แจกโปรแกรมแก้ Windows Live Messenger 8.5

งานเข้าอีกแล้วครับ Microsoft เล่นตลก ไม่ยอมให้ใช้ Windows Live Messenger 8.5 ตามปกติ T_T วันนี้ทำอัพเดทมาให้ครับ มีให้เลือกสองแบบนะครับ


คืิอตัวที่อัพเดทล่าสุด ตัวนี้คิดว่าจะไม่ถูกบังคับให้อัพเดทอีก แต่จะใช้งาน Messenger Plus! ไม่ได้นะครับ T_T.. โหลดไฟล์ได้ ที่นี่ ครับ

***มาแ้ล้วครับ*** (อัพเดท 10/11/2009)
ทดสอบแล้ววันที่ 10/11/2009 สามารถใช้งานร่วมกับ Plus! 4.83 ได้แน่นอนครับ

โปรแกรม FIX ให้สามารถใช้งาน MSN 8.5 และสามารถใช้งาน Messenger Plus! ได้ด้วย ที่นี่ เพื่อดาวน์ฺโหลดครับ :)

กรณีที่มีการอัพเดทใหม่เข้ามาอีกสามารถติดตามได้ที่ pakorn.net ครับ

**อ้างอิงจากอัพเดทครั้งก่อน**

**ส่วนนี้สำหรับติดตั้ง MSN 8.5 ใหม่ ลงเสร็จแล้วให้ลง FIX PACK ด้วย**
สำหรับคนที่ถูกอัพเกรตไปแล้วสามารถ download MSN 8.5 มาลงใหม่ได้ครับ
สามารถ download คลิกที่นี่ (mediafire) ครับ

วิธีแก้ปัญหาสำหรับเครื่องที่อัพเกรตไปแล้ว

ให้ Uninstall Windows Live Essential ออกไปให้หมดก่อนครับ

หลังจากนั้น Restart เครื่อง 1 ครั้ง ก่อนเปิดไฟล์ที่้โหลดมา

พอลงเสร็จแล้วก็ให้่โหลด FIX PACK ไปลงอีกทีึครับ

ปล.สำหรับวิธีนี้สามารถติดตั้ง Messenger Plus! ได้ตามปกติครับ
เพราะถ้าใช้แบบ Compatible Mode จะใช้ Messenger Plus! ไม่ได้ครับ

**กรณีมีปัญหาอีก สามารถติดตามอัพเดทได้ที่ Pakorn.net ครับ**

credit : Pakorn.net

ไวรัสตัวนี้แรงมากครับ Win32/Sality.NAR, Sality.AM, W32/Sality.ah

Win32/Sality.NAR

Aliases: Virus.Win32.Sality.aa (Kaspersky), Virus:Win32/Sality.AM (Microsoft), W32/Sality.ah (McAfee)
Type of infiltration: Virus
Size: Variable
Affected platforms: Windows
Signature database version: 3267 (20080714)
Short description: Win32/Sality.NAR is a polymorphic file infector.
* Win32/Sality.NAR มันจะจำลองตัวเองเป็นไฟล์ที่ติดเชื้อ

Installation
When executed the virus drops in folder %system%\drivers\ the following file:
%variable%.sys (5509 B)
%variable% stands for a random text.

The following files are dropped into the %temp% folder:
%variableA%.exe (7680 B)
%variableB%.exe (8192 B)
%variableA%, %variableB% stand for a random text. The files are then executed.


The virus registers itself as a system service using the following name:
IPFILTERDRIVER
The following Registry entries are created:
[HKEY_CURRENT_USER\Software\%username%914]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%filename%" = "%filename%:*:Enabled:ipsec"

The performed command creates an exception in the Windows Firewall program.
*มันจะ้เข้าไปทำให้ Firewall เราไม่ทำงาน เราจะมองไม่เห็น user แบบในภาพครับ
The following Registry entries are set:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" = 0


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA" = 0


The following Registry entries are deleted:
[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]

Executable files infection
Win32/Sality.NAR is a polymorphic file infector. The virus searches local and network drives for files with one of the following extensions: .exe Files are infected by adding a new section that contains the virus. The host file is modified in a way that causes the virus to be executed prior to running the original code.
*ไวรัส ตัวนี้จะจำลองตัวเอง โดยการค้นหา drives ทุกๆ drive ไม่ว่าจะเครื่องคุณเอง หรือใน เน็ตเวิร์ค!! มันจะเข้าไปแตกไฟล์ .exe และแฝงตัวโดยเพิ่มบางส่วนเข้าไปในไฟล์ .exe นั้น เมื่อเรามีการ run ไฟล์ .exe ขึ้นมาตามปกติ เจ้าไวรัสตัวนี้มันก็จะถูกเปิดขึ้นมาด้วย เพราะระบบจะบอกเป็นปรแกรมพื้นฐานที่เราต้องเปิด!!!!
The virus infects files referenced by the following Registry entries:
* ไวรัสมันจะมาแก้ไข registry ด้านล่าง ลองสำรวจดูครับ ว่าใน run มีอะไรแปลกปลอมหรือเปล่า
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

This causes the virus to be executed on every system start.
*ฉะนั้น!! จากข้างต้น ไวรัสจะถูกเข้าถึงทุึกครั้งที่เครื่องเรา start ขึ้นมา
Spreading on removable media
The virus copies itself into the root folders of removable drives using a random filename. The filename has one of the following extensions:
* และมันจะแพร่กระจายไปตาม Flash Drive, Thumb Drive แล้วแต่จะเรียกนะ มันจะเข้าไปแล้ว copy ตัวเองแฝงไว้ที่ directory แรก นั่นคือเปิดไปก็เจอเลย โดยมันจะ "สุ่ม ชื่อ" (หาใน google ยังไงก็ไม่เจอ) ที่มีนามสกุล ดังนี้
.exe

.pif

.cmd
The following file is dropped in the same folder:
* จากนั้นก็ทำการฝัง autorun.inf เข้าไปด้วย
autorun.inf
Thus, the virus ensures it is started each time infected media is inserted into the computer.
* เมื่อเอา flash drive ไปเสียบ ที่ไหน ไวรัสมันก็จะ run ทันทีครับพี่น้อง!!!
Other information
The following files are deleted:
*.vdb

*.avc

*drw*.key

The following services are disabled:
* และซ้ำร้าย มันยังไปสั่งไม่ให้โปรแกรมพวกนี้ทำงานด้วยครับ !! ทำนองเดียวกับ anti_antivirus ที่ผมเคยเจอเลย
Agnitum Client Security Service
ALG
aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
Eset Service
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

The virus terminates processes with any of the following strings in the name:
* ปิด Process
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALMON.
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
ANTS.
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AUPDATE.
AUTODOWN.
AUTOTRACE.
AUTOUPDATE.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BACKWEB-4476822.
BDMCON.
BDNEWS.
BDOESRV.
BDSS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CLAW95CF.
CLEANER.
CLEANER3.
CLISVC.
CMGRDIAN.
CUREIT
DEFWATCH.
DOORS.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FAST.
FCH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
F-PROT95.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
EGUI.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
KWATCH.
LOCKDOWN2000.
LOGWATNT.
LUALL.
LUCOMSERVER.
LUUPDATE.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NOD32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTXCONFIG.
NUPGRADE.
NVC95.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST.
PAV.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHM32.
QHONLINE.
QHONSVC.
QHPF.
QHWSCSVC.
RAVMON.
RAVTIMER.
REALMON.
REALMON95.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCAN32.
SCANNINGPROCESS.
CUREIT.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TDS-3.
TEATIMER.
TFAK.
THAV.
THSM.
TMAS.
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCHK.
VCRMON.
VETTRAY.
VIRUSKEEPER.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBPROXY.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRADMIN.
WRCTRL.
XCOMMSVR.
ZATUTOR.
ZAUINST.
ZLCLIENT.
ZONEALARM.
The virus contains a list of URLs. It tries to download several files from the addresses.

These are stored in the following locations:
*สร้างไฟล์เก็บไว้ สังเกตุได้ว่ามันจะมีชื่อ win นำหน้า ลองดูใน task manager ดีๆ (ถ้าเปิดได้นะ)
%temp%\win%variable%.exe

%temp%\%variable%.exe
%variable% stands for a random text. The files are then executed.

The virus creates and runs a new thread with its own program code within the following processes:
%system%\notepad.exe
%system%\winmine.exe

The virus modifies the following file:
SYSTEM.INI
The virus writes the following entries to the file:
[MCIDRV_VER]
DEVICEMB=%number%
The %number% stands for a random number.

---

สรุปความเสียหาย!!
มัน ทำให้เครื่องเราช้า, เป็นแหล่งเพาะพันธ์อย่างดีของมัน ผมได้รู้จักกับมันเมื่อ 3-4 วันก่อน มีลูกค้าเขาเอาเครื่องมาซ่อม จอไม่ติด!! ซึ่งมันก็ไม่ได้เกี่ยวกับไวรัสเลย ทีนี้ผมสังเกตุว่า เครื่องนี้มันติดไวรัสนี่หว่า เลยจะลบไวรัสให้เขาด้วย ก็เลยเอา flash drive มาก๊อบเอา antivirus ในเครื่องตัวเอง พวก Fix ต่างๆ copy ไปให้หมด, พอเอาไปเสียบเครื่องเขา ปรากฏว่า แม่งไม่หายแฮะ มันแค่เป้นการเยียวยา พอ restart เปิดมาใหม่ ก็เน่าเหมือนเดิม

คิดไปคิดมา ทำไงดีว้า เลยจะมา copy พวก trojan remover, super anti spyware ไปลง (ถ้าเครื่องนั้นเขามี LAN ก็คงไม่ต้องมานั่ง copy ไปมาแบบนี้หรอกครับ) พอผมเอา flash drive มาเสียบเครื่องผม ป๊าบบบบบบ

แม่เจ้าาาา

task manager เปิดไม่ได้ซะแล้ว

นี่ ขนาดผม ปิด autorun ทุก drive แล้วนะเ้ว้ยย (ทำใน gpedit.msc) ตอนนั้นใช้ NOD32 2.7.x แม่งเอ้ย โดยจนได้กรู แต่ยังดีแฮะ ที่ folder option ไม่หาย แต่แม่เจ้าาาาา อีกครั้ง เปิด show hidden ไม่ได้ พอกด OK แล้วมันจะ้เด้งกลับไปเป็นเหมือนเดิม

เครียดเลยพี่น้อง งานการเยอะแยะ ไม่ได้ backup ด้วย ลองใช้ registry recovery fix จาก NOD32 ตัวนี้จะเข้าไปแก้ไขค่า registry ให้เป็นปกติ (หลังจากกดเท่านั้นนะ ถ้าเครื่องยังติดไวรัสอยู่ พอ restart ก็เหมือนเดิม) พอเปิด task manager ได้ เอาล่ะ เจอ Process แปลกๆ

:aiwebs_044: เสร็จกรูแน่ไวรัส พอเอาไป search ใน google เว้ย แม่งไม่เจอ

* อย่างที่บอกในตอนต้นแหละ ว่ามัน random ชื่อ (Art ตัวพ่อ!!!)

ทำไงละทีนี้ ทำไงดี???

ก็เลยจัดยาไปหลายขนาด

ตั้งแต่ kill_data_exe ของท่าน tracker99 ตัวนี้ต้องเอาใส่แผ่นไว้นะ ไม่งั้นมันจะโดนฟ้องว่าเป็น Virus เพราัะมันจะเข้าไป Remove ไฟล์ ที่เป็น .exe ที่ไม่มี path ทั้งหมดเลยพี่น้อง พวก crack อะไรที่เก็บไ้ว้ ควรจะใส่ ZIP ไว้อย่างยิ่ง ก่อนจะ run โปรแกรมนี้ไม่งั้น หายแล้วจะหาว่าจอร์ทไม่เตือนนะ

* จัด NOD32 Registry Recovery ไปก่อนเลย
* จัด anti_antivirus ไปอีก 1 ตัว
* จัด toy_fix, mygirl_fix, VBS. fix, kill autorun fix

* สุดท้าย ตบด้วย NOD32 3.x.x Business Edition
* จัด UPDATE ไปก่อน เอาฤกษ์เอาชัย (สำคัญมากครับ antivirus ถ้าไม่ update มันก็เหมือน win98 ที่ไม่รู้จักแม้แต่ driver modem!!)

* สแกน เรียบ ตายคารังไปเลยพวกเมิงงงงง

ที่ NOD32 ตัวเวอร์ชั่น 3.x มันหาเจอเพราะมันมี anti stealth technology!! เจ้าตัวนี้แหละ ที่แม้แต่ยานล่องหนของสหรัฐ เราก็หาเจอ 555+

ตัวอื่นผมไม่ไ้ด้ลองนะ ว่าหาเจอป่าว ส่วน Kaspersky ถ้าไม่ Update หาไม่เจอครับ ลองเอาไป scan แล้ว!!!

ยังไงก็ ระมัดระวังตัวนี้ไว้ให้ดีๆ "เสียบปุ๊บติดปั๊บ จับขมับเลยนะเมิง"

ปล. ลองคิดดูว่า ถ้าที่มหาลัยติดนะ แม่้เจ้าาาา มันจะแพร่ไปทุกตึก ทุกๆ network ผู้คนจะล้มตาย ด้วยโรคระบาย มีแต่คนที่ตา 2 สีเท่านั้นที่อยู่รอด!!! แฮะๆ ไม่ใช้ 28 weeks later นี่หว่า

Credit : dekit

รวมวิธีแก้ csrcs.exe

เคยบ้างไหม เวลาที่เปิดเครื่องมาแล้ว ระบบมันแจ้งว่า csrcs.exe หายไป แล้วให้เรา search หา แต่หายังไงก็ไม่เจอ มาดูวิธีแก้กันครับ อ้้อ!! โปรดรู้ไว้ด้วยว่าคอมของคุณติดไวรัสแล้ว!! อาการที่แสดงออกมาก็คือการที่ คอมของคุณทำงานช้าลง หรือบู๊ตวินโดวช้ากว่าปกติ ผมได้รวบรวมวิธีการแก้มาแล้วครับ ( เป็นวิธีที่ผมใช้แก้คอมตัวเองน่ะแหละ ) จะได้ผลหรือไม่ต้องลองดูหลายๆวิธีครับ

CSRCS.exe เป็นไวรัสครับ เพราะไฟล์ระบบ คือ csrss.exe ครับ ไวรัสตัวนี้ อาการที่โดนจะทำให้การใช้งาน network ช้า และมีการส่ง packet ออกไปที่ เครื่อง server หรือ router ครับ ส่วนมากจะมีปัยหากับคนดูแลระบบเพราะ packet จะเต็มครับ วิธีแก้ให้ไปลบไฟล์ที่ c:\window\system32\csrcs.exe เป็นไฟล์ซ่อนครับ และให้ไปลบที่ regedit ด้วยครับ

วิธีแรก

วิธีแก้ปัญหา

1. ไปที่ Start -> Run พิมพ์ msconfig แล้วกด ENTER และไปที่แทป startup และดูว่ามี process ไหนมีการเรียก csrcs.exe ไหมถ้ามีให้ delete ทิ้งครับ แต่ถ้าใน msconfig ไม่มีตัวเรียก csrcs.exe

2. ไปที่ Start -> Run พิมพ์ regedit กด ENTER จะได้หน้าต่าง Registry Editor
ใช้คำสั่ง Find ของตัว RegEdit ดูครับ พิมพ์ชื่อไฟล์ลงไปแล้วกด F3 ให้มันหาไปเรื่อยๆครับ บางทัมันจะฝังตัวอยู่กับ explorer ครับ

ข้อมูลจาก : http://son6.wordpress.com (อันนี้แหละที่ผมใช้)

ตัวที่สอง

ถ้าเครื่องคอมติดไวรัสตัวนี้แล้วจะทำให้เครื่องช้ามา กๆ จนทำงานไม่ได้ ผมมีวิธีการ kill ไวรัสตัวนี้มาฝากครับ

5 ขั้นตอนง่ายๆ ครับ

1. ดาวน์โหลด phand.exe ก่อน
>> เปิด phand.exe ขึ้นมาแล้วหา process ที่ชื่อว่า csrcs คลิกเลือกแล้ว กด delete มันทิ้งครับ
2. ดาวน์โหลด hijack มา
>> เปิด hijack ขึ้นมา เลือกปุ่มที่ 2 ครับ
>> หาแถวที่มีชือ csrcs.exe ต่อท้าย ใส่เครื่องหมายถูกที่ข้างหน้า แล้วเลือก Fixcheck
>> คลิกที่ปุ่ม scan อีกที เพื่อเชคว่าที่เราเลือก มันหายไปหรือยัง (วิธีการใช้ และขอความช่วยเหลือได้ที่ กระทู้นี้ครับ http://game-mun.com/forum/index.php?topic=5.0 โดย webmaster)
3. ไปที่ Start >> Run พิมพ์ regedit กด enter
>> คลิกที่ My Computer แล้วไปที่ Edit >> Find พิมพ์ csrcs ถ้าเจอแล้ว กด Delete เลยครับ แล้วกด F3 เพื่อหาต่อไปเรื่อยๆจนหมด
4. เปิด My Computer ขึ้นมา ไปที่ Tools >> Folder Options เลือก Tab View
>> เลือก Show Hidden file and Folders
>> เอาเครื่องหมายถูกออก ที่ Hide extensions for known file types
>> เอาเครื่องหมายถูกออก ที่ Hide protected operating system files [Recommended]
>> ไปที่ c:\ windows เลือก search ที่ช่องชื่อที่ต้องการค้นหาพิมพ์ csrcs แล้วเลือก Search
>> ถ้าเจอแล้วลบทิ้งไปเลย โดยกด Shift + Delete
5. ไปที่ Control Panel เลือก Schedule Task ถ้าเจออะไรโผล่มาลบทิ้งให้หมดเลยครับยกเว้น Add new schedule task
>> Empty ในถังขยะด้วยนะครับ

เสร็จแล้วก็รีสตาร์ทเครื่องแล้วก็ใช้ได้ตามปกติครับ

จาก บุรุษไร้นาม

ตัวสุดท้าย

1. Start >> run >> regedit ....................... ok

2. Go to this registry .......................

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once

In the right pane , delete this value ...

Windows Custom Services = CSRCS.EXE

3. Go to this registry ...........................

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In the right pane , delete this value ...

Windows Custom Services = CSRCS.EXE

4. Delete this file if existed ..........

C:\Windows\System32\CSRCS.EXE

5. Restart ..........

จากคุณ : add (Pantip Tech-Exchange) * * *

ถ้ายังแก้ไม่ได้ก็ใช้โปรแกรม Anti Malware เอานะครับ

To download ComboFix, simply left-click on one of the links above and you will see a prompt similar to the figure below.

Download ComboFix Prompt

Click on the Save button, and when it asks you where to save it, make sure you save it directly to your Windows Desktop. An image showing this is below.

Downloading ComboFix to the Desktop

When you have the Save as screen configured to save ComboFix.exe to the Desktop, click on the Save button. ComboFix will now start downloading to your computer. If you are on a dialup, this may take a few minutes. When ComboFix has finished downloading you will now see an icon on your desktop similar to the one below.

ComboFix Icon

We are almost ready to start ComboFix, but before we do so, we need to take some preventative measures so that there are no conflicts with other programs when running ComboFix. At this point you should do the following:

• Close all open Windows including this one.
  
• Close or disable all running Antivirus, Antispyware, and Firewall programs as they may interfere with the proper running of ComboFix. Instructions on disabling these type of programs can be found in this topic.

Once these two steps have been completed, double-click on the ComboFix icon found on your desktop. Please note, that once you start ComboFix you should not click anywhere on the ComboFix window as it can cause the program to stall. In fact, when ComboFix is running, do not touch your computer at all. The scan could take a while, so please be patient.

Once you double-click on the icon, you may see a screen similar to the one below.

Windows Open File Security Warning

Windows is issuing this prompt because ComboFix does not have a digital signature. This is perfectly normal and safe and you can click on the Run button to continue. If you are using Windows Vista, and receive UAC prompt asking if you would like to continue running the program, you should press the Continue button.

You will now see the first ComboFix screen as shown below.

ComboFix is Preparing to Run

ComboFix is now preparing to run and when it has finished you will see a screen showing the authorized locations to download Combofix. This screen, press the OK button and you will now see the Disclaimer screen shown below.

ComboFix Disclaimer

If you do not agree to the disclaimer, then click on the No button to exit the program. Otherwise, to continue you should press the Yes button to continue. If you decided to continue, then ComboFix will create a System Restore point so that if any problems occur while using the program you can restore back to your previous configuration. When ComboFix has finished creating the restore point, it will then backup your Windows Registry as shown in the image below.

ComboFix is backing up the Windows Registry

Once the Windows Registry has finished being backed up, ComboFix will attempt to detect if you have the Windows Recovery Console installed. If you already have it installed, you can skip to this section and continue reading. Otherwise you will see the following message as shown below:

ComboFix Recovery Console

At the above message box, please click on the Yes button in order for ComboFix to continue. Please follow the steps and instructions given by ComboFix in order to finish the installation of the Recovery Console. Once it has finished installing, you will be presented with the screen shown below.

ComboFix Recovery Console Finished

You should now press the Yes button to continue. If at any time during the Recovery Console installation you receive a message stating that it failed to install, please allow ComboFix to continue with the scan of your computer. When it is done, and a log has been created, you can then perform the manual install of the Recovery Console using the steps found in the Manually installing the Windows Recovery Console section.

ComboFix will now disconnect your computer from the Internet, so do not be surprised or concerned if you receive any warnings stating that you are no longer on the Internet. When ComboFix has finished it will automatically restore your Internet connection.

ComboFix will now start scanning your computer for known infections. This procedure can take some time, so please be patient.

ComboFix is scanning the computer for infections

While the program is scanning your computer, it will change your clock format, so do not be concerned when you see this happen. When ComboFix is finished it will restore your clock settings to their previous settings. You will also see the text in the ComboFix window being updated as it goes through the various stages of its scan. An example of this can be seen below.

Stages of the ComboFix AutoScan

At the time of this writing there are a total of 50 stages as shown in the image below, so please be patient. The amount of stages will go up as time goes on, so if the amount of stages is different when you run it, please do not be concerned.

41st Stage of the ComboFix AutoScan

When ComboFix has finished running, you will see a screen stating that it is preparing the log report as shown below.

ComboFix is preparing the log report

This can take a while, so please be patient. If you see your Windows desktop disappear, do not worry. This is normal and ComboFix will restore your desktop before it is finished. Eventually you will see a new screen that states the program is almost finished and telling you the programs log file, or report, will be located at C:\ComboFix.txt. This can be seen in the image below.

ComboFix is almost done!

When ComboFix has finished, it will automatically close the program and change your clock back to its original format. It will then display the log file automatically for you as shown below.

ComboFix Log File

You should now post this log as a reply to the topic where you were asked to run combofix. Your helper will now analyze this log and let you know what they would like you to do next. If you having problems connecting to the Internet after running Combofix, then please read the Manually restoring the Internet connection section.

It is possible that ComboFix, even on its first run, may have fixed the problems you are having. We strongly suggest that you still post your log into the topic that you are receiving help as you most likely will have infections left over that your helper will need to analyze further.

Combofix Removes Malware,Spyware...

Combofix is a freeware (a legitimate spyware remover created by sUBs), Combofix was designed to scan a computer for known malware, spyware (SurfSideKick, QooLogic, and Look2Me as well as any other combination of the mentioned spyware applications) and remove them.

ComboFix allows the manual removal of spyware infections . It 's a specialized effective cleaning tool, which is useful compared to other malware and spyware removers.
After Combofix finished,a report will be created. You can use this report to search and remove infections which are not automatically removed.

How to use combofix:

• Disable or Close all anti-spyware, anti-malware antivirus real-time protection, which may affect ComboFix.
• Download (Download) the latest version of ComboFix (2.8mb)save to you desktop
• Close all programs of you computer
• Double click ComboFix.exe on you desktop
• When Combofix finished, it will create logs for you.
  
  
  

  ---

  
  เครื่องติดไวรัส, ฆ่าไวรัส, กำจัดไวรัส, สแกนไวรัส, ลบไวรัส ตัวนี้ตัวเดียวอยู่หมัด แต่ต้องหมั่นอัพเดตด้วยนะ
  

© ComboFix All rights reserved. This program was created by sUBs License: Freeware .Combofix's Disclaimer.