สวัสดีครับ เมื่อวานผมเจอไวรัสตัวหนึ่ง แปลกมากๆ อยู่ก็มีโปรแกรมเข้ามาในเครื่องชื่อว่า Antivirus XP 2008 งงมากเพราะไม่เคยใช้เลย แถมทำการเปิดโปรแกรมเอง run scan เอง 5555 สุดยอด แล้วเข้าไปค้นหาข้อมูลในเว็บเพื่อแก้ไข ก็เจอบทความหนึ่งจากเว็บ http://www.webphand.com/AntivirusXP2008/ โดยคุณช่างป่าน เป็นคนเขียนบทความไว้ดีมากๆ เลยขอหยิบยกมาฝากกัน

อาการคือ ไม่สามารถเปลี่ยนพื้นหลังได้ครับ เมื่อติดแล้วจะเป็นหน้าตาแบบนี้ครับ

หรือมีหน้าตาโปรแกรม AntivirusXP 2008 ฟ้องว่ามีไวรัสในคอมเราเพียบ (ตัวมันแหละไวรัส)

แต่หากจะกดลบก็ต้องจ่ายเงินทางบัตรเครดิตเพื่อซื้อซีเรียลของโปรแกรมก่อน มีค่าเป็นเงินไทยด้วยนะ

อาการอื่นๆก็ประมาณว่าขึ้นบลูสกรีน แต่เป็นบลูสกรีนหลอกๆครับ เป็นแค่สกรีนเซฟเวอร์ที่มีภาพเป็นบลูสกรีน เมื่อขึ้นบลูสกรีนจากไวรัสตัวนี้
แค่เรากดปุ่มหรือขยับเมาท์บลูสกรีนก็หายไปแล้วครับ แต่หากเมื่อคลิกขวาเพื่อจะเปลี่ยนสกรีนเซฟเวอร์หรือเปลี่ยนแบลคกราวน์ก็จะเปลี่ยนไม่ได้ครับ
เพราะมันได้ปิดการเซตค่าตรงนี้ไปแล้ว

เริ่มต้นกำจัดไวรัส ตัวนี้กันครับ

วิธีแก้ง่ายที่ได้มาคือ ใช้โปรแกรม Malwarebytes' Anti-Malware   สแกนแล้วลบไวรัสเลยครับ
วิธีใช้ครับ   คลิก  หลังจากลบเสร็จแล้วหากยังมีอาการผิดปกติอื่นๆก็ค่อยอ่านวิธีแก้ข้างล่างนี้ครับ

หรือจะลองแก้แบบวิธีเก่าของป่านดูครับ
ขั้นตอนที่1 หยุดไวรัส
เปิดโปรแกรม ProcessExplorer แล้วคลิกขวาที่โปรเซสไวรัส แล้ว kill process ที่ผมวงเหลี่ยมสีแดงไว้ครับ
วงเหลี่ยมสีเขียววงไว้ให้ดูว่า โปรเซสไวรัส มักจะไม่มีรายละเอียดเจ้าของโปรแกรมครับ

ตอนนี้ไวรัสก็ได้หยุดทำงานไปแล้ว เรารีบไปลบมันเลยดีกว่าครับ เข้า C:\WINDOWS\system32 แล้วลบไฟล์ที่ผมคลุมน้ำเงินไว้ตามรูปเลยครับ
ชื่ออาจจะไม่เหมือนนะครับ หากคุณลบไม่ได้ มีสองโปรแกรมช่วยลบครับ
Unlocker โหลดมาแล้วติดตั้งเลยครับ แล้วเข้าไปคลิกขวาที่ไฟล์ไวรัส แล้วเลือก unlocker เลือกออฟชั่น ลบ ครับ แล้วคลิกแก้ล๊อคโปรเซสทั้งหมด
หากลบยังไม่ได้โปรแกรมจะบอกว่า จะลบหลังจากรีสตาร์ท เราก็รีสตาร์ทเพื่อลบเลยครับ หากยังไม่ได้ให้ใช้
Kill Box ลบครับ โหลดมาแล้วเปิดขึ้นมาเลยครับ แล้วให้ใส่ที่อยู่ไฟล์ลงไปแล้วกด กากบาทสีแดงครับ

แล้วก็เข้าคลิก Start ----> Run ---> regedit  เพื่อไปแก้ที่มันทำให้เราเปลี่ยนพื้นหลังไม่ได้ Run ---> regedit  เข้าไปที่
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
มองขวามือ ลบ NoDispBackgroundPage กับ NoDispScrSavPage ออกครับ

คลิกขวา เลือก properties ที่หน้าจอแล้ว เราก็เปลี่ยน Theme เป็น Windows Xpได้ละครับ

ต่อไปก็ลบรายชื่อโปรแกรมของไวรัสตัวนี้ออกจากรายชื่อโปรแกรมใน Add or Remove Programes (เพราะลบออกโดยปกติไม่ได้)
Start ----> Run ---> regedit  (เข้าๆออกหลายๆรอบจะได้เก่ง)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc5b5j0ead5
ลบโฟลเดอร์rhc5b5j0ead5 ทิ้งเลยครับ ตามตัวอย่างเลยครับ

แล้วค้นหาชื่อไวรัสดูว่ามันเขียนค่าไว้ตรงไหนบ้าง เผื่อว่ามันจะกลับมาอีกครับ Start ----> Run ---> regedit  เข้าไปที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion มองขวามือ ลบคีย์ตัวสีน้ำเงินที่ป่านคลุมน้ำเงินไว้ครับ

ยังมีอีกยังไม่หมดครับ Start ----> Run ---> regedit  เข้าไปที่
HKEY_LOCAL_MACHINE\SOFTWARE    ลบโฟลเดอร์ rhc5b5j0ead5 ออกเลยครับ



แล้วเปิดโปรแกรม hijack this แล้วคลิกถูกหน้าบรรทัดตามรูปแล้ว คลิก fix checked ครับ

แล้วรีสตาร์ทเครื่องก็เสร็จแล้วครับ