ขอความเหลือเรื่องไวรัสหน่อยครับ

[hackname]

ปัญหามันมีอยู่ว่า
ผมก็เล่นๆเว็บไปๆมาๆ (ตอนนั้นใช้ mcfee 8.0 อยู่) พอเล่นไปเรื่อยๆก้ได้เรื่องสิครับ
เมื่ออยู่ เจ้า MC ของผมมันก็ขึ้นเตือนมาว่า กำลังโดน เวิร์มไม่ทราบสายพันธ์ กำลังพยายามเข้าเครื่องอยู่
แล้วจากนั้น ผมก็จึงรีบเข้าไปลบ
แต่มันลบไม่ได้
บล๊อกก็ไม่ได้
ผมจึงไปหา anti virus ตัวอื่นมาใช้
แต่ปกติแล้ว 1 os จะลง anti virus ได้แค่ตัวเดียว
ผมจึงจำเป็นต้องลบ mc ออก ( เพราะผมเช็ค เวอร์ชั่นของมันแล้ว รุ่นนี้มันหมดอายุ update แล้ว)
ตัวที่ผมลงก็คือ ( KIS (kaspersky internet security) ซึ่งเป็นเวอร์ชั่น 8
แต่ปรากฎว่า ความนี้หาไม่เจอเลยครับ (ตอนใช้ mc หาเจอแต่ลบไม่ออก)
ผมก็ลองมาใช้ nod32 แต่ก็เหมือนเดิมครับ ไม่เจอ

แต่จากนั้นผมก็ท้อครับ

เพราะเครื่องทำงาน 60-100% ตลอดเลย ไม่ว่าจะทำอะไร (ขนาดอยู่เฉยๆยัง 60+ เลย)
และหลังจากนั้น ผมก็นั้งใช้ kid ไป
แต่อยู่ๆ่ ไม่รู้ว่าเป็นอะไร คอมทำงานปกติเฉย
แต่ที่ยังหลงเหลืออยู่
ก็คือ
ผมเข้า registry ไม่ได้
เข้า sevice.msc ไม่ได้

เวลาเข้า registry มันจะไม่ขึ้นมา
เวลาเข้า sevice.msc มันจะให้หาโปรแกรมที่ใช้เปิดที่ใช้เปิด (หาไม่เจอ)
ซึ่งโปรแกรมของ windows ที่ใช้เปิดนั้น ผมรู้จักชื่อแล้ว search ดูแล้ว ปรากฎว่า ไม่เจอ
ใช้โปรแกรมอะไรก็ช่วยไม่ได้เลย
ที่จริงผมจะ format dive C ทิ้ง แล้ว ลง windows ใหม่แล้ว แต่ลองมาถามที่นี่ดูก่อน
เผื่อรู้คำตอบ
ยังไงก็ช่วยหน่อยนะครับ
ขอบคุณครับ

ป.ล. ผมใช้ windows pro 2006

[akira]

รู้จักโปรแกรมชื่อ
hijackthis ไหมครับ
ลองใช้ดูครับ ตัวนี้สามารถลบ registry hive ที่เกี่ยวข้องกับการทำงานของไวรัสพร้อมๆกับการบู๊ตเครื่องได้

อ่านเพิ่มที่นี่

http://advance.exteen.com/20070614/hijackthis

ถ้าไม่สามารถลบรีจิสทรีกิ่งนั้นได้สักที ให้ลองใช้โปรแกรมชื่อ Malwarebyte regASSASSIN ลบออกดู

ส่วนวิธีดู process ของไวรัส แนะนำโปรแกรม process explorer หรือ Security Task Manager

และ มีการจับภาพหน้าจอตอนเกิดอาการมาด้วยก็ดีครับ

หลังจากลบรีจิสทรีไม่ให้ไวรัสทำงานได้แล้วค่อย

แก้ให้ regedit กลับมาใช้งานได้ดังเดิมด้วย NOD32 Registry Recovery -V1.1

http://www.nod32th.com/component/option,co...999999/lang,th/

โดยสามารถ reset ได้ตามนี้
- Kill process wscript หยุดการทำงานของโพรเซส wscript เพื่อหยุดการทำงานของไวรัสประเภทสคริปส์

- Enable Folder Options เปิดการใช้งาน Folder Options

- Show Hidden Files แสดงไฟล์ที่ถูกซ่อนไว้

- Show File Extension แสดงนามสกุลของไฟล์

- Enable Run Window เปิดการใช้งานฟังก์ชั่น Run

- Enable Search เปิดการใช้งานฟังก์ชั่นการค้นหา

- Enable Right-click เปิดการใช้งานเมนูคลิ๊กเม๊าส์ขวา

- Enable Registry Editor เปิดการใช้งาน regedit

- Enable Task Manager เปิดการใช้งาน Task Manager

- Enable Command Prompt เปิดการใช้งาน cmd

- Enable Control Panel เปิดการใช้งาน Control Panel

- Enable System Restore Tab แสดง Tab System Restore ใน System Properties

- Enable Windows Firewall เปิดการใช้งานฟังก์ชั่น Windows Firewall ให้สามารถเปิดหรือปิดตามต้องการได้ เนื่องจากอาจถูกปิดฟังก์ชั่นโดยมัลแวร์ทำให้ไม่สามารถใช้งานได้

- Enable Automatic Updates เปิดการใช้งานอัพเดทวินโดวส์แบบอัตโนมัติ

- Enable Security Center เปิดการใช้งานฟังก์ชั่น Security Center

- Set Blank Home page ตั้งค่าหน้าหลักของ Internet Browser ให้เป็น blank

- Reset IE Window Title ลบข้อมูลบนไตเติ้ลบาร์ของเว็ปเบราเซอร์

- Disable Autorun ปิดการใช้งาน Autorun ของ Windows

- Reset Winlogon ตั้งค่าของ Winlogon ใหม่ เนื่องจากอาจมีมัลแวร์บางชนิดเริ่มการใช้การเมื่อเริ่มเข้าใช้งานวินโดวส์

- Remove autorun.inf กำจัดตัว Autorun ทุกๆไดร์ฟออกไป

หลังจากนั้นค่อยลบไฟล์ไวรัส และ dll หรือ ไดรเวอร์ และซากต่างๆไปเรื่อยๆ รวมถึงรีจิสทรีอีกเล็กๆน้อยๆ และลบ restore point ออกให้หมด

[hackname]

ขอบคุณสำหรับคำแนะนำครับ (แต่ผมถามวิธีแก้อย่างเดียวนะครับ)
ไม่ได้ถามวิธีลบ registry แต่ก็ขอบคุณ
แต่ผมยังไม่ได้วฺธีแก้เรื่อง service.msc เลยอ่ะ
เซง

ป.ล. ขอโปรแกรมของวินโดว์ ที่เอาไว้เปิด ไฟล์ .msc อ่ะครับ

[SheLLniX]

ขอบคุณสำหรับคำแนะนำครับ (แต่ผมถามวิธีแก้อย่างเดียวนะครับ)
ไม่ได้ถามวิธีลบ registry แต่ก็ขอบคุณ
แต่ผมยังไม่ได้วฺธีแก้เรื่อง service.msc เลยอ่ะ
เซง

ป.ล. ขอโปรแกรมของวินโดว์ ที่เอาไว้เปิด ไฟล์ .msc อ่ะครับ[/b]

- service.msc >> คำสั่งในให้ใช้ว่า services.msc
- สามารถเรียกได้จาก Start >> Run >> serices.msc
- เป็นการไปเรียกยัง services ในตัว Computer Management

หรือ
คลิกขวาที่ Mycomputer >> Manage >> Services and Applications >> Serivecs ครับ

[akira]

services.msc
เป็น ไฟล์ประเภท Microsoft Common Console Document(Microsoft management console file) เก็บไว้ที่ %SystemRoot%\system32\services.msc
เปิดด้วย C:\Windows\System32\mmc.exe (Microsoft Management Console)
แต่ผมใช้วิสต้า คงเป็นคนละเวอร์ชั่นกับคุณแล้ว

[aongxxx]

ผมว่าลง windows ใหม่น่าจะดีกว่านะครับ เอาย้ายข้อมูลไปไว้ Drive อื่น แล้วหา Antivirus ตัวใหม่มาลง :P

[retool2]

เท่าที่อ่านมาคือรู้ว่าเครื่องทำงาน 60-100%
ลองตรวจสอบว่าอะไรที่รันครับแล้วจัดการที่ตรงนั้น อาจจะเข้าไป end task แล้วลบไฟล์ ก็อาจจะหายเลยก็ได้ครับ

ผมแนะนำวิธีจัดการคร่าวๆนะครับ
1. หาโปรแกรม SysInternal's Process Explorer สามาหารถหาได้จากใน www.sysinternals.com เป็นเวบของ microsoft ครับ
โปรแกรมนี้จะทำงานเหมือนกัน task manager ครับ เอาไว้ดูว่า process ไหนที่รัน แล้วมันไปรันไฟล์อะไรที่ไหน
2. การที่เปิด regedit ไม่ได้มีสองอย่างคือ virus สั่งปิด กับ โดนไวรัสไปแก้ gpo
2.1 ถ้าไวรัสสั่งปิดก็ใช้ process xp จัดการ kill process virus ออกไป
2.2 ถ้าโดนไวรัสแก้ gpo ให้ไปโหลดไฟล์ http://securityresponse.symantec.com...UnHookExec.inf คลิ๊กขวาเลือก install ครับ จะใช้พวก regedit แล้วก็ task manager + cmd ได้
3. ผมแนะนำให้จัดการไวรัสใน safe mode ครับ เป็นพื้นฐานเลย
3.1 ถ้าอยากง่ายๆไวๆก็ให้จัดการด้วย antivirus ที่หาไวรัสเจอครับ
3.2 จัดการด้วยตัวเอง อันนี้ผมทำบ่อย แต่วุ่นวายหน่อยครับ คือเข้าไปลบในพวก msconfig, regedit ใน run อะไรพวกนี้ครับ

ถ้าไม่อยากวุ่นวายลองโหลด AVG free มาลงใช้ดูก็ได้ครับ ของฟรีที่ใช้ดีระดับหนึ่งเลย