ตรวจหาการโจมตีที่เกี่ยวข้องกับการโทรจัน MIRC และการซ่อมแซม

ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ

ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:328691
หมายเหตุ
บทความนี้ถูกนำไปใช้กับ Windows 2000 สนับสนุนสำหรับ Windows 2000 สิ้นสุดในวันที่ 13 กรกฎาคม 2010 ที่ ศูนย์แก้ไขปัญหาของจุดสิ้นสุดของสนับสนุน Windows 2000 มีจุดเริ่มต้นสำหรับการวางแผนกลยุทธ์ของคุณโยกย้ายจาก Windows 2000 สำหรับข้อมูลเพิ่มเติมให้ดู นโยบายที่ทำให้ฝ่ายสนับสนุนของ Microsoft.
บทความนี้ถูกเก็บถาวรแล้วเนื้อหาของบทความจึงถูกนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก
สรุป
อัพเดต: ณ 6 กันยายน 2002 รายงานของกิจกรรมที่เป็นอันตรายที่ มีแยกตามรูปแบบเฉพาะที่อธิบายในบทความนี้ อย่างมากขึ้น ทีมรักษาความปลอดภัย Microsoft ผลิตภัณฑ์สนับสนุนบริการได้ การปรับเปลี่ยนบทความฐานความรู้ของ Microsoft นี้จะสะท้อนถึงข้อมูลนี้ และ เมื่อต้องการกำหนดคำแนะนำสำหรับเกณฑ์การตรวจหาและซ่อมแซม

Microsoft มีการตรวจสอบการเพิ่มในกิจกรรมที่เป็นอันตรายที่พยายามโหลดรหัสบน เซิร์ฟเวอร์ที่ใช้ Microsoft Windows 2000 กิจกรรมนี้ถูกเชื่อมโยงโดยทั่วไป มีโปรแกรมที่มีการระบุเป็น Backdoor.IRC.Flood

โดย วิเคราะห์คอมพิวเตอร์ที่ไม่สมบูรณ์ Microsoft ตรวจพบที่ การโจมตีเหล่านี้จะไม่ ทำลายปลอดภัยที่เกี่ยวข้องกับผลิตภัณฑ์ใหม่ใด ๆ ช่องโหว่ และไม่ สามารถมี หรือหนอนไวรัสเหมือนในลักษณะนี้ แทน การค้นหาการโจมตีเพื่อใช้ประโยชน์จากสถานการณ์มาตรฐานมาตรการป้องกัน ไม่ได้ดำเนินการตามรายละเอียดในส่วน "การป้องกัน" กิจกรรม ปรากฏขึ้นที่ จะเชื่อมโยงกับชุดของแต่ละความพยายามที่จะประสาน ทำอันตรายต่อเซิร์ฟเวอร์ที่ใช้ Windows 2000 เป็นผลจากการ ได้สำเร็จ ปล่อยลวดลายโดดเด่น บทความนี้แสดงรายการแฟ้มและโปรแกรมต่าง ๆ ที่จะ แสดงหลักฐานของคำไม่สมบูรณ์ตามรูปแบบนี้ประสบความสำเร็จดังนั้น คุณสามารถใช้การดำเนินการที่เหมาะสม:
 • ตรวจพบคอมพิวเตอร์ที่ถูกโจมตี
 • ซ่อมแซม และการกู้คืนคอมพิวเตอร์ที่ถูกโจมตี
ข้อมูลเพิ่มเติม

ผลกระทบของการโจมตี

ไม่สมบูรณ์ของเซิร์ฟเวอร์

อาการ

ระบบที่ถูกโจมตีแสดงอย่างน้อยหนึ่งอาการดังต่อไปนี้:
 • ซอฟต์แวร์ป้องกันไวรัสอาจบ่งชี้ว่า มีการตรวจพบ โทรจัน เช่น Backdoor.IRC.Flood และตัวแปรนั้น โปรแกรมป้องกันไวรัสที่ปัจจุบัน ผลิตภัณฑ์ (ที่ใช้แฟ้มลายเซ็นที่ทันสมัย) ตรวจพบโทรจันเหล่านี้
 • ถ้าคอมพิวเตอร์ถูกโจมตีเป็นตัวควบคุมโดเมน การ มีการปรับเปลี่ยนนโยบายความปลอดภัย บางส่วนของลักษณะพิเศษเหล่านี้เป็นไปได้ของการปรับเปลี่ยน นโยบายการรักษาความปลอดภัยคือ:
  • บัญชีผู้ใช้ Guest ที่ถูกปิดการใช้งานก่อนหน้านี้ re-enabled
  • ไม่ได้รับอนุญาตบัญชีใหม่ อาจ มีผู้ดูแล สิทธิ์การใช้งาน จะถูกสร้างขึ้น
  • มีการเปลี่ยนแปลงสิทธิ์ด้านความปลอดภัย บนเซิร์ฟเวอร์ หรือใน ไดเรกทอรีที่ใช้งานอยู่
  • ผู้ใช้ไม่สามารถเข้าสู่ระบบโดเมนจาก เวิร์กสเตชัน
  • ผู้ใช้ไม่สามารถเปิด Active Directory สแนปใน Microsoft Management Console (MMC)
  • เมื่อผู้ดูแลพยายามที่จะเปิดใช้งานอยู่ ไดเรกทอรีไซต์และบริการสแนป คุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
   ตั้งชื่อข้อมูลไม่มีอยู่เนื่องจาก: เซิร์ฟเวอร์ ไม่สามารถใช้งาน ติดต่อผู้ดูแลระบบของคุณเพื่อตรวจสอบว่า ของคุณ โดเมนถูกกำหนดค่าอย่างถูกต้อง และอยู่ในสถานะออนไลน์อยู่ในขณะนี้
  • ล็อกข้อผิดพลาดแสดงความพยายามในการเข้าสู่ระบบล้มเหลวหลายจาก ผู้ใช้ถูกต้องตามกฎหมายที่ถูกล็อคการใช้งาน
  • เมื่อคุณพยายามที่จะเรียกใช้ DCDIAG บนตัวควบคุมโดเมน คุณ อาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้อย่างน้อยหนึ่งอย่าง:
   ดำเนินการตั้งค่าเริ่มต้น: [sic1] LDAP ผูกล้มเหลว ด้วยข้อผิดพลาด 31 ตัว อุปกรณ์ที่ต่อกับระบบไม่ทำงาน
   ดำเนินการตั้งค่าเริ่มต้น: [ServerName] การผูก LDAP ล้มเหลว ด้วยข้อผิดพลาด 1323 ไม่สามารถปรับปรุงรหัสผ่าน ค่า ให้เป็นรหัสผ่านปัจจุบันไม่ถูกต้อง *** ข้อผิดพลาด: เครื่องจักรอาจไม่ แนบกับ DC เนื่องจากข้อมูลประจำตัวไม่ถูกต้อง ตรวจสอบข้อมูลประจำตัวของคุณ หรือระบุข้อมูลประจำตัว ด้วย /u:<domain>\<user> & /p:[<password>|*|""]</password></user></domain>
   หมายเหตุ ในข้อความข้อผิดพลาดนี้ ServerName คือ ชื่อของตัวควบคุมโดเมน
นอกจากนี้ เมื่อคุณพยายามที่จะสำรองข้อมูลสถานะระบบบนการติดไวรัส คอมพิวเตอร์ ข้อความแสดงข้อผิดพลาดต่อไปนี้อาจปรากฏในบันทึกของโปรแกรมประยุกต์ในการ คอมพิวเตอร์ที่คุณกำลังทำการสำรองข้อมูล:
ID เหตุการณ์: 8012
แหล่งที่มา: NTBackup
คำอธิบาย
'Active Directory' ส่งคืน 'อุปกรณ์ที่ต่อกับระบบไม่ทำงาน' จากการเรียก ข้อมูลเพิ่มเติม 'BackupPrepare()' '\\ชื่อคอมพิวเตอร์'.
หมายเหตุ ในข้อความข้อผิดพลาดนี้ ชื่อคอมพิวเตอร์ คือ ชื่อระบบอินพุต/เอาท์พุตพื้นฐาน (NetBIOS) เครือข่ายของคอมพิวเตอร์
รหัสเหตุการณ์: 1000
แหล่งที่มา: Userenv
คำอธิบาย
Windows ไม่สามารถกำหนดชื่อผู้ใช้หรือคอมพิวเตอร์ ค่าที่ส่งกลับ (1326)

รายละเอียดทางเทคนิค

ถ้าคอมพิวเตอร์ไม่สมบูรณ์ ซอฟต์แวร์ป้องกันไวรัสอาจ ตรวจพบโค้ดที่เป็นอันตรายเช่น Backdoor.IRC.Flood และตัวแปรนั้น สำหรับข้อมูลเพิ่มเติม ข้อมูล ติดต่อผู้จำหน่ายโปรแกรมป้องกันไวรัสของคุณ

ในกรณีที่ Microsoft ยังวิเคราะห์ ตรวจพบคอมพิวเตอร์เซิร์ฟเวอร์เพื่อให้การ แฟ้มต่อไปนี้และโปรแกรม สถานะการออนไลน์ของแฟ้มเหล่านี้บ่งชี้ว่า การ ระบบไม่สมบูรณ์ ถ้าพบบนแฟ้มหรือโปรแกรมเหล่านี้ของคุณ คอมพิวเตอร์ และถ้าพวกเขาไม่ถูกติดตั้ง โดยคุณ หรือ มีความรู้ของคุณ เรียกใช้เป็น การสแกนไวรัสเสร็จสมบูรณ์กับไวรัสทันสมัยที่กำลังสแกนโปรแกรม

หมายเหตุ เส้นทางไปยังแฟ้มจะไม่อยู่ในรายการได้เนื่องจากอาจแตกต่างกันไป
 • Gg.bat: Gg.bat พยายามที่จะเชื่อมต่อไปยังเซิร์ฟเวอร์อื่นเป็น ผู้ดูแล ผู้ดูแล หรือ ราก ค้นหาแบบ Flashfxp และโปรแกรม Ws_ftp บน เซิร์ฟเวอร์ คัดลอกแฟ้มหลาย ๆ แฟ้ม (รวมถึง Ocxdll.exe) ไปยังเซิร์ฟเวอร์ จากนั้น ใช้โปรแกรม Psexec เพื่อดำเนินการคำสั่งบนเซิร์ฟเวอร์ระยะไกล
 • Seced.bat: Seced.bat เปลี่ยนการรักษาความปลอดภัย นโยบาย
 • Nt32.ini
 • Ocxdll.exe
 • Gates.txt
 • Task32.exe
ในกรณีอื่น ๆ โปรแกรมที่ถูกต้องตามกฎหมายได้ถูกติดตั้งโดย ผู้โจมตีที่ช่วยในการไม่สมบูรณ์ ถ้าโปรแกรมเหล่านี้จะพบในของคุณ ระบบ และถ้าคุณไม่ได้ทำการไม่ติด อาจบ่งบอกได้ว่า ยังไม่สมบูรณ์ และคุณ ควรตรวจเพิ่มเติม
 • Psexec
 • Ws_ftp
 • Flashfxp
ชุดสุดท้ายของแฟ้มที่เกี่ยวข้องกับการโจมตีเหล่านี้ได้ คู่ของแฟ้มระบบที่ถูกต้องตามกฎหมายที่ติดตั้งไว้บนระบบ ประจำ แต่ trojanized รุ่นที่ถูกติดตั้งเป็นส่วนหนึ่งของการโจมตี โดยส่วนใหญ่ ผลิตภัณฑ์ป้องกันไวรัสของผู้ขาย เมื่อมีใช้ร่วมกับตัว ลายเซ็นไวรัส จะตรวจหาแฟ้มเหล่านี้รุ่น trojanized ถ้าพวกเขา การรับรอง
 • MDM.exe
 • Taskmngr.exe

เวกเตอร์โจมตี

การวิเคราะห์วันที่บ่งชี้ว่า ผู้โจมตีที่เห็น ได้ รายการที่ได้รับกับระบบต่าง ๆ โดยใช้รหัสผ่านผู้ดูแลอ่อน หรือเปล่า Microsoft มีหลักฐานที่แนะนำที่ไม่มีความปลอดภัยใด ๆ heretofore ที่ไม่รู้จัก การใช้ช่องโหว่ในการโจมตี

'การป้องกัน'

Microsoft ขอแนะนำว่า ลูกค้าปกป้องเซิร์ฟเวอร์ของตนกับ นี้และการโจมตีอื่น ๆ ด้วยการทำให้แน่ใจว่า จะปฏิบัติตามมาตรฐานความปลอดภัยเหมาะสมที่สุด ข้อปฏิบัติ เช่น:
 • การตัดผู้ดูแลอ่อน หรือเปล่า รหัสผ่าน
 • การปิดใช้งานบัญชี guest
 • เรียกใช้ซอฟต์แวร์ป้องกันไวรัสปัจจุบัน มีไวรัสที่ทันสมัยอยู่เสมอ ข้อกำหนดของลายเซ็น
 • การใช้ไฟร์วอลล์เพื่อป้องกันเซิร์ฟเวอร์ภายใน การรวม ตัวควบคุมโดเมน
 • หาทันสมัยบนซอฟต์แวร์รักษาความปลอดภัยทั้งหมด
สำหรับคำแนะนำบนวิธีปฏิบัติที่ดีที่สุดเมื่อต้องการตั้งค่าคอนฟิก prescriptively ดูที่คำแนะนำการดำเนินการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ที่ใช้ Microsoft Windows 2000 Windows 2000 Server เมื่อต้องการดูคำแนะนำนี้ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft: สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ Windows 2000 Server patched และ ปลอดภัย เข้าไปที่เว็บไซต์ต่อไปนี้ของ Microsoft: อีกทางหนึ่งคือ คุณสามารถใช้หลักการรักษาความปลอดภัย Microsoft ตัววิเคราะห์ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัววิเคราะห์พื้นฐานด้านความปลอดภัย Microsoft แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

การตรวจหา

วันที่สิ้นสุด ระบบรายงานเพื่อที่ได้รับผลกระทบนี้ โจมตีได้ระบบที่กำลังเรียกใช้ Microsoft Windows 2000 Server Microsoft ขอแนะนำว่า ลูกค้าการสแกนของ Windows 2000 บนเซิร์ฟเวอร์ สภาพแวดล้อมเพื่อกำหนดว่า แฟ้มที่มีอยู่ในรายการในทางเทคนิค" ส่วนรายละเอียด"ของบทความนี้มีอยู่ เนื่องจากแฟ้มบางแฟ้มอาจได้รับ ติดตั้งถูกต้อง ลูกค้าควรตรวจการกำหนดของพวกเขา การใช้งานและค่าสี

กู้คืน

ติดต่อฝ่ายสนับสนุนผลิตภัณฑ์ของ Microsoft เพื่อขอความช่วยเหลือเกี่ยวกับการกู้คืน การบริการ โดยใช้วิธีการที่ต้องการของคุณ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการ ติดต่อฝ่ายบริการสนับสนุนผลิตภัณฑ์ของ Microsoft แวะไปเว็บของ Microsoft ต่อไปนี้ ไซต์:
การหลีกเลี่ยงปัญหา
สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่า คุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง และคืนค่ารีจิสทรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows


เมื่อต้องการหลีกเลี่ยงปัญหานี้ คุณต้องเปลี่ยนชื่อ เฉพาะแฟ้ม นั้นแล้ว ปรับเปลี่ยนรีจิสทรี เมื่อต้องการทำเช่นนี้ ให้ทำตาม ขั้นตอนต่อไปนี้

หมายเหตุ ขั้นตอนต่อไปนี้เป็นการแก้ไขปัญหาชั่วคราวเท่านั้น ขั้นตอนเหล่านี้ เอาเฉพาะ ผลกระทบของการติดไวรัสเดิม ขั้นตอนเหล่านี้ไม่สามารถเอาออก ไวรัสใด ๆ เพิ่มเติมว่า คอมพิวเตอร์ได้รับหลังจากที่คอมพิวเตอร์ถูกแรก ติดไวรัส เราขอแนะนำให้ คุณคืนค่าระบบปฏิบัติการ โดยใช้การตรวจสอบ สื่อสำรองข้อมูลจากจุดที่ดีที่ยังรู้จัก ก่อนที่คอมพิวเตอร์ติดไวรัส คุณสามารถ ยัง จัดรูปแบบไดรฟ์ฮาร์ดดิสก์ การติดตั้งระบบปฏิบัติการ จากนั้น การคืนค่าข้อมูลขาดหายไป โดยใช้สื่อการสำรองข้อมูลที่ผ่านการตรวจสอบจากดีที่รู้จัก จุด
 1. บนคอมพิวเตอร์ที่ใช้ Windows 2000 คลิกขวา แถบงาน และคลิก ตัวจัดการงาน.
 2. ใน'ตัวจัดการงาน' เลือก Taskmngr.exeและ แล้ว คลิก จุดสิ้นสุด.

  หมายเหตุ ตรวจสอบให้แน่ใจว่า คุณเลือก Taskmngr.exe และไม่ใช่Taskmgr.exe
 3. ปิดตัวจัดการงาน
 4. โดยการใช้ Microsoft Windows Explorer ค้นหานี้ โฟลเดอร์ \WINNT\System32 เปลี่ยนชื่อแฟ้มต่อไปนี้ที่มีอยู่ในตัว โฟลเดอร์ \WINNT\System32 ด้วยการพิมพ์ .bak ในตอนท้ายของการ ชื่อแฟ้ม

  หมายเหตุ แฟ้มบางแฟ้มเหล่านี้อาจไม่อยู่ใน \WINNT\System32 โฟลเดอร์
  • Nt32.ini
  • Nt16.ini
  • Dll32nt.hlp
  • Xvpll.hlp
  • Dll32.hlp
  • Httpsearch.ini
  • Mdm.scr
  • Gates.txt
  • Taskmngr.exe
  • Secedit.sdb
  • Seced.bat
  • Ocx.dll
  • Dll16.ini
  • Gg.bat
  • Ocxdll.exe
  หมายเหตุ เมื่อต้องการเปลี่ยนชื่อแฟ้มเหล่านี้ ให้ทำตามขั้นตอนเหล่านี้:
  1. ในโฟลเดอร์ \WINNT\System32 คลิกขวาใด ๆ คลิกแฟ้มในรายการ การเปลี่ยนชื่อชนิด .bak ในตอนท้ายของแถบชื่อไฟล์ จากนั้นกด ป้อน.

   ตัวอย่างเช่น คุณสามารถเปลี่ยนชื่อ Nt32.ini ไป Nt32.ini.bak
  2. ทำซ้ำขั้นตอนที่สำหรับแต่ละแฟ้มที่อยู่ในเรื่องนี้ รายการงาน
 5. คลิก เริ่มคลิก เรียกใช้, ชนิด regeditแล้ว คลิกตกลง.
 6. ในตัวแก้ไขรีจิสทรี ค้นหาคีย์ย่อยของรีจิสทรีต่อไปนี้:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 7. คลิกค่า Rundll32 ที่ Taskmngr.exe ภายใต้การอ้างอิง ในคีย์ย่อยของรีจิสทรีต่อไปนี้ และคลิก ลบ:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 8. ถ้าคุณมีตัวควบคุมโดเมน Windows 2000 ที่ได้รับ ติดไวรัสโทรจัน MIRC ใช้ Windows Explorer เพื่อหาตำแหน่งที่ตั้งนี้ แฟ้ม GmpTpl.inf ที่เก็บอยู่ในโฟลเดอร์ต่อไปนี้ใน Windows 2000 ตัวควบคุมโดเมน:
  \WINNT\SYSVOL\sysvol\DomainName\Policies\ {GUID} \MACHINE\Microsoft\Windows NT\SecEdit
  หมายเหตุ ในชื่อโฟลเดอร์นี้ DomainName มีการ ชื่อของโดเมน Windows 2000
 9. การเปรียบเทียบแฟ้ม GmpTpl.inf ที่รู้จักดีสำเนา แฟ้ม GmpTpl.inf คุณสามารถคืนค่าสำเนาของแฟ้ม GmpTpl.inf โดยที่ดีที่รู้จัก ใช้การตรวจสอบสื่อสำรองข้อมูล จากจุดที่ดีที่รู้จัก หรือ โดยใช้ Windows อื่น ตัวควบคุมโดเมน 2000

  หมายเหตุ ไวรัส MIRC โทรจันอาจเปลี่ยนแปลง หรือเพิ่ม SeNetworkLogonRight ค่าที่มีอยู่ในแฟ้ม GmpTpl.inf

หลังจากที่คุณดำเนินการขั้นตอนต่อไป เราขอแนะนำให้ คุณใช้ ซอฟต์แวร์ป้องกันไวรัสที่มีไวรัสล่าสุดเพื่อตรวจหา และเอาออก ไวรัส MIRC โทรจัน จัดรูปแบบ และจากนั้น ติดตั้งเซิร์ฟเวอร์เร็วอย่างที่ถัดไป เป็นเรื่องที่สะดวกสำหรับคุณ เราขอแนะนำการดำเนินการนี้ได้เนื่องจากเซิร์ฟเวอร์ได้ สมบูรณ์
มัลแวร์ dc

คำเตือน: บทความนี้ได้รับการแปลโดยอัตโนมัติ

คุณสมบัติ

รหัสบทความ: 328691 - การตรวจสอบครั้งสุดท้าย: 12/07/2015 12:30:17 - ฉบับแก้ไข: 4.0

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

 • kbnosurvey kbarchive kbenv kbinfo kbsechack kbmt KB328691 KbMtth
คำติชม