สวัสดีครับทุกท่าน
ช่วงนี้ไวรัส msn ระบาดหนักครับ ผมโดนไปเมื่อวานก่อน ชื่อ pic.zip จะส่งมาจากคนที่โดนเชื้อนี้เข้าไป เช่นมีคนที่ส่งมาเป็นคนที่น่าเคารพนับถือ ก็จะเกิดการกดรับโดยไม่ต้องถามอะไรเลยครับ
ผมรับมาแล้วก็เข้าคลายซิพ เสร็จแล้วผมก็เข้าไปเห็นไอคอนแบบว่า MSDOS Icon ก็คิดว่าแหมรูปภาพอะไรไม่มีนามสกุลดีๆ ก็เลยเปลี่ยนสกุลเดาให้เลยเป็น .jpg จากนั้นก็ double click อิๆๆ เสร็จโจรเลยครับ ได้รับเชื้อมาเลย เสียเวลาไปพักหนึ่งครับ แล้วก็เห็นมีไวรัสหลายๆ ตัวครับ มักจะชื่อสกุล .zip
แต่ที่ผมเจอเพียงตัวเดียวคือ pic.zip ประกอบกับได้ไปอ่านบทความของคุณเจ๋ง พร้อมเสนอแนวทางการแก้ไขไว้แล้วครับแบบใช้พลังเอาเองนะครับ
แล้วผมเจอว่าหลายๆ คนติดกันงอมแงม ก็เลยเขียนโปรแกรมมาให้ท่านได้ลองใช้กันดูนะครับ ได้ผลมากน้อยแค่ไหน ดาวโหลดได้ที่นี่นะครับ
ซึ่งโปรแกรมนี้ จะทำการฆ่าไวรัสให้คุณสามตัวนะครับ คือ image.zip, photo.zip และ pic.zip (ย้ำว่าชื่อเพียงสามตัวนี้และชื่อตามแฟ้มเหล่านี้นะครับ หากจะเป็นเช่น image021.zip โปรแกรมนี้ฆ่าไม่ได้นะครับ)
ส่วนที่ 1
วิธีการสำหรับฆ่าหนอนไวรัสชื่อ
image.zip, photo.zip และ pic.zip (หากหนอนที่คุณได้รับเชื้อมาไม่ใช่ชื่อนี้ กรุณาไปอ่านในส่วนที่สองนะครับ)
โปรแกรมนี้ ฆ่าไวรัสหนอน msn ได้เพียงสามตัวเท่านั้นนะครับ คือ image.zip, photo.zip และ pic.zip สำหรับหนอนตัวใหม่ๆ ไม่สามารถฆ่าได้นะครับ ขอให้ท่านทำตามวิธีการด้านล่าง ฆ่าแบบด้วยมือท่านเอง เพื่อประสบการณ์และความภาคภูมิใจของท่านเองนะครับ ติดตามอ่านในทุกๆ ความเห็นท่านจะสั่งสมประสบการณ์ในการฆ่าไวรัสหนอนพันธุ์เหล่านี้ได้ครับ
http://gotoknow.org/file/mrschuai/virus_msn_remover.zip
หรือ http://gotoknow.org/file/mrschuai/view/97534
ได้ผลอย่างไร ก็แจ้งไว้ได้นะครับผม โปรแกรมนี้สำหรับวินโดวส์นะครับ เช่น Windows NT/2000/XP
เวอร์ชั่นนี้ มีอะไรใหม่ อ่านได้ที่ http://gotoknow.org/file/mrschuai/view/97534
NOTE: ข้อแนะนำเพิ่มเติมครับ เข้าไปในโฟลเดอร์ที่คุณรับแฟ้มนั้นมา แล้วก็ลบแฟ้มนั้นทิ้ง พร้อมเทถังขยะทิ้งด้วยนะครับ Empty Recycle Bin ด้วยนะครับ เพื่อความแน่ใจว่าไวรัสสูญพันธุ์แล้วครับ
วิธีการใช้โปรแกรมนะครับ
-
ดาวโหลดโปรแกรม http://gotoknow.org/file/mrschuai/virus_msn_remover.zip
-
ไปคลิกขวาที่ my computer เลือก properties แล้วไปที่ tab ที่ชื่อ
system properties
แล้วคลิกเพื่อทำการ turn off system restore ก่อนครับ ที่ต้องปิดก็เพื่อป้องกันไม่ให้วินโดวส์ทำการแบคอัพไวรัสเอาไว้ในระบบนะครับ ให้ฆ่าวายร้ายออกก่อนแล้วคุณค่อยไปเปิด turn on นะครับ
-
คลายซิพ unzip โปรแกรมในข้อที่ 1 นะครับ แล้วรันโปรแกรม หากฆ่าแล้วมันยังเจอไวรัสอยู่ ก็ให้กดสแกนอีกรอบจนกว่าจะไม่เจอไวรัสนะครับ
-
หากฆ่าไม่ได้ แนะนำให้รีบูทเข้าไปใน safe mode รับรองว่าฆ่าได้แน่นอนครับ ปัญหาคือการ endtask ตัวไวรัสรัสไม่หลุดนะครับ
-
เข้าไปในโฟลเดอร์ที่คุณรับแฟ้มนั้นมา ปกติอยู่ที่ My Received Files แล้วก็ลบแฟ้ม .zip นั้นทิ้ง พร้อมเทถังขยะทิ้งด้วยนะครับ Empty Recycle Bin ด้วยนะครับ เพื่อความแน่ใจว่าไวรัสสูญพันธุ์แล้วครับ
-
เป็นอันว่าเรียบร้อยครับ ลองดูนะครับ ว่าหายไปหรือไม่ หากมีปัญหาเขียนไว้ด้านล่างนะครับ และระวังในการรับแฟ้มหรือกดลิงก์ต่างๆ ในอนาคตโดยต้องได้รับการยืนยันจากเพื่อนร่วมสนทนาก่อนครับ โชคดีครับ
สำหรับข้อแนะนำเพิ่มเติมนะครับ หากต้องการจะฆ่าด้วยตัวเอง
-
กด Ctrl Alt Del พร้อมกัน แล้วลบ process ที่ชื่อ msnmsg.exe หรือ winlog32.exe หากมีนะครับ
-
เข้าไปที่ C:\windows คุณลองเรียงไฟล์ต่างๆ จากล่าสุดไปยังเก่าสุดนะครับ
-
แล้วสังเกตแฟ้มที่เกิดขึ้นในวันที่คุณติดไวรัส คุณจะเห็นแฟ้มชื่อ msnmsg.exe, pic.zip หรือ winlog32.exe, image.zip
-
ให้ลบสองตัวนั้นออกครับแล้วแต่ว่าเครื่องคุณจะมีไวรัสกี่ตัวนะครับ แล้วเทถังทิ้งครับ
-
ให้รัน regedit จากเมนู Start -->Run แล้วค้นหาคำที่ชื่อ winlog32.exe หรือ msnmsg.exe จนหมดว่าเจอที่ไหนบ้าง หากเจอก็ให้ลบชุดบรรทัดนั้นทิ้งครับ
-
สำหรับผม ผมเพิ่งทราบว่ามันมีแฟ้ม msnmsg.exe ซึ่งเป็นตัวปลอม นั่นคือตัวแพร่มันเลย ผมเลยเอาแฟ้มอื่นไปใส่ไว้ในใน pic.zip คือ ลบ pic.zip ทิ้งแล้ว zip ภาพอื่น เปลี่ยนชื่อเป็น pic.zip คือหากไวรัสมันยังอยู่ มันจะเอาแฟ้มที่ไม่มีพิษภัยส่งไปให้คนอื่น
-
แต่หากลบ msnmsg.exe หรือ winlog32.exe ไปแล้ว แล้วไม่แสดงผลแล้ว pic.zip แฟ้มใหม่ก็ไม่มีผลใดๆ ครับผม
-
อ่านเพิ่มเติมได้ที่ http://gotoknow.org/blog/aboutme/115856
for killing method:
1. disable system restore
--> my computer (right click) --> properties --> turn off system restore for
all drives
2. run regedit
--> HKEY_LOCAL_MACHINE --> SOFTWARE --> Microsoft --> Windows -->
CurrentVersion --> ShellServiceObjectDelayLoad --> syshosts
3. copy down the code for syshosts
--> should be sth like {12345678-1234-1234-1234-1234567890AB}
4. delete syshosts
5. search for the code copied above (i.e.
{12345678-1234-1234-1234-1234567890AB} )
6. you should be able to find it
7. now delete it
8. delete c:\windows\photos.zip and c:\windows\system32\syshosts.dll
done
NOTE: ในโปรแกรมตัวใหม่ตอนนี้ จะทำหน้าที่เช็ค พวก .zip ด้านล่างนี้ให้ด้วยนะครับ แต่ไม่สมบูรณ์นะครับ เพราะไม่แน่ใจว่าตัวหลักในการโจมตี เค้าใช้โปรแกรมตัวไหนเป็นรัน .exe นะครับ ดังนั้น หากมีแฟ้มพวกนี้อาศัยอยู่ใน c:\windows โปรแกรมตัวใหม่จะเอาออกให้อัตโนมัติ แต่ไม่ 100% ครับ (โดยผมคิดว่าคงไม่มีใครไปตั้งชื่อข้อมูลของตัวเองไปใส่ไว้ที่นี่นะครับ)
นอกจากนี้อาจจะมีแฟ้มอื่นๆ เช่น
- details.zip
- girls.zip
- image.zip
- love.zip
- message.zip
- music.zip
- news.zip
- photo.zip
- pic.zip
- readme.zip
- resume.zip
- screensaver.zip
- song.zip
- video.zip
- notice.zip
- สรุปว่า แฟ้มอะไรก็ได้ .zip, .rar หากส่งมาไม่ว่าทางเมล์หรือทาง msn, icq และอื่นๆ อย่าได้เผลอกดหากไม่มีการยืนยันจากผู้ส่งนะครับ
สรุป
สำหรับคนที่ทำอย่างไรก็ฆ่ามันไม่ได้ ก็ให้ไปดาวโหลด แฟ้ม zip น้ำดีได้ที่ แฟ้มนี้ http://gotoknow.org/file/mrschuai/pic.zip แล้วเอาไปเซฟทับไว้ที c:\windows นะครับ โดยแฟ้มนี้จะเป็นเพียงภาพที่ผมสร้างขึ้นมาเพื่อเอาไปแทนที่เจ้าวายร้ายนั้น ให้เซฟทับลงไปเลยครับ
หากคุณมีแฟ้มอื่นๆ ที่เป็นไวรันเช่น image.zip , photo.zip หรืออื่นๆ คุณแค่ ไปดาวโหลดแฟ้มนี้ http://gotoknow.org/file/mrschuai/pic.zip โดยเปลี่ยนชื่อเป็นชื่อไวรัสตัวนั้นๆ แล้วเอาไปเซฟทับไว้ที c:\windows นะครับ ไวรัสก็จะทำอะไรไม่ได้แล้ว จะกระจายแฟ้มก็ได้แค่กระจายแฟ้มน้ำดีไม่มีพิษกับคนรับครับ
จากนั้นคุณค่อยรันโปรแกรมฆ่าตัวนี้ใหม่นะครับ
ปล. หากคุณติดไวรัสหนอน ตัวอื่นๆ หรือใกล้เคียงผ่าน MSN รบกวนอ่านความเห็นอื่นๆ ด้วยนะครับ เพราะในความเห็นย่อยๆ ด้านล่างนั้น จะมีทางแก้แล้วคุณจะเข้าใจว่า หลักของการแก้หนอนไวรัสที่แพร่เชื้อทาง MSN จะมีทางแก้ที่ไหนได้บ้างนะครับ อาจจะเป็นการยากมากครับ ที่จะต้องเขียนโปรแกรมฆ่าไวรัสเพื่อวิ่งตามคนเขียนไวรัสครับ แต่ขอให้เราทราบว่าเราจะเข้าไปดูตรงไหนเพื่อป้องกันได้ครับ
หากไม่ต้องการให้แพร่เชื้อกรณีที่คุณติดหนอนพวกนี้อยู่แนะนำให้ไปใช้ msn เวอร์ชั่น 4.7 ที่มากับวินโดวส์นะครับ ก่อนจะแก้ได้ โดยที่ไม่แพร่เชื้อให้กับคนอื่น รำคาญใจหรือหลงติดไปด้วยนะครับ
ขอให้ทุกท่านโชคดีนะครับ
และสนุกกับการสร้างภูมิคุ้มกันนะครับ มีอะไรนอกเหนือไปจากนี้
เขียนฝากข้อความไว้ด้านล่างได้ครับ
ขอบคุณมากครับ
เม้ง
ปล. โปรแกรมนี้ คงเก่าไปแล้วสำหรับ คนที่ติดไวรัสชื่ออื่นๆ นะครับ ดังนั้น คุณสามารถทำตามขั้นตอนข้างล่างต่อไปนี้นะครับ โดยเลียนแบบเอานะครับ
แนวทางการแก้ไข สำหรับหนอน ไวรัส MSN ตัวใหม่ๆ ที่เพิ่งคลอดออกมาหลังจากบทความนี้ ให้ท่าน ลองเลียนแบบวิธีการดังต่อไปนี้นะครับ
ส่วนที่ 2 วิธีการสำหรับฆ่าหนอนไวรัส
msn ตัวอื่นๆ
เริ่มอ่านตั้งแต่ต้น คลิกไปที่ หน้าที่ 1 นะครับ คุณอาจจะเจอไวรัสตัวที่ตรงกับชื่อของคุณก็ได้ครับ
ลองเลียนแบบตัว นี้นะครับผม...จะมีระบบแฟ้มต่างกันนะครับ ลองไปดูว่าชื่อของแฟ้มหลังจากคลายซิพ (แตกไฟล์) ออกมาแล้วมีชื่ออะไรบ้าง ก็เลียนแบบด้านล่างนี้เลยครับผม
สมมุติว่าคุณติดไวรัสชื่อ
ABCD.zip โดยมีการส่งแฟ้ม .zip แจกชาวบ้านใน msn list ไปทั่วนะครับ
ใครหลงกดเ้ข้าไปเพราะอยากดูก็โดนกันตามๆ
ไปนะครับ
ผมขอสรุปให้อีกครั้งนะครับ ว่าเกิดอะไรบ้าง
- ให้ค้นหาแฟ้มที่คุณรับมานะครับเช่น ABCD.zip และจะมีแฟ้มภายในซิพนี้ชื่ออะไรบางอย่างให้คุณแตกแฟ้มออกมานะครับ แต่อย่าไปเผลอกดเข้าไปหล่ะครับ แต่หากคุณโดนไวรัสแล้ว จะคลิกอีกก็คงไม่เป็นไรมั้งครับ เพราะว่าโดนอยู่แล้วครับ คุณอ่านจะเจแฟ้มเช่น www.ABCD.com (สำหรับไวรัส .zip ตัวอื่น ก็ต้องเลียนแบบดูนะครับ)
- จะเห็นว่าชื่อแฟ้มลงท้ายด้วยคำว่า .com ซึ่งสกุลนี้สามารถจะนำไปสู่การแพร่พันธุ์ไวรัสนั่นเองครับ เพราะ .com เป็นได้ทั้งที่เหมือนว่าจะเป็น website และในหนึ่งก็เป็นไฟล์ที่สามารถรันได้ในเครื่องคอมพ์ ได้ด้วยครับ ใครหลงผิดคิดว่าเป็นเว็บไซต์อยากดูก็เผลอกดเข้าไปแล้วเครื่องก็จะรันหนอนขึ้นมา คราวนี้ ก็ติดแล้วหล่ะครับ
- ในแฟ้ม .com นั้นจะสร้างตัวแพร่ไวรัสเพิ่มขึ้นมา เป็น process ที่ชื่อ แฟ้มไวรัส.exe (ต้องสังเกตดูนะครับผม) ในส่วนนี้ไม่สามารถบอกได้ว่ามันจะเป็นชื่อแฟ้มอะไร คุณต้องเช็คเองใน Task Manager (เปิด Task Manager โดยการคลิกขวาบน taskbar แล้วคลิกเลือก Task Manager)
- สำหรับคนที่ติดไว้ ให้ลองทำดังต่อไปนี้นะครับ
- ประยุกต์ใช้ในการแก้ไขด้วยนะครับผม หากท่านได้ทางแก้ไขดีๆ มาฝากไว้นะครับ ไวรัสพวกนี้ มีแนวทางในการแก้ไขทำนองเดียวกันนะครับ
วิธีการแก้ไข
- เข้าไป turn off systems restore ที่ my computer ด้วยก่อนนะครับ คลิกขวา แล้วเลือก tab เกี่ยวกับ system properties แล้วปิด โหมด systems restore เพื่อป้องกันไม่ให้วินโดว์แบคอัพไวรัสครับ แล้วกด OK ออกไปนะคับ
-
เข้าไปที่ Start กด Run แล้วพิมพ์ msconfig แล้วกด OK ไปยังหน้า startup แล้วก็ค้นหา ชุดคำสั่งที่เป็น ABCD หรือ ชื่อแฟ้มที่คุณค้นเจอว่าเป็นไวรัส.exe แล้วเอาค่าออก (ไม่กาเลือก)ผมไม่แน่ใจว่ามีตัวไหนแปลกๆ บ้างนะครับ ลองกาออกตัวที่แปลกๆ นะครับ (ไม่แน่ใจว่ามีแฟ้มอื่นด้วยไหมครับ)
-
กด Ctrl + Alt + Del พร้อม ๆ กันครับ แล้วเช็คดู แล้ว หยุด process ที่สงสัยว่าจะเป็นไวรัส เพราะไม่คุ้นนะครับ .exe แล้วหยุด process อีกเช่นกันครับ หรือตัวอื่นที่แปลกๆ ให้จำ process นั้นไว้นะครับ เพื่อเอาไปอ้างอิงกับตัวสั่งรันใน msconfig, regedit นะครับ
-
ไปที่เมนู Start กด Run แล้วพิมพ์ regedit แล้วกด OK กด F3 เพื่อค้นหา ABCD และ ชื่อแฟ้มไวรัสที่สงสัย.exe แล้วคลิกขวาเพื่อลบทิ้ง
-
จากนั้นให้ลบแฟ้มเหล่านี้ทิ้ง
c:\windows<strong>ABCD.zip
c:\windows\system<font color="#ff0000">ชื่อแฟ้มที่เป็นไวรัส.exe -
และค้นหาแฟ้ม ABCD.zip ใน C:\ แล้วลบทิ้งให้หมดนะครับ พร้อมเทถัง Empty recycle bin ด้วยนะครับ
-
แล้วเทถังขยะทิ้งด้วยนะครับจากนั้นก็ รีสตาร์ทเครื่องใหม่นะครับ
- เปิด เครื่องมาใหม่แล้ว ก็ค้นหาแฟ้ม ABCD.zip, ชื่อแฟ้มไวรัส.exe ในทุกๆ ที่ดูครับ จากข้อต่างๆ ตั้งแต่ข้อที่ 1 เป็นต้นมาครับ หากยังมีก็คือเชื้อยังไม่หา หากไม่มีก็คิดว่าน่าจะหายครับ
ปล. หากท่านไม่สามารถจะลบแฟ้มต่างๆ ออกได้ในข้อใดข้อหนึ่ง ขอให้ท่านรีสตาร์ทเครื่องเพื่อเข้าไปใน safe mode แล้วทำตามลำดับอีกครั้งหนึ่งนะครับ แล้วจะลบได้ครับ
วิธีการเข้า safe mode
- restart เครื่องใหม่
- กด F8 ถี่ๆ ตั้งแต่ restart เครื่อง จนกว่าจะเข้าเมนูหน้าจอสีดำ ตัวอักษรสีขาว แล้วไปเลือกแถบที่เป็น safe mode
- หากท่านหลุดเข้าไปใน โลโก้ของวินโดวส์ ก็ให้ รีเซ็ตใหม่ เพราะท่านได้หลุดขั้นตอน safe mode ไปแล้วครับ
- ขอให้โชคดีในการกดนะครับ
ปล... ข้อแนะนำ
ABCD.ZIP นี้เป็นเพียงแฟ้มสมมุติเท่านั้นนะครับ
หากคุณติดไวรัสที่ชื่อ "X_0005_jpg.zip" คุณคลายซิพแฟ้มนี้
คุณจะเจอแฟ้มที่ชื่อ www.x_005_jpg-msn.com
แฟ้มนี้จะเป็นตัวสร้างโปรเซสไวรัสที่เอาไปรันไว้ใน Task Manager นั่นเอง จุดที่ท้ายทายคือ เราจะทราบได้อย่างไร ว่ามันคือ โปรเซสที่ชื่ออะไร แล้วโปรเซสเหล่านี้ จะถูกเอาไปเก็บไว้เพื่อให้ไวรัสถูกเรียกทุกครั้งเมื่อบูทขึ้นมาใหม่ โดยเอาไปเก็บไว้ใน regedit, msconfig ครับ
ดังนั้น ลองแทนที่ ABCD.ZIP ด้วยไวรัสอื่นๆ อื่นๆ ก็ทำในแนวทางเดียวกันนะครับ
บันทึกนี้เขียนที่ GotoKnow โดย เม้ง สมพร ช่วยอารีย์ ใน มิสเตอร์ช่วย
สวัสดีครับคุณอีฟ
ลองเข้าไปบูทใหม่ โดยบูทเข้า Safe mode นะครับ แล้วดูว่ามี Process อะไรบ้างครับที่ผิดสังเกต แล้วจดไว้ มาเทียบกับตอนที่เปิดเครื่องใน โหมดปกติครับ
แล้วลองฆ่าโปรเซสดูนะครับ
จริงๆ หากคุณเข้าไปใน msconfig, หรือบอกรายชื่อโปรเซสมา ผมอาจจะเดาให้ได้ครับ ว่าตัวไหนน่าสงสัย
กรณีจะลงวินโดวส์ใหม่ คิดว่าไวรัสหายแน่นอนครับ แต่ให้แบคอัพข้อมูลไว้ก่อนนะครับ เช็คให้ดีนะครับ
เพราะมานั่งร้องไห้ตอนหลังจะเศร้ากว่าครับ ก่อนจะฟอร์แมต
แล้ว msn ก็อย่าไปรับอะไรมาโดยไม่ได้รับการยืนยันนะครับ
ปัญหาเพื่อประสบการณ์ ประสบการณ์เพื่อเดินก้าวใหม่ที่มั่นคงยิ่งขึ้นครับ
คุณจะติดตั้งใหม่ แน่นอนเสียเวลา แต่คุณได้ประสบการณ์มากขึ้นครับ รู้จักเครื่องเรามากขึ้นครับ
หรือคุณจะหาทางอ่านทุกหน้าความเห็นทั้ง 13 หน้านี้ แล้วประมวลสู้เพื่อคิดหาทางฆ่ามันให้ได้ ก็จะได้อีกเส้นทางหนึ่งของประสบการณ์ หากคุณทำได้ คุณจะภูมิใจในตัวคุณ และผมกจะภูิมิใจในตัวคุณเช่นกันครับ
ขอให้โชคดีนะครับ