ข้อสังเกตุว่าเราโดนไวรัส New folder.exe

1. เครื่องช้าผิดปกติ
2. เปิด Windows Task Manager ไม่ได้ เพราะว่ามันมีไฟล์ที่ควบคุมการทำงานอยู่ ซึ่งปกติถ้าเรารัน Windows Task Manager ขึ้นมา มันจะมีแทบต่างๆ ดังนี้ Application Processes Performance Networking และ Users ซึ่งเจ้า Processes นี้มันจะคอยตรวจจับการทำงานของโปรแกรมต่างๆว่ามีโปรแกรมอะไรบ้างทำงานอยู่ รวมถึงเจ้าไวรัสตัวนี้ ซึ่งมีไฟล์ SCCVHOST.exe เป็นตัวการ มันมีชื่อคล้ายๆกับ svchost.exe ทำให้เราไม่ทันสังเกตุ ซึ่งถ้าเราจะกำจัดมันเราต้อง Kill Process มันที่ Windows Task Manager ในแทบ Processes ด้วยเหตุนี้เองมันจึงบลอค Windows T

ไวรัสตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ [html]www.Atom-Soft.com[/html] ผ่านทาง http และ ftp เชื่อว่ามีการเขียนขึ้นมา 3 รุ่น ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 213 KB,221KB และ 224 KB  ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื

อันดับแรก ดาวโหลดโปรแกรมนี้ไปก่อน
http://wallpaper.thaiware.com/ProcessExplorer.zip
อันนี้เป็นโปรแกรมจากไมโครซอฟท์ ซึ่งทำงานได้เหมือนกับ Task Manager แต่ดีกว่า

พอดาวน์โหลดไฟล์เสร็จก็แตกไฟล์ออกมา แล้วดับเปิ้ลคลิกที่ตัวโปรแกรม
มองหาไฟล์ที่ชื่อว่า MSCONFIG.EXE ซึ่ง Company Name จะเขียนว่า ZK

จากนั้นคลิกขวาแล้วเลือก Kill Process ไวรัสก็จะหยุดทำงาน

จากนั้นเราจะทำการกำจัดไวรัสตัวนี้ออกไปจากเครื่องกัน

1.

[=blue]ผมเคยเจอปัญหาที่เครื่องลูกค้าบ่อยๆ ในเรื่องของ
1. ใช้งาน Registry Editor ไม่ได้ (Disable by Administrator)
2. กด Ctrl+Alt+Del เรียกใช้งาน Task Manager ไม่ได้
3. ใช้งาน CMD (Dos ของ WindowsXP) ไม่ได้
4. ไม่มี Floder Option บนเมนูบาร์ของหน้าต่าง
5. ไม่สามารถดูไฟล์ซ่อน (Hidden files) ได้
6. ไม่สามารถเปลี่ยน WallPaper ที่หน้า Desktop ได้
7. คลิ๊กขวา ใช้งานไม่ได้
8.

ชื่อไวรัส Trojan.Agent.AD

รายละเอียด
    - ผู้ใช้งานได้ดาวน์โหลดเชื้อร้ายนี้มาจากอินเทอร์เน็ตด้วยความไม่รู้
    - เชื้อร้ายนี้แพร่กระจายผ่านสื่อบันทึกที่เคลื่อนย้ายได้ (Removable drive) เช่น Handy Drive
    - เชื้อร้ายจะสร้าง Recycle Bin และไฟล์ autorun.inf ในทุกๆ Removable drive
    - ไม่มีข้อมูลความสูญเสียมากกว่านี้

ข้อมูลในไฟล์ Autorun.inf

open=
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe

ขั้นตอนการแก้ไข

1. ดาวน์โหลดโปรแกรม Process Explorer | [url=http://netserv.cc

อาการของไวรัส 
เมื่อเราต้องการใช้งาน Handy Drive ผ่านทาง My Computer โดยใช้วิธีดับเบิ้ลคลิก วินโดว์สจะฟ้องว่าไม่สามารถเข้าใช้งานได้ ซึ่งตรงนี้หลายๆ ท่านอาจคิดว่า Handy Drive เสียไปแล้ว ?แต่จริงๆ แล้วเรายังสามารถเข้าใช้งานได้ โดยการคลิกขวาที่ปุ่ม Start แล้วเลือกเมนู Explore หรือ Open แต่ตัวไวรัสนั้นยังคงอยู่ใน Handy Drive ของเราเหมือนเดิมครับ

ช่องทางแพร่กระจายไวรัส
ไวรัสแพร่กระจายผ่านทาง Handy Drive  โดยใช้เทคนิค auto run ไวรัสตัวนี้เริ่มแพร่ระบาดมานานแล้ว โปรแกรมแอนตี้ไวรัสที่อัพเดตสามารถตรวจ