1

สารบัญ

หนา

1 . ไวรัสคลิป VDO / วิธีกําจัด 2-4

2. ไวรัส flashy.exe / วิธีกําจัด 5-6

3. วิธีกําจัดเจา Folder.htt ใหอยูหมัด 7-11

4. เมื่อ Thumdrive / Handy Drive ติด Auto Run 12

5. วิธีแกไวรัส Hacked By Godzilla Hacked By Godzilla 13-14 6. การกําจัดไวรัสหนาจอภาษาจีน 14-20

7. การแกไขไวรัส BRONTOK.A (จอเขียว ) 20-22

***********

2

วิธีลบ ไวรัสคลิป VDO

1. ใหคลิกขวาตรงพื้นที่วางของ TaskBar 2. จากนั้นเลือกที่ Task Manager

3. เลือกที่ Tab Processes แลวหาไฟลที่ช่ือวา soundmsg.exe

3

4. เมื่อเจอแลวคลิกที่ช่ือไฟล แลวกด End Process แลวกด Yes

5. จากนั้นไปที่ MyComputer ไปที่ Driv C ไปที่ โฟลเดอร Windows แลวไปที่ โฟลเดอร System32

4

6. จากนั้น หาไฟลที่ช่ือ sondmsg.exe (ดังรูป)

7. จากนั้นใหทําการลบไฟลน้ัน โดยตอนลบให กด ปุม Shift คางไว แลว คล้ิก Delete

8. จากนั้นเราก็ไปลบ ไปที่ช่ือ คลิป VDO ได โดยมันไมกลับมาอีกครับ

สวนใหญแลว คลิป VDO จะติดจากการใชแฮนด้ีไดร แลว Double Clik ไวรัสจะเขาไปติดในระบบฯ ทันที จะแพรกระจาย อยางรวดเร็ว จากการ ถูก double Clik จากเครื่องสูเครื่อง หรือเห็นเปนfolder คลิปvdo อดไมไดตองเปดดู อยางนี้ติดลูกเดียวครับ ตองเปลี่ยนพฤติกรรม การใชงาน เวลาใช แฮนดี้ไดร จะตองคลิ๊กขวา แลวOpen file จะปลอดภัยขึ้น แตพอเราใชวิธีการนี้ พวกเขียนไวรัส ก็พัฒนารูปแบบอีกไมใชใชคําสั่งคลิ๊กขวา โดยดึงคําสั่ง AutoRun มาใชเขียนโคดทําไวรัส และแพรไวรัส อีกรปูแบบหนึ่ง และหนักขอขึ้นเมื่อไปเขียนโคดไมให เขาไปใชระบบในเครือ่งได กลายพันธุเปน ไวรัส flashy.exe

( พ่ีๆ เขาเครื่องไมได มันติดพาสเวริส…) ลืมมั้ง ??????? ไมชาย…………??????

บางทานไมรู ถึงขนาดตองลงเครื่องใหมหมดเลย แยมากๆๆๆๆๆๆๆๆ

5

ไวรัส flashy.exe / วิธีกําจัด

อาการเบื้องตนของเครือ่งทีต่ิดไวรสั flashy.exe

• ไมสามารถเรยีกใช Task Manager, Registry Editor และFolder Option ได ไมวาจะเรียกดวยวิธีใด

• เครื่องคอมพิวเตอรจะถูกกําหนดใหมีการตั้งรหัสผานสําหรับ Admin ทันที ทําใหเราเขาเครื่องฯไมได เพราะไมทราบรหัสผาน

• Flashy.exe จะทําการแกรหัสของเราใหม ทําใหไมสามารถ Login เขาเครื่องของเราไดอีกเลย

• เมื่อมีการ plug in Flash Drive หรือ Memory Card เขาไปใน Card Reader แลว หากวา ใน Memory Card น้ันมี Folder อยู Folder เหลาน้ันจะถูกเปล่ียนใหไปอยูใน สถานะ Hidden ทําใหเราไมสามารถมองเห็น Folder เหลาน้ันได

• ฯลฯ

วิธีกําจัดไวรัส flashy.exe

ขั้นตอนตางๆ ตองทํา ใน Safe mode ครับ ถึงจะไดผล

1. ถาเครื่องที่มีอาการหนักจะถูกตั้งรหัสผาน Administrator เอาไว ใหทําการแกไขโดยพิมพ คําวา hacked เปนรหัสผาน ซึ่งหากไมรูวิธีแกปญหาโดยการติดตั้ง Windows ใหมอยางเดียว

2. เมื่อเราเขาวินโดวไดแลวใหเราหยุดการทํางานของมันกอน โดยกด Ctrl+Alt+Delete จะเขาสู Windows task Manager แลวเลือกคลิก Flashy.exe แลวคลิก End Process ตรงมุมขวาดานลาง

3. กรณีถาเขา Windows Task Manager ไมได (ถาเขาไดใหขามไปขอ 6) ใหเราเขาไปแกใน registy แตไวรัสยังปดการเขาใชงาน Registry เอาไวอีก ใหใชตัว Unhookexec.inf ปลดล็อคกอน โดยดาวนโหลดไดจากหนาเว็บ http://www.kku.ac.th/data/services/it/UnHookExec.inf เมื่อโหลดมาแลวก็คลิกขวา แลวเลือก Install แตถาเครื่องไหนที่ติดไวรัส หนาจอภาษาจีนดวยตอง ฆากอนนะครับไมอยางนั้น จะใช UnHookExec.inf ไมไดผล

4. จากนั้นก็จะเขาใชงานสวน Registry ไดครับ เมื่อเขาไดแลวก็ไปทําการ แกไข Registry ใหเครื่องใชงาน Task Manager ไดครับ โดย ไปที่ Start--->Run พิมพ regedit กด OK แลวเขาไปลบคียตามน้ีครับ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system แลวก็ลบ DisableRedistryTools และ DisableTaskMgr ออกครับ

5. เมื่อลบออกไดแลวก็ไปทําตาม ขอ 2 ครับ

6

6. แลวตอนนี้มันก็หยุดการทํางานแลวครับ ตอไปเราตองเขา regedit แลว ไปที่ Start--->Run พิมพ regedit แลวเขาไปลบคียตามน้ีครับ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ลบ NoFolderOptions HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ลบ HideFileExt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ ลบ Start HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ ลบ Flashy.exe จากนั้นคลิก Start\Programs\Startup\ ลบ SystemID.pif จากนั้นคลิก Start--->Run พิมพ msconfig ไปที่แถบ startup ยกเลิกติ๊กถูกหนา systemID รีสตารทเครื่องใหม แลวลองกด Ctrl+Alt+Delete ดูวา Flashy.exe ยังมีการทํางานอีกหรือไม ถาไมมีแสดงวาเรียบรอยแลว

ตอไปการแกไขสวนที่ไวรัสสราง ใหเราตองใสรหัสทุกครั้ง เวลาจะเปดเครื่อง

คลิก Start\Control panel\User accounts เลือก User แรก (Administrator) จะสังเกตุเห็นวามีขอความแสดงวา มีการใชรหัสผานปองกันอยู ใหคลิกที่ User แรก (Administrator) แลวเลือก หัวขอ Change a password พิมพรหสัผาน Hacked ในชองแรก ( ชองรหัสผานเดิม) ชองที่เหลือเวนวางไว ยืนยันการเปลี่ยนรหัสผาน แลวลองรีสตารทเครื่องใหม

หรือ

เขา Run พิมพ regedit แลวไปตามนี้ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] แกสตริงคียตามน้ีครับหากไมมีก็คลิกขาวเลือก New-->String value ตามน้ีครับ "AutoAdminLogon"="1" "DefaultUserName"=" ช่ือผูใช" "DefaultPassword"hacked"

** หลังจากทําตามขั้นตอนเสร็จหมดแลวใหไปลบตัวไวรัสช่ือ Flashy.exe ใน C:\WINDOWS\system32 ตองเปด Show hidden File กอนถึงจะเห็น**

เม่ือแกไขเสร็จ ก็อยาลืมไป จัดการไปปด Show hidden File ดวย เดี๋ยวจะไปลบหรือคล๊ิกใชงานไฟล ระบบท่ีสําคัญๆ เสีย คราวน้ี จะไดลงระบบปฎิบัติการใหมจริงๆ

7

วธิกีาํจดัเจา Folder.htt ใหอยูหมดั

จริง ๆ ไฟล Folder.htt เปนไฟลที่สวนใหญ Windows สรางข้ึนเอง มักจะสรางคูกับไฟล Destop.ini เพ่ือเก็บรายละเอียดของการเปลี่ยนแปลงโฟลเดอร แตถามันสรางมามากจนทาํใหเครื่องชาลง และเวลาหรือทําอะไรเกีย่วกับไฟลมันกลับมจีํานวนเพิ่มข้ึนมาเรื่อย ๆ ก็แสดงวาเครื่องคุณติดไวรัสที่ช่ือวา VBS/Redlof@M แตความรุนแรงไมมาก เพราะมันไมทําอันตรายใด ๆ กับไฟลของเรา แตมันจะเพิ่มจํานวนไฟล Folder.htt ข้ึนเรื่อย ๆ จนกลายเปนไฟลขยะและทําใหเครื่องชาลงในที่สุด สําหรับไวรัสจรงิ ๆ จะมีช่ือวา KERNEL.DLL ซึ่งคลายกับไฟล KERNEL32.DLL โดยไวรัสตัวนี้จะฝงตั6วเองอยูที่ C:\WINDOWS\SYSTEM\Kernel.dll และจะสั่งรันตัวเองอัตโนมัติจาก HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ และ Run\Kernel32=C:\WINDOWS\SYSTEM\Kernel.dll สวนการกําจัดไวรัสตัวนี้ทําไดโดยการอัพเดตขอมูลไวรัส จากนั้นลบไฟล KERNEL.DLL ใน C:\WINDOWS\SYSTEM\Kernel.dll ทิ้ง (ยํานะครับวาช่ือ KERNEL.DLL ไมใช KERNEL32.DLL) หลังจากนั้นใหคนหา Folder.htt ในเครื่องแลวลบทิ้งใหหมด (ใชวิธี Search หา จะงายที่สุด โดยไปที่ Start > Search > For Files ot Folder โดย Search คําวา *.htt) จากนั้นใหสแกนไวรัสแบบทุกไฟลทั้งหมดในเครื่องอีกครั้ง

ปญหาที่ทําใหเครื่องคอมฯ ทํางานชากวาผิดปกติ อาจจะเกิดจาก ไวรัสที่ช่ือวา Folder.htt และ Desktop.ini

1. วิธีการตรวจสอบวามีไวรัส ดังกลาวหรือไม ทําไดโดยการกําหนดใหแสดง file ที่ซอนอยู ดังรูป

8

2. เมื่อแสดง file ที่ซอนแลว ใหทําการคนหา File ที่ช่ือ folder.htt,desktop.ini ดังรูป

9

3. ถาในเครื่องมี ไวรัส กแ็สดง file ที่ช่ือ folder.htt แตถาไมมี จะแสดง เฉพาะ file ที่ช่ือ Desktop.ini สรุปแลวก็คือ ถาคนหาพบ file ที่ช่ือ folder.htt แสดงวาเครื่องน้ันมี ไวรัส

วิธีการฆาไวรสั Folder.htt และ Desktop.ini

1. ใหลบ File ที่ช่ือ Folder.htt และ Desktop.ini ใหหมด วิธีการลบคือ เลือไฟลที่คนพบทั้งหมดแลว กดปุม Shift แลวตามดวยปุม Delete แลวลองคนหาดูอีกครั้งหนึ่ง

2. ขั้นตอนตอมาหลังจากไมมี ไฟล Folder.htt และ Desktop.ini ใหคนหา ไฟลที่ช่ือ default.htt คุณจะพบ 1 ไฟล แลวใหคลิกขวาที่ ไฟล default.htt เลือก Open with...

10

แลว จะมีรายการ โปรแกรมมาใหเลือก ใหคุณเลือกที่โปรแกรม Nodepad พอเปดโปรแกรม Nodepad แลว คุณจะพบกับตัวหนังสือที่เปน HTML ใหลบตัวหนังสือที่อยูใน ไฟลที่เปดขึ้นมาออก

ใหหมด แลวทําการ Save ขอมูล แลวก็ปด ไฟลน้ีไปครับ

11

3. ขั้นตอนสุดทาย ใหทําการ Shut down... เครื่องของคุณ อีก 15 วินาที คอยเปดเครื่องขึ้นมาใหม เทาน้ีก็จะทําใหเครื่องของคุณเร็วขึ้นตามปกติแลวครับ

12

เมื่อ Thumdrive / Handy Drive ติด Auto Run เปดไฟลไมได /วิธีกําจัด

1. เสียบ Thumdrive หาม double clik เด็ดขาด 2. My computer เลือก tools

3. 4. กดเลือก show hidden files and folders เพื่อใช view ดูไวรัสที่ซอนไวในตัว Thumdrive

5. คลิ๊กขวา Thumdrive แลว ลบไฟล AutoRun ที่ซอนจางๆอยูมี 6 ไฟล 6. เสร็จแลว รีบดึง Thumdrive ออก แลว เสียบใหม ก็ใชงานไดปกติครบั

ตอนนี้ไวรัสกําลังแพรกระจาย กัน ผานทาง Thumdrive และจาก อินเตอรเน็ท ขอใหทุกคนระมัดระวัง การใช Thumdrive และ อินเตอรเน็ท กับเครื่องที่ไมมีการ อัพเดท ฐานขอมูล ไวรัส อาการ ของเครื่องทึ่คาดวาจะติด ไวรสัตัวน้ีคือ จะ ดับเบิลคลิก Drive ที่เปน Thumdrive หรือ Drive C,D ที่เก็บขอมูลของเราไมได สวนอีกตวัน่ึงที่กําลัง แพรกระจาย ทาง อินเตอรเน็ท ก็คือ Hacked_By_Godzilla อาการของเครื่องที่คาดวาจะติดไวรัสตัวน้ีคือ ที่แถบสีนํ้าเงินบนหนาตางขาอง I E จะขึ้น วา Hacked By Godzilla ลองดูในเนื้อหาและวิธีการแกไขนะครับ

เบื่องตน ถาจะใชขอมุล ให ใชคลิกขวาที่ Drive ที่ตองการแลวเลือก Open แทนการ ดับเบิลคลิก

หากใครลบไวรัสหมดแลวยัง Double click ไมได ใหไป click ขวา ที่ My computer เลือก Properties เลือก Hard ware เลือก Device Manager ไปที่ Disk drives แลว click ขวาที่ช่ือยี่หอของ Handy เรา เลือก Disable ตอบ yes แลวมันอาจจะถามวาจะ restart เครื่องไหม ใหเราเลือกตอบ NO เสร็จแลว click ขวา อีกรอบเลือก Enable มันอาจจะถามวาจะ restart เครื่องไหม ใหเลือก No ลูกเดียว แคนี้ก็จะ Double click เขา Handy ไดแลว (มีขอแมวาตอง ลบไฟลไวรัส กะ autorun.inf ออกหมดแลวนะ) **** หาก Hidden ออก แลวไมเห็น ไฟล autorun.inf ใหลองสราง autorun.inf เอง ไมตองใส Code ก็ได แลวลอง Copy ไปทับ ใน Handy Drive เราดู หากมันบอกวามีไฟลนี้อยูแลวตองการวางทับไหม ก็ทับเลย แตถามันไมถามแสดงวามันไมมี ปลอดภัยแลว

13

วิธีแกไวรัส Hacked By Godzilla Hacked By Godzilla เปนไวรัสตัวใหมที่กําลังระบาดอยู จัดเปน spyware ที่กอกวนการทํางานมากกวาจะทําลายขอมูล โดยจะเปนการติดผาน Handy Drive และ Floppy Disk เทานั้น ลักษณะอาการ 1.เครื่องจะไมสามารถ Double Click เปดไดรฟตางๆได แตจะคลิกเมาสขวาเพื่อเปดไดรฟโดยเลือกเมนู Open หรือExplore 2.มีขอความปรากฏบน Title Bar ของ Internet Explorer วา “Hacked By Godzilla” วิธีการแกไขเมื่อติดไวรัส Godzilla 1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options 2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View 1)คลิกเลือก Show Hidden files and folders 2)เอาเครื่องหมาย / ในชองสี่เหลี่ยมหนา Hide extention… และ Hide protected operating system file ออก 3)คลิก OK 3.กดปุม Ctrl+Alt+Delete ที่คียบอรด 4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes 1)คลิกเลือกเมนู Image Name (เพื่อ sort File) 2)คลิกเลือกไฟล wscript.exe ( ทีละตัว ) 3)คลิกปุม End Process 5.เปดไดรฟ ( โดยคลิกเมาสขวาเลือก Explore หาม Double Click ไดรฟ ) ทําการลบไฟล autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดรฟที่มีอยูในเครื่องคอมพิวเตอรซึ่งรวมทั้ง Handy Drive และ Floppy disk ดวย 6.เปดโฟลเดอร C:\WINDOWS เพื่อลบไฟล MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) 7.ไปที่ปุม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพคําสั่ง regedit กดปุม OK ปรากฏไดอะล็อกบ็อก Registry Edit 8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> Current Version --> Run เพื่อลบไฟล MS32DLL (โดยการกดปุม Delete ที่คียบอรด ) 9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟลที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุม Delete ที่คียบอรด ) 10.คลิกปุม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพคําสั่ง gpedit.msc กดปุม OK ปรากฏไดอะล็อกบ็อก Group Policy 11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties 1)คลิกเลือก Enabled 2)คลิกเลือก All drives 3)คลิก OK

14

เพื่อปองกันการเปดไดรฟอัตโนมัติในกรณีท่ีนําแผนซีดี หรือ Handy Drive มาใชงานซึ่งเปนชองทางที่จะทําใหเกิดการติดไวรัสไดงายขึ้น 12.คลิกปุม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพคําสั่ง msconfig กดปุม OK ปรากฏไดอะล็อกบ็อก System Configuration Utility คลิกแท็บ Startup 1)เอาเครื่องหมาย / ในชองสี่เหลี่ยมหนาไฟล MS32DLL ออก 2)คลิกปุม Apply 3)คลิกปุม OK (หรือ Close) จะปรากฏไดอะล็อกบ็อก System Configuration เลือก Exit Without Restart 13.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options 14.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View 1)คลิก / ในชองสี่เหลี่ยมหนา Hide extention… และ Hide protected operating system file 2)คลิก OK 15. Click เมาสขวาที่ไอคอน Recycle bin เพื่อเรียก Shortcut Menu เลือกคําสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟลไวรัสออกจากเครื่องคอมพิวเตอรอีกครั้ง

************************

ตัวน้ี ถือวาเปนไวรัส ติดอันดับ ขนาดศูนยรักษาความปลอดภัยฯ เนคเทค ยังใหความสนใจ มีขอมูลและวิธีการจัดการอีกหลายวิธี แตสิ่งที่อยากรูมากกวา คือทําอยางไรไมใหติดไวรัส ดีกวา

• ตองติดตั้งโปรแกรม Anti Virus และหมั่น update • ระวังการใช Handy Drive ใชวิธีการคลิ๊กขวา เปด มากกวาจะDouble Clik • ไมเปด E-Mail ที่ไมรูจัก โดยเฉพาะแนบไฟล • หมั่น BackUp ขอมูล ที่สําคัญ เชน Tbh_bd.mdb หรือไฟลงานสวนตัวที่หายากๆ เก็บไว

• เวลา DownLoad ไฟลหรือรูปภาพ จาก web ถาไมแนใจอยาเปด ควรเช็คดวยโปรแกรม Anti Virus กอน

15

การกําจัดไวรัสหนาจอภาษาจีน/วิธีกําจัด

1. ข้ันตอนการกําจัดไวรัสหนาจอภาษาจีน เมื่อเครื่องคอมพิวเตอรของทานพบกับปญหาหนาจอขึ้นแสดงอักษรภาษาจีน ซึ่งอาจเกิดจากการติดไวรัส หรือ Spyware โดยติดมาจากการ Save ไฟลจาก Handy Drive หรือจากกรณีอื่นๆ ใหทานดําเนินการแกไขดังตอไปนี้

1. ทําการ Download โปรแกรม Security Task Manager จาก http://www.kku.ac.th/data/services/software/taskmanager16.exe 2. ทําการติดตั้งโปรแกรม Security Task Manager

16

3. เขาสูโปรแกรม Security Task Manager โดยคลิกที่ Start Program เลือก โปรแกรม Security Task ดังภาพ

4. คลิกที่ปุม Continue ดังภาพ

17

5. โปรแกรมจะแสดงรายการของ Application ที่ถูกติดตั้งลงในเครื่องคอมพิวเตอรทั้งหมด ดังภาพ

ใหคลิกเลือกไฟล ที่มีช่ือวา mslogon.exe และ systemnt.exe แลวกดปุม

6. โปรแกรมจะแสดงหนาตาง Remove ใหคลิกเลือกที่ Move file to quarantine แลวกดปุม OK ดังภาพ

18

7. โปรแกรมจะแสดงหนาตางถามผูใชวาตองการจบการทํางานของกระบวนการนี้หรือไม แลวทําการยายไปยัง quarantine folder หรือไม ใหคลิกที่ปุม OK ดังภาพ

8. หลังจากน้ันใหคลิกเลือกที่ปุม จะแสดงรายการของไฟลที่ตองการลบออกจากเครื่อง ทั้ง 2 รายการ ใหคลิกเลือกไฟลทั้ง 2 แลว กดปุม Delete ดังภาพ

19

9. โปรแกรมจะแสดงหนาตางใหยืนยันการลบขอมูล ใหคลิกที่ปุม Yes ดังภาพ

10. เมื่อทําการลบไฟลออกจากรายการทั้งหมด หนาตางของโปรแกรมจะตองไมมีรายการของไฟลใด ๆ ปรากฎ แสดงถึงการลบไฟลทั้งหมดออกจากเครื่องคอมพิวเตอร ของทานเรียบรอยแลว ดังภาพ

20

11. ทําการออกจากโปรแกรม โดยคลิกที่เมนู File => Close

.

12. ระบบจะทําการออกจากโปรแกรม ใหคลิกที่ปุม Close เปนการเสร็จขั้นตอน

หนาจอภาพ สีเขียว มีอักษร บอกวาติดไวรัส Brontok

21

การแกไขไวรัส BRONTOK.A (หนาจอเขียว มีตัวหนังสือ อานดูพอไดใจความวาเครื่องพี่ติดไวรัสแนๆ) อาการเครื่องทํางานชามาก ถาโดนไวรัส BRONTOK.A ลองใชวิธีนี้ดูนะครับ ไดผลแนนอน 1. เขา safe mode โดยกด F8 กอนเขาวินโดวแลวเลือก safe mode 2. เขา msconfig (start -> run -> msconfig -> startup) เอาเครื่องหมายถูกหนาไฟลนี้ออก - norBtok - smss - Empty 3. บูตเครื่องใหมเขาวินโดว ตอนนี้ไวรัสจะหยุดทํางานอยู 4. กอปปโคดขางลางตอไปน้ีวางใน Notepad แลวเซฟเปนนามสกุล .inf ไฟลนี้เปนการปลดล็อคเพื่อเขาไปแก Registry [Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0 จะไดไฟลที่มีนามสกุล .inf เปนรูปเฟองสีเหลือง จะเซฟเปนช่ืออะไรก็ได แลวคลิกขวาที่ไอคอนนั้น เลือกคลิกคําสั่ง install แลวรีสตารทเครื่องใหม 5.เขาไปแก Registry กด start -> run -> พิมพ regedit -> ok เขาไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer มองหาชื่อ NoFolderOptions ตรงหนาตางทางขวามือ (ชอง Name) เมื่อพบแลวคลิกขวา delete ทิ้งไป แลว log off หรือรีสตารทเครื่องอีกครั้ง 6. ดับเบิ้ลคลิกที่ My Computer -> คลิกที่ Tools -> Folder Options -> คลิกแท็บ View -> คลิกเลือก Show hidden file and folders -> คลิกเอาเครื่องหมายถูกหนา Hide extensions for known file types ออก 7. เขาไปที่ C:\Documents and Settings\ช่ือเครื่องคุณเอง\Local Settings\Application Data\

22

หากพบไฟลเหลานี้ลบท้ิงใหหมด csrss.exe inetinfo.exe lsass.exe services.exe smss.exe winlogon.exe สังเกตุไฟลเหลานี้จะเปนรูปโฟลเดอร แตมีนามสกุลเปน .EXE ลบโฟลเดอร Bron.tok-3-24 และอื่นๆ เชน Bron.tok-3-25 ถามี และลบไฟล Empty.pif A.kotnorB.com norBtok.exe 3D Animation.scr ที่นี่ดวย C:\Documents and Settings\ช่ือเครื่องคุณเอง\Start Menu\Programs\Startup\Empty.pif C:\Documents and Settings\ช่ือเครื่องคุณเอง\Templates\A.kotnorB.com C:\WINDOWS\inf\norBtok.exe C:\WINDOWS\pss\Empty.pifStartup C:\WINDOWS\system32\3D Animation.scr 8. ตามลามันตอไป กด start -> run -> พิมพ regedit -> ok เขาไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache มองหาตรงชองขวามือ (ชอง Name) ลบบรรทดันี้ C:\WINDOWS\INF\norBtok.exe ทิ้งไป หรือคลิกที่ Edit บนเมนูบารเลือก Find...(Ctrl+f) พิมพ norBtok.exe ในชอง Find what แลวคลิก Find Next ถาเจอเด็ดหัวมันใหหมด แลวกด F3 ตอไป เขาไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\ลบคียนี้ Bron-Spizaetus ทิ้งไป เขาไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\ลบคียนี้ Tok-Cirrhatus ทิ้งไป เขาไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\startupfolder\ลบคียนี้ C:^Documents and Settings^b^Start Menu^Programs^Startup^Empty.pif ทิ้งไป หรือถาจะใหโหดกวาก็ เขาไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools ลบคียนี้ MSConfig ทิ้งไปเลย 9. รีสตารทเครื่องใหม แลวเขาไปดูที่ msconfig (start -> run -> msconfig -> startup) วามันหายไปหรือยัง ถามันหายไปแลวแสดงวามันตายแนนอนถามันยังอยูกอตัวใครตัวมันหละคราวนี้++++

*****************