วิธีการแก้ไวรัส SVCHOST.EXE CPU 100%

วิธีการแก้ไวรัส SVCHOST.EXE CPU 100%

หาวิธีแก้ไวรัส DATA.EXE เป็นหนอน(Worm) ชื่อ W32.Tellsky วิธีอยู่ด้านล่าง..

svchost.exe คือ process ที่เป็น host สำหรับจัดการรวบรวมเอา services ต่าง ๆ ของ windows มา run บนตัวมัน เพื่อให้จัดการการทำงานดีขึ้น
คือ แทนที่แต่ละ service จะ run แยก ๆ กันไป และแต่ละ services ก็จอง memory ของตัวเอง ซึ่งจะทำให้เปลือง ตัว svchost จะสร้าง environment ขึ้นมา แล้วก็เอา service ต่างๆ มา run
เฮ่อ ๆ ก็เลยมาเข้าใจเอาเองว่า คงเป็นเพราะผมติดตั้งและถอนโปรแกรมบ่อยๆๆๆๆๆ ไฟล์บางไฟล์ของ windows อาจมีการเปลี่ยนขนาด หรือ อาจจะถูกลบทิ้งไป ทำใ้ห้ svchost.exe พยายาม run service บางตัวซึ่งบางที อาจไม่มีอยู่(โดนลบไปแล้ว) ทำให้ CPU วิ่งอยู่ที่ 100%
วิธีแก้ไขที่ผมคิดว่าใช้ได้ดีก็คือ ลงโปรแกรมใหม่ ครับ แต่ไม่จำเป็นต้อง format ตามแบบที่ผมกล่าวไว้ข้างต้น แต่เราจะใช้วิธีลง windows ใหม่แบบซ่อมแซมส่วนที่สึกหรอ วิธีการมีดังต่อไปนี้ครับ
1. ใส่แผ่น windows xp (ห้ามถามว่าใส่ที่ไหน)
2. คลิก start เลือก run
3. พิมพ์คำสั่ง E:i386winnt32 /unattend แล้วคลิก OK (ถ้าเครื่องของทั่นใส่ CD ที่ drive อื่นๆ ก็เปลี่ยนชื่อ drive ให้ตรงกับของทั่นด้วยนะครับ) โปรแกรมติดตั้งจะเริ่มดำเนินการติดตั้งวินโดว์ให้ทั่น ใหม่โดยยังคงรักษา
ค่าการทำงานต่างๆ เอาไว้เหมือนเดิม
ทั่นสามารถติดตั้งเฉพาะตัวโปรแกรมวินโดว์ใหม่โดยไม่จำ เป็นต้องฟอร์แมตแล้วลงวินโดว์และติดตั้งโปรแกรมอื่นๆ เข้าไปใหม่ให้เสียเวลา นอกจากนี้ทั่นยังไม่ต้อง มานั่งปรับตั้งค่าการทำงานต่างๆใหม่อีกครั้งแต่อย่างใดด้วย
ใครจะลองใช้วิธีการของผมก็ยินดีครับ ไม่สงวนตัว เอ้ย ลิขสิทธิ์ แต่อย่างใด




ทำไม Files ชื่อ svchost.exe มัน กิน CPU เยอะ จัง คับ

คือ ผม พึ่งลง Windows ใหม่ ยังไม่ได้ ทำ ไร เลย

เปิด เครื่อง มา Files ดังกล่าว ก้อ กิน CPU มากๆๆ ดังรูป

ทิ้งไว้สักพัก 15-20นาที ก้อจะหาย พอ เล่นๆๆ ไป อีก ก้อ เอา อีก

ต้องปรับแต่ง อาราย ไหม ครับ เนี่ยยยย






ผมจะบอกทีละขั้นตอนนะครับ

0. โหลดไฟล์ killbox จากด้านล่าง พอโหลดเสร็จให้แตกไฟล์แล้วเปิดโปรแกรม

ให้ ดูที่ช่อง system process ข้างๆปุ่มเครื่องหมายตกใจสีเหลือง

จากนั้นให้เลือก process ที่ชื่อว่า >>> SVCHOST.EXE ต้องเป็นตัวพิมพ์ใหญ่นะครับ ไม่ใช่ตัวพิมพ์เล็กเด็ดขาด จากนั้น กดปุ่มเหลืองครับ

1. เข้าเว็บ http://securityresponse.symantec.com...unhookexec.inf/
เอามาแก ้ให้ได้ regedit กลับมา เมื่อดาวน์โหลดมาแล้วก็คลิ๊กขวา แล้วเลือก Install ครับ

2. โหลด ไฟล์แนบที่ชื่อว่า "เรียก folder option กลับคืนมา" ไปลงครับ

3. เข้า folder option แล้วเซ็ตตามภาพ

4. เข้า serah แล้วสั่งให้ค้นตามภาพ

5. ถ้าเจอไฟล์ที่ว่าจัดการลบซะ อย่าคลิกเปิดไฟล์เด็ดขาดให้ shift + delete

6. ภาพที่ผมเจออันนี้ผมเปิดดูจาก thumb drive ที่ติดไวรัสครับ ให้ลบด้วยนะครับ

ส่วน new folder.exe ก็เป็นไวรัสนะครับ ต้องระวังด้วย ลบให้หมด

แต่ให้ดูที่เป็น new folder.exe นะครับ เดี๋ยวเผลอไปลบ folder จริงๆขึ้นมา งานหายซวยซ้ำ

7. ถ้า thumb drive คุณมี folder ข้างในก็ต้องเปิดเข้าไปดและลบ ไวรัสที่มีลักษณะเป็น


อ้างอิง:
7.1 มีไอคอนเป็นรูป folder แต่เป็น .exe

7.2 ชื่อไฟล์มักจะเหมือนชื่อ folder ที่มันอยู่ จากรูปมันอยู่ใน folder ที่ชื่อ keygan

มันก็จะ copy ตัวเองเป็นชื่อ keygan เหมือนกันเลย แสบจริงๆ


8. ลบไฟล์ autorun.inf ที่อยู่ในทุก drive ออกให้หมดครับ c d e f .......... ไม่เว้น thumbdrive

9. โหลดไฟล์ เรียก cmd task manager กลับคืนมา.rar เอาไปลงครับ
ไฟล์ตัวนี้จะช่วยให้คุณเปิด cmd , task manager ได้ครับ



เพิ่มเติม

svchost.exe เป็น service (Generic Host Process for Win32 Services)ที่ใช้ในการโหลดไฟล์ .DLL การเรียกใช้ network การที่จะรู้ว่า service svchost ทำงานกับโปรแกรมอะไรอยู่นั้นทำได้ดังนี้ (winXP)
1. เปิด Task Manager ขึ้นมา เลือกที่
tap process >> view >> Select Columns.. แล้วเลือกที่ PID แล้วจำหมายเลข PID ของ svchost

2. จากนั้นก็เปิด Command Prompt ขึ้นมาแล้วพิมพ์ tasklist /svc ก็มาดูที่ PID แล้วดูรายละเอียดจะรู้ว่า svchost ทำงานร่วมกับโปรแกรมใด ถ้าเอามันออกตอน start up ได้ก็ค่อยเอาออก
Svchost.exe ของแท้เป็น Service Host – Generic Host Process for Win32 Servicesและที่อยู่ของไฟล์คือ C:WinNTSystem32Svchost.exe หรือC:WindowsSystem32Svchost.exe.ส่วนไวรัสที่พยายามใช้ชื่อให้ใกล้เคียง กัน เพื่อทำให้เราสับสน...มีตัวอย่างตามด้านล่าง

SCVHOST.exe คือ Gaobot viruses

Svch0st.exe คือ Backdoor.Graybird viruses.

Svchos1.exe คือ W32.HLLW.Gaobot.DK virus

Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm

Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm

svchost.exe จึงกลายเป็นที่หมายปองของไวรัสต่างๆ..ในการแพร่กระจายตัวเองเข้าไปควบคุมเจ้าไฟล์ตัวนี้http://www.neuber.com/taskmanager/process/svchost.exe.html
.......................................................................................................
.......................................................................................................
มาลองหาทางปิด service ที่ไม่จำเป็นเพื่อลดการใช้แรมครับ

การกำจัด Service ที่เกินความจำเป็น จะช่วยทำให้ระบบมีความรวดเร็วยิ่งขึ้น แต่ก่อนที่คุณจะปิด Service ใดๆ โปรดอ่านรายละเอียดของแต่ละ Service ให้ถี่ถ้วนก่อน

alerter ทำหน้าที่ในการแสดงคำเตือนของผู้ดูแลระบบ หากคุณเป็นผู้ดูแลระบบของเครื่องคุณเอง ก็ไม่จำเป็นต้องใช้งาน Service ตัวนี้

Application Management เป็นส่วนที่มีหน้าที่อนุญาตให้โปรแกรมที่ติดตั้งใหม่เข้าไปในหน้าต่าง Add/Remove Programs ซึ่งถ้าคุณเป็นมืออาชีพ ก็ไม่จำเป็นต้องใช้ตัวช่วยตัวนี้ เนื่องจากเราสามารถถอนการติดตั้งโปรแกรมต่างๆ ได้ด้วยตัวเอง หรือด้วยตัวโปรแกรมเอง

Background Intelligent Transfer Service ทำหน้าที่โอนไฟล์ระหว่าง Server มายังเครื่องของเรา ผ่านทางอินเตอร์เนต อย่างเช่นการอัพเดตแบบ AutoUpdate ของ วินโดวส์ หรือ Mcafee antivirus โดยใช้ bandwidth ในส่วนที่ไม่ได้ใช้งาน ขอแนะนำว่าถ้าคุณยังใช้การอัพเดตแบบอัตโนมัติอยู่ ก็ไม่ควรปิด Service ตัวนี้.

Clipbook ClipBook เป็นส่วนที่ยินยอมให้คุณใช้งานในการตัด คัดลอก หรือ แปะภาพจากคลิปบอร์ด ผ่านทาง network. หากเครื่องของคุณไม่ได้เชื่อมต่อเครือข่าย คุณสามารถปิด Service นี้ได้

Computer Browser ทำหน้าที่จัดการแสดงรายการเครื่องคอมพิวเตอร์ในเครือข่าย (Network Neighborhood) หากเครื่องของคุณไม่ได้เชื่อมต่อเครือข่าย คุณจะมีมันไว้ทำไม

Error Reporting Service เป็น Service ที่ทำหน้าที่ในการส่งข้อความ แสดงค่าความผิดพลาดของ protocol Event ในระบบเครื่อข่าย ไปให้ Microsoft แต่เราจะส่งไปให้ทำไม ปิด Service นี้เสียเถอะเพราะมันไม่จำเป็นต้องใช้. ในความเห็นส่วนตัวผม ผมว่ามันสร้างความรำคาญให้เรามากกว่า

Fast User Switching Windows XP มีคุณสมบัติอยู่อย่างหนึ่ง ก็คือการยินยอมให้มีการ สลับผู้ใช้งาน โดยไม่ต้อง Logoff แต่ถ้าคุณเป็นผู้ใช้งานคนเดียว (คุณเป็นเจ้าของเครื่องนี้แต่เพียงผู้เดียว) ก็ไม่จำเป็นต้องใช้ Service ตัวนี้.

Help and Support เคยไหม เวลามีปัญหา เช่นติดตั้งอุปกรณ์บางตัวไม่ได้ มันจะขึ้น Help มาให้เราอ่าน เช่น Trouble Shooting Problem มันขึ้นมาเต็มหน้าจอเลย แต่เป็นภาษาอังกฤษเต็มทั้งหน้า สำหรับผมแล้วไม่ชอบเลยสำหรับเจ้าบริการตัวนี้ เนื่องจาก help เป็นภาษาอังกฤษ และที่ซ้ำร้ายมันไม่เคยช่วยแก้ปัญหาให้ผมได้เลย ปิดเสียดีกว่า.

IMAPI CD-Burning COM Service หากคุณใช้โปรแกรม เขียนแผ่น CD ตัวอื่นๆ เช่น Nero ,Alcohol 120% ,Clone CD ฯลฯ ที่ไม่ใช่โปรแกรมที่ติดมากับ Windows XP ก็ปิดการทำงานตัวนี้ได้ และยิ่งคุณไม่มี CD-RW หรือ DVD RW ก็ไม่จำเป็นต้องใช้ Service ตัวนี้ .

Indexing Service Service ตัวนี้จะสร้างดรรชนี(Index) สำหรับไฟล์เอกสารที่อยู่ในเครื่องเอาไว้ เพื่อทำการค้นหาเอกสารต่างๆ เป็นไปด้วยความรวดเร็วมากขึ้นกว่าเดิม แต่ถ้าคุณไม่ได้ทำการค้นหาไฟล์เอกสารบ่อยๆแนะนำให้ปิดการทำงานของ Service นี้

IP SEC ใช้ในการควบคุมและจัดการ IP (IP security policy and starts the ISAKMP/Oakley (IKE) และ IP security driver).ซึ่งจำเป็นต้องใช้เมื่อคุณต้องการสร้าง Coded Connection กับระบบเครือข่าย

Messenger ทำหน้าที่เป็นตัวส่งข่าวสาร หรือระบบข้อความ ในระบบเครือข่าย โดยจะแสดงตัวเป็นหน้าต่างปอปอัพ ปรากฏขึ้นมา บนหน้าจอ ซึ่งบริษัทโฆษณานิยมใช้ Service นี้ เพื่อส่งโฆษณามาให้คุณ ผ่านทางอินเตอร์เนต ถ้าคุณไม่อยากรับโฆษณา ปิด Service นี้เถอะครับ

Net Logon ถ้าเครื่องของคุณอยู่บนระบบ LAN หรืออยู่ในองค์กรที่ใช้ระบบเครื่อข่าย Service ตัวนี้จะทำหน้าที่ในการจัดการ การ Login เข้าระบบเครือข่าย ดังนั้นอย่าปิด Service นี้ถ้าคุณอยู่นบน LAN แต่ถ้าเครื่องของคุณเป็นเครื่องที่ไม่ได้เชื่อมต่อกับ LAN (เป็นเครื่องที่บ้านก็ได้นะ) ก็ควรปิด Service ตัวนี้

Network DDE ทำหน้าที่ในการจัดการเกี่ยวกับส่งผ่านข้อมูลและระบบความปลอดภัยของเครือข่าย สำหรับ Dynamic Data Exchange (DDE) ทั้งที่เป็นเครื่องเดียวกัน หรือต่างเครื่อง หากคุณไม่ได้เชื่อมต่อกับระบบเครื่อข่าย ก็สามารถปิดการทำงาน Service นี้ได้.

Performance Logs and alerts เป็นตัวที่ใช้ในการเก็บรวมรวมข้อมูลของเครื่อง ในเรื่องประสิทธิภาพการทำงานของเครื่องและระบบ โดยมันจะเก็บเป็น Log file หากคุณไม่ใช้ หรือคุณดู Log file ไม่เป็น ก็สามารถปิด Service นี้ได้

Portable Media Serial Number Service ตัวนี้มีหน้าที่ในการค้นหา Serial number ของอุปกรณ์ ต่างๆเช่นเครื่องเล่น MP3 ที่ถูกนำมาต่อเข้ากับเครื่องคอมพิวเตอร์ ผู้ที่ไม่มีอุปกรณืดังกล่าวสามารถปิดการทำงาน Service นี้ได้

QOS RSVP ทำหน้าที่ในการจัดการการควบคุมเครื่อง(Manages and controls Remote Assistance) คือให้ผู้อื่นสามารถมาควบคุมเครื่องของเรา หรือ เห็นหน้าจอเครื่องของเราได้ หากคุณไม่ต้องใช้บริการนี้ ควรปิดเสียนะครับ เพราะ Service นี้ Hacker ชอบนักละ

Remote Registry ยินยอมให้เครื่องคอมพิวเตอร์เครื่องอื่นในระบบเครื่อข่ายสามารถเข้ามาแก้ไข ค่า registry เครื่องของเราได้ ถ้าคุณไม่ได้เชื่อมต่อกับระบบเครื่อข่าย หรือไม่ต้องการให้ใครเข้ายุ่มย่ามกับเครื่องของคุณ ก็ควรปิด Service นี้นะครับ

Server หากคุณไม่ได้เชื่อมต่อกับระบบเครื่อข่าย หรือ ไม่ได้ใช้การพิมพ์ หรือ แชร์ไฟล์ผ่านทางเครื่อข่าย ก็ไม่จำเป็นต้องใช้

Smart Card หากคุณไม่ได้ใช้ Smart Card (น้อยคนนักที่จะใช้ ) ก็ปิดบริการนี้นะครับ มันเกินความจำเป็น

Smart Card Helper หากคุณไม่ได้ใช้ Smart Card ก็ปิดบริการนี้นะครับ มันเกินความจำเป็น

SSDP Discovery Service สำหรับเมืองไทยเทคโนโลยี UPnP ยังไม่รุ่งนะครับ แต่ในต่างประเทศมีใช้กันแล้ว และเมืองไทยยังใช้ไฟแบบ 220 Volt อยู่ ซึ่งอุปกรณ์ ต่างๆยังไม่สนับสนุน สำหรับใครที่อยู่เมืองไทย ผมว่ายังไม่จำเป็นต้องใช้ Service ตัวนี้ในตอนนี้นะครับ

TCP/IP NetBIOS Helper ใช้บนระบบเครื่อข่ายเท่านั้น หากคุณไม่ได้เป็นส่วนหนึ่งของระบบเครือข่าย คุณใช้คอมพิวเตอร์ แบบ Stand alone ไม่มี LAN Card,Wireless LAN ก็ปิดเสียเถอะครับ

Telnet ถ้าคุณไม่เคยใช้คำสั่ง Telnet หรือใช้ Telnet ไม่เป็น ก็ไม่มีความจำเป็นอะไรที่จะเปิด Service ตัวนี้ เพราะเดี่ยวนี้ คำสั่ง Telnet (การเข้าไปใช้บริการของเครื่องอื่นแบบระยะไกล) มันแทบไม่ได้ใช้แล้ว ยกเว้นเซียนอินเตอร์เนต สำหรับผมถ้าจะใช้ก็ใช้ในการ hack server เครื่องอื่นแหละ ยอดนิยมเลยไอ้เจ้า telnet นี่

Uninterruptible Power Supply Service ถ้าร้อยวันพันปี คุณไม่ได้เข้าไปใช้โปรแกรมในการควบคุมเปิดปิดอุปกรณ์สำรองไฟ หรือที่เราเรียกว่า ยูพีเอส uninterruptible power supply (UPS) ก็ปิด Service ตัวนี้ได้เลย

Upload Manager ทำหน้าที่อัพโหลดไฟล์ขึ้นไปบนเครื่อง server บนระบบเครือข่าย.

Wireless Zero Configuration ทำหน้าที่เป็นตัวกำหนดเงื่อนไขสำหรับการปรับแต่งค่าของ Wireless LAN Adapter (802.11 adapters) แบบอัตโนมัติ ผู้ที่ไม่ได้ติดตั้ง เครือข่ายไร้สายสามรถปิด Service ตัวนี้ได้

Windows Time ใช้ในการเทียบเวลาในระบบเครื่อข่าย ถ้าไม่ติดต่อกับระบบเครือข่าย ก็ไม่จำเป็นต้องใช้

.........................................................................................
.........................................................................................

หาวิธีแก้ไวรัส DATA.EXE เป็นหนอน(Worm) ชื่อ W32.Tellsky

ไวรัส DATA.EXE
เป็นหนอน(Worm) ชื่อ W32.Tellsky แพร่กระจายตัวเองไปตามแมปไดร์ฟหรือไดร์ฟและโฟลเดอร์ที่มีการเปิดใช้งาน โดยมีพฤติกรรมดังนี้ครับ

1. สำเนาตัวเองเป็น %System%msnmsgr.exe

****** %System% เป็นค่าที่อ้างอิงถึงระบบโฟลเดอร์ โดยค่าเริ่มต้นของแต่ละวินโดวส์ คือ
C:WindowsSystem (Windows 95/98/Me)
C:WinntSystem32 (Windows NT/2000)
C:WindowsSystem32 (Windows XP) ******

2. เพิ่มค่าเข้าไปใน Registry :
"MsnMsgr" = "%System%msnmsgr.exe"
ไปยังสับคีย์ :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
และสับคีย์
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

(นี่คือเหตุผลที่ทำให้หนอนตัวนี้เริ่มทำงานทุกครั้งที่เปิดเครื่อง เมื่อเข้าสู่ Windows)

3. เพิ่มค่าเข้าไปใน Registry :
"DisableRegistryTools" = "1"
"DisableCMD" = "1"
"DisableTaskMgr" = "1"
ไปยังสับคีย์ :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
และที่สับคีย์
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionpoliciessystem
(นี่คือเหตุผลที่ทำให้เข้าไปแก้ไข Registry ไม่ได้ ใช้งาน CMD ไม่ได้ และเปิดTaskManeger ไม่ได้)

4. แจ้งเตือน Error ตามข้อความด้านล่างนี้ครับ :

Title: Windows System Resource Error
Message: Runtime Error 0FA39FAC

5. สำเนาตัวของมันเองไปยังทุกไดร์ฟที่มีอยู่ในเครื่อง โดยใช้ชื่อต่างๆ ดังต่อไปนี้ :

Data.exe
MyPicture.exe
New Folder.exe
Download.exe
Font.exe
Game.exe
Window.exe
document.exe
Desktop.exe
Nok Picture.exe

6. สร้างไฟล์ autorun.inf ไว้ที่ root directory ของทุกไดร์ฟจึงทำให้เมื่อไดร์ฟถูกเปิดใช้งานหรือมีการทำหรือพบแมปไดร์ฟ หนอนตัวนี้ก็จะทำการแพร่กระจายต่อไปทันที

7. อาจจะมีการดาวน์โหลดและประมวลผลไฟล์จาก URLs ข้างล่างนี้ครับ :

[http://]www.Atom-Soft.com/New[REMOVED]
[http://]www.Atom-Soft.com/Infec[REMOVED]
[http://]www.Atom-Soft.com/Fil[REMOVED]
[ftp://]61.19.242.5/

------------------------------------------------------------------------------------
ไวรัสตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ http://www.atom-soft.com/ ผ่านทาง http และ ftp ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 221 KBและ 213 KB ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป (ข้อมูลเพิ่มเติมจาก trackerx90)
------------------------------------------------------------------------------------
ถ้าพบเจอไฟล์เหล่านี้ ซึ่งดูแล้วเหมือนจะเป็นโฟลเดอร์ ห้าม"double click" โดยเด็ดขาด เพราะนั่นอาจจะทำให้ พาร์ติชั่น(ไดร์ฟ C หรือ D) ถูกลบทิ้ง นั่นก็หมายถึงข้อมูลที่อยู่ภายในนั้น ก็จะต้องสุญหายไปด้วยเช่นกัน ...
ไฟล์ที่ว่ามีชื่อตามนี้ครับ..............
# Data.exe
# MyPicture.exe
# New Folder.exe
# Download.exe
# Font.exe
# Game.exe
# Window.exe
# document.exe
# Desktop.exe
# Nok Picture.exe
---------------------------------------------------------------------------------
วิธีแก้ เท่าที่มีข้อมูล มีวิธีแก้อยู่ 2 วิธีครับ
วิธีที่ 1 ใช้โปรแกรมหรือเครื่องมือจัดการครับ

ดาวน์โหลดตัวแก้ คลิกที่นี่ครับ... http://www.prevx.com/security.asp (ขนาด 12.5 MB.)

วิธีที่ 2 ใช้การจัดการแบบเป็นขั้นตอน(จะทำยากกว่าวิธีแรกครับ)
1. ทำการปิด System Restore โดยการคลิ๊กขวาที่ My Computer -->Properties -->System Restore คลิ๊กในช่องสี่เหลี่ยมหน้าข้อความ Tune off System Restore on all Devices ให้มีเครื่องหมายถูกขึ้นมา (ถ้ามีเครื่องหมายถูกอยู่แล้วก็ไม่ต้องไปคลิ๊กครับ) คลิ๊ก OK แล้ว Restart เครื่องครับ
2. ทำการติดตั้งโปรแกรมป้องกันไวรัสที่เวอร์ชั่นล่าสุด และทำการ Update ให้ล่าสุดครับ(Update Virus Database(Version of Signature)) ทำการ Full Scan เมื่อตรวจพบ W32.Tellsky ก็สามารถ Clean หรือ Delete ได้เลยครับ (ถ้าจัดการมันได้ก็ข้ามไปข้อ 3. เลยครับ)
แต่ถ้าพบแล้ว Clean หรือ Delete ไม่ได้ ต้องใช้ตัวลบมันออกไปครับ โดยทำการดาวน์โหลด killbox.exe ........โดยดาวน์โหลดได้จากลิงค์ข้างล่างนี้
http://download.bleepingcomputer.com/spyware/KillBox.zip
แล้วเอาไปวางไว้ที่หน้าเดสก์ทอป คลิ๊กขวา แล้ว Extrack Here จะได้ไฟล์ KillBox.exe
ลากเม้าส์คลุมข้อความด้านล่างนี้ทั้งหมดเท่าที่ไดร์ฟเรามีอยู่ (****** ถ้าเราแบ่ง Harddisk ไว้หลายไดร์ฟ ก็จะต้องพิมพ์เองเพิ่มจนครบทุกไดร์ฟ) คลิ๊กขวา เลือก Copy
-----------------------------------------------------------------
C:WindowsSystem32msnmsgr.exe
C:autorun.inf
Cata.exe
C:MyPicture.exe
C:New Folder.exe
Cownload.exe
C:Font.exe
C:Game.exe
C:Window.exe
C:document.exe
Cesktop.exe
C:Nok Picture.exe
D:autorun.inf
Data.exe
D:MyPicture.exe
D:New Folder.exe
Download.exe
D:Font.exe
D:Game.exe
D:Window.exe
D:document.exe
Desktop.exe
D:Nok Picture.exe
E:autorun.inf
Eata.exe
E:MyPicture.exe
E:New Folder.exe
Eownload.exe
E:Font.exe
E:Game.exe
E:Window.exe
E:document.exe
Eesktop.exe
E:Nok Picture.exe
-------------------------------------------------------------------
และหลังจากที่เสร็จแล้ว(ครบทุกไดร์ฟ) ก็ไปที่หน้าเดสก์ทอป Double click ที่ Killbox
-- Click ที่ "delete on reboot"
-- Click ที่ "all files
-- ในช่องว่างหน้าโปรแกรม ให้คลิ๊กขวาแล้ววาง
-- Click ที่เครื่องหมายกากะบาทสีแดง เพื่อลบไฟล์ แล้วมันจะถามให้ลบไฟล์ต่อไปอีกเรื่อยๆ ก็คลิ๊กเหมือนเดิม จนครบทุกไฟล์ click "Yes" เพื่อ Restart เครื่องครับ

3. ไปแก้ไขค่าใน Registry ครับ
เมื่อติดหนอนตัวนี้ สิ่งที่ยุ่งยากก็คือมันจะปิดการใช้งานของ RegistryTools(Regedit) เราจึงจะยังไม่สามารถเข้าไปแก้ไข Registry ได้ในทันที ต้องแก้จุดนี้ก่อน
แก้วิธีแรก
เปิด Notepad ขึ้นมา แล้วทำการก๊อปปี้ข้อความข้างล่างนี้ นำไปวางไว้ใน Notepad แล้ว save as โดยตั้งชื่ออะไรก็ได้ แต่นามสกุลต้องเป็น .reg
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem]
"DisableRegistryTools" =dword:00000000
"DisableCMD" = dword:00000000
"DisableTaskMgr" =dword:00000000

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionpoliciessystem]
"DisableRegistryTools" =dword:00000000
"DisableCMD" = dword:00000000
"DisableTaskMgr" =dword:00000000

------------------------------------------------------------------
ทำการ Double click ที่ไฟล์ที่เราตั้งชื่อ .reg
แล้วคลิ๊ก yes เพื่อเพิ่มค่าต่างๆ เหล่านี้เข้าไปใน Regitry

แต่ถ้าไม่สามารถเพิ่มหรือแก้ค่าใน Register ได้อีก ก็ต้องแก้วิธีที่2 ครับ คือ
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
เอามาแก ้ให้ได้ regedit กลับมา เมื่อดาวน์โหลดมาแล้วก็คลิ๊กขวา แล้วเลือก Install ครับ แล้วจึงกลับไปทำข้อที่ 3. อีกครั้งหนึ่ง

ทำการก๊อปปี้ข้อความด้านล่างนี้ก่อน
------------------------------------------------------
Reg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /v MsnMsgr /f
---------------------------------------------------------------
แล้วไปที่ Start --> run แล้ววางลง คลิ๊ก ok
ทำการก๊อปปี้ข้อความด้านล่างนี้ก่อนต่อ
-----------------------------------------------------------
Reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v MsnMsgr /f
----------------------------------------------------------
แล้วไปที่ Start --> run แล้ววางลง คลิ๊ก ok

4. Restart เครื่องครับ