เจาะลึกหนอน image.zip และ pic.zip

[ŜŵŏĐńĩŴ]

image.zip ชื่ออย่างเป็นทางการ W32.MSN.Worm
pic.zip ชื่ออย่างเป็นทางการ W32.MSN2.Worm

***********
ชื่อ : W32.MSN.Worm และ W32.MSN2.Worm
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

***********

ข้อมูลทั่วไป


image.zip

W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย

หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"

ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip

LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?

ดังตัวอย่าง



pic.zip

W32.MSN2.Worm นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger

ผลกระทบที่เกิดขึ้น

เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger

**********

รายละเอียดทางเทคนิค

เมื่อหนอน W32.MSN.Worm และ W32.MSN2.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้



วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ

1.ดาวน์โหลดโปรแกรม MSN_Worm_Remover.exe จาก http://www.thaicert.org/advisory/alert/msnworm/MSN_Worm_Remover.exe
หมายเหตุ
ขนาด: 111,104 ไบต์
MD5: 42568A40BDB1BAB4FCAB16CD8E33A32D

2.ทำการรันไฟล์ที่ได้โดยการดับเบิลคลิ๊กไฟล์ MSN_Worm_Remover.exe

วิธีป้องกันตัวเองจากหนอนชนิดนี้

ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 27 กรกฎาคม 2550 13.27 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 4 สิงหาคม 2550 19.48 น.
 
 
--------------------------------------------------------------------------------

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์
 

ขอขอบคุณ คุณกิติศักดิ์ จิรวรรณกูล ThaiCERT(NECTEC)

[ŜŵŏĐńĩŴ]

การแก้ image.zip แบบ manual

ชื่อไวรัส :: ไวรัสMSN, image.zip (Worm.Win32.Agent.f)
 
กลุ่มอาการ :: 
     เมือเปิดคอมพิวเตอร์ที่ติดแล้วจะ ไม่สามารถใช้โปรแกรมได้ หน้าdesktop ไฟล์งานและfolder จะหาย มีแต่icon โปรแกรม เล่นMSNแล้วค้างหรือเล่นไม่ได้เลย
การแพร่: เครื่องที่ติดจะทำการส่งไฟล์ images.zip และข้อความภาษาอังกฤษมาให้เรา (ส่งตามคนที่มีรายชื่ออยู่ใน List MSN ของคนที่ติด) ทั้งๆที่บางทีคนนั้นไม่ได้ เล่น MSN เลย

รูปตัวอย่าง :




วิธีแก้ไขและป้องกัน :: 

1. ctrl+alt+del แล้ว end process winlog32.exe
 

 
2. ที่ Start -> Run พิมพ์ regedit แล้วไปลบ key ดังต่อไปนี้ (ถ้าเจอ ที่อื่นให้ลบด้วยน่ะครับ) view --> find what:winlog32



3. Restart เครื่องcomputer set explorer ให้แสดง hidden file

4. set explorer ให้แสดง hidden file


 
5. ลบ file c:windowswinlog32.exe  และ image.zip



6.ที่ Folder options เลือก restore defaults แล้ว OK

ขอขอบคุณ หน่วยเทคโนโลยีสารสนเทศ คณะวิทยาศาสตร์ มหาวิทยาลัยเนรศวร

[ŜŵŏĐńĩŴ]

แจกโปรแกรมฆ่าไวรัส MSN (image.zip, photo.zip, pic.zip)
สวัสดีครับทุกท่าน
       ช่วงนี้ไวรัส msn ระบาดหนักครับ ผมโดนไปเมื่อวานก่อน ชื่อ pic.zip จะส่งมาจากคนที่โดนเชื้อนี้เข้าไป เช่นมีคนที่ส่งมาเป็นคนที่น่าเคารพนับถือ ก็จะเกิดการกดรับโดยไม่ต้องถามอะไรเลยครับ
ผมรับมาแล้วก็เข้าคลายซิพ เสร็จแล้วผมก็เข้าไปเห็นไอคอนแบบว่า MSDOS Icon ก็คิดว่าแหมรูปภาพอะไรไม่มีนามสกุลดีๆ ก็เลยเปลี่ยนสกุลเดาให้เลยเป็น .jpg จากนั้นก็ double click อิๆๆ เสร็จโจรเลยครับ ได้รับเชื้อมาเลย เสียเวลาไปพักหนึ่งครับ แล้วก็เห็นมีไวรัสหลายๆ ตัวครับ มักจะชื่อสกุล .zip
แต่ที่ผมเจอเพียงตัวเดียวคือ pic.zip ประกอบกับได้ไปอ่านบทความของคุณเจ๋ง พร้อมเสนอแนวทางการแก้ไขไว้แล้วครับแบบใช้พลังเอาเองนะครับ
    แล้วผมเจอว่าหลายๆ คนติดกันงอมแงม ก็เลยเขียนโปรแกรมมาให้ท่านได้ลองใช้กันดูนะครับ ได้ผลมากน้อยแค่ไหน ดาวโหลดได้ที่นี่นะครับ
    ซึ่งโปรแกรมนี้ จะทำการฆ่าไวรัสให้คุณสามตัวนะครับ คือ image.zip, photo.zip และ pic.zip

http://gotoknow.org/file/mrschuai/virus_msn_remover.zip

หรือ http://gotoknow.org/file/mrschuai/view/97534
ได้ผลอย่างไร ก็แจ้งไว้ได้นะครับผม  โปรแกรมนี้สำหรับวินโดวส์นะครับ เช่น Windows NT/2000/XP


NOTE: ข้อแนะนำเพิ่มเติมครับ เข้าไปในโฟลเดอร์ที่คุณรับแฟ้มนั้นมา แล้วก็ลบแฟ้มนั้นทิ้ง พร้อมเทถังขยะทิ้งด้วยนะครับ Empty Recycle Bin ด้วยนะครับ เพื่อความแน่ใจว่าไวรัสสูญพันธุ์แล้วครับ


วิธีการใช้โปรแกรมนะครับ
ดาวโหลดโปรแกรม http://gotoknow.org/file/mrschuai/virus_msn_remover.zip
ไปคลิกขวาที่ my computer เลือก properties แล้วไปที่ tab ที่ชื่อ
system properties
แล้วคลิกเพื่อทำการ turn off system restore ก่อนครับ ที่ต้องปิดก็เพื่อป้องกันไม่ให้วินโดวส์ทำการแบคอัพไวรัสเอาไว้ในระบบนะครับ ให้ฆ่าวายร้ายออกก่อนแล้วคุณค่อยไปเปิด turn on นะครับ
คลายซิพ unzip โปรแกรมในข้อที่ 1 นะครับ แล้วรันโปรแกรม หากฆ่าแล้วมันยังเจอไวรัสอยู่ ก็ให้กดสแกนอีกรอบจนกว่าจะไม่เจอไวรัสนะครับ
หากฆ่าไม่ได้ แนะนำให้รีบูทเข้าไปใน safe mode รับรองว่าฆ่าได้แน่นอนครับ ปัญหาคือการ endtask ตัวไวรัสรัสไม่หลุดนะครับ
เข้าไปในโฟลเดอร์ที่คุณรับแฟ้มนั้นมา ปกติอยู่ที่ My Received Files แล้วก็ลบแฟ้ม .zip นั้นทิ้ง พร้อมเทถังขยะทิ้งด้วยนะครับ Empty Recycle Bin ด้วยนะครับ เพื่อความแน่ใจว่าไวรัสสูญพันธุ์แล้วครับ
เป็นอันว่าเรียบร้อยครับ ลองดูนะครับ ว่าหายไปหรือไม่ หากมีปัญหาเขียนไว้ด้านล่างนะครับ และระวังในการรับแฟ้มหรือกดลิงก์ต่างๆ ในอนาคตโดยต้องได้รับการยืนยันจากเพื่อนร่วมสนทนาก่อนครับ โชคดีครับ

--------------------------------------------------------------------------------

สำหรับข้อแนะนำเพิ่มเติมนะครับ หากต้องการจะฆ่าด้วยตัวเอง
กด Ctrl  Alt  Del  พร้อมกัน แล้วลบ process ที่ชื่อ msnmsg.exe หรือ winlog32.exe  หากมีนะครับ
เข้าไปที่ C:\windows  คุณลองเรียงไฟล์ต่างๆ จากล่าสุดไปยังเก่าสุดนะครับ
แล้วสังเกตแฟ้มที่เกิดขึ้นในวันที่คุณติดไวรัส คุณจะเห็นแฟ้มชื่อ  msnmsg.exe, pic.zip หรือ winlog32.exe,  image.zip
ให้ลบสองตัวนั้นออกครับแล้วแต่ว่าเครื่องคุณจะมีไวรัสกี่ตัวนะครับ แล้วเทถังทิ้งครับ
ให้รัน regedit จากเมนู Start -->Run แล้วค้นหาคำที่ชื่อ winlog32.exe หรือ msnmsg.exe จนหมดว่าเจอที่ไหนบ้าง หากเจอก็ให้ลบชุดบรรทัดนั้นทิ้งครับ
สำหรับผม ผมเพิ่งทราบว่ามันมีแฟ้ม msnmsg.exe ซึ่งเป็นตัวปลอม นั่นคือตัวแพร่มันเลย ผมเลยเอาแฟ้มอื่นไปใส่ไว้ในใน pic.zip คือ ลบ pic.zip ทิ้งแล้ว zip ภาพอื่น เปลี่ยนชื่อเป็น pic.zip คือหากไวรัสมันยังอยู่ มันจะเอาแฟ้มที่ไม่มีพิษภัยส่งไปให้คนอื่น
แต่หากลบ msnmsg.exe หรือ winlog32.exe ไปแล้ว แล้วไม่แสดงผลแล้ว pic.zip แฟ้มใหม่ก็ไม่มีผลใดๆ ครับผม
อ่านเพิ่มเติมได้ที่ http://gotoknow.org/blog/aboutme/115856
   

--------------------------------------------------------------------------------

MSN photo.zip virus

for killing method:

1. disable system restore
--> my computer (right click) --> properties --> turn off system restore for
all drives
2. run regedit
--> HKEY_LOCAL_MACHINE --> SOFTWARE --> Microsoft --> Windows -->
CurrentVersion --> ShellServiceObjectDelayLoad --> syshosts
3. copy down the code for syshosts
--> should be sth like {12345678-1234-1234-1234-1234567890AB}
4. delete syshosts
5. search for the code copied above (i.e.
{12345678-1234-1234-1234-1234567890AB} )
6. you should be able to find it
7. now delete it
8. delete c:\windows\photos.zip and c:\windows\system32\syshosts.dll

done

--------------------------------------------------------------------------------

NOTE:  ในโปรแกรมตัวใหม่ตอนนี้ จะทำหน้าที่เช็ค พวก .zip ด้านล่างนี้ให้ด้วยนะครับ แต่ไม่สมบูรณ์นะครับ เพราะไม่แน่ใจว่าตัวหลักในการโจมตี เค้าใช้โปรแกรมตัวไหนเป็นรัน .exe นะครับ ดังนั้น หากมีแฟ้มพวกนี้อาศัยอยู่ใน c:\windows โปรแกรมตัวใหม่จะเอาออกให้อัตโนมัติ แต่ไม่ 100% ครับ (โดยผมคิดว่าคงไม่มีใครไปตั้งชื่อข้อมูลของตัวเองไปใส่ไว้ที่นี่นะครับ)

นอกจากนี้อาจจะมีแฟ้มอื่นๆ เช่น

details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip
notice.zip
สรุปว่า แฟ้มอะไรก็ได้ .zip, .rar หากส่งมาไม่ว่าทางเมล์หรือทาง msn, icq และอื่นๆ อย่าได้เผลอกดหากไม่มีการยืนยันจากผู้ส่งนะครับ



*********
ขอขอบคุณ คุณเม้ง สมพร ช่วยอารีย์ ---------> http://www.somporn.net

[ŜŵŏĐńĩŴ]

จากที่ผมโดนมาไวรัสตัวนี้ชื่อ pic.zip คิดว่าอาการน่าจะเป็นอย่างเดียวกับตัว images.zip แต่ว่าชื่อใน process list จะไม่เหมือนกัน ซึ่งตัวของ pic.zip จะใช้ชื่อว่า msnmsg.exe นะครับ ย้ำว่าชื่อ msnmsg.exe นะครับ ส่วนวิธีการแก้ใขคือ (อย่างที่ผมลองทำแล้วอาการหายนะครับ)

1. กด ctrl + Alt + del เพื่อเรียก task manager
2. ดูที่ process list ว่ามี msnmsg.exe หรือไม่ ถ้ามี ให้ end task ไป
3.ไปที่ C:\Windows หาไฟล์ชื่อ "msnmsg.exe , pic.zip" แล้วลบออกซะ
4. เข้า Start => Search แล้วไป search ที่ drive c: หาไฟล์ "msnmsg.exe , pic.zip" ถ้าเจอให้ลบทิ้งให้หมด เพื่อความชัวร์ในการฆ่าแบบถอนรากถอนโคน
5. รีสตาร์ตเครื่องอีกครั้ง

ขอขอบคุณ pic.zip จาก http://www.taklong.com/canonlover/s-cl.php?No=40540

[ŜŵŏĐńĩŴ]

kill msn worm 2.0 By Service SME Bank

http://gotoknow.org/file/tarpae/Kill_MSN_Worm(020850).exe

[ŜŵŏĐńĩŴ]

วิธีแก้ไข ไวรัส photo.zip , album.zip บน MSN (Worm.IRC.MyPhoto.a)

ไวรัสตัวนี้ไม่ทำอันตรายกับเครื่องนะครับ แต่สร้างความรำคาญอย่างมากสังเกตง่ายๆครับ ถ้ามีคนในเอ็มเอสเอ็นคุณส่งไฟล์ photo.zip , album.zip พร้อมข้อความ Nice new photos of me!!  หรืออื่นๆ แสดงว่าเครื่องคนนั้นโดนเข้าแล้ว เพราะฉะนั้นอย่าได้เผลอไปกดโหลดมาเปิดเชียว มิฉะนั้นเครื่องคุณก็จะกลายเป็นพาหะโดยทันที มันจะจัดการส่งไปทุกคนในลิสต์ที่คุณมีอยู่ทันที วิธีแก้คือ

1.พิมพ์ regedit.exe ที่ start --> run
2.ไป ที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad หาไฟล์ชื่อ "rdshost" sinv "syshosts" หรือ "syshelp" แล้วจดค่า CLSID ในที่นี้คือ {C7B4EE78-A8FB-4C16-AE1F-C1A568949825} ไว้(ค่าจะแตกต่างกันออกไปในแต่ละเครื่อง) แล้วลบไฟล์ออกซะ



จากนั้นเปิดที่  HKEY_CLASSES_ROOTCLSID หาค่าที่จดไว้ในที่นี้คือ {C7B4EE78-A8FB-4C16-AE1F-C1A568949825} ลบไฟล์ในหน้าต่างด้านขวาออกซะ

3.รีสตาร์ทเครื่อง
4.รีสตาร์ทแล้ว ไปที่ C:\Windows หาไฟล์ชื่อ "photos.zip" แล้วลบออกซะ



5.จากนั้นไปที่ C:\Windows\system32 หาไฟล์ชื่อ "syshosts.dll" หรือ "syshelp" แล้วลบออก

6.รีสตาร์ทเครื่องอีกรอบ เป็นอันว่าเคลียร์ครับ

ที่มา http://forum.uchatz.com/viewthread.php?tid=813&extra=page%3D1%26amp%3Bfilter%3Dtype%26amp%3Btypeid%3D9 ภาษาจีน

[ŜŵŏĐńĩŴ]

วิธีแก้ไขไวรัส pic.zip,pic.rar บน MSN

1.พิมพ์ regedit.exe ที่ start --> run

 2.กด Ctrl+F เพื่อค้นหาไฟล์ที่ชื่อ libcintles3.dll ไปที่ไฟล์แล้วลบออก

3.จากนั้น ลบไฟล์เหล่านี้ออก

C:\WINDOWS\system32\libcintles3.dll
C:\WINDOWS\system32\msn.exe
C:\WINDOWS\system32\intlprinters.exe

รีสตาร์ทเครื่อง

4.รีสตาร์ทแล้ว ไปที่ C:\Windows หาไฟล์ชื่อ "photos.zip, album.zip, pic.zip" แล้วลบออกซะ

5.รีสตาร์ตเครื่องอีกครั้ง

---------
1. กด Start--> Run.. พิมพ์ regedit



2.ไปที่ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windows/RUN ที่หน้าต่างด้านขวา หาไฟล์ที่มี  msnmsg.exe แล้วลบออกซะ(เตือนนิดนึงนะครับในหน้ารีจีสทรี่นี้อย่าลบมั่วนะครับ เดี๋ยววินโดว์จะพังเอา)

แล้วไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices หาไฟล์ที่มี  msnmsg.exe แล้วลบออกอีกเหมือนกัน



หน้าตาจะประมาณนี้นะครับแต่พอดีว่าผมไม่ติดเชื้อพยายามหารูปที่มีเจ้าตัว msnmsg.exe  แล้วหาไม่ได้

3. กด Start--->search แล้วค้นหาไฟล์ pic.zip เจอกี่ตัวลบให้หมด(ต้องแน่ใจนะว่าไฟล์ pic.zip  ที่หาเจอไปไม่ใช่ไฟล์ของคุณเอง สังเกตุง่ายๆครับขนาดไฟล์จะประมาณ 130-140 k

4. ลองรีสตาร์ทซักครั้งนึงก็น่าจะปลอดภัย

---------
ปล.image.zip เท่านั้นที่ 40 k

--------
1.ไปที่ run แร้ว พิม msconfig คับ
2.ไปที่ task manager แร้วไปที่ process ปิดตัว msnmsg ทิ้งไปอะครับ
3.ไปที่ startup แร้วclickยกเลิก ไฟล์ที่ชื่อ msnmsg ออก
มันก็จะไม่ก่อกวนเรา และ คนอื่นอีกละคับ

โดย cOnfuse
_________
MSNFix ลองแล้วเช่นกัน click ที่ .bat แล้วอ่านและทำตามลำดับนั้น
http://images.sorawich.multiply.com/attachment/0/RrFVDwoKCqwAAChsPO01/MSNFix.rar

--------

[ŜŵŏĐńĩŴ]

http://www.atribune.org/public-beta/VundoFix.exe

VundoFix.exe is a removal tool developed to remove Virtumonde infections. To use the tool follow the instrctions below.

Please download VundoFix.exe to your desktop.

Double-click VundoFix.exe to run it.
When VundoFix re-opens, click the Scan for Vundo button.
Once it's done scanning, click the Remove Vundo button.
You will receive a prompt asking if you want to remove the files, click YES
Once you click yes, your desktop will go blank as it starts removing Vundo.
When completed, it will prompt that it will reboot your computer, click OK.


ที่มา:http://www.atribune.org/content/view/24/2/

[ŜŵŏĐńĩŴ]

credit:http://www.dlth.in.th/Content/pid=47.html


Adware-Virtumundo Removal Tool v1.5 (Associated with WinFixer Popups)

For those of you who seem to have a lot of WinFixer popups and detections for Adware-Virtumundo (PUP) that can't be removed, I have created this automatic removal tool for you.

Note: This tools does not remove the WinFixer application. WinFixer alone does not cause popups or disrupt the system. If WinFixer was installed on your system because Adware or a Trojan Downloader installed it without your permission, please remove it using the Add/Remove Programs Control Panel Applet.

Version 1.5
The tool has been re-written and updated to remove Adware-Virtumundo and MorWillSearch hijackers that have the following BHO names:

[Blank]

MSEvents Object

ATLDistrib Object

Bho
The tool should remove the main program file and basic registry entries associated with Virtumundo. The BHO and Winlogon Notify entries should be removed and a "kill bit" for ActiveX in Internet Explorer is added to prevent the BHO from working.

The tool has been updated to deny access to a file if it can not be renamed or disabled. This means that NO PROGRAM (not even most AVs) will be able to access the infected file. The owner of the file (Administrators) can still manually delete the file(s).

Finally, there is more information built into the tool about the program and what to expect if a STOP error occurs.

Download Link -> VirtumundoBeGone.exe [94.7 KB]
MD5 SUM: 6395649f5b3c3f2f1a110f445d1980ad

credit:http://forums.mcafeehelp.com/viewtopic.php?t=57049

[ŜŵŏĐńĩŴ]

ไวรัสเขียนด้วย C++
----
Image.Zip

เป็นไวรัสที่มาพร้อมกับอีเมล์ของ MSN Messenger

เมื่อรู้ว่าไรัสที่อันตรายมาอยู่ในคอมพ์ของคุณ คุณจะทำอย่างไร ?
ตอบ : เล่นเกมต่อไป หรือ พลิกโลกหาวิธิแก้มัน

วันนี้เราจะนำเสนอวิธีสำหรับ ผู้ที่ยังไม่ได้เปิดโปรแกรมพวกนั้น และยังมีไวรัสอยู่ในเครื่องของคุณทั้งมาจากการ มือบอนของใครบางคน ความซุกซนของลูกๆของคุณ ทำให้มีสิ่งที่ไม่พึงประสงค์มาอยุ่ในเครื่องของคุณๆ ทั้งหลาย ส่วนใครที่ดับเบิ้ลคลิกไปแล้ว หรือเปิดโปรแกรมไวรัสตัวนั้นก็ของแสดงความเสียใจกับ HDD และข้อมูลใน Computer ของคุณเป็นอย่างสูง เอาล่ะมาเริ่มกัเลย

หากใครสงสัยว่าไฟล์ ไวรัสดังกล่าวมันอยุ่ในเครื่องเราหรือไม่ ก็ให้ไปที่ Start > Search
จากนั้นก็พิมพ์ชื่อไฟล์ตามนี้ Image.Zip จากนั้นถ้าหากว่ามีอยู่ในเครื่องของคุณก็ควรวิ่งไปตาม Directory ที่ไวรัสมันอยุ่และจัดการลบมันซะ

1. ตัวอย่างที่เจอในห้อง Lab ของผม(ก็คอมนั่นแหละ)



:: เจอแล้ว!! อยู่นี่นี่เอง มันอยู่ใน Received Files (เอามาจากใครล่ะเนี่ย)

2. ด้วยความอยากรู้อยากลองของกระผม เลยจัดการ Extract ไฟล์ลงมา (ใจเริ่มไม่ดีแล้ว)



3. ก็พบว่าเป็น MS-DOS APPliCATION (เง้อ.แล้วทำไมเปิดใน Winzip เป็นไฟล์ .PIF ง่า)



:: อย่าดับเบิ้ลคลิกเชียวนะ มันอันตรายมากเลยจ๊อด

4. ให้ลบมันทิ้งซะเพราะหากมีคนมือบอน หรือ ลูกเล็กๆมาดับเบิ๊ลคลิกเล่นๆ รับรองเจ๊ง



:: ลบไฟล์ดังกล่าวแล้ว ก็โล่งใจได้เลยมันไม่โผล่มาอีกแล้ว

เพิ่มเติม :: ใครที่เจอในกล่องจดหมายทาง Mail Box ของ MSN ก็อย่ามือบอนไปกดเล่นเพราะจะหาว่าผมไม่เตือน ให้ลบมันออกไปซะ หรือถ้าอยากลองจริงไปร้านเกมแล้วดับเบิ้ลคลิกมันเลยรับรอง โดนจับ

สุดท้ายนี้ก็หวังเป็นอย่างยิ่งว่าผู้อ่านทุกคนจะได้รับความรู้ไป ไม่มาก ก็ ไม่ได้เลย 

ขอขอบคุณ amp040012684 http://www.ea.co.th/forum/viewtopic.php?p=998458&sid=05ea47198b5f1660ee4323d534086ecc

[Lucky992]

ขอบคุณฮะ 

[(¯`·.¸¸.·´¯`·.¸¸.->]

ขอบคุณคับ

[Google-Plex]

ขอบคุณครับ...

[เด็กเมืองน่าน]

ขอบคุณมากครับ ละเอียดมากๆๆ

คนทำไวรัสนี่มันเลวจิงๆๆ ชอบแกล้งคนอื่น อิอิ......

[อากาศเย็น]

โอววว ....  มีประโยชน์

[ŜŵŏĐńĩŴ]

โปรแกรม windows live messenger คือ msnmsgr.exe
ในขณะที่ pic.zip จะสร้าง msnmsg.exe ขึ้นมา อาศัยชื่อที่คล้ายกัน
----------------
วันนึงผมนั่งเล่น m อยู่ก็มีเพื่อนส่งไฟล์อะไรมาให้ไม่รู้
มันชื่อไฟล์ว่า images เป็นไฟล์ประเภท zip
แท้จริงแล้วมันคือไวรัสที่ติดกันทาง m
ถ้าใครกดรับมาก็จะติดเลย เพราะฉะนั้น อย่าได้กดรับ
แต่ถ้ากดรับไปแล้ว ก็ตามนี้เลยครับ

1. กด ctrl + Alt + del เพื่อเรียก task manager
2. ดูที่ process list ว่ามี winlog32.exe หรือไม่ ถ้ามี ให้ end task ไป



3. ไปดูที่ start => run พิมพ์ว่า msconfig แล้ว enter
4. ไปที่ แท็บ start up ดูหา Winlog32.exe ให้ uncheck มัน แล้ว กด OK ยังไม่ต้อง restart



5. เข้า Start => Search แล้วไป search ที่ drive c: หาไฟล์ winlog32.* ถ้าเจอ winlog32.exe -<random ตัวเลข> ให้ลบทิ้งไป



6. restart Windows ทีนึง

********

เอาละคร้าบ วันนี้ผมก็เจอไวรัสตัวใหม่อีกแล้ว
หลังจากพยายามหาวิธีแก้จากที่ต่างๆ ซึ่งก็ไม่มีที่ไหนเลย
ที่จะแก้ pic.zip ได้ ผมเลยมานั่งเปรียบเทียบกับ winlog32
และแล้วก็ได้วิธีแก้ดังนี้ ครับ

1 กด Ctrl+Alt+Del เพื่อเรียก task manager
2 ดูที่ process list ว่ามี IMG34814.pif กับ msnmsg.exe หรือไม่ ถ้ามี ให้ end process ไปทั้งคู่



3 เปิดโฟลเดอร์ที่เก็บไฟล์ pic.zip และ IMG34814.pif ลบออกให้หมด(pic.zipจะอยู่ในโฟลเดอร์ที่เราเซฟไว้ และ C:\WINDOWS)
4 เปิด C:\WINDOWS\Prefetch ดูว่ามีไฟล์ที่ขึ้นต้นว่า IMG34814 กับ msnmsg.exe หรือไม่ ถ้ามีให้ลบออก ถ้าไม่มีก็ไม่ต้องสนใจ ให้ผ่านข้อนี้ไป
5 ไปที่ start => run พิมพ์ว่า msconfig แล้ว enter
6 ไปที่ แท๊บ start up ดูหา msnmsg ให้เอาเครื่องหมายถูกออก แล้ว กด OK


 
7 กด Restart เป็นอันเสร็จเรียบร้อย


**********
ปล. ไวรัส pic.zip จะสร้างไฟลล์ตัวเองมาสามไฟลล์
ลองหากันดูสนุก ๆ แต่ชื่อไฟลล์แต่ละตัวไม่เหมือนกัน
อยู่ใน %windir% จำนวน 2 ไฟลล์ ละยังมีอยู่ใน
โฟลเดอร์ย่อยอีกอันนึงซึ่งคนไม่ใส่ใจ ทำให้สุดท้าย
มันก็ยังอยู่ !!!

5555+

ขอให้สนุกกับการค้นหา จะได้เก่ง ๆ
*************

ที่มา:http://www.nmm.ac.th/forum/viewtopic.php?p=19885

--

[มารเหนือเทพ]

ขอบคุณครับ

[natha]

ขอบคุณค่ะ

[เด็กป.อ@มารคอหอย]

ขอบคุณมากค่ะ  มีประโยชน์มากค่ะ

[มารจอมยุทธ อสรพิษหมื่นปี]

ขอบคุณมากครับผม