ติดไวรัส Worm.Win32.Mobler.a W32/Backdoor.NWK Type Worm (คิดว่าใช่มันน่ะ)
ลักษณะอาการ
ไม่สามารถ เข้าStart>run>cmd ได้ เข้าแล้วมันบอกว่า ไม่พบFileตัวนี้
ไม่ใช่แค่ cmd แต่ regedit และ msconfig ก็ไม่ได้
และเจอ ไฟล์ cmd.exe.exe รันขณะขึ้น windows
เข้า safe mode ได้ แต่ไม่สามารถ หยุดการทำงานมันได
Folder Options และ Task Manager หาย
เป็นโน๊ตบุ๊กยังอยู่ในประกันเลยถอด HD ไม่ได้ และมีโปรแกรมสำคัญ ไม่สามารถ Format ได้
เลยต้องการขอตัวแก้
ขอบคุณล่วงหน้า
โอ้! มันตัดอะไรที่จำเป็นออกหมดเลยเหรอครับ
เครื่องไม่มีโปรแกรมสแกนไวรัสเหรอครับ
ลอง ลงแคสเปอร์สกาย แล้วสแกนดูได้ใหมครับ
แล้วค่อยรีสตอ ที่หลังครับ
ส่วนใหญ่พวกนี้ต้องลอง combo fix หรือพวก fix โดยต้องเข้าไป fix เป็นแบบ safe mode ครับ
ผมเจอมันปิดการทำงานพวกนี้ โปรแกรม FIX พวกนี้ช่วยได้ครับ แล้วลองหาโปรแกรมสเกนไวรัส แนะนำ ESET Smart Security หรือ kaspersky ก็ได้ครับ
[b][SIZE=2]<div align="center">สวัสดีครับผม TITIS เนมซ์ Hackshield
ตัวแทน Thaiauhack ผู้จัดทำโปรแกรมช่วยเหลือการเล่นเกมออดิชั่น
ที่ใหญ่และฟรีที่สุดในประเทศไทย ผมขอน้อมรับทำตามกฏระเบียบ
อย่างเคร่งครัดและ จะนำความรู้ที่ได้ไปพัฒนาในทางที่ถูกต้องครับ
ศิตย์น้อยขอคาระวะ
TITIS-HACKSHIELD
Thaiauhack Admin Board</div>[/b][/SIZE]
ลองดูตัวนี้ครับ มันจะลิสต์ register บางตัวออกมา เช่น เข้า regedit ไม่ได้ , เข้า folder option ไม่ได้
ซี่งโกรแกรมนี้จะทำให้ดราเข้าไปแก้มันได้ง่ายขึ้น
ชื่อของมันคีอ rrt (Remove Ristrictions Tool)
Requirements:
น่าจะติดไวรัส flashy.exe นะครับดูจากอาการแล้ว
ไวรัส flashy.exe กำลังระบาดในหมู่ผู้ใช้ Flash Drive โดย...ไวรัส Flashy.exe จะติดตั้งตัวเองลงใน Removable Drive (flash drive) ทุกตัวที่ใช้งานกับเครื่องคอมพิวเตอร์ที่ติดไวรัส Flashy.exe อยู่แล้ว ........ ไวรัส Flashy จะติดตั้งตนเอง (Flashy.exe)และสร้าง file Autorun.inf เพิ่มเข้าไปใน flash drive พร้อมกันนั้นจะทำการค้นหา Folder ทั้งหมดที่มีอยู่ใน Flash drive แล้วทำการซ่อนไม่ให้ผู้ใช้สามารถมองเห็น Folder ทั้งหมดที่เคยมีอยู่ได้ แล้วจำลองตัวเอง (Flashy.exe) โดยเปลี่ยนชื่อจาก Flashy.exe ให้เป็นชื่อ Folder เดิมที่มีอยู่ใน Flash drive โดยใช้ Icon เป็นรูป Folder
อาการที่พบเมื่อติด ไวรัส flashy.exe
* ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
* เครื่องคอมพิวเตอร์จะถูกกำหนดให้มีการตั้งรหัสผ่านสำหรับ Admin ทันที ทำให้เราเข้าเครื่องฯไม่ได้ เพราะไม่ทราบรหัสผ่าน
* Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
* หากว่า ใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
* จะ มีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
* Double Click เพื่อเข้า folder ใน Flash drive ไม่ได้ (เนื่องจากมันไม่ใช่ Folder มันคือ ไวรัส Flashy)
* Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย แต่ใช้ Flash Drive เป็นพาหะแทน
การติดต่อ จาก Flash drive สู่ เครื่อง
ทันที ที่เสียบ Removable Drive(flash drive) เข้ากับเครื่อง ระบบมองหาคำสั่งใน Autorun.inf ซึ่งถูกกำหนดให้เรียกใช้โปรแกรม Flashy.exe ใน
Removable Driveนั้นเมื่อ Flashy.exe ทำงานก็หมายความว่าเครื่องได้ติดไวรัสแล้ว
หรือ หาก Autorun.inf ไม่ทำงาน Flashy ก็ยังมีแผนสองรับมือ คือ Flashy ที่รูป icon เป็นรูป folder และมีชื่อเดียวกับ Folder เดิมที่มีอยู่ เมื่อผู้ใช้พยายาม Double Click ที่รูป Folder ก็จะเป็นการทำให้ Flashy สามารถทำงานได้
เมื่อ Flashy.exe ทำงาน มันจะติดตั้งตัวเองไปใน %system root%\system32\ เรียก Flashy.exe ขึ้นมาทำงานทุกครั้งที่ windows ทำงาน และ แก้ไขระบบไม่ให้สามารถเข้าถึง flashy.exe ได้โดย
1. ปิด Folder options เพื่อไม่ให้เห็น Folder และ Files ที่ถูกซ่อนไว้
2. ไม่ให้ใช้ Task manager เพื่อหยุดการทำงานของ Flashy.exe
สำหรับ Flashy.exe บางรุ่น จะติดตั้งไฟล์ชื่อ Systemid.pif ไว้ที่ Start --> All Programs --> Startup เพื่อเปลี่นรหัสผ่าน ของ Administrator ให้เป็น hacked เพื่อป้องกันผู้ใช้ไม่ให้เข้าไปแก้ขะบบได้
วิธีกำจัดไวรัส Flashy.exe
+ Login เข้าเครื่องคอมพิวเตอร์ ด้วยสิทธิ์ Administrator ถ้าไม่สามารถใช้รหัสผ่านเดิมได้ หรือไม่เคยตั้งรหัสผ่านไว้แล้วเครื่องถามหา ให้ใส่รหัสผ่านว่า hacked
+ ไป ที่ Start --> All Programs --> Startup หากพบ Files ที่ชื่อ Systemid.pif (ตัวไวรัสที่เปลี่ยนรหัสผ่าน ของ Administrator ให้เป็น hacked ) ให้ลบทิ้ง เพื่อไม่ให้รหัสผ่านถูกเปลี่ยนอีก
+ ใช้โปรแกรม Flashy-fix.exe เพื่อกำจัดไวรัส Flashy ที่ทำงานและผังตัวอยู่ในเครื่อง
+ ใช้ โปรแกรม NOD32 Registry Recovery.exe เพื่อกู้คืนค่าของระบบที่ไวรัส Flashy เข้ามาแก้ไขไว้ เช่น Folder options หายไป,เรียก Task manager ไม่ได้
+ Restart เครื่องเพื่อให้ระบบกลับมาทำงานอย่างปกติ
Note: โปรแกรม Flashy-fix.exe,NOD32 Registry Recovery.exe สามารถหา Download ได้จาก
http://www.nod32th.com/component/option,co...id,290/lang,en/
ถ้าเป็นผมน่าจะลองเข้า Safe mode แล้วลอง restore ดูก่อนครับไม่รู้จะได้ผลมั๊ย แต่ปกติถ้าติด virus น่าจะเข้า safe mode แล้ว ใช้ program antivirus scan virus ดูครับ
[URL=http://wiz.wimutti.net]ลองศึกษาธรรมะดูบ้างท่านอาจจะพ้นทุกข์[/URL]
ลองดูตัวนี้นะครับเพราะว่าผมเคยใช้ทำการRepair เครื่องให้กับลูกค้าครับ
วิธีใช้
1.คุณต้องมีWinrar vไหนก็ได้ครับ
2.บู๊ตเครื่อง เข้า Safe Mode
3.ทำการแตกไฟล์ Sdfix
4.เปิดไฟล์ชื่อ Runthis.bat
5.กด Y แล้ว Enter
6.รอครบ100%
7.เมื่อเสร็จแล้วกดปุ่มใดๆ
8.เครื่องจะรีสตาร์ทแล้ว ไดร์ฟ C ของคุณ จะมีรีจิสตรีและสคริปต่างๆ เป็นปกติครับ
ลองใช้ดูครับ
ขอให้เครื่องปลอดไวรัสและโทรจันครับ
อันนี้คือวิธีฆ่าเลยนะครับ
http://gotoknow.org/blog/d-solate/63941
พอดีไปเจอมา
แนะนำโปรแกรม Hijackthis คับ
ให้เราทำการโหลดโปรแกรม Hijackthis จาก http://download.hijackthis.eu/HJTInstall.exe
จากนั้น ลงแล้วทำการ Scan แล้วเก็บ Log จากนั้น ให้เข้าเวป www.hijackthis.de
แล้วนำ Log File มา Analyze
จากนั้น ดู ระดับความปลอดภัยของ Process นั้นๆ หากเป้นไวรัสจะเป้นกากบาท สีแดง (แต่ไม่ใช้ทุกตัวเสมอไปนะคับ)
สมมุติ มันโปรแกรม ชื่อ SCCVIHOST.EXE รันอยู่ที่ C:\windows\system32\SCCVIHOST.EXE
แสดงว่า เราติดไวรัส SCCVIHOST
จากนั้นให้เข้า Google แล้ว Search หาวิธีกำจัดไวรัสตัวนี้ครับ เช่น วิธีแก้ไวรัส SCCVIHOST.EXE เป้นต้นครับ
Actions : (View-Readers)
There are no names to display.
Posting Permissions
Reply With Quote