วิธีแก้ไวรัส

ทราบว่าเพื่อนๆหลายคนอาจจารู้จักหรือครอบครองมันอยู่งั้นไปค่ามานนนน…ณ บัด NOW
ไวรัสที่แพร่ระบาดหนัก Top Hit
1.Flashy (Win32/Disabler.I trojan)
2.Brontok (ไวรัสเวบหน้าสีเขียวๆโผล่ขึ้นมาอยู่บ่อยๆ)
3.Hacked By Godzilla (VBS/Butsur.B worm)
4.คลิปVDO (Win32/Agent.NAG worm)
5.Monaliza (รูปโมนาลิซ่าโผล่อยู่บนหน้าจอ)
6.music.exe (Win32/VB.NIV worm)
7.virus ภาษาจีน Toy.exe (Win32/Agent.WJ trojan) หรือ (Trojan horse Generic.XFI)
ในรอบปี 2007 ที่ผ่านมามีไวรัสออกมามากมายตามเคยครับ แต่ตัวที่เด็ด ๆ
เป็นที่รู้จักกันทั่วไปน่าจะมีเจ้า 7 ตัวที่ว่าอยู่ใน list แน่นอน
เพราะติดกันงอมแงมทั่วประเทศ บทความชิ้นนี้เขียนขึ้นมาเพื่อรวบรวมเอาวิธีแก้ปัญหา
เมื่อเจอไวรัสดังกล่าว ในบทความนี้แนะนำวิธีการกำจัดไวรัสไว้ 2 แบบ
คือ แบบทำด้วยมือของท่านเอง (manual) กับ แบบใช้เครื่องมือกำจัดไวรัส (Tools) ที่เตรียมมาให้แล้ว
ผมแนะนำให้ท่านลองกำจัดไวรัสด้วยมือของท่านเองตามวิธีการที่อธิบายอย่างละเอียดในบทความชิ้นนี้
เพราะจะทำให้ท่านเข้าใจในการทำงานของระบบ windows มากขึ้น
( ***ขอย้ำว่าทุกขั้นตอนถ้าคุณต้องการแก้ไขโปรดดูวิธีการให้ดีนะครับ )
_______________________________
1.ไวรัส Flashy
อาการที่พบ
1. ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้
ไม่ว่าจะเรียกด้วยวิธีใด
2. อยู่ดี ๆ เครื่องก็ตั้ง password admin ให้ทั้ง ๆ ที่ เราไม่เคยตั้งทำให้เราเข้าเครื่องตัวเองไม่ได้ แต่พอลองใส่ รหัสผ่านว่า hacked เข้าได้แฮะ
3. เมื่อมีการเสียบ Flash Drive หรือ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่
Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder เหล่านั้นได้
วิธีแก้ปัญหา
**ขั้นตอนต่างๆต้องทำใน Safe mode ครับถึงจะได้ผล
เข้า Safe Mode ด้วยการกด F8 รัวๆตอน boot เครื่อง
ขั้นตอนที่1.
ถ้าเครื่องที่มีอาการหนักจะถูกตั้งรหัสผ่าน Administrator เอาไว้ ให้ทำการแก้ไขโดยพิมพ์
คำว่า hacked เป็นรหัสผ่าน
ซึ่งหากไม่รู้วิธีแก้ปัญหาโดยการติดตั้ง Windows ใหม่อย่างเดียว
ขั้นตอนที่2.
เมื่อเราเข้าวินโดว์ได้แล้วให้เราหยุดการทำงานของมัน ก่อน โดยกด Ctrl+Alt+Delete
จะเข้าสู่ Windows task Manager
แล้วเลือกคลิก Flashy.exe แล้วคลิก End Process ตรงมุมขวาด้านล่าง
ขั้นตอนที่3.
กรณีถ้าเข้า Windows Task Manager ไม่ได้ (ถ้าเข้าได้ให้ข้ามไปขั้นตอนที่ 6)
ให้เราเข้าไปแก้ใน registry แต่ไวรัสยังปิดการเข้าใช้งาน Registry
เอาไว้อีก ให้ใช้ตัว Unhookexec.inf ปลดล็อคก่อน โดยดาวน์โหลดได้จาก http://zoneit3.googlepages.com/Unhookexec.rar
เมื่อ โหลดมาแล้วแตกไฟล์ แล้วก็คลิกขวาที่ไฟล์ UnHookExec.inf
แล้วเลือก Install แต่ถ้าเครื่องไหนที่ติดไวรัสหน้าจอภาษาจีนด้วย
ต้องฆ่าก่อนไม่อย่างนั้น จะใช้ UnHookExec.inf ไม่ได้ผล
ขั้นตอนที่4.
จากนั้นก็จะเข้าใช้งานส่วน Registry ได้ครับ เมื่อเข้าได้แล้วก็ไปทำการแก้ไข Registry
ให้เครื่องใช้งาน Task Manager ได้ครับ โดย ไปที่
Start > Run พิมพ์ regedit กด OK แล้วเข้าไปลบคีย์ตามนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system
แล้วก็ลบ DisableRedistryTools และ DisableTaskMgr ออกครับ
ขั้นตอนที่5.
เมื่อลบออกได้แล้วก็ไปทำตาม ข้อ 2 ครับ
ขั้นตอนที่6.
แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้า regedit แล้ว
ไปที่ Start > Run พิมพ์ regedit แล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\
ลบ NoFolderOptions
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\
ลบ Start
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\
ลบ Flashy.exe
จากนั้นคลิก Start\Programs\Startup\ ลบ SystemID.pif
จากนั้นคลิก Start > Run พิมพ์ msconfig ไปที่แถบ startup
ยกเลิกติ๊กถูกหน้า systemID
รีสตาร์ทเครื่องใหม่แล้วลองกด Ctrl+Alt+Delete ดูว่า Flashy.exe
ยังมีการทำงานอีกหรือไม่ ถ้าไม่มีแสดงว่าเรียบร้อยแล้ว
ต่อไปการแก้ไขส่วนที่ไวรัสสร้าง ให้เราต้องใส่รหัสทุกครั้ง เวลาจะเปิดเครื่อง
ขั้นตอนที่1.
คลิก Start > Setting > Control panel > User accounts เลือก User แรก (Administrator) จะสังเกตเห็นว่ามีข้อความแสดงว่า Password protected
มีการใช้รหัสผ่านป้องกันอยู่ให้คลิกที่ User แรก (Administrator)
ขั้นตอนที่2.
เลือก หัวข้อ Change a password พิมพ์รหัสผ่าน Hacked ในช่องแรก
( ช่องรหัสผ่านเดิม) ช่องที่เหลือเว้นว่างไว้ ยืนยันการเปลี่ยนรหัสผ่าน
แล้วลองรีสตาร์ทเครื่องใหม่
หรือ
Start > Run พิมพ์ regedit > คลิก OK แล้วไปตามนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขาวเลือก New > String value ตามนี้ครับ
"AutoAdminLogon"="1"
"DefaultUserName"=" ชื่อผู้ใช้"
"DefaultPassword"hacked"
** หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อ Flashy.exe ใน C:\WINDOWS\system32
** ต้องเปิด Show hidden File ก่อนถึงจะเห็น วิธีการเปิด Show hidden File
ทำได้โดย Tools > Folder Option > Show hidden files and folders > คลิก ok
 
โอ้ยจะเห็นว่าไวรัส Flashy นี่มันแสบจริง ๆ ครับ ถ้ากำจัดด้วย manual ก็ยุ่งยาก
ขั้นตอนเยอะอย่างที่เห็นนั้นแหละ
++++มาดูวิธีง่าย ๆ กันบ้างดีกว่าซาร่า++++
โปรแกรมกำจัดไวรัส Flashy ใน handy drive มือถือ และ ในเครื่องที่ติดไวรัส
http://zoneit3.googlepages.com/Flashy-fix.rar
http://www.cartoonikkyu.com/trackerx90/Compressed/flashy_killer.zip
————————————————————————————-
2.ไวรัส Brontok (หน้าเขียว)
อาการที่พบ
1. เข้า Regedit / msconfig / folder option ไม่ได้
2. เล่น internet ไปได้สักพักจะมีหน้าเว็บเขียว ๆ โผล่ขึ้นมาตามรูป
วิธีแก้ปัญหา
ไวรัส ตัวนี้ Antivirus เช่น AVG / NOD32 / AntiVir
สามารถตรวจจับได้แล้วครับ แต่ไวรัสตัวนี้แพร่กระจายผ่านระบบเครือข่ายฉะนั้น
ควรถอด สาย lan จากเครื่องออกก่อนแล้วค่อยทำการ scanvirus ครับ
โหลดโปรแกรมฆ่าไวรัส brontok ที่อยู่ใน handydrive
http://zoneit3.googlepages.com/Brontok-fix.rar
————————————————————————————-
3.ไวรัส Hacked By Godzilla
อาการที่พบ
1. เครื่องจะไม่สามารถดับเบิ้ลคลิกเปิดไดร์ฟต่างๆได้
ยกตัวอย่าง ดับเบิ้ลคลิก Drive C: Drive D: ไม่ได้
แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า Hacked By Godzilla”
 
วิธีแก้ปัญหา
ขั้นตอนที่ 1.
ดับเบิ้ลคลิก My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options
คลิกหัวข้อ View ติ๊กเลือก Show Hidden files and folders > คลิก OK
ดูรูป Comment 9 ประกอบ
ขั้นตอนที่ 2.
ปลดเครื่องหมายถูกหน้า Hide extentions for know file types
และ Hide protected operating system file ออก คลิก OK
*** ตอนคลิกที่ Hide protected operating system file จะมีหน้าเตือนให้ตอบ yes
ขั้นตอนที่ 3.
กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกหัวข้อ Processes
คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว)
คลิกปุ่ม End Process
ขั้นตอนที่4.
เปิดไดร์ฟ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดร์ฟ )
ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก
(โดยกด Shift+Delete )
ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive
และ Floppy disk ด้วย
ขั้นตอนที่5.
เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
ขั้นตอนที่6.
ไปที่ปุ่ม Start > Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์
HKEY_LOCAL_MACHINE\Software\Current Version\Run
ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
ขั้นตอนที่ 7.
เข้าไปที่คีย์
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
ลบไฟล์ที่ Window Title Hacked by Godzilla” (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
ขั้นตอนที่ 8.
คลิกปุ่ม Start > Run พิมพ์คำสั่ง msconfig กดปุ่ม OK คลิกหัวข้อ Startup
ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close)
เลือก Exit Without Restart
ขั้นตอนที่9.
ดับเบิ้ลคลิกไอคอน Mycomputer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options
คลิกแท็ป View ติ๊กถูกหน้า Hide extention
และ Hide protected operating system file คลิก OK ดูรูปจากข้อ 2
ขั้นตอนที่ 10.
คลิกขวาที่ไอคอน Recycle bin เลือกคำสั่ง Empty Recycle bin
เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อ ีกครั้ง
ดาวน์โหลดตัวกำจัดไวรัส Hacked by Godzilla
http://zoneit3.googlepages.com/Godzilla-fix.zip
http://www.cartoonikkyu.com/trackerx90/Compressed/Anti_Hacked_By_Godzilla.zip
————————————————————————————
4.ไวรัสคลิปVDO (Win32/Agent.NAG worm)
อาการที่พบ
ลักษณะ ของไวรัสคลิป VDO จะอยู่ในรูปของโฟลเดอร์ ที่มีชื่อว่าคลิป VDO
ถึงแม้จะทำการลบไวรัสตัวนี้ได้แล้วก็ตาม มันก็จะกลับมาใหม่
เพราะมันจะฝังตัวอยู่ในไดร์ฟนั่นเอ งครับ
วิธีแก้ปัญหา
1. ให้คลิกขวาตรงพื้นที่ว่างของ TaskBar
2. จากนั้นเลือกที่ Task Manager
3. เลือกที่หัวข้อ Processes แล้วหาไฟล์ที่ชื่อว่า soundmsg.exe
4. เมื่อเจอแล้วคลิกที่ชื่อไฟล์ แล้วกด End Process แล้วกด Yes
5. จากนั้นไปที่ My Computer ไปที่ Drive C: ไปที่ โฟลเดอร์ Windows
แล้วไปที่ โฟลเดอร์ System32
6. จากนั้น หาไฟล์ที่ชื่อ sondmsg.exe
7. จากนั้นให้ทำการลบไฟล์นั้น โดยตอนลบให้ กดปุ่ม Shift ค้างไว้ แล้ว คลิ้ก Delete
8. จากนั้นเราก็ไปลบ ไปที่ชื่อ คลิป VDO ได้ โดยมันไม่กลับมาอีก
*ดาวน์โหลดตัวกำจัดไวรัสคลิป VDO
http://zoneit3.googlepages.com/ClipVDO-fix.zip
http://www.cartoonikkyu.com/trackerx90/Compressed/Anti_VDO.zip
————————————————————————————
5.Monaliza (รูปโมนาลิซ่าโผล่อยู่บนหน้าจอ)
อาการที่พบ
1. เมื่อเวลาเล่น (Online) MSN ไวรัสจะส่ง Link ของไฟล์ไวรัสไปยังคนที่เรากำลังคุยด้วย
2. ไม่สามารถคลิกขวาบนวินโดว์ได้
3. ไม่สามารถเข้า Folder Option , Internet Option ,Task Manager , RegEdit , CMD ได้
4. ชื่อเครื่องจะถูกเปลี่ยนเป็น Infected
5. มีรูปโมนาลิซ่า อยู่บนหน้าจอ
6. ขึ้น System Error Kernel32.dll ตอนเข้า Windows
ทางแก้ปัญหา
โหลดโปรแกรมกำจัดไวรัสตัวนี้ได้ที่ :
http://zoneit3.googlepages.com/Monalisa-fix.zip
http://www.cartoonikkyu.com/trackerx90/Compressed/Monaliza_killer.zip
วิธีป้องกันไม่ให้ติดไวรัสจาก handy drive
จาก ที่ทำมาเป็นการแก้ปัญหาเฉพาะหน้านะครับ ไม่ใช่การป้องกัน
ส่วนไฟล์ที่ติดมากับ flash Drive หรือ Handydrive
ไฟล์มันจะชื่อ moaphie.exe เห็นไฟล์นี้เข้ามา หรือไฟล์ที่เราไม่ได้ก็อบมา
อย่าคลิ้กเข้าไปเด็ดขาดครับ ให้ลบทิ้งเลย
———————————————————————————-
6.ไวรัสmusic.exe (Win32/VB.NIV worm)
อาการที่พบ
1. เจอ Folder ที่ชื่อ music.exe หรือ Folder ที่เป็น .exe
2. ไฟล์ที่เป็น MP3 และ DAT ถูกลบทั้งหมด
3. เครื่องทำงานช้าลง
ทางแก้ปัญหา
โหลดโปรแกรมกำจัดไวรัสได้ที่ :
http://zoneit3.googlepages.com/Music_exe-fix.zip
http://www.cartoonikkyu.com/trackerx90/Compressed/Music_exe_Killer.zip
————————————————————————————-
7.virus ภาษาจีน Toy.exe (Win32/Agent.WJ trojan) (Trojan horse Generic.XFI)
อาการที่พบ
เปิดเครื่องมาเจอหน้าจอภาษาจีนตามรูป
ทางแก้ปัญหา
1. ทำการ Download โปรแกรม Security Task Manager จาก
http://zoneit3.googlepages.com/stm.rar
2. ทำการติดตั้งโปรแกรม Security Task Manager
3. เข้าสู่โปรแกรม Security Task Manager โดยคลิกที่ Start Program
เลือก โปรแกรม Security Task
4. คลิกที่ปุ่ม Continue
5. โปรแกรมจะแสดงรายการของ Application ที่ถูกติดตั้งลงใน
เครื่องคอมพิวเตอร์ทั้งหมดให้คลิกเ ลือกไฟล์ ที่มีชื่อว่า mslogon.exe
และ systemnt.exe แล้วกดปุ่ม Remove
6. โปรแกรมจะแสดงหน้าต่าง Remove ให้คลิกเลือกที่ Move file to quarantine
แล้วกดปุ่ม OK
7. โปรแกรมจะแสดงหน้าต่างถามผู้ใช้ว่าต้องการจบการทำงาน ของกระบวนการนี้หรือไม่
แล้วทำการย้ายไปยัง quarantine folder หรือไม่ให้คลิกที่ปุ่ม Yes ดังภาพ
8. หลังจากนั้นให้คลิกเลือกที่ปุ่ม Quarantine จะแสดงรายการของไฟล์ที่
ต้องการลบออกจากเครื่อง ทั้ง 2 รายการให้คลิกเลือกไฟล์ทั้ง 2
แล้ว กดปุ่ม Delete
9. โปรแกรมจะแสดงหน้าต่างให้ยืนยันการลบข้อมูล ให้คลิกที่ปุ่ม Yes
10. เมื่อทำการลบไฟล์ออกจากรายการทั้งหมด หน้าต่างของโปรแกรมจะต้อง
ไม่มีรายการของไฟล์ใด ๆ ปรากฎแสดงถึงการลบไฟล์ทั้งหมดออกจาก
เครื่องคอมพิวเตอร์ของท่านเรียบร้อยแล้ว
11. ทำการออกจากโปรแกรม โดยคลิกที่เมนู File > Close
12. ระบบจะทำการออกจากโปรแกรม ให้คลิกที่ปุ่ม Close เป็นการเสร็จขั้นตอน
ทางแก้กรณีใช้คำสั่ง Run และ TaskManager ไม่ได้
1. ก่อนอื่นโหลดไฟล์นี้ไปก่อนUnHookExec.inf
http://zoneit3.googlepages.com/Unhookexec.rar
2. เมื่อได้ไฟล์มาก็ทำการแตกไฟล์แล้วคลิกขวาที่ไฟล์แล้ว กด Install ครับ
โดยการคลิ้กที่ไฟล์ 1 ครั้ง แล้วไปที่ menu File แล้วคลิ้ก Install
(เนื่องจากเราคลิกขวาไม่ได้ครับ)
3. เมื่อ RUN เราหาย ทำให้ใช้คำสั่ง regedit ไม่ได้ เราก็ไปทางลัดเอาครับ
(ไม่แน่ใจว่าลัดหรือเปล่า) โดยเข้าไปที่ C:\WINDOWS แล้ว
หาไฟล์ที่ชื่อ regedit.exe ครับ เจอแล้วก็ดับเบิ้ลคลิกมันขึ้นมาครับ
4. จากนั้นมาดูวิธีเรียก RUN กับ Task Manager คืนมา เปิด Registry
ขึ้นมาแล้วเข้าไปที่
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
แล้วลบ NoRun และ NoViewContextMenu
ต่อมา แล้วเข้าไปที่
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
ลบ DisableRegistryTools กับ DisableTasklMgr
ส่วนนี้เป็นการเปิดใช้ RUN กับ Task Manager ครับ
ต่อมา เปลี่ยนนะครับแล้วเข้าไปที่
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
แล้วลบ 3 ตัวนี้ครับ คือ Shell, svchost, winnt
mIRC เป็นไวรัสชั้นต่ำที่มีมานานแล้ว แค่ทำให้เครื่องอืด เจ้า mIRC
จะออโต้รันตัวเองทุกครั้งที่เปิดเครื่อง วิธีที่จะเอาเจ้า mIRC ออกจากเครื่องคือ
1.ดับเบิ้ลคลิกโปรแกรม Autoruns (เป็นโปรแกรมที่เอาระบบ ออโต้รันออกโดยตรง)
http://www.zshare.net/download/3761181431bcd3/
2.เลือก Logon
3.หา mIRC แล้วติ๊กถูกออก ปิดโปรแกรม แล้ว Restart เครื่องใหม่
4.ไปที่ Control panel / Add Remove /แล้ว Remove mIRC ให้มรณะจากเครื่องไป

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: