วิธีแก้ไวรัสที่ติดจาก MSN (image.zip, photo.zip, pic.zip)
LSVคลังสมองออนไลน์ "ปีที่14"
พฤศจิกายน 23, 2024, 03:25:05 am *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
 
   หน้าแรก   ช่วยเหลือ เข้าสู่ระบบ สมัครสมาชิก  
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน หัวข้อ: วิธีแก้ไวรัสที่ติดจาก MSN (image.zip, photo.zip, pic.zip)  (อ่าน 73380 ครั้ง)
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« เมื่อ: สิงหาคม 06, 2007, 10:18:13 pm »

ข้อมูลทั่วไป

    W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย

    หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"

    ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip

        * LOL, you look so ugly in this picture, no joke...
        * Should I put this on facebook/myspace?
        * Hey m8, who is this on the right, in this picture...
        * Sup, seen the pictures from the other night?

    ส่วน W32.MSN2.Worm นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe


วิธีการแพร่กระจาย

    หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger

ผลกระทบที่เกิดขึ้น

    * เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
    * เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger

วิธีกำจัดหนอนชนิดนี้
    * การกำจัดหนอนแบบอัตโนมัติ
         1. ดาวน์โหลดโปรแกรม MSN_Worm_Remover.ex e           
         2. ทำการรันไฟล์ที่ได้โดยการดับเบิลคลิ๊กไฟล์ MSN_Worm_Remover.ex e

วิธีป้องกันตัวเองจากหนอนชนิดนี้
   1. ห้าม รับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดัง กล่าวนั้นเป็นไฟล์อะไร
   2. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
   3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
   4. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
   5. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
   6. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
   7. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
   8. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์


ที่มา : www.thaicert.org




ลิงค์เพิ่มเติมที่น่าสนใจ
1. http://gotoknow.org/blog/mrschuai/116391
2. http://gotoknow.org/blog/aboutme/115856
3. http://www.thaimsn.net/Article/Content/72/default.asp



บันทึกการเข้า

winai4u-LSV team
.กลุ่มผู้มีน้ำใจงาม.
member
*

คะแนน673
ออฟไลน์ ออฟไลน์

กระทู้: 3025



« ตอบ #1 เมื่อ: สิงหาคม 07, 2007, 11:34:04 am »

แนะนำให้ยกเลิกการทำงานของ ซอฟแวร์แอนตี้ไวรัสที่คุณใช้งานอยู่ก่อนรันตัวแก้นะครับ

เพิ่มเติม ข้อความ
ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)

"Hey :-), I just took this picture, sexy isnt it :-P?"
"What do you think of my photo editing skills?"
"Which one do you like in this pic, the black one or the blue one?"
"This is what happens when you eat to many chips :-P"
"Look what i made out of cans!! haah :-P!"
":-p this was halarious at that party a while back"
"Hey I have a new pic, what do ya think?"
"Check this out this pic is so freaking cool"
"Hahahaha, do you remember this picture?"
":-O Check this out! Nearly laughed my ass off!!"
"hey wats up.. have you seen this pic of harry potter?"

เครดิต : trackerx90
บันทึกการเข้า
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« ตอบ #2 เมื่อ: พฤศจิกายน 06, 2007, 11:51:22 am »

ตัวแก้แบบอัตโนมัติ..

โปรแกรมกําจัด IM-Worm Win32/IRCBot ที่แพร่ระบาดผ่าน MSN ดังเช่นหากคุณได้รับไฟล์เหล่านี้
photos.zip,   images.zip,   pic.zip,     img807.zip,     img317.zip,     imgac157.zip


IM-Worm_Win32-IRCBot_Remover

บันทึกการเข้า
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« ตอบ #3 เมื่อ: พฤศจิกายน 06, 2007, 11:53:27 am »

ลองเอาอีกวิธีไปแก้ไขครับ (สำหรับคนให้ nod32)  ไม่ใช้ก็ได้ แต่ถ้าใช้อยู่จะดีกว่า..


มันเป็นไวรัส (worm) ที่ติดมาจาก MSN สะส่วนใหญ่

NOD32 VirusMSN-IRCBOT-Fix
       NOD32 VirusMSN-IRCBOT-Fix มีไว้สำหรับกำจัดไวรัสที่ติดมาจากทาง MSN โดยผู้ที่อยู่ใน Contact List ของเราจะทำการส่งไฟล์ Image.zip มาให้อัตโนมัติ อาการของเครื่องที่ติดไวรัสจะส่งไฟล์ไวรัสนี้ต่อๆไปยังเครื่องอื่นๆทาง MSN และอาจจะทำให้ MSN ค้างได้ และจะทำการปิดฟังก์ชั่น Security Center ของ Windows อีกด้วย


วิธีใช้งาน
1. เมื่อคุณ download ลงมาแล้วจะได้รับไฟล์ NOD32 VirusMSN-IRCBOT-Fix
2. ให้คุณทำการ double click ที่ไฟล์ NOD32 VirusMSN-IRCBOT-Fix เพื่อเริ่มการทำงานของโปรแกรม
3. ให้คุณอ่านและทำความเข้าใจ License agreement แล้วกด I Agree
4. เมื่อถึงหน้าต่าง Choose Component  จะมี 2 หัวข้อให้คุณเลือกคือ
     - Remove MSN-IRCBOT คือการกำจัดตัว MSN-IRCBOT ออกไป
     - Scan and clean with NOD32 ทำการสแกนเครื่องของคุณด้วย NOD32 อีกครั้ง
5.  จากข้อ 4 . แนะนำให้คุณเลือกทั้ง 2 ข้อครับแต่ถ้าคุณไม่มีโปรแกรม NOD32 ให้เลือกข้อ 1 แล้วกด Do it now
6. จากนั้นให้คุณทำการ restart เครื่องของคุณ


ดาวโหลดไฟล์


หมายเหตุ : ก่อนจะสั่งสแกน ให้ไปหยุดการทำงานของไวรัสก่อน ดังนี้
                  1. กด ctrl + Alt + del เพื่อเรียก task manager
                  2. ดูที่ process list ว่ามี  winlog32.exe (images.zip),  msnmsg.exe (pic.zip)  หรือไม่  ถ้ามี ให้ end task ไป 
                  3. แล้วค่อยไปสั่งสแกนด้วย VirusMSN-IRCBOT-Fix


บันทึกการเข้า
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« ตอบ #4 เมื่อ: พฤศจิกายน 06, 2007, 11:54:51 am »

แก้ไวรัส images.zip, pic.zip, photos.zip ใน msn...




ชื่อ : W32.MSN.Worm และ W32.MSN2.Worm
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

----------------------------------------------
ข้อมูลทั่วไป

W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย

หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"

ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip



 
อ้างถึง
trackerx90 บันทึก:
เวิร์มตัวนี้แพร่กระจายตัวเองผ่านทาง MSN ทันทีที่มันติดเชื้อเครื่องของเหยื่อแล้ว ไวรัสจะสร้างไฟล์ pic.zip ซึ่งในไฟล์สกุล zip จะมีไฟล์ ชื่อ IMG34814.pif ซึ่งคือเวิร์ม(ไม่ได้บบีบอัดไฟล์)ลงในโฟลเดอร์ของระบบและจะส่งไฟล์ไวรัสนี้ ไปยังรายชื่อผู้ติดต่อที่อยู่ใน MSN โดยอาศัยเทคนิคลากแล้ววาง เหมือนผู้ใช้ส่งไฟล์ทั่วไป ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)


"Hey :-), I just took this picture, sexy isnt it :-P?"
"What do you think of my photo editing skills?"
"Which one do you like in this pic, the black one or the blue one?"
"This is what happens when you eat to many chips :-P"
"Look what i made out of cans!! haah :-P!"
":-p this was halarious at that party a while back"
"Hey I have a new pic, what do ya think?"
"Check this out this pic is so freaking cool"
"Hahahaha, do you remember this picture?"
":-O Check this out! Nearly laughed my ass off!!"
"hey wats up.. have you seen this pic of harry potter?"

ส่วน W32.MSN2.Worm นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe


วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger


ผลกระทบที่เกิดขึ้น

เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger
รายละเอียดทางเทคนิค

เมื่อหนอน W32.MSN.Worm และ W32.MSN2.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้




 

วิธีแก้ไข
ดาว์นโหลด : 2 โปรแกรมนี้ ตัวไหนก็ได้ครับ หรือจะทั้ง 2 ตัวเลยก็ได้
1. msn_warm_killer
2. MSNWin32-IRCBot.zip



เมื่อดาว์นโหลดแล้วจะมีหน้าตาไฟล์แบบนี้ ดังภาพ (1) แบบใช้ WinRAR (2) แบบใช้ WinZIP (3) แบบที่ไม่มีทั้ง WinRAR และ WinZIP




WinRAR : ให้แตกซิบออก โดยคลิกขวา คลิก Extract Here

 


WinZip : คลิกขวา > เลือก winZIP > เลือก Extract to Here



 
Zip ของ Windows : คลิกขวา Open ได้เลยครับ




เมื่อแตกไฟล์เรียบร้อยแล้วจะเป็นเหมือนในภาพนะครับ ผมแตกทั้ง 2 ไฟล์เลย




จากนั้น Double Click เลยครับ ทดลองจากไฟล์ด้านบนก่อนเลย จะขึ้นหน้าจก command สีดำๆ และมีข้อความแจ้งเตือน ดังภาพ




จากนั้น เมื่อทำการลบเสร็จสิ้น จะมีหน้าต่างเตือนขึ้นมาอีกที




มาดูผลของการคลิกไฟล์ด้านล่างกันบ้าง





แค่นี้ก็เป็นอันว่าเรียบร้อยแล้ว สำหรับการจำกัดเจ้า worm ตัวนี้ ออกไปจากเครื่องของเรา
วิธีที่ป้องกันได้ดี คือ ควรติดตั้งตัว scan virus และ ควรมีสติตั้งมั่นอยู่ตลอดเวลา

สงสัยมั้ยว่า ปกติเวลาเพื่อนเรามันส่งไฟล์ภาพมาให้ มันไม่เคยใส่ zip มาเลยนะ ไฟล์มันก็เล็กนิดเดียว
จะใส่ Zip มาทำไม แถมมีการทักทายเป็นภาษาอังกฤษ ซึ่งถ้ามันผิดวิสัยเพื่อนเรา ก็คิดไว้ได้เลยว่า ไม่ใช่เพื่อนเราแน่ๆ




ที่มา : เด็กไอทีคลับ
บันทึกการเข้า
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« ตอบ #5 เมื่อ: พฤศจิกายน 06, 2007, 11:56:21 am »

ตอนนี้ล่าสุดมันกลายพันธุ์ไปถึง  image30.zip  แล้ว 
ก็ให้ระมัดระวังตัวหน่อยนะครับ เข้าไปดูรายชื่อและวิธีแก้ไขไวรัสจาก MSN ตัวใหม่ๆ
ได้ที่ข้างล่างเลยครับ.. กลุ่มเครือข่าย "รายงานและให้ควมช่วยเหลือ" ความปลอดภัยบนอินเตอร์เน็ตแห่งประเทศไทย   

-\- โปรแกรมกําจัด IM-Worm Win32/IRCBot และอื่นๆ
(อัพเดท IMG-[xxxx].zip + imag091307.zip , N039_jpg.zip , mtpics.zip + pics.zip + myupics.zip
+ picts-[xxxx].zip + mypic4u.zip + image23.zip + spiderpig.zip + Nokia_19_jpg.zip + image07.zip
+ image09.zip )-/-


   * อัพเดท 04/11/2007 02:00 a.m. *
ไวรัสตัวนี้สงสัยจะเป็นตัวใหม่ มาในไฟล์ชื่อ pics.zip ไฟล์ภายใน zip ชื่อ image_071.JPEG-secured-by-MSN.scr   
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ gilck.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟlลเดอร์ C:\WINDOWS\system32\gilck.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ gilck คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ขนาดไฟล์ 232 KB (238,590 bytes)
5. MD5 = b580988905b8d5ef8bf 05b484433f129


  * อัพเดท 04/11/2007 01:33 a.m. *
อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image26.zip , image27.zip  ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com เช่น image07.JPG-www.photobucket.com ผมไม่แน่ใจว่าไวรัสสายพันธุ์นี้ สุ่มค่าไว้กี่ค่า เพราะแต่ละรุ่นตั้งค่าไว้ต่างกันไป ผมจะอัพเดทให้อีกสองตัวแล้วกันนะครับ

   มาดูหลักการทํางานคร่าวๆกัน สําหรับไวรัส  image26.zip  ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ rndsvc.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\rndsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Application Process คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)

   และสําหรับไวรัส  image27.zip  มาดูวิธีกําจัดกันเลย
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mdasvc.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\mdasvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Awareness คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ขนาดไฟล์ 10.5 KB (10,752 bytes)


  * อัพเดท 25/10/2007 23:33 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายบ๊วย นะคับ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ไวรัสตัวนี้มาในชื่อ image[สุ่มตัวเลขสองหลัก].zip เช่น image07.zip หรือ image09.zip ไฟล์ภายใน zip ชื่อ image[สุ่มตัวเลขสองหลัก เลขเดียวจากไฟล์ zip].JPG-www.photobucket.com เช่น image07.JPG-www.photobucket.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสจะสร้างไฟล์ชื่อ vbcsvc.exe ไว้ที่ C:\WINDOWS\System32\vbcsvc.exe และสั่งรันตัวมัน และจากนั้นดาว์นไวรัสจะโหลดไฟล์อีกสองไฟล์บนเว็บไซต์ ดังนี้
   - โหลดไฟล์ที่ไซต์ http://www.sterrenkids.nl/ps/ps.exe ไว้ที่ Temp และสั่งรัน
   - โหลดไฟล์ที่ไซต์ http://www.jeroenmaas.nl/path/gen5.exe ไว้ที่ Temp และสั่งรัน
   - ผมยังไม่ได้ตรวจสอบไฟล์ทั้งสองเลยทํางานอะไร แต่ผมว่าเป็นโปรแกรมไม่ประสงค์ดีแน่ๆ
2. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ vbcsvc.exe , ps.exe , gen5.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
3. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\System32\vbcsvc.exe และ ps.exe , gen5.exe อยู่ที่โฟลเดอร์ Temp คุณต้องเข้าไปลบมันทิ้งเสีย
4. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Volume Shadow Manager คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
5. ขนาดไฟล์ 10.5 KB (10,752 bytes)
6. MD5 = 9263a498f54c5ed6baa 4311a50731030
   ไว้มีเวลาผมจะมาอัพเดทข้อมูลไวรัสตัวนี้ใหอีกนะครับ


  * อัพเดท 17/10/2007 15:55 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายแชมป์อีกๆ สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ ที่จริงได้รับตัวนี้ก่อนหน้า Nokia_19_jpg.zip อีกครับพอดีลืมอัพเดท แหะๆ มันมาในไฟล์ชื่อ spiderpig.zip ไฟล์ภายใน zip ชื่อ spiderpig.scr
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ install.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\install.exe และ C:\WINDOWS\images.zip คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ MSN คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ขนาดไฟล์ 116 KB (118,784 bytes)
5. MD5 = d36c98c03930e946933 42d859aaccb7e


  * อัพเดท 16/10/2007 14:55 p.m. *
อัพเดทตัวใหม่ครับ! Thx นายบ๊วย สําหรับไวรัสตัวนี้ที่ส่งมาให้ผมนะครับ มาในไฟล์ชื่อ Nokia_19_jpg.zip ไฟล์ภายใน zip ชื่อ www.Nokia_19_jpg-msn.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ LBTWiz.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\LBTWiz.exe และ C:\WINDOWS\Nokia_19_jpg.zip คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ LBTWiz.exe คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ไวรัสได้แก้ไขดัดแปลงไฟล์ยูทิลิตี้ของระบบ ftp.exe และ tfpt.exe ถ้าไม่ได้ใช้เปลี่ยนชื่อเป็น ftp.bak และ tfpt.bak อยู่ที่โฟลเดอร์ C:\WINDOWS\system32\ และ C:\WINDOWS\system32\dllcache
5. ขนาดไฟล์ 544 KB (557,056 bytes)
6. MD5 = 52768baf56d7f31d34f 3d3645a9b6778


  * อัพเดท 09/10/2007 16:15 p.m. *
อัพเดท! mypic4u.zip นิดนึงครับ ไฟล์ภายใน zip จะชื่อ picture-ofme-001.JPEG-www.myspace.com เท่าที่ผมได้รับอีกครั้งและลองรันครั้งที่ 2 ปรากฏว่าไวรัสตัวนี้สุ่มชื่อ และสุ่มการตั้งค่าในรีจิสตรี้ด้วย และไม่รู้ว่าไวรัสตัวนี้สุ่มไว้กี่ค่า ไว้มีเวลาผมจะหาค่าสุ่มอื่นๆ ให้นะครับผม ผมได้มาอีกการตั้งค่าสุ่มอีกค่าหนึ่ง ดังนี้ครับ
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wfsvc.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wfsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Firewall Service คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ขนาดไฟล์ 60.0 KB (61,440 bytes)
5. MD5 = 5677e921a704a44269c f3008868a5ad9


  * อัพเดท 09/10/2007 08:55 a.m. *
อัพเดทตัวใหม่ครับ! Thx คุณแชมป์อีกครั้ง สําหรับไวรัสอีกตัวที่ส่งมาให้ผมนะครับ มันมาในไฟล์ชื่อ image23.zip ไฟล์ภายใน zip ชื่อ image23.JPG-www.slideshows.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ nvsvc64.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\nvsvc64.exe คุณต้องเข้าไปลบมันทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ nVidia Display Drive คลิกขวาเลือก Delete ทิ้งได้เลยครับ 
4. ขนาดไฟล์ 64.0 KB (65,536 bytes)
5. MD5 = e10e05e0604d266f45d c6dbd7ebc85d2


  * อัพเดท 06/10/2007 21:39 p.m. *
อัพเดทตัวใหม่ครับ! Thx คุณแชมป์นะครับ สําหรับไวรัสตัวใหม่ที่ส่งมาให้ผม มันมาในไฟล์ชื่อ mypic4u.zip ไฟล์ภายใน zip ชื่อ picture-ofme-001.JPEG-www.myspace.com
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wmpsvc.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
   - วิธีจบโพรเซส กดแป้นคีย์บอร์ดนะครับพร้อมกันสามปุ่ม Ctrl + Alt + Del (ไม่รวมเครื่องหมาย + นะครับ) จะเป็นการเรียก Task Manager หรือคลิกที่ Task bar บริเวณที่ว่างๆ แล้วเลือก Task Manager ก็ได้เช่นกัน คลิกที่แท็บ Processess ดูที่คอลัมน์แรก มองหา wmpsvc.exe คลิกเลือกแล้วคลิกปุ่ม End Process หรือคลิกขวาเลือกก็ได้
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wmpsvc.exe คุณต้องเข้าไปลบมันทิ้งเสีย ถ้ามองไม่เห็นเพราะไวรัสอยู่ในโหมดซ่อนตัว ทําดังนี้ครับ
   - วิธีลบไฟล์ที่ถูกซ่อน ต้องเปิดระบบซ่อนไฟล์ของระบบก่อน ทําได้โดย เปิด Explore(หรือ My Computer บนหน้าจอ(เดสค์ทอป)เรานั่นแหละ) ไปที่เมนู Tools > Folder Options... เลือกแท็บ View ติ๊กเลือก Show hidden files and folders และอีกอัน เอาเครื่องหมายออกนะครับ ข้างหน้า Hide protected operating system files (Recommended)  แล้วคลิก Apply และ OK เสร็จแล้วเข้าไปลบไฟล์ C:\WINDOWS\system32\wmpsvc.exe อีกครั้งครับ
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Media Protection คลิกขวาเลือก Delete ทิ้งได้เลยครับ ถ้าไม่รู้ว่าเข้าทางไหน ทําดังนี้เลย
   - เริ่มที่คลิกปุ่มเมนู Start เลือก Run... จากนั้นพิมพ์ regedit แล้วเอนเทอร์ หรือคลิก OK จะเป็นการเรียกโปรแกรม Registry Editor ขึ้นมา เข้าไปตามคีย์ที่กล่าวข้างบนเลยครับ แตกเครื่องบวกเข้าไปทีละคีย์ จนถึงคีย์ Run แล้วมองที่ช่อง Name ฝั่งขวาที่ชื่อ Windows Media Protection คลิกขวาเลือก Delete ทิ้งได้เลยครับ เป็นอันเสร็จสิ้นขั้นตอนนี้คครับผม ไวรัสส่วนมากมักจะฝั่งสั่งรันตัวเองในคีย์นี้แหละครับ แต่ยังมีอีกหลายคีย์ที่สั่งรันโปรแกรมโดยอัตโนมัติเมื่อสู่วินโดว์ ผู้ใช้ต้องหมั่นตรวจสอบครับ ว่าต้องการให้มันรันหรือเปล่า และผู้ใช้ยังมีวิธีที่จะดูโปรแกรมรันอัตโนมัติเหล่านี้ได้ครับ โดยพิมพ์ที่ Run... นะครับว่า msconfig แล้วดูที่แท็บ Startup รายการโปรแกรมเหล่านั้นจะรันโดยอัตโนมัติเมื่อเข้าสู่วินโดว์ ดูตัวไหนที่เราไม่รู้จัก ติ๊กเครื่องหมายออก และคลิก OK เอามันออกไปเลยครับ จะเป็นการหยุดสั่งรันไวรัสได้อีกทาง
4. ขนาดไฟล์ 64.0 KB (65,536 bytes)
5. MD5 = c1bff194ab44fc8b366 75179cb88bef9

   มีเวลาผมจะเขียนตัวกําจัดแบบอัตโนมัติให้นะครับผม โชคดีครับ


  * อัพเดท 03/10/2007 00:10 p.m. *
   อัพเดทตัวใหม่ครับ! Thx คุณเชษฐ์ ครับสําหรับไวรัสที่ส่งมาให้ผมสองตัว ในไฟล์ชื่อ picts-[xxxx].zip ไฟล์ภายใน zip ชื่อ img0794-www.photoshare.com ไวรัสตัวนี้น่าจะพัฒนามาจากคนๆเดียวกัน จากไวรัสสายพันธุ์(Variant) IMG-[xxxx] .zip ซึ่งสังเกตุได้จาก ไวรัสภายในไฟล์ zip ที่ต่างกันเพียงชื่อ img0794-www.photoshare.com กับ img0794-www.photoupload.com และขนาดไฟล์ที่ต่างกันประมาณ 1 kb และใช้ภาษาเขียนโปรแกรมตัวเดียวกัน และพฤติกรรมการทํางานที่คล้ายๆกัน และขนาดไฟล์บนฮาร์ดดิสก์  76.0 KB (77,824 bytes)
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ jucheck.exe รันพร้อมกันสองโพรเซสครับ ทําให้ยุ่งยากที่จะจบโพรเซสของมัน แนะนําให้ไปดาว์นโหลดโปรแกรมจัดการโพรเซส Process Explorer ที่ http://www.microsoft.com/technet/sysinternals/utilities/processexplorer.mspx มาจบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\picts-[สุ่มตัวเลขสี่หลัก].zip และอีกตัวไว้ที่ C:\WINDOWS\system32\dllcache\jucheck.exe คุณต้องเข้าไปลบ picts-[สุ่มตัวเลขสี่หลัก].zip และ jucheck.exe ทิ้งเสีย
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส เซ็ตไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ jucheck คลิกขวาเลือก Delete ทิ้งได้เลยครับ
4. เปิดขออนุญาติให้ตัวไวรัสเปิด Port ผ่าน Windows Firewall เพื่อให้ตัวไวรัสสามารถเชื่อมต่อสู่อินเตอร์เน็ต และรอรับการเชื่อมต่อจากโปรแกรมภายนอกได้ โดยเซ็ตไว้ที่รีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplicati ons\List ในชื่อ C:\WINDOWS\system32\dllcache\jucheck.exe คลิกขวาเลือก Delete ทิ้งไปเลยครับ
   ผมมีเวลา ผมจะเขียนโปรแกรมกําจัดให้โดยอัติโนมัตินะครับผม (Note: การใช้ศัพย์เรียกแทนโปรแกรมไม่ประสงค์ดีต่างๆ ในที่นี้ ไม่ว่าจะเป็น Virus , Worm , Spyware , Adware , Malware ผมจะเหมารวมเรียกเป็นไวรัสนะครับ เพื่อให้ผู้อ่านเข้าใจง่ายๆ ซึ่งผู้สนใจที่จะลงลึกในรายละเอียด สามารถค้นหาได้จากแหล่งข้อมูลทั่วไป ซึ่งมีอยู่มากมาย )


  * อัพเดท 30/09/2007 20:43 p.m. *
   ปัญหาเรื่องการดาว์นไฟล์ไม่ได้ผมแก้ลิ้งค์โดยเอาไปฝากไว้ที่ Thaiware ให้แล้วนะครับ ส่วนไวรัสตัวอื่นๆ ที่ไม่มีอยู่ในรายการข้างล่าง ใครมีช่วยกรุณาส่งมาที่เมล msgmixlive@msn.com หรือส่งผ่านเอ็มผมก็ได้ครับ ผมจะหาทางแก้ไขและช่วยเหลือต่อไป
Download ที่นี่


* อัพเดท 26/09/2007 21:50 p.m. *
   ขอเพิ่มเติมข้อมูลไวรัสในชื่อ mtpics.zip หรือ myupics.zip หน่อยครับ พอดีเพิ่งได้รับไวรัสอีกตัวในชื่อ pics.zip ไม่แน่ใจว่าเป็นสายพันธุ์เดียวกันกับ mtpics.zip หรือเปล่า เพราะมีชื่อภายในไฟล์ zip ข้างในเหมือนกันในชื่อ IMAGE066.JPEG-www.myspace.com แต่ขนาดต่างกันนิดเดียว และตัว pics.zip ผมยังไม่ได้เขียนตัวกําจัดให้เลย ลองแก้ไขด้วยมือคุณเอง(Manual) ไปก่อนละกัน วันนี้ผมปวดหัว ต้องขอตัวนอนก่อนนะครับ
   มาดูวิธีแก้กันครับ สําหรับวิธีกําจัดไวรัส pics.zip
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ wscsvc.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟลเดอร์ C:\WINDOWS\system32\wscsvc.exe เข้าไปลบ wscsvc.exe
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Windows Security Center คลิกขวาเลือก Delete ทิ้งได้เลยครับ

   เดี๋ยวพรุ่งนี้จะเขียนตัวกําจัดแบบอัตโนมัติให้ครับผม ฝันดีนะครับ


  * อัพเดท 26/09/2007 16:57 p.m. *
   มันมาอีกแล้วครับไวรัส MSN เพิ่งได้รับจากน้องเมื่อกลางวันนี้เอง ตามชื่อนี้เลย N039_jpg.zip และ mtpics.zip และแล้วผมก็เตรียมเครื่องมือกําจัดไว้เรียบร้อยแล้วครับ สําหรับเพื่อนๆ พี่น้อง คนไหน ติดไวรัสสองตัวนี้ ตามรายการข้างล่าง โหลดโปรแกรมกําจัดข้างล่างได้เลยนะครับผม ^^ จะรับไฟล์อะไร ควรตรวจสอบดีๆหน่อยนะครับ จะได้ไม่เกิดปัญหา และก่อกวนคนอื่นเค้าด้วย โดยที่เราไม่ได้ตั้งใจ - - และจําไว้เป็นบทเรียนด้วยนา


   * อัพเดท 25/09/2007 11:22 a.m. *
อัพเดทลิ้งค์ดาวน์โหลดให้แล้วนะครับ

   โปรแกรมกําจัด IM-Worm Win32/IRCBot & Trojan Win32/Agent.axx และรุ่นอื่นๆ ที่แพร่ระบาดผ่าน MSN ดังเช่นไฟล์ดังต่อไปนี้

photos.zip , images.zip , pic.zip , img807.zip , img317.zip , imgac157.zip , img301.zip

( img4851.zip < สายพันธุ์เดียวกันแต่ชื่อต่างกัน > img09-11- 07.zip , DC58712.zip , funny.zip , image4751.zip , IMG09-06-07.zip , tributeslideshow.zi p , IMG48571.zip , lastnight.zip , Sep11thSlideShow.zi p , September11th.zip, September11thTribut e.zip )

S_00305_jpg.zip , G038_jpg.zip , IMG0024.zip - & Trojan Win32/Agent.axx (Kaspersky)

IMG-0012.zip (ตัวใหม่ร้ายกว่าเก่า)

X_0005_jpg.zip , IMG-[xxxx].zip , IMG012.zip หรืออีกชื่อ IMG028.zip

imag091307.zip (อัพเดท)
    ลิ้งค์สําหรับดาว์นโหลดโปรแกรมกําจัดไวรัสเหล่านี้
Download ลิ้งค์ที่ 1

Download ลิ้งค์ที่ 2

ลิ้งค์ล่างสุดนี้ สําหรับตัวกําจัด IMG-0012.zip เท่านั้นนะครับ และลิ้งค์ที่แรก ก็ลบ IMG-0012.zip ได้เช่นกัน แต่ถ้าเอา
ไม่อยู่ ก็โหลดลิ้งค์นี้ด้วยนะครับ
Download ตัวกําจัด IMG-0012.zip



ที่มา : กลุ่มเครือข่าย "รายงานและให้ควมช่วยเหลือ" ความปลอดภัยบนอินเตอร์เน็ตแห่งประเทศไทย   
         ยังมีตัวแก้อีกหลายๆ ตัวที่น่าสนใจลองเข้าไปศึกษาเพิ่มเติมครับ

บันทึกการเข้า
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« ตอบ #6 เมื่อ: พฤศจิกายน 06, 2007, 12:21:39 pm »

วิธีแก้ไวรัส MSN ที่ช่างอิเล็กกำลังติดกันงอมแงมตอนนี้คือ image24.zip
มาดูวิธีแก้กันครับ.. Kiss


   * อัพเดท 05/11/2007 21:54 p.m. *
อัพเดทเพิ่มเติมสําหรับไวรัส image[สุ่มตัวเลขสองหลัก].zip เช่น image24.zip
   มาดูหลักการทํางานคร่าวๆกัน ที่พอจะกําจัดมันได้
1. ไวรัสเปิดรันทํางานอยู่ในโพรเซสที่ชื่อ mdesvc.exe จบโพรเซสของมันก่อนนะครับแล้วค่อยทําขึ้นตอนต่อไป
2. ไวรัสจะคัดลอกตัวเองไปไว้ที่โฟlลเดอร์ C:\WINDOWS\system32\mdesvc.exe คุณต้องเข้าไปลบมันทิ้งก่อน
3. เปิดสั่งรันตัวเองทุกครั้งเมื่อเปิดวินโดว์ส ตั้งค่าไว้ในรีจิสตรี้คีย์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ในชื่อ Logical Disk Detection คลิกขวาเลือก Delete ทิ้งได้เลยครับ 



ที่มา : กลุ่มเครือข่าย "รายงานและให้ควมช่วยเหลือ" ความปลอดภัยบนอินเตอร์เน็ตแห่งประเทศไทย   
บันทึกการเข้า
TongTang-LSV team♥
.กลุ่มผู้มีน้ำใจงาม..
member
*

คะแนน985
ออฟไลน์ ออฟไลน์

กระทู้: 3404



« ตอบ #7 เมื่อ: กุมภาพันธ์ 20, 2009, 11:11:48 pm »

MSN Virus Cleaner  โปรแกรมกำจัดไวรัสที่มากับ MSN ไม่ว่าจะการแนบไวรัสมากับรูปภาพ
หรือการหลอกลวงให้เข้าไปดูเว็บไซต์…ที่มีไวรัสจากการเชื่อเชิญของเพื่อนๆ ใน MSN ก็ตาม (โดยที่เจ้าของ MSN นั้นๆ ส่งมาไม่รู้ตัว)
ก็ลองเอาโปรแกรมนี้ไปกำจัดไวรัสในเครื่องคุณและในกลุ่มเพื่อนๆ ที่ใช้ MSN กันครับ.













MSN Virus Cleaner 2.0.2.9 Lite

หรือ

MSN Virus Cleaner 2.0.2.9 Lite






หมายเหตุ : ถ้าท่านใดลงแล้วไม่สามารถรันโปรแกรมขึ้นมาใช้งานได้ ให้ไปดาวโหลดตัวนี้มาติดตั้ง
                      Microsoft .NET Framework 2.0

บันทึกการเข้า
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1 RC2 | SMF © 2001-2006, Lewis Media

lsv2555Please follow the new website at https://www.pohchae.com

Valid CSS!