สอนฆ่าไวรัส

10 อันดับไวรัสคอมพิวเตอร์ที่ระบาดทั่วโลก 2009


Trend Micro รายงาน 10 อันดับไวรัสคอมพิวเตอร์ที่ระบาดทั่วโลกในระหว่างเดือนมิถุนายน 2552 โดยรวบรวมข้อมูลจากการตรวจพบไวรัสคอมพิวเตอร์จากโปรแกรมของเทรนด์ไมโคร 3 ตัวด้วยกัน คือ โปรแกรม HouseCall ซึ่งเป็นระบบบริการสแกนไวรัสแบบเว็บเบสภายในองค์กร การให้บริการสแกนไวรัสแบบออนไลน์บนอินเทอร์เน็ตของ Trend Micro และ Trend Micro Control Manager (TMCM) ซึ่งเป็นระบบป้องกันไวรัสสำหรับองค์กร โดยไวรัสที่ มีการพบมากเป็นอันดับหนึ่งและอันดับสอง ได้แก่ MAL_OTORUN2 (กลับมาทวงอันดับที่ 1 คืน) และ MAL_VUNDO-9 ตามลำดับ สำหรับอันดับอื่นมีรายละเอียดดังนี้

1. MAL_OTORUN2 [16,330,62]
2. MAL_VUNDO-9 [16,327,681]
3. POSSIBLE_VUNDO-9 [3,811,484]
4. MAL_OTORUN1 [2,747,691]
5. CRYP_MANGLED [742,437]
6. MAL_VUNDO-6 [666,340]
7. MAL_VUNDO-8 [586,526]
8. CRYP_TAP-6 [569,298]
9. POSSIBLE_HIFRM-5 [508,591]
10. TROJ_VB.CEO [393,840]

หมายเหตุ: ตัวเลขในวงเล็บคือจำนวนคอมพิวเตอร์ที่ติดไวรัส

สำหรับ ในประเทศไทยนั้น ไวรัสที่ พบว่ามีการระบาดมากที่สุดในระหว่างเดือนมิถุนายน 2552 อันดับแรกยังคงเป็น Mal_Otorun2 และอันดับสองก็ยังคงเดิมคือ WORM_DOWNAD.AD หรือ Conficker หรือ Downadup นั่นเอง

• ที่มา: Trend Micro Virus Map: http://wtc.trendmicro.com/wtc/default.asp

ป้ายกำกับ: CRYP_MANGLED, CRYP_TAP-6, MAL_OTORUN1, MAL_OTORUN2, MAL_VUNDO-6, MAL_VUNDO-9, POSSIBLE_VUNDO-9

จากที่หายไปนาน เรากลับมาอัพเดท เรื่องราวของ Virus Computer กันต่อนะครับ ไวรัสตัวนี้เป็นไวรัสที่เกิดขึ้นมาภายในปีนี้กันเลย มันชื่อ "Antivirus 2009" ถ้าเกิดว่าใครเผลอไปกดติดตั้งมันเข้าไปแล้ว จะต้องเจอดีแน่ๆ..^_^



ะวังไวรัสคอมพิวเตอร์ชื่อ "Antivirus 2009" .....

ระวังไวรัสคอมพิวเตอร์ชื่อ "Antivirus 2009"
ชื่อไวรัส : Antivirus 2009

ประเภทไวรัส : trojan

ลักษณะ icon : มีรูปเหมือน Security Center ของ Windows

อาการ : เข้าอินเทอร์เน็ตไม่ได้, มีหน้าต่างของไวรัสขึ้นมารบกวน

วิธีแก้ไข : วิธีที่ 1 ใช้วิธี System Restore

วิธีที่ 2 ใช้โปรแกรม SUPERAntiSpywarePro.exe
http://downloads.superantispyware.com/downloads/SUPERAntiSpywarePro.exe

โดยที่ชื่อจริงของไวรัสตัวนี้คือ adware.vundo/variant

อาการของเครื่องที่ติดไวรัสตัวนี้
........- ขณะใช้อินเทอร์เน็ตจะมีหน้าต่าง Pop up ขึ้นมาบอกให้ scan ไวรัสอยู่ตลอดเวลา (เหมือนภาพด้านบน)

วิธีแก้ไข
- ให้ใช้โปรแกรม Malwarebytes' Anti-Malware (Freeware) ในการกำจัดไวรัสตัวนี้นะครับ (ให้ทำการ Update หลังจากที่ติดตั้งโปรแกรมเสร็จเป็นที่เรียบร้อยแล้ว)

ข้อมูลเพิ่มเติม
- วิธีแก้ไวรัส antivirus 2009 protection : Chit
- วิธี แก้ ไวรัส VIRUS_ALERT antivirus 2009 : ช่างป่าน
- How to remove Antivirus 2009 (Uninstall Instructions) : Grinler
- Antivirus 2009: How to Remove Fake AV Software : PC World

ที่มา http://edtech.swu.ac.th/edtech/mod/forum/discuss.php?d=670

ป้ายกำกับ: Antivirus 2009

michael jackson Virus



ขณะนี้มีการระบาดของหนอนไวรัส ชื่ือ W32.Ackantta.F@mm ซึ่งหนอนไวรัสนี้จะแนบมากับ Mail ในหัวข้อ(Suject) "Remembering Michael Jackson"

โดยอีเมล์ดังกล่าวจะแนบไฟล์ที่ชื่อ Michael songs and pictures.zip ทางแผนก IT จึงเรียนมายังทุกท่านให้ระมัดระวัง และหากท่านใดได้รับ mail ดังที่กล่าวมาแล้ว ห้ามเปิด Mail ให้ทำการลบทันที หนอนไวรัสชนิดนี้นอกจากจะแพร่กระจายผ่านอีเมลแล้ว ยังสามารถแพร่ผ่านไดร์ฟที่ใช้ autorun.inf เช่น Flash Drive (รายละเีอียดเพิ่มเติมด้านล่าง) เรียนมาเพื่อแจ้งเตือนทุกท่าน พระเจ้าอวยพระพร ด่วน!! ระวัง ไวรัสไมเคิล แจ็คสัน ระบาดหนัก ไวรัสไมเคิล แจ็คสัน ไซ แมนเทค (Symantec Security Response) บริษัทผู้พัฒนาโปรแกรม Antivirus ชั้นนำของโลก เตือนผู้ใช้อินเทอร์เน็ตให้ระวังหนอนไวรัสตัวใหม่ล่า สุด ที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาด้วยการใช้ความสูญเสีย จากการเสียชีวิตของราชา เพลงป๊อบ ไมเคิล แจ๊คสัน เป็นตัวดึงดูดความสนใจ ช่องทางการแพร่ไวรัส หนอนไวรัสชนิดนี้จะถูกแนบไฟล์มากับอีเมล์ที่มีหัวข้อ ว่า "Remembering Michael Jackson" โดยในอีเมล์ดังกล่าวจะแนบไฟล์ที่ชื่อ Michael songs and pictures.zip ซึ่งเป็นไฟล์บีบอัดหรือซิปไฟล์ (zip file) ซึ่งพ่วงเอาไฟล์ไวรัสที่ชื่อ "MichaelJacksonsongsandpictures.doc.exe" มาด้วย หากผู้ใช้ดับเบิ้ลคลิกไฟล์ดังกล่าว คอมพิวเตอร์ก็จะติดไวรัสโดยทันที ไซแมนเทคได้ให้ข้อมูลเพิ่มเติมเกี่ยวกับไวรัสดังกล่า วว่า เป็นหนอนไวรัส (Worm) ที่ชื่อ W32.Ackantta.F@mm หนอนไวรัสชนิดนี้ นอกจากจะแพร่กระจายผ่านทางอีเมล์แล้ว ยังสามารถติดผ่านไฟล์ autorun.inf ได้อีกด้วย โดยเฉพาะกับผู้ใช้แฟลชไดรฟ์หรือทรัมไดรฟ์ และนี่ก็คือรูปตัวอย่างของไฟล์แนบ Michael songs and pictures.zip ที่มาของ ไวรัสไมเคิล แจ็คสัน ครับ ไวรัสไมเคิล แจ็คสัน ตัวอย่าง MSN ที่มีลิงค์อันตรายแฝงอยู การป้องกัน - หากได้รับอีเมล์ที่มีชื่อว่า "Remembering Michael Jackson" พร้อมไฟล์แนบที่ชื่อ Michael songs and pictures.zip ให้สงสัยไว้ก่อน และไม่ควรเปิดไฟล์แนบดังกล่าว - หมั่นอัพเดตโปรแกรม Antivirus อยู่เป็นประจำ - หมั่นอัพเดต Windows เป็นประจำ แค่นี้ก็จะปลอดภัยจากหนอนไวรัสไมเคิลแล้วง๊าฟ

เครดิต : เว็บโซนไอทีดอทคอม

ลักษณะอาการ ของไวรัสนี้





1. เมื่อดับเบิ้ลคลิกที่ ไดรฟ ใน My computer จะ เปิดขึ้นมาในหน้าจอใหม่


2. เปิด "my computer" > tools > folder options > เลือก แท๊บ View


- เลือก Hidden files and folders > "choose show hidden files and folders"


- ถอดติ๊กถูกที่ "Hide protect Operating System Files (Not recommend)"


- กด ok - กลับเข้ามาใหม่อีกรอบ "my computer" > tools > folder options > เลือก แท๊บ View


- ปุ่ม Hidden Files and folders กลับไปที่ "Do not show hidden files"


- ช่อง "Hide protect Operating System Files (Not recommend)" กลายเป็น ติ๊กถูกอีกครั้ง


- แปลว่าติดไวรัส ชนิดนี้นะฮะ





วิธีกำจัดไวรัส*


ใน ข้อ 1-17 ผมไม่มีการเข้าไปใน my computer นะครับ กรุณาอย่าเข้านะครับ


1. เปิด notepad เซฟ ข้อความทั้งหมดนี้ ไว้ที่ desktop นะครับ


2. Start > Run > type "msconfig" ,, enter


3. เลือก แท๊บ "Startup"


4. มองหา [ckvo] หรือ [kamsoft] หรือ [C:\windows\system32\ckvo.exe]",, ถอด ติ๊กถูก ออกให้หมดครับ


5. ปิด msconfig Restart เครื่อง 1 ทีฮะ (แล้วก้ มาเปิด notepad อีกรอบเอาฮะ เพราะคุณคงเซฟ ไว้ที่ Desktop แล้ว)


6. Start > Run > พิมพ์ "cmd" ,, enter


7. พิมพ์ "cd\" ,, enter ,, ( จะเห็น ที่หน้า Dos ว่า C:\> เฉยๆ)


8. พิมพ์ "del autorun.inf /AH /F" ,, enter (เว้นวรรค ตามนี้ครับ del_autorun.inf_/AH_/F)


9.1 ถ้าหน้าจอ ไม่มีข้อความอะไรขึ้น ขึ้นแค่ C:\ ถือว่าถูกครับ (แค่ตอนกดครั้งแรกเท่านั้นนะครับ ถ้ากดครั้งที่สอง มันจะบอกว่า Could not find)


9.2 ถ้าหน้าจอ ขึ้นว่า "Could not find C:\autorun.inf" หรือ "Access is denied" แปลว่าผิดนะครับ กลับไปทำข้อ 8 ใหม่ เช็กดูว่าพิมถูกหรือปล่าว


10. ทำกับทุกไดรฟ ที่คุณมีนะครับ (เช่น C: D: E: F:) รวมถึง Flash Drive ด้วย ถ้ามี


11. ปิดหน้าต่าง CMD ครับ


12. Start > Run > พิมพ์ "regedit"


13. เข้าตามนี้เลยครับ HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Explorer > Advanced > Folder > Hidden > SHOWALL


14. ลบ "CheckedValue" ออกไปครับ จะเหนมันอยู่ทางขวามือ


15. คลิ๊กขวา (ที่หน้าจอขวามือ) > new > DWord Value


16. พิมพ์ "CheckedValue" ,, enter ,,


17. ดับเบิ้ลคลิกไฟล "CheckedValue" แล้วใส่ค่า = 1 ครับ (hex)18. ok & ปิดหน้าต่าง regedit ครับ


18. เปิด My computer > Tools > folder options (อย่าดับเบิ้ลคลิก icon ทุก drive นะครับ)


19. เลือก แท๊บ "View"


20. เลือก Hidden files and folders > "show hidden files and folders" ถอดติ๊ก "Hide extensions for known file types"


21. ถอดติ๊ก "Hide protect Operating System Files (Not recommend)"


22. Ok


23. พิมพ์ "C:" ที่ช่อง address bar (อย่าดับเบิ้ลคลิก icon drive นะครับ)


24. ใน C: ,, ลบ "c9hehpa.bat" , "hgu.bat" , "~.bat" (ทุกไฟลที่ .bat ยกเว้น autoexec.bat)


25. ใน C:\windows\system32\ ,, ลบ "ckvo.exe" , "ckvo.dll" , "ckvo0.dll" , "ckvo1.dll" (ทุกไฟลขึ้นต้นด้วย ckvo)


26. เสร็จแล้วครับผม ^^~*





แก้การตั้งค่าต่างๆ กลับที่นะครับ


1. เลือก แท๊บ "View"


2. เลือก Hidden files and folders > "Do not show hidden files"


3. ติ๊กถูก ช่อง "Hide extensions for known file types"


4. ติ๊กถูก ช่อง "Hide protect Operating System Files (Not recommend)"


5. เรียบร้อยละครับ





หรือว่าจะใช้ NOD32_Registry_Recovery-V1.1.exe ก็ได้นะครับ ง่ายดี





ดาวน์โหลด http://share.psu.ac.th/file/sukone.p/NOD32_Registry_Recovery-V1.1.exe





Credit: ToonSuperLove

ป้ายกำกับ: Can't Show Hidden files and folders, Ckvo.dll, Ckvo.exe, kamsoft, vamsoft, Virus Ckvo

News !

ป้ายกำกับ: Process Explorer, SpywareMicrosoft, Virus Computer, Worm

แจ้งเตือนไวรัส Sality ครับ

เนื่องจากช่วงนี้ ในที่ทำงาน ไอ้ไวรัสตัวนี้ (win32.Sality.aa) ระบาดหนักครับด้วยความสงสัย ว่า ไอ้ไวรัสตัวนี้มันติดได้ยังงัย แล้วติดแล้วจะเป็นยังงัย

เอาชื่อ นะคัรบ สำหรับคนที่ Update Antivirus แล้วนะครับจะรู้จักกันในนามต่อไปนี้นะครับVirus.Win32.Sality.a (Kaspersky Lab) is also known as: Win32.Sality.a (Kaspersky Lab), W32/Sality.a (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.29032 (Doctor Web), W32/Sality-A (Sophos), PE_ROSEC.A (Trend Micro), W32/Sality.A (FRISK), Win32:V-29032 (ALWIL), Win32/Sality.A (Grisoft), Win32.Sality.A (SOFTWIN), W32/Sality.A (Panda), Win32/Sality.A (Eset)

ท่านใดที่ใช้antivirus ที่รู้จักไวรัสตัวนี้แล้วก็ไม่น่าห่วงครับ แต่เน้นไว้ก่อนนะครับ ว่า antiviirus ต้อง update ไม่งันก็เสร็จโจน เหมือนกันครับ เหมือนมี มีด แต่ไม่ลับอ่ะครับ


การแพร่พันธ์

Sality is a portable executable (ติดทาง flash dirve, handy drive หรือ trumb drive แล้วแต่จะเรียกครับ )(PE is the standard executable format for 32-bit Windows files) virus. PE viruses infect executable Windows files by incorporating their code into these files such that they are executed when the infected files are opened.PE viruses may have other capabilities. Many PE viruses keylogging and open backdoor access ports that allow remote users to manipulate affected systems(เหมือนโจรมันมาแอบเปิดประตูบ้านเราไว้อ่ะครับ 6 - - เพื่อเพือนโจรคนอื่นจะแวะมาทักทายเพิมเติม); some can spread into other computers. (ทำเครื่องตัวเองติดไม่พอ ยังจะพยายามจะขยายพันธ์ข้ามเครื่องอีก)

Files infected by PE viruses are typically cleanable - they can be reverted back to their clean states. However, restoring affected systems may require procedures other than scanning with an antivirus program.

OS ที่เป็นแหล่งเพราะพันธ์ทีดีครับSystems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

สนใจข้อมูลเพิ่มเติม ไปต่อได้ที่
1. http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=1/
2. http://www.trendmicro.com/vinfo/apac/virusencyclo/default5.asp?VName=PE_ROSEC.A
3. http://www.viruslist.com/en/viruses/encyclopedia?virusid=21026
4. http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.htmlด้วยความ

ปรถนาดี ^^ ครับ !!

ลักษณะของไฟล์ Autorun ครับอาการที่สังเกตุได้นะคัรบ
1. ชื่อไฟล์เราแปลก ๆ ไปครับ มักจะมี exe ต่อท้าย
2. folder บ้างFolder ถูกเปลี่ยนแปลงไปให้กลายเป็น hidden หรือ ถูกซ่อนไปซะอย่างนั้นครับ (อันนี้ไม่แน่ใจ ว่าเป็นจากSality หรือเปล่านะครับ แบบว่ามีระบาดหลายตัว)
3. แน่นอนทีเดียวครับเป็นไวรัสที่จิ๊มปุ๊บ ติด ปั๊บครับ
4. ระวังมันแพร่พันธ์ทาง network ด้วยนะครับแนว

ทางแก้ไขครับ FIX sality

1. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2EEK&VSect=Sn
2. ดาวน์โหลดตัว FIX http://u3.upload.sanook.com/A0/15bde4af8cd0e8b618fcf50de3412777
3. หรือ ดาวน์ของ AVG ได้ที่ http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
4. http://share.psu.ac.th/file/sukone.p/NOD32_Registry_Recovery-V1.1.exe ตัวนี้จะเป็นตัวช่วยแก้ไข Registry นะครับ
5.ดาวน์โหลด Kaspersky
เอาไปลองใช่ดูคับ มีคีย์ใช้ได้ 2 ปีด้วยคับ
http://www.tempf.com/getfile.php ... ime=application/rar
วิธีติดตั้ง
http://www.tempf.com/getfile.php ... =application/msword

**หมายเหตุที่สำคัญ**

ไวรัสตัวนี้ มักจะเขียนไฟล์ไปบน Header ของไฟล์ *.exe
ซึ่งเราไม่สามารถรู้ได้เลยว่าไฟล์ที่เราติดตั้งไปนั้นติดไวรัสหรือเปล่า เมื่อเราติดตั้งโปรแกรมนั้น ก็จะติดไวรัสนั้นด้วย ทางที่ดีนะครับให้เราทำการสแกนไวรัสก่อนแล้วค่อยติดตั้ง และที่สำคัญนะครับไวรัสตัวนี้จะติดไฟล์ *.exe ทุกตัวที่เราทำการ Run Program นั้นๆในเครื่องที่ติดไวรัส ตัวนี้อยู่ ถ้าเกิดเอาไปรันที่เครื่องอื่นเครื่องนั้นก็จะพลอยติดไปด้วย นะครับ

ป้ายกำกับ: instructions15 Jan 2007 ... Information concerning W32/Sality-AA and clones, removal tools, removal tools etc., spyware, Virus.Win32.Sality.aa, W32/Sality-AA virus

รวมวิธีแก้ไวรัสคอมพิวเตอร์ที่ติดกันมากที่สุดในตอนนี้

ชื่อ : Brontok.A , Brontok.B การแพร่ระบาด :


1. ติดต่อกันได้ทางอินเตอร์เน็ต
2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive หรือ วิธีที่ชอบเรียกกันว่า ขอจุ๊บ, ดูดๆ หรือเสียบตูดที วิธีนี้จะระบาดมาก เนื่องจากพวกที่อยู่ในวัยเรียนหรือวัยทำงานมักใช้แลกเปลี่ยนข้อมูลหรือเอาไปต่อพรีเซ้นต์งาน แล้วพากันซวยทั้งมหาลัยหรือที่ทำงาน
3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร หากแอนตี้ไวรัสไม่มี Network Shield ระวังให้ดี ต่อสายปุ๊บติดปั๊บอาการเมื่อติดไวรัส :
1. มีข้อความแสดงชื่อไวรัสและข้อความรณรงค์เกี่ยวกับเรื่องการทำแท้ง เสพยา ฟรีเซ็กซ์ (เป็นภาษามาเลย์) ขึ้นหน้าจอโดยที่ไม่ได้เรียกใช้งาน
2. เมื่อเปิด Windows Explorer จะพบว่า Folder Options ในเมนู Tool หายไป
3. เมื่อใช้คำสั่งเรียก msconfig เครื่องจะรีสตาร์ทอัตโนมัติ (Start --> Run พิมพ์ msconfig คลิก OK)
4. เปิดเข้า Registry Editor ไม่ได้ (Start --> Run พิมพ์ regedit คลิก OK)
5. ในโฟลเดอร์ จะมี ไฟล์.exe ที่ชื่อเดียวกับชื่อของโฟลเดอร์ เช่น โฟลเดอร์ชื่อ mySong เปิดเข้าไปก็จะพบ mySong.exe (เป็น Brontok.B worm) วิธีแก้ไข (แบบยาก โอกาสสำเร็จ 99% ) :
1. ติดตั้งโปรแกรมประเภทแอนตี้ไวรัสพร้อมอัพเดตไฟล์โปรแกรมล่าสุด
2. ถอดสายแลนออก (ถ้ามี) เข้า Windows ในโหมด Safe Mode (การเข้า Safe Mode : กดสวิตช์เปิดเครื่องแล้ว ให้กดคีย์บอร์ด F8 ย้ำหลายๆครั้ง จนหน้าจอขึ้นข้อความที่มี Menu ให้เลือก เลือกไปที่ Safe Mode กด Enter) แล้วทำการสแกนไวรัสทั้งฮาร์ดดิสก์และฆ่าทิ้ง (delete) สแกนซัก 2 รอบ
3. รีสตาร์ทเครื่อง เข้าโหมดปกติ
4. ขั้นตอนนี้จะเป็นการแก้ไขให้เข้า Registry Editor ได้ วิธีการคือต้องเข้าไปดาวน์โหลดไฟล์ UnHookExec.inf ก่อนจากเว็บไซต์ UnHookExec.inf
5. เมื่อได้ไฟล์ UnHookExec.inf มาแล้ว ให้คลิกขวาที่ไฟล์นี้ จากนั้นคลิกที่คำว่า Install เสร็จแล้วให้รีสตาร์ทเครื่อง
6. ขั้นตอนนี้จะเป็นการแก้ไขให้เมนู Tool ใน Windows Explorer มีเมนู Folder Options วิธีการคือ เข้าไปใน Registry Editor โดยการคลิกที่ Start --> Run แล้วพิมพ์ regedit แล้วคลิก OK7. เข้าไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / Policies / Explorer ดับเบิลคลิกที่ NoFolderOptions ในช่อง Value data ให้แก้จาก 1 ให้เป็นเลข 0 แล้วคลิก OK แล้วออกจากโปรแกรมทั้งหมด รีสตาร์ทเครื่อง เป็นอันเสร็จวิธีแก้ไข(แบบง่าย โอกาสสำเร็จ 90% ) :
1. ดาวน์โหลดโปรแกรม CS_DevEvil.rar จาก CS_DevEvil.rar
2. รันโปรแกรม CS_DevEvil แล้วคลิก Start เพื่อเริ่มกำจัดไวรัส
3. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel
4. รันโปรแกรมแอนตี้ไวรัส เแล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่ หมายเหตุ: 2,3,4 ต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส ดีที่สุดควรทำใน Safe Mode ข้อแนะนำ :
1. ไวรัสตัวนี้ค่อนข้างฉลาดและไวมาก เสียบ Handy Drive หรือ Lan ปุ๊บติดปั๊บ เช็คดีๆก่อนทุกครั้ง
2. เวลาแก้ต้องแก้ทุกอุปกรณ์ที่ติด ถ้าหายแล้วอย่าเอาไปต่อกับตัวที่ติด ถ้าไม่มั่นใจว่าแอนตี้ไวรัสอัพเดตพอ
3. ถ้าตอนสแกนแล้วแอนตี้ไวรัสหาไม่เจอทั้งที่มีอาการดังกล่าว อย่ามั่นใจว่าปลอดภัย ควรเปลี่ยนแอนตี้ไวรัสทันที4. Mcafee กับ Norton ห่วยมาก อย่าคิดว่าบนโลกมีแอนตี้ไวรัสแค่สองตัว ลองใช้ตัวอื่นดูบ้าง แนะนำ (1. BitDefender (2. Kaspersky (3. Avast (4. NOD32 (5. AVG


ชื่อ : AdobeR ,Ms32dll.dll.vbs และ Hacked By Godzilla (มักจะติดเป็นคอมโบเซ็ต มาเป็นชุดยังกับแฮปปี้มีล)


การแพร่ระบาด :1. ติดต่อกันได้ทางอินเตอร์เน็ต
2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive หรือ วิธีที่ชอบเรียกกันว่า ขอจุ๊บ, ดูดๆ หรือเสียบตูดที วิธีนี้จะระบาดมาก เนื่องจากพวกที่อยู่ในวัยเรียนหรือวัยทำงานมักใช้แลกเปลี่ยนข้อมูลหรือเอาไปต่อพรีเซ้นต์งาน แล้วพากันซวยทั้งมหาลัยหรือที่ทำงาน
3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร หากแอนตี้ไวรัสไม่มี Network Shield ระวังให้ดี ต่อสายปุ๊บติดปั๊บอาการเมื่อติดไวรัส :
1. เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ เช่น C:\ D:\ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า Hacked By Godzillaวิธีแก้ไข(แบบยาก โอกาสสำเร็จ 99% ) :1. ดับเบิลคลิกไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options 2. ปรากฏไดอะล็อก Folder Options คลิกแท็บ View -คลิกเลือก Show Hidden files and folders -เอาเครื่องหมายถูก ในช่องสี่เหลี่ยมหน้า Hide extentions for known file types และ Hide protected operating system file ออก -คลิก OK
3. กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4. ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes -คลิกเลือกเมนู Image Name (เพื่อ sort File) -คลิกเลือกไฟล์ wscript.exe ( ทีละตัว ) -คลิกปุ่ม End Process
5. เปิดไดร์ฟ (โดยคลิกเม้าส์ขวาเลือก Explore ห้าม! ดับเบิลคลิกไดร์ฟ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย
6.เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete)
7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK
8. คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
9. คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title Hacked by Godzilla ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK ปรากฏไดอะล็อกบ็อก Group Policy
11. คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties -คลิกเลือก Enabled -คลิกเลือก All drives -คลิก OK เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
12.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง msconfig กดปุ่ม OK ปรากฏไดอะล็อกบ็อก System Configuration Utility คลิกแท็บ Startup -เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้าไฟล์ MS32DLL ออก -คลิกปุ่ม Apply -คลิกปุ่ม OK (หรือ Close) จะปรากฏไดอะล็อกบ็อก System Configuration เลือก Exit Without Restart
13.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
14.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View -คลิกถูก ในช่องสี่เหลี่ยมหน้า Hide extentions for known file types และ Hide protected operating system file-คลิก OK
15. Click เม้าส์ขวาที่ไอคอน Recycle bin เพื่อเรียก Shortcut Menu เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง
16. รีสตาร์ตอีกครั้งเป็นอันเสร็จวิธีแก้ไข(แบบง่าย โอกาสสำเร็จ 99% ) :
1. หากติดในเครื่อง ให้โหลดไฟล์นี้ไป AdobeR_Killer.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อกำจัดไวรัส
2. หากติดใน Handy Drive ให้โหลดไฟล์นี้ไป AdobeR_USB.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อกำจัดไวรัส
3. หากพบว่าใน Title Bar ของ Internet Explorer มีคำว่า Hacked By Godzilla ให้โหลดไฟล์นี้ไป Anti_Hacked_By_Godzilla.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อ กำจัดไวรัส
4. สำหรับเครื่องที่คลิกที่ Drive แล้วขึ้นว่า Can not find Ms32dll.dll.vbs ให้โหลดโปแกรมตัวนี้ไปติดตั้งในเครื่อง explorerxpsetup.zip เพื่อใช้ โปแกรมนี้ในการลบ ไฟล์ ที่ชื่อ ว่า Autorun.inf ใน Drive หรือ ใน Thum Drive ที่ติดไวรัส เพื่อให้ Drive นั้นเปิดใช้งานได้ตามปรกติข้อแนะนำ :
1. ไม่ว่าจะทำแบบง่ายหรือยาก ต้องทำ!ขั้นตอนที่ 10 และ 11
2. ไวรัสตัวนี้ค่อนข้างฉลาดและไวมาก เสียบ Handy Drive หรือ Lan ปุ๊บติดปั๊บ เช็คดีๆก่อนทุกครั้ง
3. เวลาแก้ต้องแก้ทุกอุปกรณ์ที่ติดหรือถ้าหายแล้วอย่าเอาไปต่อกับตัวที่ติด ถ้าไม่มั่นใจว่าแอนตี้ไวรัสอัพเดตพอ
4. ถ้าตอนสแกนแล้วแอนตี้ไวรัสหาไม่เจอทั้งที่มีอาการดังกล่าว อย่ามั่นใจว่าปลอดภัย ควรเปลี่ยนแอนตี้ไวรัสทันที
5. Mcafee กับ Norton ห่วยมาก อย่าคิดว่าบนโลกมีแอนตี้ไวรัสแค่สองตัว ลองใช้ตัวอื่นดูบ้าง แนะนำ (1. BitDefender (2. Kaspersky (3. Avast (4. NOD32 (5. AVG

ชื่อ : Music.exe (Update)

การแพร่ระบาด :การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive หรือ วิธีที่ชอบเรียกกันว่า ขอจุ๊บ, ดูดๆ หรือเสียบตูดที วิธีนี้จะระบาดมาก เนื่องจากพวกที่อยู่ในวัยเรียนหรือวัยทำงานมักใช้แลกเปลี่ยนข้อมูลหรือเอาไปต่อพรีเซ้นต์งาน แล้วพากันซวยทั้งมหาลัยหรือที่ทำงานอาการเมื่อติดไวรัส :ไวรัสตัวนี้รู้จักกันดีในชื่อ music.exe ติดเชื้อผ่านทาง Handy Drive โดยเทคนิค auto run ไวรัสถูกเขียนโดยใช้ภาษา Visual Basic จะทำการลบไฟล์ นามสกุล .mp3 และ .dat ทุกไฟล์ที่พบบนเครื่อง ไวรัสพยายามใช้คำสั่งที่มีวิธีการเหมือนผู้ใช้ทำปกติ แทนที่การเขียนโค้ดโดยตรงเพื่อหลบการวิเคราะห์ไฟล์ของโปรแกรมแอนติไวรัส ไวรัสทำการคัดลอกตัวเองโดยใช้ชื่อโฟลเดอร์ที่พบ มีนามสกุลเป็น *.exe ตลอดเวลาทำให้เครื่องประมวลผลงานอื่นๆช้าลง แต่ไม่พบฟังก์ชั่นที่เปิดทางให้แฮ็กเกอร์ควบคุม คาดว่าไวรัสตัวนี้ถูกเขียนมาเพื่อทำลายข้อมูล สร้างความเสียหายโดยเฉพาะ เพลงกะหนังหายหมดก้อคราวเนี้ยวิธีแก้ไข(แบบง่าย โอกาสสำเร็จ 99% ) :โหลดไฟล์นี้ไป Music_exe_Killer.zip แล้วให้ดับเบิลคลิกไฟล์ข้างในเพื่อกำจัดไวรัส


Credit :: trackerx90


กำจัดไวรัส MSN กันดีกว่า

วิธีแก้ไวรัส hi5 และไวรัส msn ที่ส่ง link เข้ามา


http://thaicert.nectec.or.th/advisory/alert/ircbot.phpเนื่องจากในขณะนี้มีไวรัส msn เข้ามาเยอะมากๆ ขอให้เพื่อนๆ อย่าไปคลิก link เพื่อนของเราที่ส่งมาโดยไม่รู้อิโหน่อิเหน่ สำหรับรายละเอียดอ่านได้ที่นี่ http://thaicert.nectec.or.th/advisory/alert/ircbot.phpสำหรับโปรแกรมแก้ไข ดาวน์โหลดได้ที่นี่ http://www.bleepingcomputer.com/resources/link243.htmlการแก้ไขไวรัส Hi5

1. ดาวน์โหลด Smitfraudfix.exe จากเว็บไซต์ http://www.bleepingcomputer.com/resources/link243.html
2.หลังดาวน์โหลดมาแล้วให้ Restart
3. ก่อนคอมฯ บู๊ตเข้าวินโดว์สให้กด F8 > Safe Mode
4. ดับเบิ้ลคลิกที่ไฟล์ SmitfraudFix
5. เข้า SmitfraudFix เลือกกดเลข 2 ที่คีย์บอร์ด แล้วกด Enter
6. จะมีข้อความถามว่า Do you want to clean the registry ? ให้กด Y ที่คีย์บอร์ด แล้วกด Enter จากนั้นก็ Reboot เข้าคอมพิวเตอร์ตามปกติ



*** อัพเดทเพิ่มเติม สำหรับการกำจัดเจ้าไวรัสตัวนี้ให้ได้ผลยิ่งขึ้น ให้กด Ctrl + Alt + Del จากนั้นให้ endtask Process ที่ชื่อว่า winlog32.exe ก่อนครับ อย่าลืมปิด msn ในระหว่างการกำจัดไวรัสด้วยครับ
ช่วงนี้นะครับ มีการระบาดของไวรัสที่มาทาง msn ซึ่งเป็นโปรแกรมแชทที่หลายๆ คนใช้กันเป็นส่วนใหญ่ครับ โดยมันอาศัยการแพร่กระจายตัวผ่านทาง msn โดยส่งข้อความและไฟล์ไวรัส โดยอาศัยชื่อของเราในการส่ง ครับ ดังนั้นทำให้เพื่อนเราที่ไม่รู้ ก็จะรับไฟล์ไปได้โดยง่ายเลยครับ
อาการของการติดไวรัสคนที่ติดไวรัสนี้จะ ไม่ทราบเลยครับ เพราะเมื่อติดแล้ว ทุกครั้งที่ online msn ไว้เจ้าไวรัสจะแอบส่งข้อความและไฟล์ไวรัสให้กับเพื่อนเราเองเลยครับ ดังนั้น หากมีเพื่อนใน list ของ msn มาถามว่า เราส่งไฟล์อะไรให้หรือเปล่า ก็ให้ตรวจสอบได้เลยครับว่าโดนหรือไม่
ส่วนท่านที่ได้รับข้อความหรือไฟล์จากเพื่อนของคุณ ให้สอบถามก่อนที่จะรับเสมอครับว่าไฟล์อะไร ซึ่งหากมีความผิดปรกติเช่น ข้อความที่เพื่อนคุณส่งมาเป็นภาษาอังกฤษ ล้วนๆ หรือเป็นภาษาอื่นๆ หรือส่งไฟล์ที่ชื่อว่า image.zip, pic.zip หรือ photo.zip ก็ให้ สอบถามให้แน่ใจครับ
ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
ถ้าเพื่อนของคุณบอกว่าไม่ได้ส่งอะไร ให้ ก็แสดงว่า เพื่อนคุณติดไวรัส ตัวนี้ไปแล้วครับ
วิธีการแก้ไขปัญหา
สำหรับวิธีการกำจัดนั้น จะขอนำเสนอวิธีที่ใช้โปรแกรมกำจัดไวรัสตัวนี้แบบง่ายๆ ครับ ซึ่งมีด้วยกันสองตัวคือ
A. การใช้งาน NOD32 VirusMSN-IRCBOT-Fix
NOD32 VirusMSN-IRCBOT-Fix มีไว้สำหรับกำจัดไวรัสที่ติดมาจากทาง MSN โดยผู้ที่อยู่ใน Contact List ของเราจะทำการส่งไฟล์ Image.zip มาให้อัตโนมัติ อาการของเครื่องที่ติดไวรัสจะส่งไฟล์ไวรัสนี้ต่อๆไปยังเครื่องอื่นๆทาง MSN และอาจจะทำให้ MSN ค้างได้ และจะทำการปิดฟังก์ชั่น Security Center ของ Windows อีกด้วย

วิธีใช้งาน
เมื่อคุณ download ลงมาแล้วจะได้รับไฟล์ NOD32 VirusMSN-IRCBOT-Fix
ให้คุณทำการ double click ที่ไฟล์ NOD32 VirusMSN-IRCBOT-Fix เพื่อเริ่มการทำงานของโปรแกรม
ให้คุณอ่านและทำความเข้าใจ License agreement แล้วกด I Agree
เมื่อถึงหน้าต่าง Choose Component จะมี 2 หัวข้อให้คุณเลือกคือ- Remove MSN-IRCBOT คือการกำจัดตัว MSN-IRCBOT ออกไป- Scan and clean with NOD32 ทำการสแกนเครื่องของคุณด้วย NOD32 อีกครั้ง
จากข้อ 4 . แนะนำให้คุณเลือกทั้ง 2 ข้อครับแต่ถ้าคุณไม่มีโปรแกรม NOD32 ให้เลือกข้อ 1 แล้วกด Do it now
จากนั้นให้คุณทำการ restart เครื่องของคุณ
B.การกำจัดหนอนแบบอัตโนมัติ โดยใช้ MSN worm Remover
ดาวน์โหลดโปรแกรม MSN_Worm_Remover.exe ขนาด: 111,104 ไบต์
ทำการรันไฟล์ที่ได้โดยการดับเบิลคลิ๊กไฟล์ MSN_Worm_Remover.exe
วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ห้าม รับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดัง กล่าวนั้นเป็นไฟล์อะไร
2. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
4. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
5. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
6. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
7. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
8. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์



ที่มาจาก Thaicert.nectec.or.th, Nod32th.com

ป้ายกำกับ: กำจัดไวรัส MSN กันดีกว่า remove, AdobeR, Brontok.A, Brontok.B, image, Ms32dll.dll.vbs และ Hacked By Godzilla, Music.exe (Update), virus, zip