาะจงได้ว่ามันเป็นไวรัส เพราะมันสุ่มชื่อและการตั้งค่าทุกครั้งที่แพร่กระจาย ผมกําลังพัฒนาเครื่องมือกําจัดไวรัสเหล่านี้แบบอัตโนมัติอยู่ครับ เพื่อลดความยุ่งยาก เพราะผู้ใช้อย่างเราๆ คงไม่สามารถถอดถอนไวรัสออกได้ง่ายๆ เป็นแน่

    * อัพเดท 07/11/2007 17:07 p.m. *
       อีกเดทอีกตัว มาในไฟล์ชื่อ stuff.zip ไฟล์ภายใน zip ชื่อ photo_070.jpeg-facebook.com
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     mlf.exe จบโพรเซส(End Process ใน Windows Task Manager) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mlf.exe     คุณต้องเข้าไปลบมันทิ้งก่อน
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ mlf คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 231 KB (237,372 bytes)

    * อัพเดท 05/11/2007 21:54 p.m. *
       อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image24.zip
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     mdesvc.exe หรือ smtsvc.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdesvc.exe     หรือ C:\WINDOWS\system32\smtsvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Detection หรือ System Terminal Storage คลิกขวาเลือก Delete     ทิ้งได้เลยครับ

    * อัพเดท 04/11/2007 02:00 a.m. * + * อัพเดท 07/11/2007 21:30 p.m. * เพิ่มเติม
       ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่ มาในไฟล์ชื่อ pics.zip ไฟล์ภายใน zip ชื่อ image_071.JPEG-secured-by-MSN.scr ไวรัสตัวนี้หาตัวยากนิดนึงเพราะ สุ่มชื่อไวรัส ทุกครั้งที่แพร่เชื้อ แต่ละเครื่องที่ติดไวรัสตัวนี้จึงมีชื่อแตกต่างกัน
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ สุ่มชื่อไวรัส    .exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\    สุ่มชื่อไวรัส.exe คุณต้องเข้าไปลบมันทิ้งก่อน
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ     สุ่มชื่อไวรัส คลิกขวาเลือก Delete ทิ้งได้เลยครับ
    และอีกคีย์     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ในชื่อ สุ่มชื่อไวรัส คลิกขวาเลือก Delete ทิ้งได้เลยครับ และไวรัสตัวนี้ได้เปิด Service ไว้รันตัวมันเองทุกครั้งเมื่อเปิดวินโดว์ ไว้ด้วยคุณต้องถอนการติดตั้งของมันด้วย ทําได้โดยไปที่ Start > Run... พิมพ์ใน Run... ว่า msconfig เลือกที่แท็บ Services มองหา Services ชื่อ Print Spooler Service แล้วยกเลิกเครื่องหมายติ๊กถูก แล้วคลิกปุ่ม Apply และ OK
    4. ขนาดไฟล์ 232 KB (238,590 bytes)
    5. MD5 = b580988905b8d5ef8bf05b484433f129
       * ไว้มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้ เพราะถึงไวรัสจะสุ่มชื่อเป็นอะไรก็ตาม ผมก็สามารถเขียนกําจัดมันได้แน่นอน

    * อัพเดท 04/11/2007 01:33 a.m. *
       อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image26.zip , image27.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com     เช่น image07.JPG-www.photobucket.com ผมไม่แน่ใจว่าไวรัสสายพันธุ์นี้ สุ่มค่าไว้กี่ค่า เพราะแต่ละรุ่นตั้งค่าไว้ต่างกันไป ผมจะอัพเดทให้อีกสองตัวแล้วกันนะครับ
    มาดูหลักการทํางานคร่าวๆกัน สําหรับไวรัส image26.zip ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ rndsvc.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\rndsvc.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Application Process คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

    และสําหรับไวรัส image27.zip มาดูวิธีกําจัดกันเลย
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     mdasvc.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdasvc.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Awareness คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

    * อัพเดท 25/10/2007 23:33 p.m. *
    อัพเดทตัวใหม่ครับ! Thx นายบ๊วย นะคับ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ไวรัสตัวนี้มาในชื่อ image[สุ่มตัวเลขสองหลัก].zip เช่น image07.zip หรือ image09.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com     เช่น image07.JPG-www.photobucket.com
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสจะสร้างไฟล์ชื่อ vbcsvc.exe ไว้ที่ C:\WINDOWS\System32\vbcsvc.exe และสั่งรันตัวมัน และจากนั้น    ไวรัสจะโหลดไฟล์อีกสองไฟล์เพิ่มเติมบนเว็บไซต์ ดังนี้
    - โหลดไฟล์ที่ไซต์     http://www.sterrenkids.nl/ps/ps.exe ไว้ที่ Temp และสั่งรัน
    - โหลดไฟล์ที่ไซต์     http://www.jeroenmaas.nl/path/gen5.exe ไว้ที่ Temp และสั่งรัน
    - ผมยังไม่ได้ตรวจสอบไฟล์ทั้งสองเลยทํางานอะไร แต่ผมว่าเป็นโปรแกรมไม่ประสงค์ดีแน่ๆ
    2. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ vbcsvc.exe , ps.exe , gen5.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    3. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\System32\vbcsvc.exe และ ps.exe , gen5.exe อยู่ที่โฟลเดอร์ Temp     คุณต้องเข้าไปลบมันทิ้งเสีย
    4. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Volume Shadow Manager คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    5. ขนาดไฟล์ 10.5 KB (10,752 bytes)
    6. MD5 = 9263a498f54c5ed6baa4311a50731030
    ไว้มีเวลาผมจะมาอัพเดทข้อมูลไวรัสตัวนี้ใหอีกนะครับ

    * อัพเดท 17/10/2007 15:55 p.m. *
    อัพเดทตัวใหม่ครับ! Thx นายแชมป์อีกๆ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ที่จริงได้รับตัวนี้ก่อนหน้า Nokia_19_jpg.zip อีกครับพอดีลืมอัพเดท แหะๆ มันมาในไฟล์ชื่อ spiderpig.zip ไฟล์ภายใน zip ชื่อ spiderpig.scr
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     install.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\install.exe และ C:\WINDOWS\images.zip     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 116 KB (118,784 bytes)
    5. MD5 = d36c98c03930e94693342d859aaccb7e

    * อัพเดท 16/10/2007 14:55 p.m. *
    อัพเดทตัวใหม่ครับ! Thx นายบ๊วย สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ มาในไฟล์ชื่อ Nokia_19_jpg.zip ไฟล์ภายใน zip ชื่อ www.Nokia_19_jpg-msn.com
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     LBTWiz.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\LBTWiz.exe และ C:\WINDOWS\Nokia_19_jpg.zip     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ LBTWiz.exe คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ไวรัสได้แก้ไขดัดแปลงไฟล์ยูทิลิตี้ของระบบ     ftp.exe และ tfpt.exe ถ้าไม่ได้ใช้เปลี่ยนชื่อเป็น ftp.bak และ tfpt.bak อยู่ที่โฟลเดอร์ C:\WINDOWS\system32\ และ C:\WINDOWS\system32\dllcache
    5. ขนาดไฟล์ 544 KB (557,056 bytes)
    6. MD5 = 52768baf56d7f31d34f3d3645a9b6778

    * อัพเดท 09/10/2007 16:15 p.m. *
    อัพเดท! mypic4u.zip นิดนึงครับ ไฟล์ภายใน zip จะชื่อ picture-ofme-001.JPEG-www.myspace.com เท่าที่ผมได้รับอีกครั้งและลองรันครั้งที่ 2 ปรากฏว่าไวรัสตัวนี้สุ่มชื่อ และสุ่มการตั้งค่าในรีจิสตรี้ด้วย และไม่รู้ว่าไวรัสตัวนี้สุ่มไว้กี่ค่า ไว้มีเวลาผมจะหาค่าสุ่มอื่นๆ ให้นะครับผม ผมได้มาอีกการตั้งค่าสุ่มอีกค่าหนึ่ง ดังนี้ครับ
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wfsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์     C:\WINDOWS\system32\    wfsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Firewall Service คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 60.0 KB (61,440 bytes)
    5. MD5 = 5677e921a704a44269cf3008868a5ad9

    * อัพเดท 09/10/2007 08:55 a.m. *
    อัพเดทตัวใหม่ครับ! Thx คุณแชมป์อีกครั้ง สําหรับไวรัสอีกตัวที่ส่งมาให้ผมนะครับ มันมาในไฟล์ชื่อ image23.zip ไฟล์ภายใน zip ชื่อ image23.JPG-www.slideshows.com
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ     nvsvc64.exe     จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\nvsvc64.exe     คุณต้องเข้าไปลบมันทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ nVidia Display Drive คลิกขวาเลือก Delete     ทิ้งได้เลยครับ
    4. ขนาดไฟล์ 64.0 KB (65,536 bytes)
    5. MD5 = e10e05e0604d266f45dc6dbd7ebc85d2

    * อัพเดท 06/10/2007 21:39 p.m. *
    อัพเดทตัวใหม่ครับ! Thx คุณแชมป์นะครับ สําหรับไวรัสตัวใหม่ที่ส่งมาให้ผม มันมาในไฟล์ชื่อ mypic4u.zip ไฟล์ภายใน zip ชื่อ picture-ofme-001.JPEG-www.myspace.com
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wmpsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    - วิธีจบโพรเซส กดแป้นคีย์บอร์ดนะครับพร้อมกันสามปุ่ม Ctrl + Alt + Del (ไม่รวมเครื่องหมาย + นะครับ) จะเป็นการเรียก Task Manager หรือคลิกที่ Task bar บริเวณที่ว่างๆ แล้วเลือก Task Manager ก็ได้เช่นกัน คลิกที่แท็บ Processess ดูที่คอลัมน์แรก มองหา wmpsvc.exe คลิกเลือกแล้วคลิกปุ่ม End Process หรือคลิกขวาเลือกก็ได้
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wmpsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย ถ้ามองไม่เห็นเพราะไวรัสอยู่ในโหมดซ่อนตัว ทําดังนี้ครับ
    - วิธีลบไฟล์ที่ถูกซ่อน ต้องเปิดระบบซ่อนไฟล์ของระบบก่อน ทําได้โดย เปิด Explore(หรือ My Computer บนหน้าจอ(เดสค์ทอป)เรานั่นแหละ) ไปที่เมนู Tools > Folder Options... เลือกแท็บ View ติ๊กเลือก Show hidden files and folders และอีกอัน เอาเครื่องหมายออกนะครับ ข้างหน้า Hide protected operating system files (Recommended) แล้วคลิก Apply และ OK เสร็จแล้วเข้าไปลบไฟล์ C:\WINDOWS\system32\wmpsvc.exe อีกครั้งครับ
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Media Protection คลิกขวาเลือก Delete ทิ้งได้เลยครับ ถ้าไม่รู้ว่าเข้าทางไหน ทําดังนี้เลย
    - เริ่มที่คลิกปุ่มเมนู Start เลือก Run... จากนั้นพิมพ์ regedit แล้วเอนเทอร์ หรือคลิก OK จะเป็นการเรียกโปรแกรม Registry Editor ขึ้นมา เข้าไปตามคีย์ที่กล่าวข้างบนเลยครับ แตกเครื่องบวกเข้าไปทีละคีย์ จนถึงคีย์ Run แล้วมองที่ช่อง Name ฝั่งขวาที่ชื่อ Windows Media Protection คลิกขวาเลือก Delete ทิ้งได้เลยครับ เป็นอันเสร็จสิ้นขั้นตอนนี้คครับผม ไวรัสส่วนมากมักจะฝั่งสั่งรันตัวเองในคีย์นี้แหละครับ แต่ยังมีอีกหลายคีย์ที่สั่งรันโปรแกรมโดยอัตโนมัติเมื่อสู่วินโดว์ ผู้ใช้ต้องหมั่นตรวจสอบครับ ว่าต้องการให้มันรันหรือเปล่า และผู้ใช้ยังมีวิธีที่จะดูโปรแกรมรันอัตโนมัติเหล่านี้ได้ครับ โดยพิมพ์ที่ Run... นะครับว่า msconfig แล้วดูที่แท็บ Startup รายการโปรแกรมเหล่านั้นจะรันโดยอัตโนมัติเมื่อเข้าสู่วินโดว์ ดูตัวไหนที่เราไม่รู้จัก ติ๊กเครื่องหมายออก และคลิก OK เอามันออกไปเลยครับ จะเป็นการหยุดสั่งรันไวรัสได้อีกทาง
    4. ขนาดไฟล์ 64.0 KB (65,536 bytes)
    5. MD5 = c1bff194ab44fc8b36675179cb88bef9

    มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้นะครับผม โชคดีครับ

    * อัพเดท 03/10/2007 00:10 p.m. *
    อัพเดทตัวใหม่ครับ! Thx คุณเชษฐ์ ครับสําหรับไวรัสที่ส่งมาให้ผมสองตัว ในไฟล์ชื่อ picts-[xxxx].zip ไฟล์ภายใน zip ชื่อ img0794-www.photoshare.com ไวรัสตัวนี้น่าจะพัฒนามาจากคนๆเดียวกัน จากไวรัสสายพันธุ์(Variant) IMG-[xxxx] .zip ซึ่งสังเกตุได้จาก ไวรัสภายในไฟล์ zip ที่ต่างกันเพียงชื่อ img0794-www.photoshare.com กับ img0794-www.photoupload.com และขนาดไฟล์ที่ต่างกันประมาณ 1 kb และใช้ภาษาเขียนโปรแกรมตัวเดียวกัน และพฤติกรรมการทํางานที่คล้ายๆกัน และขนาดไฟล์บนฮาร์ดดิสก์ 76.0 KB (77,824 bytes)
    มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ jucheck.exe รันพร้อมกันสองโพรเซสครับ ทําให้ยุ่งยากที่จะจบโพรเซส(End Process) ของมัน แนะนําให้ไปดาว์นโหลดโปรแกรมจัดการโพรเซส Process Explorer ที่     http://www.microsoft.com/technet/sysinternals/utilities/processexplorer.mspx มาจบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\picts-[สุ่มตัวเลขสี่หลัก].zip และอีกตัวไว้ที่ C:\WINDOWS\system32\dllcache\jucheck.exe คุณต้องเข้าไปลบ picts-[สุ่มตัวเลขสี่หลัก].zip และ jucheck.exe ทิ้งเสีย
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส เซ็ตไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ jucheck คลิกขวาเลือก Delete ทิ้งได้เลยครับ
    4. เปิดขออนุญาติให้ตัวไวรัสเปิด Port ผ่าน Windows Firewall เพื่อให้ตัวไวรัสสามารถเชื่อมต่อสู่อินเตอร์เน็ต และรอรับการเชื่อมต่อจากโปรแกรมภายนอกได้ โดยเซ็ตไว้ที่รีจิสตรี้คีย์     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
    AuthorizedApplications\List     ในชื่อ C:\WINDOWS\system32\dllcache\jucheck.exe คลิกขวาเลือก Delete ทิ้งไปเลยครับ
    ผมมีเวลา ผมจะเขียนโปรแกรมกําจัดให้โดยอัติโนมัตินะครับผม (Note: การใช้ศัพย์เรียกแทนโปรแกรมไม่ประสงค์ดีต่างๆ ในที่นี้ ไม่ว่าจะเป็น Virus , Worm , Spyware , Adware , Malware ผมจะเหมารวมเรียกเป็นไวรัสนะครับ เพื่อให้ผู้อ่านเข้าใจง่ายๆ ซึ่งผู้สนใจที่จะลงลึกในรายละเอียด สามารถค้นหาได้จากแหล่งข้อมูลทั่วไป ซึ่งมีอยู่มากมาย )

    * อัพเดท 30/09/2007 20:43 p.m. *
    ปัญหาเรื่องการดาว์นไฟล์ไม่ได้ผมแก้ลิ้งค์โดยเอาไปฝากไว้ที่ Thaiware ให้แล้วนะครับ ส่วนไวรัสตัวอื่นๆ ที่ไม่มีอยู่ในรายการข้างล่าง ใครมีช่วยกรุณาส่งมาที่เมล msgmixlive@msn.com หรือส่งผ่านเอ็มผมก็ได้ครับ ผมจะหาทางแก้ไขและช่วยเหลือต่อไป
    Download ที่นี่

    * อัพเดท 26/09/2007 21:50 p.m. *
    ขอเพิ่มเติมข้อมูลไวรัสในชื่อ     mtpics.zip หรือ myupics.zip หน่อยครับ พอดีเพิ่งได้รับไวรัสอีกตัวในชื่อ pics.zip ไม่แน่ใจว่าเป็นสายพันธุ์เดียวกันกับ mtpics.zip หรือเปล่า เพราะมีชื่อภายในไฟล์ zip ข้างในเหมือนกันในชื่อ IMAGE066.JPEG-www.myspace.com แต่ขนาดต่างกันนิดเดียว และตัว pics.zip ผมยังไม่ได้เขียนตัวกําจัดให้เลย ลองแก้ไขด้วยมือคุณเอง(Manual) ไปก่อนละกัน วันนี้ผมปวดหัว ต้องขอตัวนอนก่อนนะครับ
    มาดูวิธีแก้กันครับ สําหรับวิธีกําจัดไวรัส pics.zip
    1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wscsvc.exe จบโพรเซส(End Process) ของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
    2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wscsvc.exe เข้าไปลบ wscsvc.exe
    3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Security Center คลิกขวาเลือก Delete ทิ้งได้เลยครับ

    เดี๋ยวพรุ่งนี้จะเขียนตัวกําจัดแบบอัตโนมัติให้ครับผม ฝันดีนะครับ

    * อัพเดท 26/09/2007 16:57 p.m. *
    มันมาอีกแล้วครับไวรัส MSN เพิ่งได้รับจากน้องเมื่อกลางวันนี้เอง ตามชื่อนี้เลย N039_jpg.zip และ mtpics.zip และแล้วผมก็เตรียมเครื่องมือกําจัดไว้เรียบร้อยแล้วครับ สําหรับเพื่อนๆ พี่น้อง คนไหน ติดไวรัสสองตัวนี้ ตามรายการข้างล่าง โหลดโปรแกรมกําจัดข้างล่างได้เลยนะครับผม ^^ จะรับไฟล์อะไร ควรตรวจสอบดีๆหน่อยนะครับ จะได้ไม่เกิดปัญหา และก่อกวนคนอื่นเค้าด้วย โดยที่เราไม่ได้ตั้งใจ - - และจําไว้เป็นบทเรียนด้วยนา

     

    11:25 | 添加评论 | 阅读评论 (74) | 固定链接 | 写入日志 | Computers and Internet