การแก้ไขไวรัสแต่ละชนิด

วิธีแก้ไวรัส Hacked by Godzilla

Hacked by Godzilla จัดเป็น spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล โดยจะเป็นการติดผ่าน Handy Drive และ Floppy Disk เท่านั้น

ลักษณะอาการ

1. เครื่องจะไม่สามารถดับเบิ้ลคลิกเปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore

2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”

วิธีแก้

1. ดับเบิ้ลคลิก ไอคอน My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กเลือก Show Hidden files and folders

2. ปลดเครื่องหมายถูกหน้า Hide extention… และ Hide protected operating system file ออก คลิก OK

3. กดปุ่ม [Ctrl+Alt+Delete] ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกแท็ป Processes คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว) คลิกปุ่ม End Process

4. เปิดไดร์ฟ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll. vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย

5. เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll. vbs ออก (โดยกด Shift+Delete )

6. ไปที่ปุ่ม Start->Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์ [HKEY_LOCAL_ MACHINE\Software \Current Version\Run] ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

7. เข้าไปที่คีย์ [HKEY_CURRENT_ USER\Software\ Microsoft\ Internet Explorer\Main] ลบไฟล์ที่ Window Title “Hacked by Godzilla” (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

8. คลิกปุ่ม Start->Run พิมพ์ gpedit.msc กดปุ่ม OK คลิกเลือก [User Configuration->Administrative Templates->System] ดับเบิ้ลคลิกไฟล์ Turn Off Autoplay เลือก Enabled เลือก All drives คลิก OK เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติ ในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได ้ง่ายขึ้น

9. คลิกปุ่ม Start->Run พิมพ์คำสั่ง msconfig กดปุ่ม OK คลิกแท็ป Startup ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close) เลือก Exit Without Restart

10. ดับเบิ้ลคลิกไอคอน Mycomputer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กถูกหน้า Hide extention… และ Hide protected operating system file คลิก OK

11. คลิกขวาที่ไอคอน Recycle bin เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อ ีกครั้ง

เอามาจากเวป
http://darkdigit.wordpress.com/2006/…d-by-godzilla/

วิธีแก้ไวรัส Pic.zip ของ MSN

ไวรัสตัวนี้ผมก้อเคยเจอนะ แบบเวลาออนเอ็มบางทีเพื่อนเราจะเขียนเปนภาษาอังกฤษแล ้วก้อส่งไฟล์ pic.zip มา โชคดีนะที่ไม่กดรับ…แล้วอีกสักพักชื่อเมลคนที่ส่งจ ะออฟไป แล้วพอเพื่อนผมเข้าเอ็มมา ผมถามเพื่อนไปว่า เมื่อกี๊ส่งอะไรมาให้ เพื่อนบอกว่า เมื่อกี๊ไม่ได้เข้าเอ็มเลย อยุดีๆก้อหลุด…

ดูวิธีแก้เลยละกัน

วิธีแก้ ไวรัส Pic.zip จาก Msn

อาการของมันคือ มีคนส่งไฟล์ให้คุณ แล้วคุณเปิดดูโดยพลการ

ลิส Msn ของคุณจะค้าง

วิธีแก้ คือ

กด Ctrl+Alt+Del เพื่อเปิด Windows Task Manager ขึ้นมา

เลือก แถบ Processes แล้วหาตัวที่ชื่อ Winlog32.exe เจอแล้วปิดมันไปซะ

จากนั้นไปที่ Run พิม Msconfig แล้ว Enter

เลือกแถบ Startup หาตัวที่ชื่อ Winlog32.exe แล้วเอา ติ๊กถูกข้างหน้า ออก

กด Ok มันจะถามคุณว่า จะ Restart เครื่องเลยหรือป่าว ให้ตอบ No ไปก่อน

จากนั้นไปที่ Start>>Search เลือก All files and folder

แล้วตรงช่องค้นหาพิมว่า Winlog32.exe ถ้าเจอให้ลบทิ้งไป แต่ถ้าไม่เจอก้อช่างมัน

จากนั้น Restart เครื่องรอบนึง

แค่นี้ เป็นอันเสร็จแล้วครับ

เอามาจากเวป http://www.monavista.com/webboard/ar…hp/t-2286.html

วิธีแก้ ไวรัส Flashy

อาการเบื้องต้นของเครื่องที่ติดไวรัส flashy.exe
ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
เครื่องคอมพิวเตอร์จะถูกกำหนดให้มีการตั้งรหัสผ่านสำ หรับ Admin ทันที ทำให้เราเข้าเครื่องฯไม่ได้ เพราะไม่ทราบรหัสผ่าน

Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
เมื่อมีการ plug in Flash Drive หรือ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder เหล่านั้นได้
ฯลฯ

วิธีกำจัดไวรัส flashy.exe

ขั้นตอนต่างๆ ต้องทำ ใน Safe mode ครับ ถึงจะได้ผล

1. ถ้าเครื่องที่มีอาการหนักจะถูกตั้งรหัสผ่าน Administrator เอาไว้ ให้ทำการแก้ไขโดยพิมพ์ คำว่า hacked เป็นรหัสผ่าน ซึ่งหากไม่รู้วิธีแก้ปัญหาโดยการติดตั้ง Windows ใหม่อย่างเดียว

2. เมื่อเราเข้าวินโดว์ได้แล้วให้เราหยุดการทำงานของมัน ก่อน โดยกด Ctrl+Alt+Delete จะเข้าสู่ Windows task Manager แล้วเลือกคลิก Flashy.exe แล้วคลิก End Process ตรงมุมขวาด้านล่าง

3. กรณีถ้าเข้า Windows Task Manager ไม่ได้ (ถ้าเข้าได้ให้ข้ามไปข้อ 6) ให้เราเข้าไปแก้ใน registy แต่ไวรัสยังปิดการเข้าใช้งาน Registry เอาไว้อีก ให้ใช้ตัว Unhookexec.inf ปลดล็อคก่อน
โดยดาวน์โหลดได้จากหน้าเว็บ http://www.kku.ac.th/data/services/it/UnHookExec.inf เมื่อโหลดมาแล้วก็คลิกขวา แล้วเลือก Install แต่ถ้าเครื่องไหนที่ติดไวรัส หน้าจอภาษาจีนด้วยต้อง ฆ่าก่อนนะครับไม่อย่างนั้น จะใช้ UnHookExec.inf ไม่ได้ผล

4. จากนั้นก็จะเข้าใช้งานส่วน Registry ได้ครับ เมื่อเข้าได้แล้วก็ไปทำการ แก้ไข Registry ให้เครื่องใช้งาน Task Manager ได้ครับ โดย ไปที่ Start—>Run พิมพ์ regedit กด OK แล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system แล้วก็ลบ DisableRedistryTools และ DisableTaskMgr ออกครับ

5. เมื่อลบออกได้แล้วก็ไปทำตาม ข้อ 2 ครับ
6. แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้า regedit แล้ว ไปที่ Start—>Run พิมพ์ regedit แล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ ลบ NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ ลบ HideFileExt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\ ลบ Start
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\ ลบ Flashy.exe
จากนั้นคลิก Start\Programs\Startup\ ลบ SystemID.pif
จากนั้นคลิก Start—>Run พิมพ์ msconfig ไปที่แถบ startup ยกเลิกติ๊กถูกหน้า systemID
รีสตาร์ทเครื่องใหม่
แล้วลองกด Ctrl+Alt+Delete ดูว่า Flashy.exe ยังมีการทำงานอีกหรือไม่ ถ้าไม่มีแสดงว่าเรียบร้อยแล้ว

ต่อไปการแก้ไขส่วนที่ไวรัสสร้าง ให้เราต้องใส่รหัสทุกครั้ง เวลาจะเปิดเครื่อง

คลิก Start\Control panel\User accounts
เลือก User แรก (Administrator) จะสังเกตุเห็นว่ามีข้อความแสดงว่า มีการใช้รหัสผ่านป้องกันอยู่
ให้คลิกที่ User แรก (Administrator) แล้วเลือก หัวข้อ Change a password
พิมพ์รหัสผ่าน Hacked ในช่องแรก ( ช่องรหัสผ่านเดิม) ช่องที่เหลือเว้นว่างไว้
ยืนยันการเปลี่ยนรหัสผ่าน แล้วลองรีสตาร์ทเครื่องใหม่

หรือ เข้า Run พิมพ์ regedit แล้วไปตามนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขวาเลือก New–>String value
ตามนี้ครับ
“AutoAdminLogon”=”1”
“DefaultUserName”=” ชื่อผู้ใช้”
“DefaultPassword”hacked”

** หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อ Flashy.exe ใน C:\WINDOWS\system32
ต้องเปิด Show hidden File ก่อนถึงจะเห็น**

เอามาจากเวป http://www.loginracing.com/vbulletin…hread.php?t=21


กำจัดไวรัส images.zip ใน msn
ลักษณะของไวรัสนี้จะส่งมาพร้อมข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip (ส่วนใหญ่เป็นข้อความภาษาอังกฤษ) เช่น
LOL, you look so ugly in this picture, no joke… Should I put this on facebook/myspace? Hey m8, who is this on
the right, in this picture… Sup, seen the pictures from the other night?

ใครที่รับแล้ว เปิดรันไฟล์ที่แนบมาแล้ว แสดงว่าติดไวรัสเรียบร้อยแล้ว
วิธีที่ 1. การกำจัดด้วยตัวเอง
1. กดปุ่ม [Ctrl + Alt + Del] ที่คีย์บอร์ด คลิกแท็ป Process ดูว่ามีไฟล์ winlog32.exe อยู่หรือไม่ ถ้ามีให้คลิกที่ไฟล์ แล้วคลิกปุ่ม End task

2. คลิก Start->run พิมพ์ msconfig แล้วกด enter

3. คลิกที่แท๊ป start up มองหา Winlog32.exe เจอแล้วให้เอาเครื่องหมายถูกออก คลิก OK แล้วยังไม่ต้อง restart

4. คลิก Start ->Search เลือก drive c: หาไฟล์ winlog32.* ถ้าเจอ winlog32.exe-(random ตัวเลข) ให้ลบทิ้งไป จากนั้นบู๊ตเครื่องใหม่

วิธีที่ 2. การกำจัดแบบอัตโนมัติ]
อ้างถึง
Image.Zip ไวรัสเขียนด้วย C++

เป็นไวรัสที่มาพร้อมกับอีเมล์ของ MSN Messenger

การทำลายของไวรัสชนิดนี้คือจะเข้าไปทำลายถึง HDD และข้อมูลต่างใน Computer ในเวลาอันสั้น

วิธี แก้ไปที่ Start > Search พิมพ์ชื่อ Image.Zip ถ้าพบไฟล์นี้ในเครื่องของท่านก็ให้ไปหาตาม Directory ที่ไวรัสมันอยุ่และจัดการลบออกให้หมด

การป้องกันที่ดี

1. ถ้าท่านพบไวรัสชนิดนี้ในกล่องจดหมายทาง Mail Box ของ MSN ห้ามไปเปิดดู ให้ลบมันออกไปเลย

2. หากเจอเจ้านี้ในเครื่องก็อย่าแตกไฟล์มันออกมา (Extract)

3. หากเผลอหรือเจตนาไปแตกไฟล์มันออกมาก็จะพบว่าเป็น MS-DOS APPliCATION (เปิดใน Winzip จะเป็นไฟล์ .PIF)

4. หากเผลอแตกไฟล์มันออกมาแล้วก็อย่าได้ไปดับเบิ้ลคลิกเพื่อเปิดมันจะดีกว่าให้รีบลบมันจะดีกว่าครับ

แก้ไวรัส Data.exe
ไวรัส ตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ใน

ไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ www.Atom-Soft.com ผ่านทาง http และ ftp เชื่อว่ามีการเขียนขึ้นมา 3 รุ่น ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้

ใช้ ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 213 KB,221KB และ 224 KB  ยกเว้นโฟลเดอร์ program files และ desktop

ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป นอกจากนี้ไวรัสตัวนี้มีฟังก์ชั่นในการทำลายข้อมูลบนฮาร์ดดิสด้วย

วิธีแก้ไวรัส .MS32DLL.dll.vbs
ไวรัส ตัวนี้เชื่อว่ามาจากการดัดแปลงไฟล์ไวรัสต้นแบบที่ชื่อ VBS.Godzilla ไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์ว แล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ โดยจะใช้ชื่อไฟล์เป็น

.MS32DLL.dll.vbs เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน ไวรัสพยายามซ่อนตัวเองโดยการปรับแต่งรีจิสทรีและการเปลี่ยนสกุลไฟล์ไวรัส เป็น boot.ini เพื่อหลบซ่อนในระบบด้วย

วิธีแก้ไวรัส AdobeR.exe (Win32/RJump.B worm)
โปรแกรม นี้จะกำจัดไวรัส AdobeR ในแฮนดี้ไดร์ว ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run เพื่อใช้ในการรันตัวมันเองเข้าสู่ระบบดังนั้นเวลา ที่ผู้ใช้ทำการดับเบิลคลิกไดร์ว เพื่อเข้าใช้งาน จะทำให้ไวรัสถูกเรียกขึ้น

มา ทำงาน จากการทดลองพบว่าไวรัสตัวนี้อาจเขียนขึ้นอย่างเร่ง รีบเนื่องจากพบข้อผิดพลาดในระหว่างการทำงาน อย่างไรก็ตามยังพบการแพร่กระจายอยู่ โปรแกรมนี้จะทำการลบไฟล์ที่ไวรัสสร้างขึ้น เพื่อใช้ในการทำงานของ

มันทั้งหมด ด้วยวิธีนี้จะทำให้อุปกรณ์ของผู้ใช้สามารถใช้งานได้ตามปกติ โดยข้อมูลทั้งหมดยังคงอยู่ไม่สูญหาย ดาวน์โหลดตัวแก้

วิธีแก้ไวรัส AUTORUN แบบง่ายๆสำหรับ FLASH DRIVE

Flash Drive ของใครที่โดนไวรัส Autorun ดูวิธีแก้แบบง่ายๆ
**อยาก ให้ทุกคนสำรวจทุกครั้งที่เสียบ Flash Drive ผ่าน USB โดยการคลิกขวา
ที่ Flash Drive ของท่าน แล้วดูว่ามีคำว่า Auto หรือ Autoplay ขึ้นมาอยู่บนสุด
หรือไม่ ถ้ามีแสดงว่าท่านโดนไวรัสเข้าไปแล้ว วิธีแก้ไขคือ
1. ไปที่ Start -> Program -> Accesories -> Notepad
2. เมื่อเปิดโปรแกรม Notepad ขึ้นมาไปเลือกที่เมนู File > Save as
3. ให้ตั้งชื่อไฟล์ว่า autorun.inf ลงในช่อง File name แล้วกด save
ปล.  ควรเซฟไว้ที่หน้า Desktop เพื่อความสะดวก
4. ลากไฟล์ autorun.inf ที่เราสร้างขึ้นไปใส่ใน Flash Drive ของท่าน
5. คอมพิวเตอร์จะถามว่าต้องการเซฟทับไฟล์เดิมเลยหรือไม่ มีปุ่ม yes กับ no ให้เลือก
6. ก่อนที่เราจะตอบ yes ให้เราเตรียมที่จะดึง Flash Drive ออกจาก USB Port ให้ดีเพราะว่าถ้าเราดึงช้าไปไวรัสก็จะกลับมาอีก
7. พอตอบ yes แล้ว ประมาณ1- 2 วินาที ให้รีบดึง Flash Drive ออกทันที
8. ถ้าวิธีดึง Flash Drive โดยไม่ไปเซ็ตค่าอะไรเลยอาจทำให้ Flash Drive เสียได้ง่ายๆก่อนดึงควรคลิกขวา Flash Drive ที่ทาสบาร์เลือก Safety Remove อ่างรวดเร็วจึงค่อยดึง

Flash Drive ออกจาก USB Port
ปล.  การดึง Flash Drive ออกจาก USB Port จากเคื่องคอมพิวเตอร์ต้องรีบดึงให้เร็วจริงๆไม่อย่างนั้นไวรัสก็อาจจะกลับมา อีกได้เหมือนเดิมครับ

วิธีแก้ไขไวรัส photo.zip , album.zip บน MSN  (Worm.IRC.MyPhoto.a)
ไวรัส ตัวนี้ไม่ทำอันตรายกับเครื่องนะครับ แต่สร้างความรำคาญอย่างมากสังเกตง่ายๆครับ ถ้ามีคนในเอ็มเอสเอ็นคุณส่งไฟล์ photo.zip , album.zip พร้อมข้อความ Nice new photos of

me!!  หรืออื่นๆ แสดงว่าเครื่องคนนั้นโดนเข้าแล้ว เพราะฉะนั้นอย่าได้เผลอไปกดโหลดมาเปิดเชียว มิฉะนั้นเครื่องคุณก็จะกลายเป็นพาหะโดยทันที มันจะจัดการส่งไปทุกคนในลิสต์ที่คุณมีอยู่ทันที วิธีแก้คือ
1. ไปที่ Start > Run.. > พิมพ์ข้อความ regedit ในช่องว่าง > เสร็จแล้วคลิก OK
2.ไปที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad ให้ท่านหาไฟล์ชื่อ

“rdshost” sinv “syshosts” หรือ “syshelp” แล้วจดค่า CLSID ในที่นี้คือ {C7B4EE78-A8FB-4C16-AE1F-C1A568949825} ไว้ (ค่าจะแตกต่างกันออกไปใน

แต่ละเครื่อง) แล้วให้ลบไฟล์ออกไป
3. จากนั้นไปที่  HKEY_CLASSES_ROOTCLSID หาค่าที่จดไว้ในที่นี้คือ {C7B4EE78-A8FB-4C16-AE1F-C1A568949825} ลบไฟล์ในหน้าต่าง
4. รีสตาร์ทเครื่องคอมพิวเตอร์และเมื่อรีสตาร์ทและบู๊ตเข้ามาใหม่ ไปที่ C:\ > Windows หาไฟล์ชื่อ “photos.zip” แล้วลบออก
5. จากนั้นไปที่ C:\ > Windows > system32 หาไฟล์ชื่อ “syshosts.dll” หรือ  “syshelp” เมื่อเจอแล้วก็ให้ลบออก
6. รีสตาร์ทเครื่องคอมพิวเตอร์ใหม่อีกรอบ

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out /  เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out /  เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out /  เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: