คือผมจะเข้าไปแก้สคริป registy อะครับ
แต่พอผมพิมพ์คำสั่ง regedit ลงใน Run
แล้วอะครับ มันก็ขึ้น popup มาบอกว่า
registy editer has been disable by your administrator
เลยอยากทราบว่าเครื่องผมมีปัญหาอะไรครับ
คือผมจะเข้าไปแก้สคริป registy อะครับ
แต่พอผมพิมพ์คำสั่ง regedit ลงใน Run
แล้วอะครับ มันก็ขึ้น popup มาบอกว่า
registy editer has been disable by your administrator
เลยอยากทราบว่าเครื่องผมมีปัญหาอะไรครับ
น่าจะโดนไวรัสนะครับ อาจจะเป็น brontok หรือ flashy ไม่มั่นใจ แต่มีscript แก้อยู่ครับ คือว่าเจ้าไวรัสมันแก้ค่าเป็น Disable
ประมาณนี้อ่ะ
หากเครื่องไหนติดไวรัสตัวนี้ แล้วจะรู้ได้ไงว่าติด ง่ายๆ ครับมีรูปขึ้นมาดังรูปเหมือนข้างบนเด้งขึ้นมาบ่อยๆครับหรือ ให้เปิด window explorer แล้วดูเมนู Tools > Folder Options หากเปิดแล้วไม่พบเมนู Folder Options นั่นแสดงว่าเครื่องคุณติดไวรัสไปแล้ว ยังมีอีกวิธีในการตรวจสอบครับคือ ถ้าคุณ run คำสั่ง cmd หรือคำสั่ง msconfig เครื่องจะทำการ restart โดยอัตโนมัติ
สำหรับความรุนแรงของไวรัสตัวนี้ ความสามารถของมัน มันจะฝังตัวเองไว้ในระบบ ตั้งชื่อ process แบบเดียวกับของระบบเช่น services.exe , csrss.exe เป็นต้น และมันจะจำลองไฟล์ของมันให้มีชื่อเช่นเกียวกับ Folderแล้วมีนามสกุล.exeต่อท้าย มันพยามยามสร้างลูกมันไว้ครับ และอีกอย่างมันจะอยู่กระจายเฉพาะใน My Document ไวรัสตัวนี้มันแพร่ไปตามเครือข่ายได้ครับ โดยเฉพาะถ้าคุณแชร์ไดร์ฟกันในแลนด้วยแล้ว มันไปทุกเครื่องในระบบแลนแน่ครับ
มันก็จะปิด Registry Editor ไม่ให้เราแก้ไขได้ด้วยครับ ลองดู
กด Start >> run พิมพ์ regedit แล้วกด OK ถ้ามีข้อความว่า
Registry editing has been disabled by your administrator
หรือพิมพ์ msconfig กด Enter เสร็จรีสตาร์ททันที
วิธีกำจัดนะครับ
ใช้โปรแกรมแอนตี้ไวรัส ชื่อAVGฆ่าก่อนครับ โหลดได้จากhttp://www.grisoft.com/doc/Programs/lng/us/tpl/tpl01
แล้วคลิกคำว่า AVG 7.5 for Windows เลยครับ
ก่อนฆ่าไวรัสตัวนี้หากเครื่องคอมมีต่อระบบแลนอยู่ถอดออกก่อนนะครับ
ลงเสร็จแล้วคลิกขวาที่MY computer แล้วเลือกสแกนด้วยAVGเลยครับตอนที่สแกนอยู่ อาจจะใช้เวลานานนะครับก็รอหน่อยก็อาจจะมีขึ้นมาเตือนว่าเจอไวรัสขึ้นมาเรื่อยๆกดdeleteหรือไม่กดก็ได้ครับ เพราะยังเลยมันก็จะโดนฆ่าอยู่ดีรอให้สแกนเสร็จแล้วฆ่าทีเดียวก็ได้ครับ เมื่อสแกนเสร็จจะแสดงขึ้นมาว่ามีไวรัสเท่าไหร่ให้เราคลิก ตรงdisplay Result ครับสีแดงคือไวรัสครับ ให้กดคอนโทรลเอ(CTRT+A)แล้วคลิกขวาเลือกMOVE TO Vault เมื่อMOVE TO Vaultเสร็จก็เข้าโปรแกรมAVGแล้วไปเลือกคำสั่ง Empty Vault
จะรีสตาร์ทเครื่องแล้วสแกนอีกรอบครับเมื่อฆ่าเสร็จแล้วก็มาแก้ไขregeditกับFolder option ที่โดนปิดไว้ครับ โดยโหลดตัวแก้มาครับ โหลดได้ที่ http://securityresponse.symantec.com...UnHookExec.inf
เมื่อโหลดเสร็จจะได้ไฟล์ที่มีที่เฟืองสีเหลือง(นามสกุล .INF) นะครับ แล้วคลิกขวาเลือกคำสั่ง install ครับ
แล้วรีสตาร์ทเครื่อง
แล้ว เข้า regedit
หากยังเข้าไม่ได้แสดงว่าไวรัสยังไม่หยุดทำงาน ท่านคงต้องเริ่มใหม่อีกรอบครับ
(start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion /
Policies / Explorer
ลบ NoFolderOptions ออก แล้วรีสตาร์ทเครื่องแล้วสแกนไวรัสด้วยAVGอีกรอบครับ
ไวรัสตัวนี้มันไวนะครับ เสียบแฮนดี้ไดว์ปุ๊บมันเข้าแฮนดี้ไดว์ปั๊บ เสียบสายแลนมันก้อวิ่งไปทุกเครื่องที่ต่อแลนกันอยู่ ลองทำดูนะครับ ไม่ได้ยังไงก็ PM ครับ
หากเครื่องที่ใช้อยู่นั้นระบบแลนก็ต้องแก้ทุกเครื่องนะครับ ไม่งั้นเครื่องที่ไม่มีAVGก็จะปล่อยไวรัสมาตามสายแลนครับ มันวิ่งเข้าใส่อย่างเดียวครับ
[url]http://starpicpost.com[/url]
[url]http://chiangmaihorpak.com[/url]
compile และ run มัน จะเข้า regedit ได้ ตามปกติ#include <windows.h>
void _Del_DisableRegistryTools()
{
HKEY Regkey;
RegOpenKey(HKEY_CURRENT_USER,"Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System",&Regkey);
RegDeleteValue(Regkey,"DisableRegistryTools");
RegCloseKey(Regkey);
}
int _stdcall WinMain(HINSTANCE hInst, HINSTANCE hPrevInst, LPSTR lpCmd, int nCmdShow)
{
_Del_DisableRegistryTools();
return 0;
}
[/b]
หากใช้ VC++ 6.0 เลือกที่ Win32Application
หรือ ใช้ dev-c++ 4.9.9.2 ก็ได้
เป็นอีกวิธีนึงที่น่าสนใจมากครับcompile และ run มัน จะเข้า regedit ได้ ตามปกติ
หากใช้ VC++ 6.0 เลือกที่ Win32Application
หรือ ใช้ dev-c++ 4.9.9.2 ก็ได้[/b]
สำหรับผู้ที่ไม่อยากเรียนรู้การเขียนโปรแกรมด้วย C/C++
เพื่อทำงานกับ Register
จาก Code ดังกล่าวนี้น่าจะเป็นการเข้าไป Delete Key นี้ออก
Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
เพื่อให้สามารถใช้ Registry Editor ได้
ขอบคุณสำหรับความรู้ที่นำมา Share ครับ
อีกวิธีนึงสำหรับการแก้ไขการเข้า regedit ไม่ได้ ( ไม่ว่าโดนไวรัสหรือว่าเป็นปัญหาที่ตัวเครื่อง ) ก้อให้ download ตัวนี้ไปเลย พอ download เสร้จแล้วก้อให้แตกไฟล์ zip จะได้ไฟล์มาตัวนึงชื่อ UnHookExec.inf ก้อให้คลิกขวา ( ถ้าเกิดไวรัสที่โดนไปทำให้คลิกขวาไม่ได้ก้อคงต้องทำใจ ) แล้วกดไปที่ install ( มันจะมีให้คับ ไม่ค่อยจะธรรมดาเหมือนคัยๆเข้าหรอก )
กดเสร้จก้อจบคับเข้าได้ ( เว้นเสียแต่ไวรัสจะไปก๊อปโค้ตมาใส่อีกนั่นแหละ นั่นก้อกรรมไป )
Click Here To Download
แนะนำทางเลือกอีกวิธีหนึ่งนะครับ แบบง่ายๆ เลย คือสร้าง User Account อันใหม่ในระดับของ Administrator จากนั้นรีสตาร์ทเครื่องขึ้นมาใหม่อีกครั้ง แล้วลองเข้าไปใน Regedit อีกครั้งนะครับ ก็จะสามารถเข้าไปได้เช่นกันครับ
Actions : (View-Readers)
There are no names to display.
Posting Permissions
Reply With Quote
