overclockzonefanpage  overclockzoneth  TV  
Page 1 of 4 1234 LastLast
Results 1 to 20 of 69

Thread: svchost กับการใช้าน CPU 100%

  1. #1
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Exclamation วิธีการแก้ไวรัส SVCHOST.EXE ข้ามไปอ่านที่ Rep 13 เลยนะครับ

    วิธีการแก้ไวรัส SVCHOST.EXE ข้ามไปอ่านที่ Rep 13 เลยนะครับ




















































    หลายครั้งหลายคราที่เครื่องคอมพิวเตอร์ที่ผมต้องใช้งานอยู่เป็นประจำ มีอาการอืดอาดยืดยาด ชนิดที่ว่าคลิกไปแล้วครั้งนึง สามารถดื่มกาแฟได้หนึ่งถ้วยเลยทีเดียว (ไม่รู้เว่อร์ไปป่าว อิอิ) ก็เลยเปิด windows task manager ดูในส่วนของ Performance โอ้โห กราฟขึ้นติดเพดานเลยครับ ไล่ดูที่ Processes เพื่อจะหาว่าตัวใหนใช้ CPU เยอะสุด อะฮ้า เจอครับ แต่ไม่ใช่ autorun ที่หลายๆทั่นเคยเจอจากกรณีดู VCD แล้วเครื่องอืดนะครับ แต่เป็นไฟล์ที่ชื่อว่า scvhost.exe ครับ ด้วยสัญชาตญาณแห่งการทำลาย จัดการคลิกขวาแล้วเลือก End processes ทันทีโดยมิรอช้า อิอิ เสร็จเรา process นั่นหายไป คิดว่าคงจะจบปัญหา อนิจา จู่ๆภายในเวลาไม่เกิน 10 นาที Windows ที่แสนจะสะดวกสบายจัดการ restart เครื่องโดยอัตโนมัติ อ่ะ ไม่เป็นรัย คงเป็นเพราะเมื่อสักครู่ เราลบ process ไป แต่มันมะช่ายอ่ะกิ๊บ มันมะช่าย CPU ยังขึ้นที่ 100% จาก svchost.exe เหมือนเดิม อารายกันนี่ ออกอาการเคืองเล็กน้อย ยอมวางมือจากงาน ใช้ anti-virus ที่มีอยู่ scan ทุก Drive ที่มีอยู่(จริงๆแล้วมี drive C: อยู่ drive เดียวครับ อิอิ) หวังว่าจะเจอสาเหตุ เพื่อที่จะได้แก้ปัญหาให้จบๆ ไปซะ เกือบครึ่งชั่วโมงต่อมาหลัง scan เสร็จสิ้น โอว..พระเจ้าจอร์จ ไม่นะ ไม่นะ มันยังไม่ตาย มันยังดิ้นรนใช้ CPU อยู่ที่ 100% เหมือนเดิมทุกประการ เอางัยดีหว่า ตัดสินใจ format ลงโปรแกรม Windows ใหม่ในทันที ยอมเสียเวลาติดตั้งโปรแกรมอื่นๆ ด้วย เอ้า ดูสิมันจะยังทำสถิติ 100% อยู่อีกมั๊ย หะหะ สะใจโก๋ อ๊ะอ๊ะ ถึงจะไม่ฉลาดมาก แต่ยังรอบครอบนะครับ อย่าลืม backup ข้อมูลที่จำเป็นเก็บไว้ก่อนนะครับ หะหะ เสร็จสิ้นกระบวนการทั้งหมด ซึ่งรวมไปถึง update ทั้ง windows + anti-virus ใช้เวลาเกือบทั้งวัน แต่ปัญหานั้นได้หายไป อิอิ สบายใจไปได้

    หลังจากนั้นลองหาดูว่า มีใคร เคยเจอปัญหาแบบผมบ้างรึป่าว นอกจากบทความของต่างประเทศที่แปลได้แบบ งูกินปลา แล้วที่เจอแบบไทยๆ ก็นี่เลย http://www.thaiadmin.org/board/index...8784#msg198784 ของคุณ insanity จาก thaiadmin.org ที่ได้อธิบายเกี่ยวกับเจ้า svchost.exe ว่า svchost.exe คือ process ที่เป็น host สำหรับจัดการรวบรวมเอา services ต่าง ๆ ของ windows มา run บนตัวมัน เพื่อให้จัดการการทำงานดีขึ้น
    คือ แทนที่แต่ละ service จะ run แยก ๆ กันไป และแต่ละ services ก็จอง memory ของตัวเอง ซึ่งจะทำให้เปลือง ตัว svchost จะสร้าง environment ขึ้นมา แล้วก็เอา service ต่างๆ มา run
    เฮ่อ ๆ ก็เลยมาเข้าใจเอาเองว่า คงเป็นเพราะผมติดตั้งและถอนโปรแกรมบ่อยๆๆๆๆๆ ไฟล์บางไฟล์ของ windows อาจมีการเปลี่ยนขนาด หรือ อาจจะถูกลบทิ้งไป ทำใ้ห้ svchost.exe พยายาม run service บางตัวซึ่งบางที อาจไม่มีอยู่(โดนลบไปแล้ว) ทำให้ CPU วิ่งอยู่ที่ 100%
    วิธีแก้ไขที่ผมคิดว่าใช้ได้ดีก็คือ ลงโปรแกรมใหม่ ครับ แต่ไม่จำเป็นต้อง format ตามแบบที่ผมกล่าวไว้ข้างต้น แต่เราจะใช้วิธีลง windows ใหม่แบบซ่อมแซมส่วนที่สึกหรอ วิธีการมีดังต่อไปนี้ครับ
    1. ใส่แผ่น windows xp (ห้ามถามว่าใส่ที่ไหน)
    2. คลิก start เลือก run
    3. พิมพ์คำสั่ง E:\i386\winnt32 /unattend แล้วคลิก OK (ถ้าเครื่องของทั่นใส่ CD ที่ drive อื่นๆ ก็เปลี่ยนชื่อ drive ให้ตรงกับของทั่นด้วยนะครับ) โปรแกรมติดตั้งจะเริ่มดำเนินการติดตั้งวินโดว์ให้ทั่น ใหม่โดยยังคงรักษา
    ค่าการทำงานต่างๆ เอาไว้เหมือนเดิม
    ทั่นสามารถติดตั้งเฉพาะตัวโปรแกรมวินโดว์ใหม่โดยไม่จำ เป็นต้องฟอร์แมตแล้วลงวินโดว์และติดตั้งโปรแกรมอื่นๆ เข้าไปใหม่ให้เสียเวลา นอกจากนี้ทั่นยังไม่ต้อง มานั่งปรับตั้งค่าการทำงานต่างๆใหม่อีกครั้งแต่อย่างใดด้วย
    ใครจะลองใช้วิธีการของผมก็ยินดีครับ ไม่สงวนตัว เอ้ย ลิขสิทธิ์ แต่อย่างใด






    เพิ่มเติม

    svchost.exe เป็น service (Generic Host Process for Win32 Services)ที่ใช้ในการโหลดไฟล์ .DLL การเรียกใช้ network การที่จะรู้ว่า service svchost ทำงานกับโปรแกรมอะไรอยู่นั้นทำได้ดังนี้ (winXP)
    1. เปิด Task Manager ขึ้นมา เลือกที่
    tap process >> view >> Select Columns.. แล้วเลือกที่ PID แล้วจำหมายเลข PID ของ svchost

    2. จากนั้นก็เปิด Command Prompt ขึ้นมาแล้วพิมพ์ tasklist /svc ก็มาดูที่ PID แล้วดูรายละเอียดจะรู้ว่า svchost ทำงานร่วมกับโปรแกรมใด ถ้าเอามันออกตอน start up ได้ก็ค่อยเอาออก
    Svchost.exe ของแท้เป็น Service Host – Generic Host Process for Win32 Servicesและที่อยู่ของไฟล์คือ C:\WinNT\System32\Svchost.exe หรือC:\Windows\System32\Svchost.exe.ส่วนไวรัสที่พยายามใช้ชื่อให้ใกล้เคียงกัน เพื่อทำให้เราสับสน...มีตัวอย่างตามด้านล่าง

    SCVHOST.exe คือ Gaobot viruses

    Svch0st.exe คือ Backdoor.Graybird viruses.

    Svchos1.exe คือ W32.HLLW.Gaobot.DK virus

    Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm

    Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm

    svchost.exe จึงกลายเป็นที่หมายปองของไวรัสต่างๆ..ในการแพร่กระจายตัวเองเข้าไปควบคุมเจ้าไฟล์ตัวนี้
    http://www.neuber.com/taskmanager/pr...chost.exe.html
    Last edited by Mbell; 2 Sep 2007 at 00:42:14.

  2. #2
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    อีกลิ้งครับ ลองไปอ่านกันดูสำหรับคนที่สงสัยไฟล์ svchost

    1, svchost คือ อะไร
    ==============
    svchost.exe คือ process ที่เป็น host สำหรับจัดการรวบรวมเอา services ต่าง ๆ ของ windows มา run บนตัวมัน เพื่อให้จัดการการทำงานดีขึ้น

    คือ แทนที่แต่ละ service จะ run แยก ๆ กันไป และแต่ละ services ก็จอง memory ของตัวเอง ซึ่งจะทำให้เปลือง ตัว svchost จะสร้าง environment ขึ้นมา แล้วก็เอา service ต่างๆ มา run

    2. แล้วทำไม svchost ต้องมีหลายตัว
    =========================
    แบบนี้ svchost ก็น่าจะมีแค่ตัวเดียวก็พอซิ แต่ทีนี้บังเอิญที่ services ต่างๆ ของ windows ก็จะมีความต้องการต่าง ๆ ที่หลากหลาย ดังนั้น จึงต้องมี instances ของ svchost หลายตัว เพื่อจัดให้ run services ที่มีความต้องการที่แตกต่างกันเหล่านั้นได้อย่างเหมาะสม

    3. จะดูรายละเอียดของแต่ละ svchost ได้อย่างไร
    ================================
    ถ้าอยากรู้ว่า svchost แต่ละ process มันได้ host service อะไรไว้บ้าง ก็สามารถทำได้โดยใช้คำสั่ง tasklist /svc ที่ command prompt นะครับ แล้วมันก็จะแสดงให้เห็นเอง


    คำตอบของคำถาม
    ===========
    อ่า.. เขียนมาตั้งเยอะ ยังไม่ได้ตอบคำถามเลย คือ "ไม่รู้น่ะ" ผมก็ไม่รู้ว่าทำไม svchost คุณกิน CPU + Ram เยอะน่ะ ( อ้าว... ) คงต้องไปเรียก tasklist แล้วดูว่า svchost ของคุณมัน host เจ้า service อะไรไว้บ้าง ตัวไหนไม่จำเป็นก็ลองค่อยๆ ปิดไปดูเอาละกัน


    ปล. ทั้งหมดอาจจะไม่ถูกต้อง 100% นะครับ คือ สรุป ๆ เอาว่ามันประมาณนี้อ่ะ
    http://www.thaiadmin.org/board/index...8784#msg198784




    เพื่มเติม อันนี้เป็นลิ้งแนะนำการกำจัดไวรัส scvhost.exe ครับ ลองไปอ่านดูนะ
    http://www.liutilities.com/products/...brary/svchost/
    http://www.icct-th.com/board/index.p...3569;topicseen
    http://www.icct-th.com/board/index.p...edd&board=14.0
    Last edited by Mbell; 24 Aug 2007 at 10:14:32.

  3. #3
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    หลังจากผมลองทำตามกระทู้แล้วได้ผลลัพธ์คือ service ที่ผมล้อมไว้ในภาพครับ

    ทีนี้ผมจะมาลองหาทางปิด service ที่ไม่จำเป็นเพื่อลดการใช้แรมครับ

    ถ้าได้ความรู้ใหม่ๆจะมาโพสเพิ่มเติมนะครับ

    การกำจัด Service ที่เกินความจำเป็น จะช่วยทำให้ระบบมีความรวดเร็วยิ่งขึ้น แต่ก่อนที่คุณจะปิด Service ใดๆ โปรดอ่านรายละเอียดของแต่ละ Service ให้ถี่ถ้วนก่อน

    Alerter ทำหน้าที่ในการแสดงคำเตือนของผู้ดูแลระบบ หากคุณเป็นผู้ดูแลระบบของเครื่องคุณเอง ก็ไม่จำเป็นต้องใช้งาน Service ตัวนี้

    Application Management เป็นส่วนที่มีหน้าที่อนุญาตให้โปรแกรมที่ติดตั้งใหม่เข้าไปในหน้าต่าง Add/Remove Programs ซึ่งถ้าคุณเป็นมืออาชีพ ก็ไม่จำเป็นต้องใช้ตัวช่วยตัวนี้ เนื่องจากเราสามารถถอนการติดตั้งโปรแกรมต่างๆ ได้ด้วยตัวเอง หรือด้วยตัวโปรแกรมเอง

    Background Intelligent Transfer Service ทำหน้าที่โอนไฟล์ระหว่าง Server มายังเครื่องของเรา ผ่านทางอินเตอร์เนต อย่างเช่นการอัพเดตแบบ AutoUpdate ของ วินโดวส์ หรือ Mcafee antivirus โดยใช้ bandwidth ในส่วนที่ไม่ได้ใช้งาน ขอแนะนำว่าถ้าคุณยังใช้การอัพเดตแบบอัตโนมัติอยู่ ก็ไม่ควรปิด Service ตัวนี้.

    Clipbook ClipBook เป็นส่วนที่ยินยอมให้คุณใช้งานในการตัด คัดลอก หรือ แปะภาพจากคลิปบอร์ด ผ่านทาง network. หากเครื่องของคุณไม่ได้เชื่อมต่อเครือข่าย คุณสามารถปิด Service นี้ได้

    Computer Browser ทำหน้าที่จัดการแสดงรายการเครื่องคอมพิวเตอร์ในเครือข่าย (Network Neighborhood) หากเครื่องของคุณไม่ได้เชื่อมต่อเครือข่าย คุณจะมีมันไว้ทำไม

    Error Reporting Service เป็น Service ที่ทำหน้าที่ในการส่งข้อความ แสดงค่าความผิดพลาดของ protocol Event ในระบบเครื่อข่าย ไปให้ Microsoft แต่เราจะส่งไปให้ทำไม ปิด Service นี้เสียเถอะเพราะมันไม่จำเป็นต้องใช้. ในความเห็นส่วนตัวผม ผมว่ามันสร้างความรำคาญให้เรามากกว่า

    Fast User Switching Windows XP มีคุณสมบัติอยู่อย่างหนึ่ง ก็คือการยินยอมให้มีการ สลับผู้ใช้งาน โดยไม่ต้อง Logoff แต่ถ้าคุณเป็นผู้ใช้งานคนเดียว (คุณเป็นเจ้าของเครื่องนี้แต่เพียงผู้เดียว) ก็ไม่จำเป็นต้องใช้ Service ตัวนี้.

    Help and Support เคยไหม เวลามีปัญหา เช่นติดตั้งอุปกรณ์บางตัวไม่ได้ มันจะขึ้น Help มาให้เราอ่าน เช่น Trouble Shooting Problem มันขึ้นมาเต็มหน้าจอเลย แต่เป็นภาษาอังกฤษเต็มทั้งหน้า สำหรับผมแล้วไม่ชอบเลยสำหรับเจ้าบริการตัวนี้ เนื่องจาก help เป็นภาษาอังกฤษ และที่ซ้ำร้ายมันไม่เคยช่วยแก้ปัญหาให้ผมได้เลย ปิดเสียดีกว่า.

    IMAPI CD-Burning COM Service หากคุณใช้โปรแกรม เขียนแผ่น CD ตัวอื่นๆ เช่น Nero ,Alcohol 120% ,Clone CD ฯลฯ ที่ไม่ใช่โปรแกรมที่ติดมากับ Windows XP ก็ปิดการทำงานตัวนี้ได้ และยิ่งคุณไม่มี CD-RW หรือ DVD RW ก็ไม่จำเป็นต้องใช้ Service ตัวนี้ .

    Indexing Service Service ตัวนี้จะสร้างดรรชนี(Index) สำหรับไฟล์เอกสารที่อยู่ในเครื่องเอาไว้ เพื่อทำการค้นหาเอกสารต่างๆ เป็นไปด้วยความรวดเร็วมากขึ้นกว่าเดิม แต่ถ้าคุณไม่ได้ทำการค้นหาไฟล์เอกสารบ่อยๆแนะนำให้ปิดการทำงานของ Service นี้

    IP SEC ใช้ในการควบคุมและจัดการ IP (IP security policy and starts the ISAKMP/Oakley (IKE) และ IP security driver).ซึ่งจำเป็นต้องใช้เมื่อคุณต้องการสร้าง Coded Connection กับระบบเครือข่าย

    Messenger ทำหน้าที่เป็นตัวส่งข่าวสาร หรือระบบข้อความ ในระบบเครือข่าย โดยจะแสดงตัวเป็นหน้าต่างปอปอัพ ปรากฏขึ้นมา บนหน้าจอ ซึ่งบริษัทโฆษณานิยมใช้ Service นี้ เพื่อส่งโฆษณามาให้คุณ ผ่านทางอินเตอร์เนต ถ้าคุณไม่อยากรับโฆษณา ปิด Service นี้เถอะครับ

    Net Logon ถ้าเครื่องของคุณอยู่บนระบบ LAN หรืออยู่ในองค์กรที่ใช้ระบบเครื่อข่าย Service ตัวนี้จะทำหน้าที่ในการจัดการ การ Login เข้าระบบเครือข่าย ดังนั้นอย่าปิด Service นี้ถ้าคุณอยู่นบน LAN แต่ถ้าเครื่องของคุณเป็นเครื่องที่ไม่ได้เชื่อมต่อกับ LAN (เป็นเครื่องที่บ้านก็ได้นะ) ก็ควรปิด Service ตัวนี้

    Network DDE ทำหน้าที่ในการจัดการเกี่ยวกับส่งผ่านข้อมูลและระบบความปลอดภัยของเครือข่าย สำหรับ Dynamic Data Exchange (DDE) ทั้งที่เป็นเครื่องเดียวกัน หรือต่างเครื่อง หากคุณไม่ได้เชื่อมต่อกับระบบเครื่อข่าย ก็สามารถปิดการทำงาน Service นี้ได้.

    Performance Logs and Alerts เป็นตัวที่ใช้ในการเก็บรวมรวมข้อมูลของเครื่อง ในเรื่องประสิทธิภาพการทำงานของเครื่องและระบบ โดยมันจะเก็บเป็น Log file หากคุณไม่ใช้ หรือคุณดู Log file ไม่เป็น ก็สามารถปิด Service นี้ได้

    Portable Media Serial Number Service ตัวนี้มีหน้าที่ในการค้นหา Serial number ของอุปกรณ์ ต่างๆเช่นเครื่องเล่น MP3 ที่ถูกนำมาต่อเข้ากับเครื่องคอมพิวเตอร์ ผู้ที่ไม่มีอุปกรณืดังกล่าวสามารถปิดการทำงาน Service นี้ได้

    QOS RSVP ทำหน้าที่ในการจัดการการควบคุมเครื่อง(Manages and controls Remote Assistance) คือให้ผู้อื่นสามารถมาควบคุมเครื่องของเรา หรือ เห็นหน้าจอเครื่องของเราได้ หากคุณไม่ต้องใช้บริการนี้ ควรปิดเสียนะครับ เพราะ Service นี้ Hacker ชอบนักละ

    Remote Registry ยินยอมให้เครื่องคอมพิวเตอร์เครื่องอื่นในระบบเครื่อข่ายสามารถเข้ามาแก้ไขค่า registry เครื่องของเราได้ ถ้าคุณไม่ได้เชื่อมต่อกับระบบเครื่อข่าย หรือไม่ต้องการให้ใครเข้ายุ่มย่ามกับเครื่องของคุณ ก็ควรปิด Service นี้นะครับ

    Server หากคุณไม่ได้เชื่อมต่อกับระบบเครื่อข่าย หรือ ไม่ได้ใช้การพิมพ์ หรือ แชร์ไฟล์ผ่านทางเครื่อข่าย ก็ไม่จำเป็นต้องใช้

    Smart Card หากคุณไม่ได้ใช้ Smart Card (น้อยคนนักที่จะใช้ ) ก็ปิดบริการนี้นะครับ มันเกินความจำเป็น

    Smart Card Helper หากคุณไม่ได้ใช้ Smart Card ก็ปิดบริการนี้นะครับ มันเกินความจำเป็น

    SSDP Discovery Service สำหรับเมืองไทยเทคโนโลยี UPnP ยังไม่รุ่งนะครับ แต่ในต่างประเทศมีใช้กันแล้ว และเมืองไทยยังใช้ไฟแบบ 220 Volt อยู่ ซึ่งอุปกรณ์ ต่างๆยังไม่สนับสนุน สำหรับใครที่อยู่เมืองไทย ผมว่ายังไม่จำเป็นต้องใช้ Service ตัวนี้ในตอนนี้นะครับ

    TCP/IP NetBIOS Helper ใช้บนระบบเครื่อข่ายเท่านั้น หากคุณไม่ได้เป็นส่วนหนึ่งของระบบเครือข่าย คุณใช้คอมพิวเตอร์ แบบ Stand alone ไม่มี LAN Card,Wireless LAN ก็ปิดเสียเถอะครับ

    Telnet ถ้าคุณไม่เคยใช้คำสั่ง Telnet หรือใช้ Telnet ไม่เป็น ก็ไม่มีความจำเป็นอะไรที่จะเปิด Service ตัวนี้ เพราะเดี่ยวนี้ คำสั่ง Telnet (การเข้าไปใช้บริการของเครื่องอื่นแบบระยะไกล) มันแทบไม่ได้ใช้แล้ว ยกเว้นเซียนอินเตอร์เนต สำหรับผมถ้าจะใช้ก็ใช้ในการ hack server เครื่องอื่นแหละ ยอดนิยมเลยไอ้เจ้า telnet นี่

    Uninterruptible Power Supply Service ถ้าร้อยวันพันปี คุณไม่ได้เข้าไปใช้โปรแกรมในการควบคุมเปิดปิดอุปกรณ์สำรองไฟ หรือที่เราเรียกว่า ยูพีเอส uninterruptible power supply (UPS) ก็ปิด Service ตัวนี้ได้เลย

    Upload Manager ทำหน้าที่อัพโหลดไฟล์ขึ้นไปบนเครื่อง server บนระบบเครือข่าย.

    Wireless Zero Configuration ทำหน้าที่เป็นตัวกำหนดเงื่อนไขสำหรับการปรับแต่งค่าของ Wireless LAN Adapter (802.11 adapters) แบบอัตโนมัติ ผู้ที่ไม่ได้ติดตั้ง เครือข่ายไร้สายสามรถปิด Service ตัวนี้ได้

    Windows Time ใช้ในการเทียบเวลาในระบบเครื่อข่าย ถ้าไม่ติดต่อกับระบบเครือข่าย ก็ไม่จำเป็นต้องใช้
    Last edited by Mbell; 24 Aug 2007 at 09:47:08.

  4. #4
    OverclockZone Member bikass07's Avatar
    Join Date
    24 Aug 2007
    Location
    รามอินทรา,ห้วยขวาง,ลาดพร้าว และทั่วกรุงเทพ

    Default

    ขอบคุณครับ.......คุณ Mbell
    เครื่องที่บ้านก็เจอปัญหาแบบนี้เหมือนกัน

  5. #5
    OverclockZone Member iLLuSioNEx's Avatar
    Join Date
    18 Sep 2006
    Location
    จ.สุพรรณบุรี

    Default

    ของผมก็เป็น ขอบคุณมากมายครับ

  6. #6
    OverclockZone Member rungsun_nong's Avatar
    Join Date
    6 Jun 2007

    Default

    ขอบคุณครับ

  7. #7
    OverclockZone Member
    Join Date
    24 Jul 2007

    Default

    อืม ถามไรนิดส์นึงสิครับ Bonjour Service คืออารายอ่าคับ มันอยู่ใน mDSNResponder.exe

  8. #8
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    ลองเอาวิธีแก้มาให้ครับ

    ไวรัส DATA.EXE
    เป็นหนอน(Worm) ชื่อ W32.Tellsky แพร่กระจายตัวเองไปตามแมปไดร์ฟหรือไดร์ฟและโฟลเดอร์ที่มีการเปิดใช้งาน โดยมีพฤติกรรมดังนี้ครับ

    ไวรัส DATA.EXE
    เป็นหนอน(Worm) ชื่อ W32.Tellsky แพร่กระจายตัวเองไปตามแมปไดร์ฟหรือไดร์ฟและโฟลเดอร์ที่มีการเปิดใช้งาน โดยมีพฤติกรรมดังนี้ครับ

    1. สำเนาตัวเองเป็น %System%\msnmsgr.exe

    *** %System% เป็นค่าที่อ้างอิงถึงระบบโฟลเดอร์ โดยค่าเริ่มต้นของแต่ละวินโดวส์ คือ
    C:\Windows\System (Windows 95/98/Me)
    C:\Winnt\System32 (Windows NT/2000)
    C:\Windows\System32 (Windows XP) ***

    2. เพิ่มค่าเข้าไปใน Registry :
    "MsnMsgr" = "%System%\msnmsgr.exe"
    ไปยังสับคีย์ :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    และสับคีย์
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    (นี่คือเหตุผลที่ทำให้หนอนตัวนี้เริ่มทำงานทุกครั้งที่เปิดเครื่อง เมื่อเข้าสู่ Windows)

    3. เพิ่มค่าเข้าไปใน Registry :
    "DisableRegistryTools" = "1"
    "DisableCMD" = "1"
    "DisableTaskMgr" = "1"
    ไปยังสับคีย์ :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    และที่สับคีย์
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\system
    (นี่คือเหตุผลที่ทำให้เข้าไปแก้ไข Registry ไม่ได้ ใช้งาน CMD ไม่ได้ และเปิดTaskManeger ไม่ได้)

    4. แจ้งเตือน Error ตามข้อความด้านล่างนี้ครับ :

    Title: Windows System Resource Error
    Message: Runtime Error 0FA39FAC

    5. สำเนาตัวของมันเองไปยังทุกไดร์ฟที่มีอยู่ในเครื่อง โดยใช้ชื่อต่างๆ ดังต่อไปนี้ :

    Data.exe
    MyPicture.exe
    New Folder.exe
    Download.exe
    Font.exe
    Game.exe
    Window.exe
    Document.exe
    Desktop.exe
    Nok Picture.exe

    6. สร้างไฟล์ autorun.inf ไว้ที่ root directory ของทุกไดร์ฟจึงทำให้เมื่อไดร์ฟถูกเปิดใช้งานหรือมีการทำหรือพบแมปไดร์ฟ หนอนตัวนี้ก็จะทำการแพร่กระจายต่อไปทันที

    7. อาจจะมีการดาวน์โหลดและประมวลผลไฟล์จาก URLs ข้างล่างนี้ครับ :

    [http://]www.Atom-Soft.com/New[REMOVED]
    [http://]www.Atom-Soft.com/Infec[REMOVED]
    [http://]www.Atom-Soft.com/Fil[REMOVED]
    [ftp://]61.19.242.5

    ------------------------------------------------------------------------------------
    ไวรัสตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ www.Atom-Soft.com ผ่านทาง http และ ftp ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 221 KBและ 213 KB ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป (ข้อมูลเพิ่มเติมจาก trackerx90)
    ------------------------------------------------------------------------------------
    ถ้าพบเจอไฟล์เหล่านี้ ซึ่งดูแล้วเหมือนจะเป็นโฟลเดอร์ ห้าม"double click" โดยเด็ดขาด เพราะนั่นอาจจะทำให้ พาร์ติชั่น(ไดร์ฟ C หรือ D) ถูกลบทิ้ง นั่นก็หมายถึงข้อมูลที่อยู่ภายในนั้น ก็จะต้องสุญหายไปด้วยเช่นกัน ...
    ไฟล์ที่ว่ามีชื่อตามนี้ครับ..............
    # Data.exe
    # MyPicture.exe
    # New Folder.exe
    # Download.exe
    # Font.exe
    # Game.exe
    # Window.exe
    # Document.exe
    # Desktop.exe
    # Nok Picture.exe
    ---------------------------------------------------------------------------------
    วิธีแก้ เท่าที่มีข้อมูล มีวิธีแก้อยู่ 2 วิธีครับ
    วิธีที่ 1 ใช้โปรแกรมหรือเครื่องมือจัดการครับ

    ดาวน์โหลดตัวแก้ คลิกที่นี่ครับ... http://www.prevx.com/security.asp (ขนาด 12.5 MB.)

    วิธีที่ 2 ใช้การจัดการแบบเป็นขั้นตอน(จะทำยากกว่าวิธีแรกครับ)
    1. ทำการปิด System Restore โดยการคลิ๊กขวาที่ My Computer -->Properties -->System Restore คลิ๊กในช่องสี่เหลี่ยมหน้าข้อความ Tune off System Restore on all Devices ให้มีเครื่องหมายถูกขึ้นมา (ถ้ามีเครื่องหมายถูกอยู่แล้วก็ไม่ต้องไปคลิ๊กครับ) คลิ๊ก OK แล้ว Restart เครื่องครับ
    2. ทำการติดตั้งโปรแกรมป้องกันไวรัสที่เวอร์ชั่นล่าสุด และทำการ Update ให้ล่าสุดครับ(Update Virus Database(Version of Signature)) ทำการ Full Scan เมื่อตรวจพบ W32.Tellsky ก็สามารถ Clean หรือ Delete ได้เลยครับ (ถ้าจัดการมันได้ก็ข้ามไปข้อ 3. เลยครับ)
    แต่ถ้าพบแล้ว Clean หรือ Delete ไม่ได้ ต้องใช้ตัวลบมันออกไปครับ โดยทำการดาวน์โหลด killbox.exe ........โดยดาวน์โหลดได้จากลิงค์ข้างล่างนี้
    http://download.bleepingcomputer.com...re/KillBox.zip
    แล้วเอาไปวางไว้ที่หน้าเดสก์ทอป คลิ๊กขวา แล้ว Extrack Here จะได้ไฟล์ KillBox.exe
    ลากเม้าส์คลุมข้อความด้านล่างนี้ทั้งหมดเท่าที่ไดร์ฟเรามีอยู่ (*** ถ้าเราแบ่ง Harddisk ไว้หลายไดร์ฟ ก็จะต้องพิมพ์เองเพิ่มจนครบทุกไดร์ฟ) คลิ๊กขวา เลือก Copy
    -----------------------------------------------------------------
    C:\Windows\System32\msnmsgr.exe
    C:\autorun.inf
    C:\Data.exe
    C:\MyPicture.exe
    C:\New Folder.exe
    C:\Download.exe
    C:\Font.exe
    C:\Game.exe
    C:\Window.exe
    C:\Document.exe
    C:\Desktop.exe
    C:\Nok Picture.exe
    D:\autorun.inf
    D:\Data.exe
    D:\MyPicture.exe
    D:\New Folder.exe
    D:\Download.exe
    D:\Font.exe
    D:\Game.exe
    D:\Window.exe
    D:\Document.exe
    D:\Desktop.exe
    D:\Nok Picture.exe
    E:\autorun.inf
    E:\Data.exe
    E:\MyPicture.exe
    E:\New Folder.exe
    E:\Download.exe
    E:\Font.exe
    E:\Game.exe
    E:\Window.exe
    E:\Document.exe
    E:\Desktop.exe
    E:\Nok Picture.exe
    -------------------------------------------------------------------
    และหลังจากที่เสร็จแล้ว(ครบทุกไดร์ฟ) ก็ไปที่หน้าเดสก์ทอป Double click ที่ Killbox
    -- Click ที่ "delete on reboot"
    -- Click ที่ "all files
    -- ในช่องว่างหน้าโปรแกรม ให้คลิ๊กขวาแล้ววาง
    -- Click ที่เครื่องหมายกากะบาทสีแดง เพื่อลบไฟล์ แล้วมันจะถามให้ลบไฟล์ต่อไปอีกเรื่อยๆ ก็คลิ๊กเหมือนเดิม จนครบทุกไฟล์ click "Yes" เพื่อ Restart เครื่องครับ

    3. ไปแก้ไขค่าใน Registry ครับ
    เมื่อติดหนอนตัวนี้ สิ่งที่ยุ่งยากก็คือมันจะปิดการใช้งานของ RegistryTools(Regedit) เราจึงจะยังไม่สามารถเข้าไปแก้ไข Registry ได้ในทันที ต้องแก้จุดนี้ก่อน
    แก้วิธีแรก
    เปิด Notepad ขึ้นมา แล้วทำการก๊อปปี้ข้อความข้างล่างนี้ นำไปวางไว้ใน Notepad แล้ว save as โดยตั้งชื่ออะไรก็ได้ แต่นามสกุลต้องเป็น .reg
    -----------------------------------------------------------------

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    "DisableRegistryTools" =dword:00000000
    "DisableCMD" = dword:00000000
    "DisableTaskMgr" =dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\system]
    "DisableRegistryTools" =dword:00000000
    "DisableCMD" = dword:00000000
    "DisableTaskMgr" =dword:00000000

    ------------------------------------------------------------------
    ทำการ Double click ที่ไฟล์ที่เราตั้งชื่อ .reg
    แล้วคลิ๊ก yes เพื่อเพิ่มค่าต่างๆ เหล่านี้เข้าไปใน Regitry

    แต่ถ้าไม่สามารถเพิ่มหรือแก้ค่าใน Register ได้อีก ก็ต้องแก้วิธีที่2 ครับ คือ
    http://securityresponse.symantec.com...UnHookExec.inf
    เอามาแก ้ให้ได้ regedit กลับมา เมื่อดาวน์โหลดมาแล้วก็คลิ๊กขวา แล้วเลือก Install ครับ แล้วจึงกลับไปทำข้อที่ 3. อีกครั้งหนึ่ง

    ทำการก๊อปปี้ข้อความด้านล่างนี้ก่อน
    ------------------------------------------------------
    Reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsnMsgr /f
    ---------------------------------------------------------------
    แล้วไปที่ Start --> run แล้ววางลง คลิ๊ก ok
    ทำการก๊อปปี้ข้อความด้านล่างนี้ก่อนต่อ
    -----------------------------------------------------------
    Reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v MsnMsgr /f
    ----------------------------------------------------------
    แล้วไปที่ Start --> run แล้ววางลง คลิ๊ก ok

    4. Restart เครื่องครับ

    ข้อมูลจาก : http://thammai.com/phpbb/viewtopic.php?t=205

  9. #9
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    เพื่มเติมครับ ลิ้งข้างบน มันโหลด killbox ไม่ได้ผมเลยหาอันอื่นมให้ครับ ลิ้งนี้โหลดได้

    . Download pocket killbox , and copy it to your desktop .

    http://www.atribune.org/downloads/KillBox.exe

    Double click at ............ Killbox.exe

    Click delete on reboot,
    hilight the file below , copy and paste to the killbox

    C:\WINDOWS\system32\ishost.exe

    Click at the " Red Cross "

    C:\WINDOWS\system32\issearch.exe

    It will prompt you to restart click " No " . Repeat the above process again and again to delete all files listed below , Click " Yes " to restart on the last file.

    C:\WINDOWS\system32\isnotify.exe
    C:\WINDOWS\system32\ismon.exe
    C:\WINDOWS\system32\admparsek.dll
    C:\WINDOWS\system32\ixt0.dll
    C:\WINDOWS\system32\compstuig.dll
    C:\Program Files\Safety Bar\Safety Bar.dll
    C:\WINDOWS\g7185402.dll
    C:\WINDOWS\g9797407.dll
    C:\WINDOWS\SYSTEM32\winqzp32.dll

    Restart normally and it will delete those files ..

  10. #10
    OverclockZone Member NewweN's Avatar
    Join Date
    24 Aug 2007

    Default

    แฮะๆ คุณใช่วิธีเดียวกับผมเลย format โลด

  11. #11
    OverclockZone Member kayz's Avatar
    Join Date
    2 Apr 2007
    Location
    กทม-เมเจอร์รัชโยธิน-บิ๊กซีลาดพร้าว

    Default

    thx นะ

  12. #12
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    Quote Originally Posted by NewweN View Post
    แฮะๆ คุณใช่วิธีเดียวกับผมเลย format โลด
    ผมไม่ได้ format ครับ format ถ้าคุณมี 2 drive คือ c กับ d

    แล้วทำแค่ c อย่างเดียวไวรัสมันไม่หายนะครับ มันยังค้างอยู่ที่ d

    ทางออกคือต้องไล่หาไวรัสครับ

    ใครสงสัยตรงใหนลองถามดูได้จะช่วยครับ ไวรัสตัวนี้ผมแก้มันสำเร็จแล้วครับ

  13. #13
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    ผมจะบอกทีละขั้นตอนนะครับ

    0. โหลดไฟล์ killbox จากด้านล่าง พอโหลดเสร็จให้แตกไฟล์แล้วเปิดโปรแกรม

    ให้ ดูที่ช่อง system process ข้างๆปุ่มเครื่องหมายตกใจสีเหลือง

    จากนั้นให้เลือก process ที่ชื่อว่า >>> SVCHOST.EXE ต้องเป็นตัวพิมพ์ใหญ่นะครับ ไม่ใช่ตัวพิมพ์เล็กเด็ดขาด จากนั้น กดปุ่มเหลืองครับ

    1. เข้าเว็บ http://securityresponse.symantec.com...UnHookExec.inf
    เอามาแก ้ให้ได้ regedit กลับมา เมื่อดาวน์โหลดมาแล้วก็คลิ๊กขวา แล้วเลือก Install ครับ

    2. โหลด ไฟล์แนบที่ชื่อว่า "เรียก folder option กลับคืนมา" ไปลงครับ

    3. เข้า folder option แล้วเซ็ตตามภาพ

    4. เข้า serah แล้วสั่งให้ค้นตามภาพ

    5. ถ้าเจอไฟล์ที่ว่าจัดการลบซะ อย่าคลิกเปิดไฟล์เด็ดขาดให้ shift + delete
    Last edited by Mbell; 21 Aug 2008 at 19:54:45.

  14. #14
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    6. ภาพที่ผมเจออันนี้ผมเปิดดูจาก thumb drive ที่ติดไวรัสครับ ให้ลบด้วยนะครับ

    ส่วน new folder.exe ก็เป็นไวรัสนะครับ ต้องระวังด้วย ลบให้หมด

    แต่ให้ดูที่เป็น new folder.exe นะครับ เดี๋ยวเผลอไปลบ folder จริงๆขึ้นมา งานหายซวยซ้ำ

    7. ถ้า thumb drive คุณมี folder ข้างในก็ต้องเปิดเข้าไปดและลบ ไวรัสที่มีลักษณะเป็น

    7.1 มีไอคอนเป็นรูป folder แต่เป็น .exe

    7.2 ชื่อไฟล์มักจะเหมือนชื่อ folder ที่มันอยู่ จากรูปมันอยู่ใน folder ที่ชื่อ keygan

    มันก็จะ copy ตัวเองเป็นชื่อ keygan เหมือนกันเลย แสบจริงๆ

    8. ลบไฟล์ autorun.inf ที่อยู่ในทุก drive ออกให้หมดครับ c d e f .......... ไม่เว้น thumbdrive

    9. โหลดไฟล์ เรียก cmd task manager กลับคืนมา.rar เอาไปลงครับ
    ไฟล์ตัวนี้จะช่วยให้คุณเปิด cmd , task manager ได้ครับ




    จบแล้วครับ ใครทำแล้วติดปัญหาตรงใหนโพสได้นะครับ จะช่วยให้
    Last edited by Mbell; 21 Aug 2008 at 19:54:45.

  15. #15
    OverclockZone Member bankkanb's Avatar
    Join Date
    22 Jul 2007
    Location
    bkk

    Default

    เง้อ ไวรัส กำจัดได้ก้มาใหม่ได้อีก ปวดหมอง

  16. #16
    OverclockZone Member TerrorORC's Avatar
    Join Date
    3 Jan 2007

    Default

    มะใช่ scvhosts หรอกหรอครับ -*-
    scvhosts ก็อาการแนวนี้เหมือนกันนา

  17. #17
    OverclockZone Member indyman01's Avatar
    Join Date
    9 Jul 2007
    Location
    KU65.วิศวะดงตาล,ม.เกษตร บางเขน,โชคชัย4,ลาดพร้าว,mrt

    Default

    ขอบคุณมากๆเลยครับ เผมก็เป็นเหมือนกัน ผมเลยปล่อยให้ cpu มัน 100% ซัก 5 นาทีมันก็หายครับ ดีจะได้จัดการมันซะจะได้ไม่ต้องรอให้อารมณ์เสีย.....

  18. #18
    OverclockZone Member Mbell's Avatar
    Join Date
    19 Sep 2006
    Location
    Bangkok

    Default

    Quote Originally Posted by TerrorORC View Post
    มะใช่ scvhosts หรอกหรอครับ -*-
    scvhosts ก็อาการแนวนี้เหมือนกันนา
    svhsot ไม่ใช่ไวรัสนะครับ ตัวนี้มันเป็นชุดรวมของserviceต่างๆที่รันในwindows

    ส่วน SVCHOST.EXE มันเป็นไวรัสครับ




    จากรูปถ้า svhsot พวกนี้เป็น service นะ อย่าเข้าใจผิด
    Last edited by Mbell; 21 Aug 2008 at 19:54:45.

  19. #19
    OverclockZone Member chichiol6's Avatar
    Join Date
    13 Jun 2007

    Default

    ไวรัสหลายๆตัวมีตัวแก้นะครับ ลองหาดูในเว็ปนี้อ่ะ

    http://www.trackerx90.th.gs/

    แต่ผมติดอยู่ตัวนึงอ่ะ ไม่รู้ใครเคยเจอบ้างหรือป่าวตัวนี้ครับ

    @Annew Forever Love@ มันจะขึ้นที่ไตเติ้ลบาร์ของIE จากนั้นเครื่องก็เติมไปด้วยFolderแปลกๆเยอะแยะเลย
    ใครเจอทางแก้บอกหน่อยนะครับ

  20. #20
    OverclockZone Member TerrorORC's Avatar
    Join Date
    3 Jan 2007

    Default

    แล้ว NEw Folder.exe เนี่ย
    ต้องใช้วิธีเปิด นามสกุล+แสดงไฟล์แอบ
    แล้วค้นหา *.exe แล้วไปดูกลุ่ม Application
    แล้วนั่งลบทุกตัวเลยหรอครับ -*-

Page 1 of 4 1234 LastLast

Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •