ไม่ทราบว่า Antivirus ตัวไหนที่กำจัดมันได้ครับ
Announcement
Collapse
No announcement yet.
เครื่องโดน svchosts.exe ครับ
Collapse
X
-
ลองดูก่อนว่ามันเป็น Network Service,system,Local Service แต่ถ้าเป็นชื่อของคอมหรือadminก็น่าจะโดน
อย่างน้อยก็ช่วย
Capture มาให้ดูหน่อยผมเองคงเดาไม่ถูก เดี๋ยวEnd Processมั่วจะรู้สึกเพราะคอมทั่วไปเขาก็มีserviceกัน
ถ้ายังจะคิดว่ามันเป็นไวรัสก็หาโปรแกรม Hijack มาลองใช้ดูไม่รับผิดชอบใดๆทั้งสิ้น
-
ลงวินเป้นไหมครับถ้าเป็นลองเอาวิธีนี้ไปลองไหมครับเพราะถ้าตัวนี้มันจะต้องลงซ่อมครับเอาื nod v3 เล่นมันก่อนเลยครับ(เปลี่ยนชื่อไวรัสเป็นตัวที่เราโดนน่ะครับ)
ctrl+alt+del แล้ว คลิก Process แล้ว มองหาคลิก wscript.exe และคลิก End Process เพื่อหยุดการทำงาน
เปิด My Computer คลิกเลือกเมนู Tools >>> Folder Options >>> View >>> คลิกถูกในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออกแล้วคลิก OK
คลิก Search >>> All files and folders >>> More advanced options >>> Search hidden files and folders คลิกในช่อง Look in : เป็น Local Hard Drives(c: , d: , e: ) และพิมพ์ Killvbs.vbs ในช่อง All or part…. คลิกปุ่ม Search เพื่อทำการค้นไฟล์ killvbs.vbs ในทุกแห่งที่มีและซ่อนตัวอยู่ เมื่อเจอแล้ว ลบทิ้งให้หมดด้วยการกดแป้น Shift + Delete
กดแป้น Logo + R พิมพ์ msconfig กด OK คลิก Start up หา killvbs.vbs เอาเครื่องหมาย / ที่อยู่
ด้านหน้าออก คลิก OK คลิก Exit without Restart
กดแป้น Logo + R พิมพ์ Regedit กด OK >>> My Computer >>> กดแป้น Ctrl + F พิมพ์ killvbs กดแป้น Enter สังเกตุข้อความทางขวาเมื่อมันเจอ หากดูแล้วมีคำว่า killvbs.vbs ต่อท้ายให้กดแป้น Delete เพื่อลบออก (เฉพาะผู้ที่มีความสามารถในการตัดสินใจว่าจะมีผลกระทบใดต่อระบบหรือไม่)
เมื่อลบจุดแรกแล้วให้กดแป้น F3 เพื่อทำการค้นหาต่อไป ทำตามข้อ 4 และ 4.1 ไปเรื่อยๆจนกว่าจะสิ้นซาก
ทำตามข้อ 2 อีกครั้งเพื่อให้มีเครื่องหมาย / หน้าข้อดังกล่าวเป็นที่เรียบร้อยแล้วก็ รีสตาร์ทเครื่อง เท่านี้ก็สิ้นซากโดยไม่ต้องไปหาโปรแกรมสแกนไวรัสให้เมื่อยตุ้มแล้วครับ ไวรัสตัวอื่นๆ ผมเองก็ใช้หลักการนี้เหมือนกันครับ หากแต่จะปรับเปลี่ยนเล็กน้อยตรงชื่อของไวรัสที่เราต้องการหาครับ ขอให้ทุกท่านโชคดีนะครับ
ตรง Killvbs.vbs เปลี่ยนชื่อไวรัสเป็นตัวที่เราโดนน่ะครับ แต่ถ้าเข้ารีจีดิสไม่ได้ก็เอาตัวนี้มาลง
Unhookexec.inf ปลดล็อคมันก่อน โหลดได้จากลิ้งนี้ครับ
http://securityresponse.symantec.com...ชคดี
อ้อลืมครับไปแก้ตรงนี้ด้วยน่ะครับHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ลบ DisableRegistryTools
DisableCMD
DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions
เครดิตhttp://gotoknow.org/blog/phandLast edited by adjunk; 11 Aug 2008, 17:24:32.
Comment
-
Originally posted by adjunk View Postลงวินเป้นไหมครับถ้าเป็นลองเอาวิธีนี้ไปลองไหมครับเพราะถ้าตัวนี้มันจะต้องลงซ่อมครับเอาื nod v3 เล่นมันก่อนเลยครับ(เปลี่ยนชื่อไวรัสเป็นตัวที่เราโดนน่ะครับ)
ctrl+alt+del แล้ว คลิก Process แล้ว มองหาคลิก wscript.exe และคลิก End Process เพื่อหยุดการทำงาน
เปิด My Computer คลิกเลือกเมนู Tools >>> Folder Options >>> View >>> คลิกถูกในช่องสี่เหลี่ยมหน้า Hide extention และ Hide protected operating system file ออกแล้วคลิก OK
คลิก Search >>> All files and folders >>> More advanced options >>> Search hidden files and folders คลิกในช่อง Look in : เป็น Local Hard Drives(c: , d: , e: ) และพิมพ์ Killvbs.vbs ในช่อง All or part . คลิกปุ่ม Search เพื่อทำการค้นไฟล์ killvbs.vbs ในทุกแห่งที่มีและซ่อนตัวอยู่ เมื่อเจอแล้ว ลบทิ้งให้หมดด้วยการกดแป้น Shift + Delete
กดแป้น Logo + R พิมพ์ msconfig กด OK คลิก Start up หา killvbs.vbs เอาเครื่องหมาย / ที่อยู่
ด้านหน้าออก คลิก OK คลิก Exit without Restart
กดแป้น Logo + R พิมพ์ Regedit กด OK >>> My Computer >>> กดแป้น Ctrl + F พิมพ์ killvbs กดแป้น Enter สังเกตุข้อความทางขวาเมื่อมันเจอ หากดูแล้วมีคำว่า killvbs.vbs ต่อท้ายให้กดแป้น Delete เพื่อลบออก (เฉพาะผู้ที่มีความสามารถในการตัดสินใจว่าจะมีผลกระทบใดต่อระบบหรือไม่)
เมื่อลบจุดแรกแล้วให้กดแป้น F3 เพื่อทำการค้นหาต่อไป ทำตามข้อ 4 และ 4.1 ไปเรื่อยๆจนกว่าจะสิ้นซาก
ทำตามข้อ 2 อีกครั้งเพื่อให้มีเครื่องหมาย / หน้าข้อดังกล่าวเป็นที่เรียบร้อยแล้วก็ รีสตาร์ทเครื่อง เท่านี้ก็สิ้นซากโดยไม่ต้องไปหาโปรแกรมสแกนไวรัสให้เมื่อยตุ้มแล้วครับ ไวรัสตัวอื่นๆ ผมเองก็ใช้หลักการนี้เหมือนกันครับ หากแต่จะปรับเปลี่ยนเล็กน้อยตรงชื่อของไวรัสที่เราต้องการหาครับ ขอให้ทุกท่านโชคดีนะครับ
ตรง Killvbs.vbs เปลี่ยนชื่อไวรัสเป็นตัวที่เราโดนน่ะครับ แต่ถ้าเข้ารีจีดิสไม่ได้ก็เอาตัวนี้มาลง
Unhookexec.inf ปลดล็อคมันก่อน โหลดได้จากลิ้งนี้ครับ
http://securityresponse.symantec.com...ชคดี
อ้อลืมครับไปแก้ตรงนี้ด้วยน่ะครับHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ลบ DisableRegistryTools
DisableCMD
DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions
เครดิตhttp://gotoknow.org/blog/phand
Comment
Comment