บทแรก ว่าด้วยอาการของเครื่องที่ติดไวรัส
วิธีดูคือ
1.รู้สึกว่าเครื่องช้าลงไหม
2.เปิด TaskManager ได้ไหม (วิธีดูคือ กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
3.เปิด Regedit ได้ไหม (วิธีเข้าคือ เข้า Start ไปที่ Run แล้วพิมพ์ regedit ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
4.Folder Option ยังอยู่ไหม (วิธีดูคือ เข้า MyComputer ไปที่ Tools(อยู่ข้างล่าง Title Bar) ดูว่ามี Folder Option ไหม)
5.มี Process แปลกๆในเครื่องไหม (ดูใน TaskManager ส่วนรายละเอียดจะอธิบายในบทต่อไป)
6.เปิด Drive ได้ไหม(หมายถึงปกติคือ Double Click เข้าไปได้ไหม)
7.เมื่อเปิด Folder แล้วเปิด Folder นั้นในหน้าต่างใหม่
8.ใน Folder มี Folder ที่ชื่อเหมือน Folder ขึ้นมาโดยเราไม่ได้สร้าง
9.มี PopUp ข้อความ หรือ หน้าต่างของ InternetExplorer(หรือ InternetBrowser อื่นๆ) ขึ้นมาเอง
10.หน้าแรกถูกตั้งเป็นหน้าอื่น เปลี่ยนกี่ทีก็ไม่ได้
11.มี File แปลกๆอยู่ในเครื่องรึเปล่า
12.อื่นๆ ถ้านึกออกจะเอามาลงอีก
หมายเหตุ Process คือโปรแกรมที่ถูกเปิดอยู่ทุกตัวซึ่งบ้างตัวจะทำงานในเบื้องหลัง(มองไม่เห็น)
วิธีดูคือ
1.รู้สึกว่าเครื่องช้าลงไหม
2.เปิด TaskManager ได้ไหม (วิธีดูคือ กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
3.เปิด Regedit ได้ไหม (วิธีเข้าคือ เข้า Start ไปที่ Run แล้วพิมพ์ regedit ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
4.Folder Option ยังอยู่ไหม (วิธีดูคือ เข้า MyComputer ไปที่ Tools(อยู่ข้างล่าง Title Bar) ดูว่ามี Folder Option ไหม)
5.มี Process แปลกๆในเครื่องไหม (ดูใน TaskManager ส่วนรายละเอียดจะอธิบายในบทต่อไป)
6.เปิด Drive ได้ไหม(หมายถึงปกติคือ Double Click เข้าไปได้ไหม)
7.เมื่อเปิด Folder แล้วเปิด Folder นั้นในหน้าต่างใหม่
8.ใน Folder มี Folder ที่ชื่อเหมือน Folder ขึ้นมาโดยเราไม่ได้สร้าง
9.มี PopUp ข้อความ หรือ หน้าต่างของ InternetExplorer(หรือ InternetBrowser อื่นๆ) ขึ้นมาเอง
10.หน้าแรกถูกตั้งเป็นหน้าอื่น เปลี่ยนกี่ทีก็ไม่ได้
11.มี File แปลกๆอยู่ในเครื่องรึเปล่า
12.อื่นๆ ถ้านึกออกจะเอามาลงอีก
หมายเหตุ Process คือโปรแกรมที่ถูกเปิดอยู่ทุกตัวซึ่งบ้างตัวจะทำงานในเบื้องหลัง(มองไม่เห็น)
บทที่สอง ว่าด้วยวิธีดู Process แปลกๆ
วิธีเปิด TaskManager เพื่อดู Process
1.กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือว่ามีโอกาศเกือบ 100% ว่าติดไวรัส
2.ไปที่ Process
วิธีเปิด TaskManager เพื่อดู Process
1.กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือว่ามีโอกาศเกือบ 100% ว่าติดไวรัส
2.ไปที่ Process
วิธีดู Process แปลกๆ
1.ถ้ามี wscript.exe ขึ้นมา (อันนี้ 90% เป็นไวรัส)
2.มีตัวที่มีรายชื่อดังต่อไปนี้มากกว่า 1 ตัวหรือชื่อใกล้เคียง
alg.exe
ctfmon.exe (อันนี้ไม่แน่ใจว่ามีทุกเครืองไหม แต่เป็นของ Windows คงมีทุกเครื่อง)
lsass.exe
services.exe
smss.exe
spoolsv.exe
winlogon.exe(ในกรณีที่เป็น server อาจจะมีมากกว่า 1 ตัวมั้ง ไม่แน่ใจแต่ถ้ามี 2 ตัวให้ดูที่ User Name ถ้าเป็น System คือปกติ)
3.มีตัวที่ชื่อใกล้เคียงกับ svchost.exe หรือเป็นชื่อนี้แต่ User Name ไม่ใช่ NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM
1.ถ้ามี wscript.exe ขึ้นมา (อันนี้ 90% เป็นไวรัส)
2.มีตัวที่มีรายชื่อดังต่อไปนี้มากกว่า 1 ตัวหรือชื่อใกล้เคียง
alg.exe
ctfmon.exe (อันนี้ไม่แน่ใจว่ามีทุกเครืองไหม แต่เป็นของ Windows คงมีทุกเครื่อง)
lsass.exe
services.exe
smss.exe
spoolsv.exe
winlogon.exe(ในกรณีที่เป็น server อาจจะมีมากกว่า 1 ตัวมั้ง ไม่แน่ใจแต่ถ้ามี 2 ตัวให้ดูที่ User Name ถ้าเป็น System คือปกติ)
3.มีตัวที่ชื่อใกล้เคียงกับ svchost.exe หรือเป็นชื่อนี้แต่ User Name ไม่ใช่ NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM
วิธีปิด Process
1.เลือก Process ที่ต้องการปิด
2.กดที่ End Process
3.แล้วกดที่ Yes
คำเตือน การปิด Process ที่มี User Name เป็น NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM ไม่ใช่ความคิดที่ดีอาจจะทำให้เครื่องรวนได้ ในบางกรณีอาจจะ Restart เองเลย
หมายเหตุ บาง Process อาจจะปิดไม่ได้เนื่องจากถูกป้องกันไว้ ส่วนมากจะเป็น AntiVirus เช่น NOD32,NetOP School Student เป็นต้น
1.เลือก Process ที่ต้องการปิด
2.กดที่ End Process
3.แล้วกดที่ Yes
คำเตือน การปิด Process ที่มี User Name เป็น NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM ไม่ใช่ความคิดที่ดีอาจจะทำให้เครื่องรวนได้ ในบางกรณีอาจจะ Restart เองเลย
หมายเหตุ บาง Process อาจจะปิดไม่ได้เนื่องจากถูกป้องกันไว้ ส่วนมากจะเป็น AntiVirus เช่น NOD32,NetOP School Student เป็นต้น
บทที่สาม ว่าด้วยเรื่องของ Autorun.inf
Autorun.inf คืออะไร
Autorun.inf คือ File ที่ไวรัสใช้ในการรันโปรแกรมไวรัส(บางตัวอาจจะไม่ใช่ไวรัสนะครับ อาจจะใช้ในประโยชน์อื่น เช่นการเปิดตัวลงโปรแกรมทันทีที่ใสแผ่น CD,เปลี่ยน Icon ของไดรว์ต่างๆ เป็นต้น
Autorun.inf คืออะไร
Autorun.inf คือ File ที่ไวรัสใช้ในการรันโปรแกรมไวรัส(บางตัวอาจจะไม่ใช่ไวรัสนะครับ อาจจะใช้ในประโยชน์อื่น เช่นการเปิดตัวลงโปรแกรมทันทีที่ใสแผ่น CD,เปลี่ยน Icon ของไดรว์ต่างๆ เป็นต้น
วิธีเปิด Autorun.inf
ในกรณีที่มองเห็นให้ Double Click เปิดได้เลย
ในกรณีที่มองไม่เห็นให้เปิด NotePad แล้วไปที่ File > Open แล้วพิมพ์ลงในช่อง File Name ว่า ชื่อไดรว์ตามด้วย Autorun.inf เช่น
ในกรณีที่มองเห็นให้ Double Click เปิดได้เลย
ในกรณีที่มองไม่เห็นให้เปิด NotePad แล้วไปที่ File > Open แล้วพิมพ์ลงในช่อง File Name ว่า ชื่อไดรว์ตามด้วย Autorun.inf เช่น
F:\Autorun.inf
หมายเหตุ ในที่นี้เราจะดู Autorun ที่ Drive F:
ข้อความใน Autorun.inf ใช้ทำอะไร
[Autorun]
ตัวนี้คือตัวที่บ่งบอกว่าตัวนี้คือ Autorun.inf ตัว Autorun.inf ทุดตัวต้องมี
icon=
ตัวนี้เป็นตัวที่ใช้เปลี่ยน Icon ของ ไดรว์ ส่วนมากไวรัสจะไม่ใช้
ตัวอย่างวิธีใช้
ตัวอย่างวิธีใช้
icon=Sakura.ico
โดย Sakura.ico คือชื่อไฟล์ Icon
หมายเหตุ File Icon ต้องเป็น File ที่มีนามสกุล .ico เท่านั้น และมีขนาด 32 * 32 pixel เท่านั้น(บางอันอาจจะได้ถึง 64*64 pixel)
หมายเหตุ File Icon ต้องเป็น File ที่มีนามสกุล .ico เท่านั้น และมีขนาด 32 * 32 pixel เท่านั้น(บางอันอาจจะได้ถึง 64*64 pixel)
shellexecute=
อันนี้ส่วนมากเป็นไวรัสชนิดที่เป็น VBScript หรือ Script ต่างๆ
ส่วนมากมักเป็น
ส่วนมากมักเป็น
shellexecute=wscript.exe test.vbs
การทำงานของคำสั่งนี้คือบอกให้รัน Script ที่ชื่อว่า test.vbs ปกติไวรัสแบบนี้แก้ไม่ยาก
Open=
อันนี้ส่วนมากจะใช้กับไวรัสที่เป็น EXE
โดยมักเป็นดังนี้
โดยมักเป็นดังนี้
Open=1.exe
หรือ
Open=1.com
โดยที่ 1.exe หรือ 1.com นั้นเป็นชื่อไวรัส ส่วนมากไวรัสพวกนี้มักแก้ยากเพราะเราไม่รู้ว่ามันทำอะไรกับเครื่องเราบ้าง
Shell\auto\command=
Shell=auto
Shell=auto
อันนี้คล้ายกับ Open ผมจะอธิบายทีละบรรทัดนะครับ
Shell\auto\command=
บรรทัดนี้จะเป็นตัวชี้ File ว่าให้เปิดอะไร ส่วนตรง auto นั้นสามารถเปลี่ยนได้ เช่น
Shell\test\command=
จะเหมือนกับอันบน คำสั่งนี้เมื่อคลิกขวาที่ Drive จะมีคำสั่งเพิ่มขึ้นมา เช่นถ้าเป็นของอันบนจะมีคำสั่ง auto เพิ่มขึ้นมา แต่ถ้าของอันล่างจะมี test เพิ่มขึ้นมา
Shell=auto
ส่วนอันนี้เป็นตัวที่บอกว่าถ้า Double Click จะไปเปิดตัวไหน เช่นอันนี้คือถ้า Double Click จะคล้ายคลิกขวาที่ Drive แล้วเลือก auto ก็คือรันไวรัสนั่นเอง บางตัวอาจจะใช้วิธีนี้แต่ผมจำโครงสร้างไม่ได้เป็นตัว music.exe มันจะทำให้มี Open หลายตัวทำให้งง ถ้าในกรณีนี้ให้เลือกตัวล่าง ส่วนมากตัวล่างมักจะปลอดภัยที่สุด
label=
อันนี้คือตั้งชื่อ Drive อ่ะครับ เช่น
label=MIX THE WIZARD
อันนี้คือให้ชื่อ Drive เป็น MIX THE WIZARD มันไม่ต่างอะไรกับคลิกขวา Properties แล้วเปลี่ยนชื่อไดรว์เท่าไหร่ แต่ถ้ามี autorun.inf อยู่มันจะเอาคำสั่งนี้เป็นหลัก
ที่สำคัญคงมีแค่นี้
ที่สำคัญคงมีแค่นี้
ทริกเพิ่มเติม
1.เราควรสร้าง Autorun.inf เก็บไว้ใน FlashDrive แล้วใส่คำสั่ง Icon เข้าไป ประมาณนี้
1.เราควรสร้าง Autorun.inf เก็บไว้ใน FlashDrive แล้วใส่คำสั่ง Icon เข้าไป ประมาณนี้
[Autorun]
icon=Sakura.ico
icon=Sakura.ico
label=No Virus
เพื่อที่เวลาเราเอา FlashDrive ไปเสียบเครื่องอื่นถ้ามาเสียบที่บ้าน แล้วไม่ขึ้นรูป ก็มีโอกาศว่า autorun.inf โดนเขียนทับ เราจะได้คลิกขวา ดูว่ามีไวรัสไหม ระวังตัวมากขึ้นหน่อย
2.เวลาเสียบ FlashDrive ควร กด Shift ไว้ด้วยไม่ให้มัน Autorun(ส่วนมากมักจะเปิดไวรัสแบบอัตโนมัติที่เสียบ FlashDrive เข้าไป)
หมายเหตุ
1.ต้องมี File Icon และต้องตั้งค่าให้เรียบร้อยด้วย
2.เมื่อเสียบกับเครื่องที่มี AntiAutorun ตัว Autorun.inf ของเราก็จะหายไปนะครับ เพราะมันโง่แยกไม่ออก ดังน้นระวังหน่อยนะครับ
2.เวลาเสียบ FlashDrive ควร กด Shift ไว้ด้วยไม่ให้มัน Autorun(ส่วนมากมักจะเปิดไวรัสแบบอัตโนมัติที่เสียบ FlashDrive เข้าไป)
หมายเหตุ
1.ต้องมี File Icon และต้องตั้งค่าให้เรียบร้อยด้วย
2.เมื่อเสียบกับเครื่องที่มี AntiAutorun ตัว Autorun.inf ของเราก็จะหายไปนะครับ เพราะมันโง่แยกไม่ออก ดังน้นระวังหน่อยนะครับ
บทที่สี่ การแก้ไวรัสที่เป็น VBScript
เราจะรู้ได้ยังไงว่้าว่าไวรัสชนิดที่เราติดเป็น VBScript รึเปล่า
ดูใน Autorun.inf ถ้าเป็นรูปแบบ
เราจะรู้ได้ยังไงว่้าว่าไวรัสชนิดที่เราติดเป็น VBScript รึเปล่า
ดูใน Autorun.inf ถ้าเป็นรูปแบบ
shellexecute=wscript.exe test.vbs
คือตัวไวรัสในที่นี้คือ test.vbs(อาจจเป็นชื่ออื่น) ซึ่งถ้าเป็น .vbs คือ ไวรัสที่เป็น VBScript
ให้เราเปิด Code ขึ้นมาดูโดยใช้ NotePad เปิดคือเปิด NotePad แล้ว แล้วไปที่ File>Open แล้วไปที่ไดรว์ที่พบ Autorun.inf แล้วพิมพ์ชื่อ File ลงในช่อง File Name
คำสั่งต่างๆใน VBScript
ให้เราเปิด Code ขึ้นมาดูโดยใช้ NotePad เปิดคือเปิด NotePad แล้ว แล้วไปที่ File>Open แล้วไปที่ไดรว์ที่พบ Autorun.inf แล้วพิมพ์ชื่อ File ลงในช่อง File Name
คำสั่งต่างๆใน VBScript
On Error Resume Next
อันนี้จะบอกว่าถ้าเกิด Error ไม่ต้องสนใจให้ทำงานต่อไป
Set dirwin = fso.GetSpecialFolder(0)
อันนี้เป็นคำสั่งที่ให้ dirwin เก็บ Path ของ Windows ทั่วไปคือ C:\Windows
Set dirsystem = fso.GetSpecialFolder(1)
อันนี้เป็นคำสั่งที่ให้ dirsystem เก็บ Path ของ System32 ทั่วไปคือ C:\Windows\System32
Set dirtemp = fso.GetSpecialFolder(2)
อันนี้เป็นคำสั่งที่ให้ dirtemp เก็บ Path ของ Temp ทั่วไปคือ C:\Documents and Settings\ชื่อ Username\Local Settings\Temp
Set c = fso.GetFile(dirsystem & "\wscript.exe")
c.copy
c.copy
ปกติข้างหน้าจุดจะมีชื่อตัวแปรอยู่(ในที่นี้คือ c) เป็นคำสั่ง copy file โดยมีรูปแบบคำสั่งดังนี้
Set c = fso.GetFile("C:\so.exe")
c.copy("C:\test.exe")
c.copy("C:\test.exe")
โดยบรรทัดแรกคือFile ต้นฉบับ บรรทัดล่างคือ File ที่ถูกวาง เวลาดูต้องดูด้วยว่าชื่อตัวแปรตรงกันไหม โดยตัวแปรสามารถตั้งชื่อให้แตกต่างกันได้ในที่นี้มีตัวแปร 2 ตัวคือ c และ fso ในที่นี้เป็นการคัดลอก File ที่ชื่อ so.exe จาก C:\ ไปที่ C:\ แต่เปลี่ยนชื่อเป็น test.exe
wscr.RegWrite
อันนี้คือคำสั่งเขียนค่าใน registry โดยมีรูปแบบดังนี้
wscr.RegWrite "ที่อยู่ของค่า regetry",ค่าของ regetry,"ชนิดของ regetry"
โดย wscr เป็นชื่อตัวแปร อาจเปลี่ยนแปลงได้
set tf=fs.createtextfile("C:\flash.vbs",2,true)
tf.write "test"
tf.close
tf.write "test"
tf.close
อันนี้เป็นคำสั่งที่ใช้สร้าง Text File โดยมีรูปแบบังนี้
set tf=fs.createtextfile("ที่อยู่+ชื่อ File พร้อมนามสกุล File(ไม่จำเป็นต้องเป็น .txt)",อนุญาติให้เขียนทับหรือไม่,อันนี้ให้เขียนเป็น Unicode หรือไม่(ปกติเป็น ASCII))
tf.write "ข้อความที่ต้องการเขียน(ถ้าเก็บไว้ในตัวแปรให้ลบฟันหนูออกแล้วใส่ชื่อตัวแปร)"
tf.close
tf.write "ข้อความที่ต้องการเขียน(ถ้าเก็บไว้ในตัวแปรให้ลบฟันหนูออกแล้วใส่ชื่อตัวแปร)"
tf.close
หมดแล้วมั้ง ต่อไปนี้เป็นการเชื่อม String
a = "456"
b = "123" & a
b = "123" & a
อันนี้กำหนดให้ a มีคำว่า 456 อยู่ b มีค่าเป็น 123 และมีค่า a ต่อท้าย โดยเครื่องหมาย & เป็นตัวเชื่อมข้อความกับตัวแปร และชื่อตัวแปรจะไม่มีเครือ่งหมาย " ในที่นี้ b จะมีค่า 123456
อันนี้คงหมดแล้วแหละ
อันนี้คงหมดแล้วแหละ
บททีห้าี่ การกู้ค่าRegistry ที่ควรรู้จัก
ในกรณทั่วไป
ให้ใช้ NOD32 Registry Recovery-V1.1.exe(โหลดได้ข้างล่าง) แล้วกด Next ไปเรื่อยๆจนจบ ถ้ามีขึ้นถาม Yes No ก็ตอบ Yes
แล้วเปิด CloseSystemWinXPRestore.reg กด Yes แล้วกด OK
ค่า Registry ที่ไวรัสบางตัวแก้ อันตรายและลบไม่ได้
ในกรณทั่วไป
ให้ใช้ NOD32 Registry Recovery-V1.1.exe(โหลดได้ข้างล่าง) แล้วกด Next ไปเรื่อยๆจนจบ ถ้ามีขึ้นถาม Yes No ก็ตอบ Yes
แล้วเปิด CloseSystemWinXPRestore.reg กด Yes แล้วกด OK
ค่า Registry ที่ไวรัสบางตัวแก้ อันตรายและลบไม่ได้
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
ค่านี้จะลบไม่ได้
ปกติจะเป็น
ปกติจะเป็น
C:\WINDOWS\system32\userinit.exe,
เปลี่ยนตามที่อยู่ของ Windows ห้ามลบเด็ดขาดแก้ให้เหลืออันนี้อันเดียวพอ ยกเว้น Windows ที่เป็น server พวก 2003 หรือ 2000 เนี่ยไม่แน่ใจ
การแก้ค่า Registry เอง
ให้ลองไปอ่าน ScriptRegistry.pdf ที่อยู่ใน File Rar ข้างล่างดูครับ
ให้ลองไปอ่าน ScriptRegistry.pdf ที่อยู่ใน File Rar ข้างล่างดูครับ
บทสุดท้าย การแก้ไวรัสแบบง่ายๆ
วิธีแก้ที่เป็น vbs
อันนี้ไม่ยากนั่งแกะ VBS แล้วก็ดูว่ามันกอปไปไว้ไหนบ้าง แก้ค่า Registry อะไรบ้างเราก็ไปแก้คืนซะส่วนมากก็ทำเป็นค่าตรงข้ามซะ มี 0 กับ 1 ยกเว้น
วิธีแก้ที่เป็น vbs
อันนี้ไม่ยากนั่งแกะ VBS แล้วก็ดูว่ามันกอปไปไว้ไหนบ้าง แก้ค่า Registry อะไรบ้างเราก็ไปแก้คืนซะส่วนมากก็ทำเป็นค่าตรงข้ามซะ มี 0 กับ 1 ยกเว้น
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
อันนี้ลบไปได้เลย
ไวรัสที่ไม่ใช่ vbs
อันนี้กู้คืนยาก ให้เราเปิด CPE17AntiAutorun1310.exe คลิกขวาที่ Icon ของมันตรง System Tray ไปที่ Windows Command เลือก Call Task Manager ไปที่ Process แล้วให้เรียงตาม Username ให้ End Task ออก จนเหลือ explorer.exe และ ctfmon.exe เท่านั้น(ถ้า End Task บางตัวไม่ได้ก็ไม่เป็นไรปล่อยมันไป) แล้วก็ดูใน Autorun.inf ว่าชื่ออะไรแล้วก็ไปลบ แล้วก็กู้ค่า Registry แล้วคลิกขวาที่ Icon ของAntiAutorunตรง System Tray ไปที่ Windows Command เลือก Call MS Config ไปที่ Start up แล้วเอาตัวที่เรียกจาก Temp และ Windows ออก ยกเว้น
ctfmon.exe
TINTESTP.exe
IMJPMIG.exe
แล้วก็โปรแกรมที่คุณรู้จักเช่น NeroCheck
พื้นฐานแค่นี้แหละ ถ้าคิดว่าไม่แน่ใจก็ใช้ Hijackthis จัดการเก็บ Log Files แล้วไป ตรวจที่ www.hijackthis.de หรือโพสถามที่บอร์ดคอมเช่น Thaiware เป็นต้น
ไวรัสที่ไม่ใช่ vbs
อันนี้กู้คืนยาก ให้เราเปิด CPE17AntiAutorun1310.exe คลิกขวาที่ Icon ของมันตรง System Tray ไปที่ Windows Command เลือก Call Task Manager ไปที่ Process แล้วให้เรียงตาม Username ให้ End Task ออก จนเหลือ explorer.exe และ ctfmon.exe เท่านั้น(ถ้า End Task บางตัวไม่ได้ก็ไม่เป็นไรปล่อยมันไป) แล้วก็ดูใน Autorun.inf ว่าชื่ออะไรแล้วก็ไปลบ แล้วก็กู้ค่า Registry แล้วคลิกขวาที่ Icon ของAntiAutorunตรง System Tray ไปที่ Windows Command เลือก Call MS Config ไปที่ Start up แล้วเอาตัวที่เรียกจาก Temp และ Windows ออก ยกเว้น
ctfmon.exe
TINTESTP.exe
IMJPMIG.exe
แล้วก็โปรแกรมที่คุณรู้จักเช่น NeroCheck
พื้นฐานแค่นี้แหละ ถ้าคิดว่าไม่แน่ใจก็ใช้ Hijackthis จัดการเก็บ Log Files แล้วไป ตรวจที่ www.hijackthis.de หรือโพสถามที่บอร์ดคอมเช่น Thaiware เป็นต้น
หมายเหตุ การทำคำสั่ง ชื่อ Process หรือ ชื่อ Files ต่างๆ ตัวพิมพ์ใหญ่พิมพ์เล็ก ไม่สำคัญเพราะงั้นไม่ต้องไปสน ดูว่าตัวเดียวกันรึเปล่าก็พอ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น