WINFILE.exe mstray.exe  MKKH.exe  VTT.exe WUUR.exe DBBXY.exe   e.exe PN.exe  LJJ.exe Y.exe  BYY.exe
วิธีลบไวรัส WINFILE                   


ขออธิบายก่อนนะครับ ใครอยากอ่านวิธีแก้เลยก็เลื่อนลงข้างเลยละกันครับ
ไวรัสตัวนี้ผมเคยฆ่าแล้วครับ แต่ไม่ได้เขียนวิธีกำจัดเพระคิดว่าคงไม่ติดกันเยอะ แล้วก็แก้ง่าย ด้วยครับ
แต่วันนี้ผมได้ลองติดดูใหม่ก็ได้รู้รายละเอียดเพิ่มขี้นครับ ได้รู้ว่าไวรัสตัวนี้มันก็แสบดีเหมือนกัน
อาการเมื่อติดไวรัสตัวนี้แล้วหลังจากเราเผลอไปเปิดไฟล์ไวรัส มันจะสร้างไฟล์ mstray.exe
ไว้ใน C:\WINDOWS\SYSTEM\mstray.exe แล้วเขียนคำสั่งเปิดตัวเองทุกครั้งเมื่อเปิดเครื่องไว้ใน
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ชื่อ RavTimeXP เมื่อไวรัสทำงานอยู่มันจะเข้าไปอยู่ในหน่วยความจำของเรา (RAM)
สมมุติว่าก๊อปไฟล์งานชื่องานป่าน  ไปไว้ในไดว์ฟ ดี เมื่อเรากด past ในไดว์ฟดี มันก็กลายเป็นไฟล์ winfile.exe
แทนไฟล์ที่เราก๊อปมาครับแล้วมันก็จะสร้างไฟล์ WINFILE.exe ไว้ในทุกไดว์ฟของเราครับ
http://www.webphand.com/WINFILE/2.jpg
ที่ผมทึ่งอีกอย่างและคงไม่มีไม่มีใครเจอแน่ๆเลย ก็คือ เมื่อผมเข้าไปหาไวรัส
ตัวไฟล์มันอะครับ มันจะแวบหายไปเลยครับ แล้วมันจะไปอยู่โฟล์เดอร์อื่นแล้วก้เปลี่ยนชื่อใหม่ด้วยนะ
นี่คือตัวอย่างชื่อที่มันจะเปลี่ยนครับ
mstray.exe  MKKH.exe  VTT.exe WUUR.exe DBBXY.exe   e.exe PN.exe  LJJ.exe Y.exe  BYY.exe
ที่มันจะไปอยู่
C:\WINDOWS\Temp
C:\WINDOWS\HELP
C:\WINDOWS\FRONT
C:\WINDOWS\SYSTEM
C:\WINDOWS\WEB
ผมรีบแก้ครับก็เลยได้รู้ชื่อและที่อยู่มาแค่นี้ หากลองนานๆคงได้ชื่อเยอะกว่านี้
เอาละครับ เริ่มแก้กันเลยครับ   โหลดโปรแกรมช่วยแก้มาก่อนครับ    คลิกโหลด
คลายไฟล์ออกมาแล้ว เปิดไฟล์ phand.exe แล้วเลื่อนลงมาข้างล่างๆหน่อยหาชื่อโปรเซส
mstray.exe  MKKH.exe  VTT.exe WUUR.exe DBBXY.exe   e.exe PN.exe  LJJ.exe Y.exe  BYY.exe
ต้องมีตัวใดตัวหนึ่งละครับ สังเกตตรงช่อง copany name มันจะชื่อ gy ครับ แล้วมันจะเป็นไอคอนเหมือน
โฟลเดอร์สีเหลืองๆครับ ดังรูป
http://www.webphand.com/WINFILE/3.jpg
ให้คลิกขวาเลือกคำสั่ง Kill process  ครับ แล้วตอนนี้ ไวรัสก็หยุดทำงานแล้วครับ
ต่อไปก็ไปลบคำสั่งที่สั่งให้มันทำงาน โดย
เข้า Run ---> regedit
แล้วไปตามคีย์นี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
มองขวามือ ลบไฟล์ชื่อ RavTimeXP ออกครับ  ดังรูป
http://www.webphand.com/WINFILE/1.jpg
หลังจากนั้นก็ไฟลบไฟล์ WINFILE.exe ในไดว์ฟของเราคงจะทุกไดว์ฟอะครับ ที่มันสร้างเอาไว้
แล้วก็ลบไฟล์ไวรัสที่มันสร้างเอาไว้ครับค้นหาไฟล์ไวรัสเอาครับเพราะไม่รู้ว่าคอมคุณมันจะสร้างชื่ออะไร
ตัวอย่างผมผมก็ต้องค้นหาไฟล์ชื่อ BYY.exe เพราะโปรแกรมเช็คไวรัสมันบอกตามรูปข้างบนครับ
ค้นหาใน C:\WINDOWS เจอแล้วก็ลบครับแล้วลองรีสตาร์ทเครื่องดูแล้วเปิดโปรแกรม phand.exe
ดูว่ามันยังทำงานอยู่ไหมครับ เรียบร้อยครับ วิธีแก้ที่แสนจะง่ายแต่ไม่เห็นมีใครเขียนในเนตเลย
มิวายที่ช่างป่านจะเป็นคนเขียนคนแรกอีกแล้ว เก่งจังเรา(ไม่มีใครชมชมตัวเอง)