ไวรัส Brontok 
ลักษณะอาการ 
- Menu Folder Option จะหายไป 
- จะเกิดไฟล์ .exe ชื่อเหมือน Folder ในทุก Folder ที่เปิดเข้าไปดู 
-มีหน้าเวปขึ้นมาเขียนว่า Brontok 
- ไม่สามารถเรียกใช้ Registry Editor และFolder Option ได้ 
วิธีแก้ไข 
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode ( กด f8 รัวๆตอนรีบู๊ดเครื่อง)เลือกเข้าในฐานะของ Administrator 
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start upยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่ 
5. โหลด File UnHookExec.inf จาก 
http://securityresponse.symantec.com...UnHookExec.inf 
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install 
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesExplorer ลบค่า "NoFolderOptions" = "1 
8. ไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด 
9. ไปที่ %UserProfile%Start MenuProgramsStartup 
ลบFile Empty.pif 
10.ไปที่ %UserProfile%Templates ลบFile A.kotnorB.com 
11.ไปที่ %Windir%inf ลบfile norBtok.exe 
12. ไปที่%System% ลบfile 3D Animation.scr 
 
ไวรัสคลิปVDO.EXE 
เป็นไวรัสที่ไม่ได้สร้างความเสียหายร้ายแรงแก่ระบบเท ่าใดแต่สร้างความรำคาญให้แก่ผู้ใช้ที่ติดไวรัสชนิดนี้มาโดยไวรัสชนิดนี้จะมีรูปร่างเหมือนFolderที่อยู่ในWin dows ทั่วๆไป แต่จะมีนามสกุลเป็น.exeทำให้เมื่อคลิกมัน ก็จะทำการฝังตัวไว้ใน C:WINDOWSsystem32 โดยจะทำการรันตัวมันเองขึ้นมาเรื่อยๆและสร้างไฟล์ คลิปVDO.exe ขึ้นมาใหม่เรื่อยๆ แม้ว่าจะทำการลบไฟล์ คลิปVDO.exe แล้วก็ตาม 
วิธีแก้ไขไวรัส คลิปVDO.exe 
1.เข้า windows task manager โดยกด Ctrl+Alt+Del ไปที่แทบ processes หาไฟล์ที่ชื่อ soundmsg.exe จากนั้นก็จัดการ end progress โดยการคลิ้กขวาเลือก end process หรือ กด delete แล้วตอบ yesไป 
2. ลบไฟล์ คลิปVDO.exe 
3. ไปที่ C:windowssystem32 แล้วหาไฟล์ soundmsg.exe หรือsearch หาไฟล์ soundmsg.exe 
4.ไปที่Start menu->Run พิมพ์เข้า RegEdit เลือกที่HK_Local_MachineSoftwareMicrosoftWindowsCu rrentVersionRun ลบค่า Registry ที่ชื่อVirus test 
5.ถ้าไวรัสติดที่Handy drive ให้เข้าSave Mode ของWindows แล้วเข้าไปลบไฟล์คลิปVDO.exe 
 
Svchost.exe 
เป็นWormชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการWindow ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host processใช้รัน กับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem,Netman,NtmsSvc,RasMan โดยที่สามารถรันได้หลายๆ instance พร้อมกัน 
อีกชื่อหนึ่งที่ใช้คือW32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฎิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS 
ขั้นตอนการทำงานของ W32.CodeBlu
1.เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:Inetpubwwwrootscripts 
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET 
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:Svchost.exe และเรียกใช้งาน 
4. C:Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบ 
W32.CodeBlueจะสร้างและแก้ไข 
1.ทำการสร้างไฟล์ C:Svchost.exe และแก้ไขregistryดังนี้ 
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun 
ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง 
2. สร้างไฟล์ชั่วคราวที่ C:d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:WINNTsystem32Wscript.exe 
3.ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed 
4.ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน 
วิธีตรวจสอบ 
ในDrive C หรือ D จะมีFolder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมีFolder ต่างๆเช่น c , cpu ,n ,w และอื่นๆ 
- ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือC:WINDOWSSvchost.exe 
วิธีแก้ไข 
1.ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่ 
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun 
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้ 
ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม 
3.ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs 
 
Flashy.exe 
ลักษณะอาการ 
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ 
-หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย 
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ 
-อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที 
- เมื่อเสียบFlash Driveเข้าไปหรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว 
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ (นามสกุล .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ 
จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที 
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน) 
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป 
วิธีแก้ไข 
1. ให้ใส่รหัสผ่าน คือ hacked 
2. เข้าไปที่Task Manager เลือก Processes หาชื่อ Flashy.exe และ systemID.pif เลือกEnd Process 
3. เนื่องจาก ไม่สามารถเข้าไปแก้ไขค่า Registry ในRun> regedit ได้ จึงต้องสร้างไฟล์เพื่อปลดล็อค regedit โดยการสร้าง Notepadแล้วพิมพ์ ดังนี้ โดย File สามารถใช้ปลดล็อค ได้กับทุกกรณีที่มีการล็อค regedit ที่เกิดจากไวรัสตัวอื่นๆ 
เมื่อพิมพ์เสร็จก็ให้ save เป็นนามสกุล .inf หรือสามารถ Download โดยคลิ๊กที่ Link 
http://securityresponse.symantec.com...UnHookExec.inf 
เมื่อสร้าง หรือ Download เสร็จ ให้คลิกขวาแล้วเลือก install 
4. ไปที่ Run พิมพ์ regedit แล้วให้ลบไฟล์ใน regedit ดังนี้ 
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion PoliciesExplorer ลบ "NoFolderOptions" = "1“ 
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "HideFileExt" = "1" 
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "Hidden" = "2"
-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccess ลบ "Start" = "4" 
-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run ลบ Flashy.exe 
5. ไปที่Start MenuProgramsStartup ลบ systemID.pif 
6. ไปที่ Run พิมพ์ msconfig เลือก start up เอาเช็คถูกหน้า systemIDออก 
7. ไปที่ Run พิมพ์ regedit แล้วไปที่HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 
โดยแก้ค่าRegistryดังนี้ (ถ้าไม่มีก็คลิกขาวเลือกNewเลือกString value) 
"AutoAdminLogon"="1" "DefaultUserName"=“ชื่อผู้ใช้" 
"DefaultPassword"hacked" 
8. เปิด Show hidden File แล้วไปที่ C:WINDOWSsystem32 ลบ File ชื่อ Flashy.exe 
9. หาแผ่น Hirens BootCD 8.1 โดยการโหลดจากhttp://files.9down.com:8080/HBCD81%5...own.com%5D.rar 
Writeลงแผ่นCD แล้วทำการ Boot เครื่องด้วย CD ให้เลือกหัวข้อ Password ข้อ 1. แล้วเลือก patition เลือก Account ที่จะล้าง Password และ ออกจากโปรแกรม 
 
Toy.exe 
ลักษณะอาการ 
1.เมื่อเปิดเครื่องขึ้นมาหน้า Desktop จะมีภาษาจีนและ ภาษาอังกฤษขึ้นมา 
2.ไม่สามารถ เข้า Local Disk ต่างๆได้ตามปกติรวมถึงFlash Drive ด้วยโดยจะดับเบิ้ลคลิ๊กเข้าDrive ต่างๆโดยตรงไม่ได้ ต้องคลิ๊กขวาแล้ว Open หรือ Explore เท่านั้น 
วิธีแก้ไข 
1.เข้าไปที่ C:Document and Setting ชื่อ User Start Menu Program Startup และC:WINDOWSSYSTEM32 
ลบFile ที่ชื่อ mslogon 
2.ทำการ Restart เครื่อง Windows Genuine เนื่องจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP PRo ผิดลิขสิทธิ์ทั่วโลกกว่าครึ่งกำลังถูก Microsoft ตรวจสอบลิขสิทธิ์ทำให้ต้อง Format Harddisk ใหม่ทั้งหมด ผ่านทาง Windows Update ปัญหานี้เกิดจากตัวอัพเดตที่มีรหัส KB890859 โดยจะทำให้ user mode ของWindowsเกิดปัญหา จะเริ่มจาก Microsoft จะเข้ามาเตือนว่า Update พร้อมสำหรับ โหลดแล้ว (สำหรับผู้ที่ตั้งเป็น Notify me but don't download) เมื่อการอัพเดตเสร็จสมบูรณ์ Product Key จะถูกส่งไปยัง Microsoft Server เพื่อดูว่าผิดลิขสิทธิ์หรือไม่ หากผิด เมื่อเครื่องคุณ Restart แล้วก็จะไม่สามารถLogonได้ เครื่องจะมีหน้าจอสีฟ้า เกิดจากการแก้ไขไฟล์ในระดับ kernel ทำให้เกิด c000021a fatal error 
วิธีแก้ไข 1 
วิธีที่ 1 เข้า recovery console ของวินโดว์ 
1.Set Biosให้เครื่องบูตจากซีดีรอม โดยใส่แผ่น setup ของวินโดว์ xp เอาไว้ 
2.เมื่อเครื่องบูตเข้าตัวเซ็ตอัพวินโดว์จนถึงหน้าที่ ให้เลือกเซ็ตอัพให้กด r เพื่อเข้าสู่ recovery console 
3.เมื่อเข้าสู่ recovery console จะเป็นจอสีดำคล้าย DOS แล้วจะถามว่าต้องการทำงานกับไดรฟ์ไหน โดยจะมีรายการขึ้นมาให้กดตัวเลขเลือก เช่น [1]C:WINDOWS ถ้าจะทำงานกับไดรฟ์นี้ก็กด 1 แล้วกด enter 
4.ให้ใส่Passwordลงไป ถ้าไม่มีก็กด enter ผ่านไปเลย แล้วก็จะขึ้น C:WINDOWS> 
5. ให้เข้าไปในโฟลเดอร์ชื่อ $NtUninstallKB890859$ โดยพิมพ์ cd$NtUninstallKB890859$ แล้วกด enter ที่หน้าจอจะขึ้นC:WINDOWS$NtUninstallKB890859$> 
6. พิมพ์ dir แล้วกด enter จะมีรายชื่อไฟล์ขึ้นมาให้ดู ให้ copy ไฟล์ authz.dll, user32.dll, winsrv.dll, ntkrnlpa.exe, ntoskrnl.exe และ win32k.sys ไปไว้ที่ C:WINDOWSSYSTEM32 
7.พิมพ์ copy authz.dll c:windowssystem32 แล้วกด enter จะถามว่าจะให้ overwrite ทับไฟล์ที่มีอยู่แล้วหรือไม่ ให้ตอบ yes โดยกด y ทำแบบนี้จนครบทุกไฟล์ คือ พิมพ์ copy ชื่อไฟล์ c:windowssystem32 
เมื่อทำครบหมดทุกไฟล์แล้วให้พิมพ์ exit แล้วกดenterเครื่องจะรีสตาร์ตเอง 
วิธีแก้ไข 2 
1.เปิด Windows Task Manager. 
2.กด End process wgatray.exe ใน Task Manager. 
3.Restart Windows XP แล้วเข้า Safe Mode. 
4.ลบFile WgaTray.exe จาก c:WindowsSystem32. 
5.ลบFile WgaTray.exe จาก c:WindowsSystem32dllcache. 
6.ไปที่ Run พิมพ์ RegEdit. 
7.ไปที่HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsN T 
CurrentVersionWinlogonNotify 
8.ลบ folder ‘WgaLogon’ และทุก File 
9.Reboot Windows XP. 
 
ไวรัส Godzila 
ลักษณะอาการ 
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore 
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla” 
วิธีการแก้ไขเมื่อติดไวรัส Godzilla 
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options 
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View 
1)คลิกเลือก Show Hidden files and folders 
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก 
3)คลิก OK 
3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด 
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes 
1)คลิกเลือกเมนู Image Name (เพื่อ sort File) 
2)คลิกเลือกไฟล์ wscript.exe 
3)คลิกปุ่ม End Process 
5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive ด้วย
6.เปิดโฟลเดอร์ C:WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) 
7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK 
ปรากฏไดอะล็อกบ็อก Registry Edit 
8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> microsoft-->windows-->Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด ) 
9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด ) 
10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK 
ปรากฏไดอะล็อกบ็อก Group Policy 
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties 
1)คลิกเลือก Enabled 
2)คลิกเลือก All drives 
3)คลิก OK 
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซี ดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได ้ง่ายขึ้น 
12.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options 
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View 
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders 
2)คลิก OK 
 
ไวรัส AdobeR.exe Win32/RJump.A 
วิธีกำจัด 
ปิดไม่ให้แฮนดี้ไดว์ฟเปิดเองอัตโนมัต 
Start ----> Run ---> gpedit.msc ---->Computer 
Configuration--->Administrative Templetes ----> system 
--->ดูในช่องขวามือ ดับเบิ้ลคลิกคำว่า 
Turn Off Auto play เลือกเป็น Enabled ในช่อง Turn Off Auto playon = 
All drives กด OK เสร็จครับ แล้วเวลาเสียบแฮนดี้ไดว์ฟเข้า My computer 
เพื่อความปลอดภัยอย่าไปดับเบิ้ลคลิกแฮนดี้ไดว์ฟนะครั บ 
ควรคลิกขวาดูว่ามีคำว่า Auto หรือ Auto run ไหม หากมีอะใช่เลย 
มีไวรัสแน่นอน
ให้เราเลือกOpenนะครับ แล้วเราก็ไปลบไฟล์ ไปลบไฟล์ไวรัสในนั้นกันครับ 
โดย ไปที่ My computer -->Tools --> Folder options -->View --> 
หัวข้อ Hiden files and folder ใต้นั้นให้ติ๊กเลือก Show hiden file 
and folder แล้วติ๊กถูกสองบรรทัดล่างออกด้วย แล้วOK 
(อย่าทำกลับคืน) 
แล้วคลิกขวาที่แฮนดี้ไดว์ฟ เลือก Open แล้วลบไฟล์ Autorun.inf 
Adober.exe msvcr71.dll ravmonlog สังเกตง่ายมันจะจางๆ
หากลบไม่ได้แสดงว่าไวรัสมันทำงานอยู่นั่นหมายความว่า คุณเผลอดับเบิ้ลคลิกแฮนดี้ไดว์ฟ 
ให้คุณกด Ctrl+Alt+Delete โปรแกรม Task Manager จะขึ้นมา
หลังจากนั้นให้คุณเลือกใน แถบProcesses หาโปรแกรมที่ชื่อว่า AdobeR.exe 
หลังจากนั้นให้คุณกด End Task แล้วกด OKได้เลย 
แล้วก็ไปลบไฟล์AdobeR.exe ใน C:WINDOWS 
แล้วก็ไปลบคำสั่งในรีจิสทรี้ โดย 
Start ----> Run --->regedit 
-->HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 
แล้วมองขวามือลบDWORDชื่อว่า RAVD 
แล้วก็ปิด ก็เสร็จแล้ว
 
ชื่อไวรัส W32.MSN.Worm 
วิธีป้องกันตัวเองจากหนอนชนิดนี้ 
1.ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร 
2.สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ 
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด 
3.ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ 
 
 ชื่อไวรัส SymbOS.Doomboot.A 
วิธีแก้ไข การกำจัดม้าโทรจันแบบกึ่งอัตโนมัติ 
1.เข้าเมนูของเครื่องโทรศัพท์มือถือ ไปที่รายการ Tools 
2.เลือกเครื่องมือที่ชื่อ Manager ในรูปที่ 2 ซึ่งเป็นการเปิดโปรแกรม App. Manager 
3.เลื่อนแถบไปยังชื่อ Doom 2 cracked DFT v1.0 ดังรูปที่ 4 จากนั้นทำการลบโดยกดปุ่มที่ Options เลือก Remove 
หมายเหตุ แอพพลิเคชันนี้อาจจะมีชื่ออื่นที่คล้ายกัน เช่น ชื่อไฟล์ Doom_2_wad_cracked_by_DFT_S60_v1.0.sis 
4.จะปรากฎข้อความให้ยืนยัน "Doom 2 cracked DFT v1.0 will be removed from phone. Continue?" แล้วกด Yes 
5.จากนั้นจะมีข้อความ "Removal may stop other applications from working. Continue anyway?" ให้เลือก Yes 
6.หลังจากลบ Doom 2 cracked DFT v1.0 แล้วให้ทำการลบ CommWarrior ด้วยวิธีตั้งแต่ข้อ 3 - 5 โดยเปลี่ยนชื่อจาก Doom 2 cracked DFT v1.0 เป็น CommWarrior 
7.ดาวน์โหลดโปรแกรม F-Commwarrior จาก http://mobile.f-secure.com/tools/f-commwarrior.sis มาเก็บไว้ในเครื่องคอมพิวเตอร์ 
8.ทำการถ่ายโอนไฟล์ที่ดาวน์โหลดได้ในข้อที่ 7 จากเครื่องคอมพิวเตอร์มายังโทรศัพท์มือถือ โดยวิธีการต่างๆ เช่น อินฟาเรด บลูทูธ สายดาต้าลิ้งค์ หรือ GPRS เป็นต้น แล้วทำการติดตั้งในโทรศัพท์มือถือ 
9.จากนั้นเปิดใช้งาน F-Commwarrior แล้วเลือกสแกน เพื่อกำจัดหนอน SymbOS.Commwarrior.B ออกจากเครื่อง 
10.ทำการปิด แล้วเปิดเครื่องใหม่ และทำการสแกนด้วยโปรแกรม F-Commwarrior อีกครั้งหนึ่ง 
 
ชื่อไวรัส W32.Nimda 
วิธีป้องกัน    
1.สำหรับ Internet Explorer version 5.01 or 5.5 without SP2 ให้ติดตั้ง Patch คลิกดาวโหลด เพื่อทำการแก้ไข Bug ของ Outlook Express ที่จะรันไฟล์ที่แนบมากับ จดหมายทีติดไวรัส W32.Nimba โดยอัตโนมัติ 
2.สำหรับ Windows NT และ Windows 2000 จะต้องทำการอัพเดต Patch เพื่อแก้ไขบั๊ก ของ IIS server จาก http://www.microsoft.com/technet/security/bulletin/ms00-078.asp http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 
3.ติดตั้งโปรแกรม Antivirus ที่มีความสามารถในการ Scan Web Page ได้เช่น PC-Cillin 2000, Norton Antivirus 2001, McAfee Virus Scan เป็นต้น 
4.อัพเดต ฐานข้อมูลของไวรัสอยู่เสมอ 
5.ยกเลิกการแชร์ไฟล์หรือโฟลเดอร์ 
 
ไวรัส Brontok
 วิธีแก้ไข
 1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode (กด F8 รัวๆ ตอนรีบู๊ดเครื่อง) เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start up ยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก http://securityresponse.symantec.com…UnHookExec.in
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer ลบค่า “NoFolderOptions” = “1
8. ไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%Start MenuProgramsStartup ลบ File Empty.pif
10.ไปที่ %UserProfile%Templates ลบ File A.kotnorB.com
11.ไปที่ %Windir%inf ลบ file norBtok.exe
12. ไปที่ %System% ลบ file 3D Animation.scr
 

หนอนไวรัส Svchost.exe

 วิธีแก้ไข

1. ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่ HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3. ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs


 

Comment

Comment:

Tweet

เยี่ยมมาก open-mounthed smile

#15 By โด่งคุง (103.7.57.18|70.173.234.185) on 2012-09-06 23:13

เก่งอะ confused smile  ชอบเรื่องไวรัสอะ ไม่เคยรู้มาก่อนเลย big smile

#14 By May (103.7.57.18|115.87.7.91) on 2012-09-05 09:49

ข้อมูลให้ความรู้ดีมากๆ คับ  บางอย่างยังไม่รู้เลย 
ดีมากคับ big smile

#13 By KRIT KanTa (103.7.57.18|171.101.196.144) on 2012-09-05 00:41

ทำให้มีความรู้เกี่ยวกับการป้องกันไวรัสเพิ่มมากขึ้น

#12 By aem (103.7.57.18|61.19.115.150) on 2012-09-05 00:21

wink อืมเนื้อดี เราอยู่หรอกนะ
embarrassed ข้อเสนอแนะ แต่สำหรับบางคนที่เข้าใจยากควรจะมีรูปภาพประกอบอธิบายวิธีแก้ไขด้วย(สำหรับคนไอคิวต่ำ)นะจ๊ะ

#11 By หนูนาย (103.7.57.18|192.168.182.113, 110.77.250.195) on 2012-09-05 00:18

เอาไปใช้จริงแล้วครับ เก่งมากน้อง

#10 By p ball (103.7.57.18|118.172.73.16) on 2012-09-05 00:11

เนื้อหาครอบคลุม ดีมาก เลย อ่านเข้าใจง่ายดีครับ

#9 By bank (103.7.57.18|49.49.11.192) on 2012-09-04 23:53

ดีมากเลยอะ ได้รู้จักไวรัสแล้วแล้ววิธีแก้ไข ดีจังเลย

#8 By Brake (103.7.57.18|110.169.239.46) on 2012-09-04 23:53

เนื้อหาอ่านเข้าใจมากค่ะ  ได้ความรู้ใหม่ด้วยbig smile big smile big smile

#7 By Nootchanart (103.7.57.18|101.108.187.30) on 2012-09-04 23:52

พระเจ้า !! ขอบคุณมากครับ เนื้อหาสุโข่ยย

#6 By thanarut (103.7.57.18|49.49.29.38) on 2012-09-04 23:49

สุดยอดไปเลยครับ

#5 By k-phan (103.7.57.18|49.49.14.62) on 2012-09-04 23:45

งานมีระเบียบดีมากเลยนะ ! ดีกว่าของเค้าเยอะเลย

#4 By Mooice !__+ (103.7.57.18|172.168.1.89, 180.183.200.206) on 2012-09-04 23:36

เป็นความรู้ใหม่ที่ดีมากเลยค่ะ ต่อไปคอมฯคงมีปัญหาไวรัสน้อยลงbig smile open-mounthed smile

#3 By frammy (103.7.57.18|223.206.110.110) on 2012-09-04 23:32

สุดยอดไปเลยค่ะ เพราะเครื่องมีแต่ไวรัสพออ่านเจอเลยแก้ไขตามวิธีเหล่านี้ได้ผลจริงๆค่ะ ขอบคุณมากเลยนะค่ะ

#2 By J.... (103.7.57.18|118.172.107.11) on 2012-09-04 23:31

อืมให้ความรุ้ดีมากเลยจร้า เข้าใจง่ายด้วยดีมากเลยจร้า ^________^

#1 By sweetdekdee (103.7.57.18|183.89.88.4) on 2012-09-04 23:25