มาละครับ วิธีบ้านๆ
ถ้าจำไม่ผิด ตัวไวรัสตัวนี้จะทำการปิด ไม่ให้ทำการแก้ไข Registry
ดังนั้น ต้องทำการ ปรับค่าคืนก่อน
ไฟล์มันเล็ก upload เสียเวลา เอาเป็น copy file เอาแล้วกันนะครับ
***เตรียมไฟล์ ifUnCelan.inf โดย copy code ด้านล่างครับ
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0 เปิด notepad แล้ว copy ไปวางเซฟเป็นชื่อ ifUnCelan.inf (ปรับเป็น all file ด้วย เพราะนามสกุลจะเป็น .inf.txt)
และอีกไฟล์ คือ Regfix22.regWindows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD" =dword:00000000
"DisableTaskMgr" =dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" =dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" =dword:00000001
"HideFileExt" =dword:00000000
"ShowSuperHidden" =dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD" =dword:00000000
"DisableTaskMgr" =dword:00000000
เปิด notepad แล้ว copy ไปวางเซฟเป็นชื่อ Regfix22.reg
จากนั้นลองหา download procexp.exe
(
http://download.sysinternals.com/Files/ProcessExplorer.zip)
และ
http://download.hijackthis.eu/HJTInstall.exeเตรียมเครื่องมือพร้อมแล้ว
เยอะไปหน่อย
ทำตามด้านล่างครับเตรียมไว้ให้แล้ว
1> คลิกขวาที่ไฟล์ ifUnClean.inf เลือก install - เพื่อแก้ให้สามารถ แก้ไข Registry
1.1> ดับเบิ้ลคลิกที่ไฟล์ Clean.reg - เพื่อแก้ไข Registry ให้สามารถปรับแก้ได้
2> รัน procexp.exe เพื่อ Kill Process - SCVHSOT.exe >> สังเหตุที่ Descriotion จะขึ้น Nhatquanghlan
ให้ทำการคลิกขวาแล้ว Kill Process - Del (จะมีประมาณ 2-4 ตัว)
3> เรียกใช้โปรแกรม HijackThis.exe
4> เมื่อเปิดโปรแกรม HijackThis แล้ว คลิกที่ Do a System Scan and save logfile
โปรแกรมจะ Scan เครื่องแล้วจะมี Logfile เด้งขึ้นมา ปิดไปก่อนได้เลย >>>> (อ่านเพิ่มต่อต่อที่เสริม 1)
เมื่อ ปิด logfile ไปแล้วให้มองหา บรรทัดที่ลงท้ายด้วย
scvhsot.exe
จะมีอยู่ 2 ตัว คือหมวด F2 และ O4 [yahoo] - เช็คถูกด้านหน้าแล้ว กดคลิก Fix Checked เพื่อลบทิ้ง
ปิดโปรแกรม HijackThis
5> Click Start > Run > พิมพ์ cmd
6> พิมพ์ cd \windows
7> พิมพ์ dir /ah
ค้นหาไฟล์ที่ซ่อนไว้ scvhsot.exe , hinhem.scr , blastclnnn.exe และ nhatquanglan (ดูนามสกุล exe)
8> แปลงให้สามารถลบไฟล์ได้ด้วยคำสั่ง attrib ชื่อไฟล์ -h -s -r
ตัวอย่าง : attrib scvhsot.exe -h -s -r
และ พิมพ์ del ชื่อไฟล์ เพื่อลบไฟล์ไวรัส
ตัวอย่าง : del scvhsot.exe
9> ทำซ้ำ ในข้อ 6 ที่ Folder C:\windows\system32 และ ใน flashdrive ท่าน
!!!!!!!!!!!!!!!!!!!! อย่าทำการดับเบิ้ลคลิก หรือ Open !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!! ให้เลือก Explore เท่านั้น เพื่อป้องกันไวรัสทำงาน !!!!!!!!!!!!!!!!!!!!
10> ทำการลบไฟล์ exe ที่ไวรัสจำลองไว้ ด้วยการ Search ค้นหาไฟล์
โดยระบุเป็น *.exe
ขนาด Specify size > at most : 246 หรือ 241 247 (ลองดูจากขนาดไฟล์ไวรัส ตอน search .exe)
เลือก Option Advance > Search Hidden File and Folders โดยการเช็คถูก
จากนั้น กด Search เมื่อเสร็จแล้ว ทำการคลิกที่ช่อง Size > เพื่อปรับให้ เรียงขนาดสูงไปหาต่ำ
ทำการลบชื่อไฟล์ที่ไวรัสจำลองด้วยการ กด Shift + Delete
Scan ทุกไดร์ ครับผม
==========================================================================================
เสริม
จากข้อ 4 ที่ค้างไว้ Log File ที่เด้งขึ้นหลังจากที่ คลิกที่ Do a System Scan and save logfile
เพื่อ Scan Registry
เปิดเว็บ
www.hijackthis.deตรงกลางเว็บจะมีช่องใหญ่ๆ ให้เรา copy Log File ทั้งหมดไปวางในช่องนั้น
จากนั้นคลิก Analyze เว็บจะแสดง รายละเอียดแต่ละ File สังเกตุ รูปกากบาทสีแดง
คือไฟล์ที่อาจมีผลกระทบต่อเครื่องครับ
นี่คือวิธีบ้านๆ ผมเคยอธิบายไว้ให้น้อง ครับ
ถ้ามีวิธีที่ง่ายกว่าก็คงดี จะได้ง่ายครับผม