ไวรัสที่น่าสนใจในรอบปี 2006 และการแก้ปัญหา
1.Flashy
2.Brontok
3.Hacked By Godzilla
4.คลิปVDO
5.Monaliza
6.music.exe
7.virus ภาษาจีน
ในรอบปี 2006 ที่ผ่านมามีไวรัสออกมามากมายตามเคยครับ แต่ตัวที่เด็ด ๆ เป็นที่รู้จักกันทั่วไปน่าจะมีเจ้า 7 ตัวที่ว่าอยู่ใน list แน่นอนเพราะติดกันงอมแงมทั่วประเทศ บทความชิ้นนี้เขียนขึ้นมาเพื่อรวบรวมเอาวิธีแก้ปัญหาเมื่อเจอไวรัสดังกล่าว ในบทความนี้แนะนำวิธีการกำจัดไวรัสไว้ 2 แบบ คือ แบบทำด้วยมือของท่านเอง (manual) กับ แบบใช้เครื่องมือกำจัดไวรัส (Tools) ที่เตรียมมาให้แล้ว
ผมแนะนำให้ท่านลองกำจัดไวรัสด้วยมือของท่านเองตามวิธีการที่อธิบายอย่างละเอียดในบทความชิ้นนี้ เพราะ จะทำให้ท่านเข้าใจในการทำงานของระบบ windows มากขึ้น
มาเริ่มกันเลยดีกว่า
ไวรัส Flashy
อาการที่พบ
1. ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
2. อยู่ดี ๆ เครื่องก็ตั้ง password admin ให้ทั้ง ๆ ที่ เราไม่เคยตั้งทำให้เราเข้าเครื่องตัวเองไม่ได้ แต่พอลองใส่ รหัสผ่านว่า hacked เข้าได้แหะ
3. เมื่อมีการเสียบ Flash Drive หรือ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder เหล่านั้นได้
วิธีแก้ปัญหา
ขั้นตอนต่างๆ ต้องทำ ใน Safe mode ครับ ถึงจะได้ผล เข้า Safe Mode ด้วยการกด F8 รัว ตอน boot เครื่อง
1. ถ้าเครื่องที่มีอาการหนักจะถูกตั้งรหัสผ่าน Administrator เอาไว้ ให้ทำการแก้ไขโดยพิมพ์ คำว่า hacked เป็นรหัสผ่าน ซึ่งหากไม่รู้วิธีแก้ปัญหาโดยการติดตั้ง Windows ใหม่อย่างเดียว
2. เมื่อเราเข้าวินโดว์ได้แล้วให้เราหยุดการทำงานของมันก่อน โดยกด Ctrl+Alt+Delete จะเข้าสู่ Windows task Manager แล้วเลือกคลิก Flashy.exe แล้วคลิก End Process ตรงมุมขวาด้านล่าง
3. กรณีถ้าเข้า Windows Task Manager ไม่ได้ (ถ้าเข้าได้ให้ข้ามไปข้อ 6) ให้เราเข้าไปแก้ใน registry แต่ไวรัสยังปิดการเข้าใช้งาน Registry เอาไว้อีก ให้ใช้ตัว Unhookexec.inf ปลดล็อคก่อน โดยดาวน์โหลดได้จาก kill freshy
เมื่อโหลดมาแล้วแตกไฟล์ แล้วก็คลิกขวาที่ไฟล์ UnHookExec.inf แล้วเลือก Install แต่ถ้าเครื่องไหนที่ติดไวรัส หน้าจอภาษาจีนด้วยต้อง ฆ่าก่อนไม่อย่างนั้น จะใช้ UnHookExec.inf ไม่ได้ผล
4. จากนั้นก็จะเข้าใช้งานส่วน Registry ได้ครับ เมื่อเข้าได้แล้วก็ไปทำการ แก้ไข Registry ให้เครื่องใช้งาน Task Manager ได้ครับ โดย ไปที่ Start > Run พิมพ์ regedit กด OK แล้วเข้าไปลบคีย์ตามนี้
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem
แล้วก็ลบ DisableRedistryTools และ DisableTaskMgr ออกครับ
5. เมื่อลบออกได้แล้วก็ไปทำตาม ข้อ 2 ครับ
6. แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้า regedit แล้ว ไปที่ Start > Run พิมพ์ regedit แล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
ลบ NoFolderOptions
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ลบ HideFileExt
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ลบ Start
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
ลบ Flashy.exe
จากนั้นคลิก StartProgramsStartup ลบ SystemID.pif
จากนั้นคลิก Start > Run พิมพ์ msconfig ไปที่แถบ startup ยกเลิกติ๊กถูกหน้า systemID
รีสตาร์ทเครื่องใหม่แล้วลองกด Ctrl+Alt+Delete ดูว่า Flashy.exe ยังมีการทำงานอีกหรือไม่ ถ้าไม่มีแสดงว่าเรียบร้อยแล้ว
ต่อไปการแก้ไขส่วนที่ไวรัสสร้าง ให้เราต้องใส่รหัสทุกครั้ง เวลาจะเปิดเครื่อง
1. คลิก Start > Setting > Control panel > User accounts เลือก User แรก (Administrator) จะสังเกตเห็นว่ามีข้อความแสดงว่า Password protected มีการใช้รหัสผ่านป้องกันอยู่ให้คลิกที่ User แรก (Administrator)
2. เลือก หัวข้อ Change a password พิมพ์รหัสผ่าน Hacked ในช่องแรก ( ช่องรหัสผ่านเดิม) ช่องที่เหลือเว้นว่างไว้ ยืนยันการเปลี่ยนรหัสผ่าน แล้วลองรีสตาร์ทเครื่องใหม่
หรือ
Start > Run พิมพ์ regedit > คลิก OK แล้วไปตามนี้
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขาวเลือก New > String value ตามนี้ครับ
"AutoAdminLogon"="1"
"DefaultUserName"=" ชื่อผู้ใช้"
"DefaultPassword"hacked"
** หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อ Flashy.exe ใน C:WINDOWSsystem32
** ต้องเปิด Show hidden File ก่อนถึงจะเห็น วิธีการเปิด Show hidden File ทำได้โดย Tools > Folder Option > Show hidden files and folders > คลิก ok
ะเห็นว่าไวรัส Flashy นี่มันแสบจริง ๆ ครับ ถ้ากำจัดด้วย manual ก็ยุ่งยาก ขั้นตอนเยอะอย่างที่เห็นนั้นแหละ
*********************
ไวรัส Brontok (หน้าเขียว)
อาการที่พบ
1. เข้า Regedit / msconfig / folder option ไม่ได้
2. เล่น internet ไปได้สักพักจะมีหน้าเว็บเขียว ๆ โผล่ขึ้นมาตามรูป
วิธีแก้ปัญหา
ไวรัสตัวนี้ Antivirus เช่น AVG / NOD32 / AntiVir สามารถตรวจจับได้แล้วครับ แต่ ไวรัสตัวนี้แพร่กระจายผ่านระบบเครือข่ายฉะนั้นควรถอดสาย lan จากเครื่องออกก่อนแล้วค่อยทำการ scanvirus ครับ
โหลดโปรแกรมฆ่าไวรัส brontok
Brontok remove tool
**********************
ไวรัส Hacked By Godzilla
อาการที่พบ
1. เครื่องจะไม่สามารถดับเบิ้ลคลิกเปิดไดร์ฟต่างๆได้ ยกตัวอย่าง ดับเบิ้ลคลิก Drive C: Drive D: ไม่ได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า Hacked By Godzilla”
วิธีแก้ปัญหา
1. ดับเบิ้ลคลิก My Computer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกหัวข้อ View ติ๊กเลือก Show Hidden files and folders > คลิก OK
ดูรูป Comment 9 ประกอบ
2. ปลดเครื่องหมายถูกหน้า Hide extentions for know file types และ Hide protected operating system file ออก คลิก OK
*** ตอนคลิกที่ Hide protected operating system file จะมีหน้าเตือนให้ตอบ yes
3. กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด เพื่อเรียก Task Manager คลิกหัวข้อ Processes คลิกเลือกเมนู Image Name (เพื่อ sort File) คลิกเลือกไฟล์ wscript.exe (ทีละตัว) คลิกปุ่ม End Process
4. เปิดไดร์ฟ (โดยคลิกขวาเลือก Explore ห้ามดับเบิ้ลคลิกไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย
5. เปิดโฟลเดอร์ C:WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
6. ไปที่ปุ่ม Start > Run พิมพ์ regedit คลิก OK เข้าไปที่คีย์
HKEY_LOCAL_MACHINESoftwareCurrent VersionRun
ลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
7. เข้าไปที่คีย์
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
ลบไฟล์ที่ Window Title Hacked by Godzilla” (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
8. คลิกปุ่ม Start > Run พิมพ์คำสั่ง msconfig กดปุ่ม OK คลิกหัวข้อ Startup ปลดเครื่องหมายถูกหน้า MS32DLL ออก คลิกปุ่ม Apply คลิกปุ่ม OK (หรือ Close) เลือก Exit Without Restart
9. ดับเบิ้ลคลิกไอคอน Mycomputer ที่เดสก์ท็อป ที่เมนู Tools เลือก Folder Options คลิกแท็ป View ติ๊กถูกหน้า Hide extention และ Hide protected operating system file คลิก OK ดูรูปจากข้อ 2
10. คลิกขวาที่ไอคอน Recycle bin เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง
ดาวน์โหลดตัวกำจัดไวรัส Hacked by Godzilla
Godzilla remove tools
*********************
ไวรัสคลิป VDO
อาการที่พบ
ลักษณะของไวรัสคลิป VDO จะอยู่ในรูปของโฟลเดอร์ ที่มีชื่อว่าคลิป VDO ถึงแม้จะทำการลบไวรัสตัวนี้ได้แล้วก็ตาม มันก็จะกลับมาใหม่เพราะมันจะฝังตัวอยู่ในไดร์ฟนั่นเองครับ
ทางแก้ปัญหา
1. ให้คลิกขวาตรงพื้นที่ว่างของ TaskBar
2. จากนั้นเลือกที่ Task Manager
3. เลือกที่หัวข้อ Processes แล้วหาไฟล์ที่ชื่อว่า soundmsg.exe
4. เมื่อเจอแล้วคลิกที่ชื่อไฟล์ แล้วกด End Process แล้วกด Yes
5. จากนั้นไปที่ My Computer ไปที่ Drive C: ไปที่ โฟลเดอร์ Windows แล้วไปที่ โฟลเดอร์ System32
6. จากนั้น หาไฟล์ที่ชื่อ sondmsg.exe
7. จากนั้นให้ทำการลบไฟล์นั้น โดยตอนลบให้ กดปุ่ม Shift ค้างไว้ แล้ว คลิ้ก Delete
8. จากนั้นเราก็ไปลบ ไปที่ชื่อ คลิป VDO ได้ โดยมันไม่กลับมาอีกครับ
***************************
ไวรัส Monaliza
อาการที่พบ
1. เมื่อเวลาเล่น (Online) MSN ไวรัสจะส่ง Link ของไฟล์ไวรัสไปยังคนที่เรากำลังคุยด้วย
2. ไม่สามารถคลิกขวาบนวินโดว์ได้
3. ไม่สามารถเข้า Folder Option , Internet Option ,Task Manager , RegEdit , CMD ได้
4. ชื่อเครื่องจะถูกเปลี่ยนเป็น Infected
5. มีรูปโมนาลิซ่า อยู่บนหน้าจอ
6. ขึ้น System Error Kernel32.dll ตอนเข้า Windows
ทางแก้ปัญหา
โหลดโปรแกรมกำจัดไวรัสตัวนี้ได้ที่ :Monalisa-fix]http://home.kku.ac.th/ktanawin/pro/monalisa_virus.zip]Monalisa-fix
วิธีป้องกันไม่ให้ติดไวรัสจาก handy drive
จากที่ทำมาเป็นการแก้ปัญหาเฉพาะหน้านะครับ ไม่ใช่การป้องกัน ส่วนไฟล์ที่ติดมากับ flash Drive หรือ Handydrive ไฟล์มันจะชื่อ moaphie.exe เห็นไฟล์นี้เข้ามา หรือไฟล์ที่เราไม่ ได้ก็อบมา อย่าคลิ้กเข้าไปเด็ดขาดครับ ให้ลบทิ้งเลย
**********************
ไวรัส music.exe
อาการที่พบ
1. เจอ Folder ที่ชื่อ music.exe หรือ Folder ที่เป็น .exe
2. ไฟล์ที่เป็น MP3 และ DAT ถูกลบทั้งหมด
3. เครื่องทำงานช้าลง
ทางแก้ปัญหา
โหลดโปรแกรมกำจัดไวรัสได้ที่ :http://fileinfo.prevx.com/QQ1f4417981987-MUSI91399/MUSIC.EXE.html
*****************
ไวรัส ภาษาจีน Trojan horse Generic.XFI
อาการที่พบ
เปิดเครื่องมาเจอหน้าจอภาษาจีนตามรูป
ทางแก้ปัญหา
1. ทำการ Download โปรแกรม Security Task Manager จาก http://www.kku.ac.th/data/services/software/taskmanager16.exe
2. ทำการติดตั้งโปรแกรม Security Task Manager
3. เข้าสู่โปรแกรม Security Task Manager โดยคลิกที่ Start Program เลือก โปรแกรม Security Task
4. คลิกที่ปุ่ม Continue
5. โปรแกรมจะแสดงรายการของ Application ที่ถูกติดตั้งลงในเครื่องคอมพิวเตอร์ทั้งหมดให้คลิกเลือกไฟล์ ที่มีชื่อว่า mslogon.exe และ systemnt.exe แล้วกดปุ่ม Remove
6. โปรแกรมจะแสดงหน้าต่าง Remove ให้คลิกเลือกที่ Move file to quarantine แล้วกดปุ่ม OK
7. โปรแกรมจะแสดงหน้าต่างถามผู้ใช้ว่าต้องการจบการทำงานของกระบวนการนี้หรือไม่ แล้วทำการย้ายไปยัง quarantine folder หรือไม่ให้คลิกที่ปุ่ม Yes ดังภาพ
8. หลังจากนั้นให้คลิกเลือกที่ปุ่ม Quarantine จะแสดงรายการของไฟล์ที่ต้องการลบออกจากเครื่อง ทั้ง 2 รายการให้คลิกเลือกไฟล์ทั้ง 2 แล้ว กดปุ่ม Delete
9. โปรแกรมจะแสดงหน้าต่างให้ยืนยันการลบข้อมูล ให้คลิกที่ปุ่ม Yes
10. เมื่อทำการลบไฟล์ออกจากรายการทั้งหมด หน้าต่างของโปรแกรมจะต้องไม่มีรายการของไฟล์ใด ๆ ปรากฎแสดงถึงการลบไฟล์ทั้งหมดออกจากเครื่องคอมพิวเตอร์ ของท่านเรียบร้อยแล้ว
11. ทำการออกจากโปรแกรม โดยคลิกที่เมนู File > Close
12. ระบบจะทำการออกจากโปรแกรม ให้คลิกที่ปุ่ม Close เป็นการเสร็จขั้นตอน
++++
ทางแก้กรณีใช้คำสั่ง Run และ TaskManager ไม่ได้
1. ก่อนอื่นโหลดไฟล์นี้ไปก่อนครับ UnHookExec.inf
http://zoneit3.googlepages.com/Unhookexec.rar
2. เมื่อได้ไฟล์มาก็ทำการแตกไฟล์แล้วคลิกขวาที่ไฟล์แล้วกด Install ครับ โดยการคลิ้กที่ไฟล์ 1 ครั้ง แล้วไปที่ menu File แล้วคลิ้ก Install (เนื่องจากเราคลิกขวาไม่ได้ครับ)
3. เมื่อ RUN เราหาย ทำให้ใช้คำสั่ง regedit ไม่ได้ เราก็ไปทางลัดเอาครับ(ไม่แน่ใจว่าลัดหรือเปล่า) โดยเข้าไปที่ C:WINDOWS แล้ว หาไฟล์ที่ชื่อ regedit.exe ครับ เจอแล้วก็ดับเบิ้ลคลิกมันขึ้นมาครับ
4. จากนั้นมาดูวิธีเรียก RUN กับ Task Manager คืนมา เปิด Registry ขึ้นมาแล้วเข้าไปที่
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
แล้วลบ NoRun และ NoViewContextMenu
ต่อมา แล้วเข้าไปที่
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
ลบ DisableRegistryTools กับ DisableTasklMgr ส่วนนี้เป็นการเปิดใช้ RUN กับ Task Manager ครับ
ต่อมา เปลี่ยนนะครับแล้วเข้าไปที่
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
แล้วลบ 3 ตัวนี้ครับ คือ Shell, svchost, winnt
แหล่งรวมลิงค์ Remove Tools ซึ่งเป็นโปรแกรมขนาดเล็กที่ใช้สำหรับการกำจัดไวรัสแบบตัวต่อตัว นั่นหมายความว่า คุณจะต้องทราบว่าเครื่องคอมฯ ของคุณติดไวรัสอะไร จากนั้นจึงสามารถมาเลือกโปรแกรมที่ใช้ในการกำจัดไวรัสนั้นๆ ออกไป ซึ่งทางเราได้รวบรวมลิงค์จากค่ายต่างๆ ไว้ให้คุณแล้ว
*eTrust
*F-Secure
*Kaspersky
*Mcafee
*Norman
*Norton
*Panda
*Quick Heal
*Sophos
*Virus Buster
PS: ขอขอบคุณ คุณ giggock จากบอร์ด it-th ครับ สำหรับบทความชิ้นนี้
ขอบคุณมากที่สุดเลยครับ ที่บ้านผมไวรัสเพียบเลย คิดไม่ออกว่าจะกำจัดไวรัสยังไง บังเอิญมาเจอวิธีการแก้ไข ขอบคุณมากครับ คนอื่นเขาก็คงเหมือนผมบ้าน คุณเป็นคนช่วยเหลือสังคมที่สุดเลยครับ ยังไงมีอะไรดีๆก็ช่วยเหลือชาวไทยด้วยกันน่ะครับ เพื่อชาติไทยครับผม
ทำไมผมถึงเปิด Task Manager ไม่ได้ เวลาที่ผมเปิดมันมีข้อความขึ้นไว้ว่า Task Manager has been disabled by your administrator พอดีตอนนี้ผมโดน Hacked by MOOzila อยู่อ่ะ แต่แก้ปัญหาไม่ได้เพราะงี้แหละครับ
คุณเนติวิทย์ครับ
ลองไปที่ start --> run --> พิมพ์ msconfig แล้วกด ok
แล้วลองไปดูที่ tab service แล้วหา wscript.exe เพื่อ end process ดูนะครับ
อีกวิธีนะครับ ทำตามได้เลยครับ
1. Verity that the "Local Group Policy" or "Domain Group Policy" doesn’t block you from using
"Task Manager".
1.1 "Local Group Policy"
a. Go to "Start" -> "Run" -> Write "Gpedit.msc" and press on "Enter" button.
b. Navigate to "User Configuration" -> "Administrative Templates" -> "System" -> "Ctrl+Alt+Del Options"
c. In the right side of the screen verity that "Remove Task Manager"" option set to "Disable" or "Not Configured".
d. Close "Gpedit.msc" MMC.
e. Go to "Start" -> "Run" -> Write "gpupdate /force" and press on "Enter" button.
Note: If you are using Windows 2000, please follow KB q227302 instead stage "e".
Using SECEDIT to Force a Group Policy Refresh Immediately
http://support.microsoft.com/kb/q227302/
1.2 "Domain Group Policy"
a. Contact you local IT support team.
2. Verity correct registry settings::
a. Go to "Start" -> "Run" -> Write "regedit" and press on "Enter" button.
Warning: Modifying your registry can cause serious problems that may require you to reinstall your operating system.
Always backup your files before doing this registry hack.
b. Navigate to the following registry keys and verity that following settings set to default:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DisableCAD"=dword:00000000
c. Reboot the computer.
เราโดย Hacked by godzilla เราทำตามที่บอกแล้วเราเข้าเมนู My com แล้วเราเข้า Tools แล้วเราไม่มี Folder option แล้วเราจะทำไงดีอะช่วยบอกทีนะ
มีปัญหาอยากจะถาม ในเครื่องคอมพิวเตอร์ ไฟล์ setup.exe หายไป ไม่รู้ว่าต้องไปแก้ในรีจิสเตอร์ รึเปล่า เกิดจากTrojan หรือไวรัสตัวไหน ไหนมีวิธีแก้ยังไง รบกวนผู้รู้ช่วยด้วย
ขอรบกวนนิดนะครับ เผอิญ thumb drive เจ้ากรรมของผม ไปติดไวรัสเข้า อาการก็คือ ไม่สามารถเข้าไปดู file ต่าง ๆ ข้างใน thumb drive ได้ ทั้ง ๆ ที่มีโปรแกรม antivirus รันก่อนเข้าเครื่อง หรือ thum drive แล้ว (ใน thumb drive จะมีโปรแกรมของ U3 รันก่อนเปิด thumb drive) พอคลิ๊กก็จะให้ format ตลอดเวลา แล้วข้อมูลนั้นเป็นข้อมูลที่สำคัญ จะทำอย่างไรดี... help me, please... :( ขอบคุณนะครับ
อยากทราบวิธีการปลดล็อคpassword