keep it awhile
ไวรัส Flashy
อาการที่พบ
1. ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
2. อยู่ดี ๆ เครื่องก็ตั้ง password admin ให้ทั้ง ๆ ที่ เราไม่เคยตั้งทำให้เราเข้าเครื่องตัวเองไม่ได้ แต่พอลองใส่ รหัสผ่านว่า hacked เข้าได้แหะ
3. เมื่อมีการเสียบ Flash Drive หรือ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder เหล่านั้นได้
วิธีแก้ปัญหา
ขั้นตอนต่างๆ ต้องทำ ใน Safe mode ครับ ถึงจะได้ผล เข้า Safe Mode ด้วยการกด F8 รัว ตอน boot เครื่อง
1. ถ้าเครื่องที่มีอาการหนักจะถูกตั้งรหัสผ่าน Administrator เอาไว้ ให้ทำการแก้ไขโดยพิมพ์ คำว่า hacked เป็นรหัสผ่าน ซึ่งหากไม่รู้วิธีแก้ปัญหาโดยการติดตั้ง Windows ใหม่อย่างเดียว
2. เมื่อเราเข้าวินโดว์ได้แล้วให้เราหยุดการทำงานของมันก่อน โดยกด Ctrl+Alt+Delete จะเข้าสู่ Windows task Manager แล้วเลือกคลิก Flashy.exe แล้วคลิก End Process ตรงมุมขวาด้านล่าง
3. กรณีถ้าเข้า Windows Task Manager ไม่ได้ (ถ้าเข้าได้ให้ข้ามไปข้อ 6) ให้เราเข้าไปแก้ใน registry แต่ไวรัสยังปิดการเข้าใช้งาน Registry เอาไว้อีก ให้ใช้ตัว Unhookexec.inf ปลดล็อคก่อน โดยดาวน์โหลดได้จาก
http://thaibanupload.com/show.php/62_Unhookexec.rar.html
เมื่อ โหลดมาแล้วแตกไฟล์ แล้วก็คลิกขวาที่ไฟล์ UnHookExec.inf แล้วเลือก Install แต่ถ้าเครื่องไหนที่ติดไวรัส หน้าจอภาษาจีนด้วยต้อง ฆ่าก่อนไม่อย่างนั้น จะใช้ UnHookExec.inf ไม่ได้ผล
4. จากนั้นก็จะเข้าใช้งานส่วน Registry ได้ครับ เมื่อเข้าได้แล้วก็ไปทำการ แก้ไข Registry ให้เครื่องใช้งาน Task Manager ได้ครับ โดย ไปที่ Start > Run พิมพ์ regedit กด OK แล้วเข้าไปลบคีย์ตามนี้
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem
แล้วก็ลบ DisableRedistryTools และ DisableTaskMgr ออกครับ
5. เมื่อลบออกได้แล้วก็ไปทำตาม ข้อ 2 ครับ
6. แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้า regedit แล้ว ไปที่ Start > Run พิมพ์ regedit แล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
ลบ NoFolderOptions
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ลบ HideFileExt
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ลบ Start
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
ลบ Flashy.exe
จากนั้นคลิก StartProgramsStartup ลบ SystemID.pif
จากนั้นคลิก Start > Run พิมพ์ msconfig ไปที่แถบ startup ยกเลิกติ๊กถูกหน้า systemID
รีสตาร์ทเครื่องใหม่แล้วลองกด Ctrl+Alt+Delete ดูว่า Flashy.exe ยังมีการทำงานอีกหรือไม่ ถ้าไม่มีแสดงว่าเรียบร้อยแล้ว
ต่อไปการแก้ไขส่วนที่ไวรัสสร้าง ให้เราต้องใส่รหัสทุกครั้ง เวลาจะเปิดเครื่อง
1. คลิก Start > Setting > Control panel > User accounts เลือก User แรก (Administrator) จะสังเกตเห็นว่ามีข้อความแสดงว่า Password protected มีการใช้รหัสผ่านป้องกันอยู่ให้คลิกที่ User แรก (Administrator)
2. เลือก หัวข้อ Change a password พิมพ์รหัสผ่าน Hacked ในช่องแรก ( ช่องรหัสผ่านเดิม) ช่องที่เหลือเว้นว่างไว้ ยืนยันการเปลี่ยนรหัสผ่าน แล้วลองรีสตาร์ทเครื่องใหม่
หรือ
Start > Run พิมพ์ regedit > คลิก OK แล้วไปตามนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขาวเลือก New > String value ตามนี้ครับ
"AutoAdminLogon"="1"
"DefaultUserName"=" ชื่อผู้ใช้"
"DefaultPassword"hacked"
** หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อ Flashy.exe ใน C:\WINDOWS\system32
** ต้องเปิด Show hidden File ก่อนถึงจะเห็น วิธีการเปิด Show hidden File ทำได้โดย Tools > Folder Option > Show hidden files and folders > คลิก ok
โอ้ยจะเห็นว่าไวรัส Flashy นี่มันแสบจริง ๆ ครับ ถ้ากำจัดด้วย manual ก็ยุ่งยาก ขั้นตอนเยอะอย่างที่เห็นนั้นแหละ
มาดูวิธีง่าย ๆ กันบ้างดีกว่าซาร่า
โปรแกรมกำจัดไวรัส Flashy ใน handy drive มือถือ และ ในเครื่องที่ติดไวรัส
http://thaibanupload.com/show.php/61_Flashyfix.rar.html
ปล.ใช้ ie ในการเปิดเว็บนะครับถึงจะโหลดได้
ไวรัส Brontok (หน้าเขียว)
อาการที่พบ
1. เข้า Regedit / msconfig / folder option ไม่ได้
2. เล่น internet ไปได้สักพักจะมีหน้าเว็บเขียว ๆ โผล่ขึ้นมาตามรูป
วิธีแก้ปัญหา
ไวรัส ตัวนี้ Antivirus เช่น AVG / NOD32 / AntiVir สามารถตรวจจับได้แล้วครับ แต่ ไวรัสตัวนี้แพร่กระจายผ่านระบบเครือข่ายฉะนั้นควรถอดสาย lan จากเครื่องออกก่อนแล้วค่อยทำการ scanvirus ครับ
โหลดโปรแกรมฆ่าไวรัส brontok ที่อยู่ใน handydrive ครับ
http://thaibanupload.com/show.php/70_Brontokfix.rar.html
ปล.ใช้ ie ในการเปิดเว็บนะครับถึงจะโหลดได้
ไวรัส Hacked By Godzilla
อาการที่พบ
1. เครื่องจะไม่สามารถดับเบิ้ลคลิกเปิดไดร์ฟต่างๆได้ ยกตัวอย่าง ดับเบิ้ลคลิก Drive C: Drive D: ไม่ได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า Hacked By Godzilla”
วิธีแก้ปัญหา
1. ดับเบิ้ลคลิก My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกหัวข้อ View ติ๊กเลือก Show Hidden files and folders > คลิก OK
ดูรูป Comment 9 ประกอบ
2. ปลดเครื่องหมายถูกหน้า Hide extentions for know file types และ Hide protected operating system file ออก คลิก OK
*** ตอนคลิกที่ Hide protected operating system file จะมีหน้าเตือนให้ตอบ yes
. กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกหัวข้อ Processes คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว) คลิกปุ่ม End Process
4. เปิดไดร์ฟ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย
5. เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
6. ไปที่ปุ่ม Start > Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์
HKEY_LOCAL_MACHINE\Software\Current Version\Run
ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
7. เข้าไปที่คีย์
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
ลบไฟล์ที่ Window Title Hacked by Godzilla” (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
8. คลิกปุ่ม Start > Run พิมพ์คำสั่ง msconfig กดปุ่ม OK คลิกหัวข้อ Startup ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close) เลือก Exit Without Restart
9. ดับเบิ้ลคลิกไอคอน Mycomputer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กถูกหน้า Hide extention และ Hide protected operating system file คลิก OK ดูรูปจากข้อ 2
10. คลิกขวาที่ไอคอน Recycle bin เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง
ดาวน์โหลดตัวกำจัดไวรัส Hacked by Godzilla
http://thaibanupload.com/show.php/72_Godzillafix.zip.html
ปล.ใช้ ie ในการเปิดเว็บนะครับถึงจะโหลดได้
ไวรัสคลิป VDO
อาการที่พบ
ลักษณะ ของไวรัสคลิป VDO จะอยู่ในรูปของโฟลเดอร์ ที่มีชื่อว่าคลิป VDO ถึงแม้จะทำการลบไวรัสตัวนี้ได้แล้วก็ตาม มันก็จะกลับมาใหม่เพราะมันจะฝังตัวอยู่ในไดร์ฟนั่นเองครับ
ทางแก้ปัญหา
1. ให้คลิกขวาตรงพื้นที่ว่างของ TaskBar
2. จากนั้นเลือกที่ Task Manager
3. เลือกที่หัวข้อ Processes แล้วหาไฟล์ที่ชื่อว่า soundmsg.exe
4. เมื่อเจอแล้วคลิกที่ชื่อไฟล์ แล้วกด End Process แล้วกด Yes
5. จากนั้นไปที่ My Computer ไปที่ Drive C: ไปที่ โฟลเดอร์ Windows แล้วไปที่ โฟลเดอร์ System32
6. จากนั้น หาไฟล์ที่ชื่อ sondmsg.exe
7. จากนั้นให้ทำการลบไฟล์นั้น โดยตอนลบให้ กดปุ่ม Shift ค้างไว้ แล้ว คลิ้ก Delete
8. จากนั้นเราก็ไปลบ ไปที่ชื่อ คลิป VDO ได้ โดยมันไม่กลับมาอีกครับ
ดาวน์โหลดตัวกำจัดไวรัสคลิป VDO
http://thaibanupload.com/show.php/76_ClipVDOfix.zip.html
ปล.ใช้ ie ในการเปิดเว็บนะครับถึงจะโหลดได้
ไวรัส Monaliza
อาการที่พบ
1. เมื่อเวลาเล่น (Online) MSN ไวรัสจะส่ง Link ของไฟล์ไวรัสไปยังคนที่เรากำลังคุยด้วย
2. ไม่สามารถคลิกขวาบนวินโดว์ได้
3. ไม่สามารถเข้า Folder Option , Internet Option ,Task Manager , RegEdit , CMD ได้
4. ชื่อเครื่องจะถูกเปลี่ยนเป็น Infected
5. มีรูปโมนาลิซ่า อยู่บนหน้าจอ
6. ขึ้น System Error Kernel32.dll ตอนเข้า Windows
ทางแก้ปัญหา
โหลดโปรแกรมกำจัดไวรัสตัวนี้ได้ที่
http://thaibanupload.com/show.php/82_Monalisafix.zip.html
วิธีป้องกันไม่ให้ติดไวรัสจาก handy drive
จาก ที่ทำมาเป็นการแก้ปัญหาเฉพาะหน้านะครับ ไม่ใช่การป้องกัน ส่วนไฟล์ที่ติดมากับ flash Drive หรือ Handydrive ไฟล์มันจะชื่อ moaphie.exe เห็นไฟล์นี้เข้ามา หรือไฟล์ที่เราไม่ ได้ก็อบมา อย่าคลิ้กเข้าไปเด็ดขาดครับ ให้ลบทิ้งเลย
ปล.ใช้ ie ในการเปิดเว็บนะครับถึงจะโหลดได้
ไวรัส ภาษาจีน Trojan horse Generic.XFI
อาการที่พบ
เปิดเครื่องมาเจอหน้าจอภาษาจีนตามรูป
ทางแก้ปัญหา
1. ทำการ Download โปรแกรม Security Task Manager จาก
http://thaibanupload.com/show.php/85_stm.rar.html
ปล.ใช้ ie ในการเปิดเว็บนะครับถึงจะโหลดได้
Credit : Babilonez
2. ทำการติดตั้งโปรแกรม Security Task Manager
3. เข้าสู่โปรแกรม Security Task Manager โดยคลิกที่ Start Program เลือก โปรแกรม Security Task
4. คลิกที่ปุ่ม Continue
5. โปรแกรมจะแสดงรายการของ Application ที่ถูกติดตั้งลงในเครื่องคอมพิวเตอร์ทั้งหมดให้คลิกเลือกไฟล์ ที่มีชื่อว่า mslogon.exe และ systemnt.exe แล้วกดปุ่ม Remove
6. โปรแกรมจะแสดงหน้าต่าง Remove ให้คลิกเลือกที่ Move file to quarantine แล้วกดปุ่ม OK
7. โปรแกรมจะแสดงหน้าต่างถามผู้ใช้ว่าต้องการจบการทำงานของกระบวนการนี้หรือไม่ แล้วทำการย้ายไปยัง quarantine folder หรือไม่ให้คลิกที่ปุ่ม Yes ดังภาพ
8. หลังจากนั้นให้คลิกเลือกที่ปุ่ม Quarantine จะแสดงรายการของไฟล์ที่ต้องการลบออกจากเครื่อง ทั้ง 2 รายการให้คลิกเลือกไฟล์ทั้ง 2 แล้ว กดปุ่ม Delete
9. โปรแกรมจะแสดงหน้าต่างให้ยืนยันการลบข้อมูล ให้คลิกที่ปุ่ม Yes
10. เมื่อทำการลบไฟล์ออกจากรายการทั้งหมด หน้าต่างของโปรแกรมจะต้องไม่มีรายการของไฟล์ใด ๆ ปรากฎแสดงถึงการลบไฟล์ทั้งหมดออกจากเครื่องคอมพิวเตอร์ ของท่านเรียบร้อยแล้ว
11. ทำการออกจากโปรแกรม โดยคลิกที่เมนู File > Close
12. ระบบจะทำการออกจากโปรแกรม ให้คลิกที่ปุ่ม Close เป็นการเสร็จขั้นตอน
++++
ทางแก้กรณีใช้คำสั่ง Run และ TaskManager ไม่ได้
1. ก่อนอื่นโหลดไฟล์นี้ไปก่อนครับ UnHookExec.inf
http://thaibanupload.com/show.php/93_Unhookexec.rar.html
2. เมื่อได้ไฟล์มาก็ทำการแตกไฟล์แล้วคลิกขวาที่ไฟล์แล้วกด Install ครับ โดยการคลิ้กที่ไฟล์ 1 ครั้ง แล้วไปที่ menu File แล้วคลิ้ก Install (เนื่องจากเราคลิกขวาไม่ได้ครับ)
3. เมื่อ RUN เราหาย ทำให้ใช้คำสั่ง regedit ไม่ได้ เราก็ไปทางลัดเอาครับ(ไม่แน่ใจว่าลัดหรือเปล่า) โดยเข้าไปที่ C:\WINDOWS แล้ว หาไฟล์ที่ชื่อ regedit.exe ครับ เจอแล้วก็ดับเบิ้ลคลิกมันขึ้นมาครับ
4. จากนั้นมาดูวิธีเรียก RUN กับ Task Manager คืนมา เปิด Registry ขึ้นมาแล้วเข้าไปที่
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
แล้วลบ NoRun และ NoViewContextMenu
ต่อมา แล้วเข้าไปที่
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
ลบ DisableRegistryTools กับ DisableTasklMgr ส่วนนี้เป็นการเปิดใช้ RUN กับ Task Manager ครับ
ต่อมา เปลี่ยนนะครับแล้วเข้าไปที่
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
แล้วลบ 3 ตัวนี้ครับ คือ Shell, svchost, winnt
ความเห็น (0)
ไม่มีความเห็น