ไวรัสแดร๊กกก

ไปหา Nod32 Registry Recovery มาใช้ดูครับ

ปล ใช้ร่วมกับ nod32 นะครับ

หาขาด ถ้าไม่ทะลึ่งเอา แฮนดี้ไดร์ฟที่มีไวรัสมาเสียบ อีก

อาการเหมือนตัว hackby debugger เลยแฮะลองดูในเว็ปนี้แล้วแล้วเลื่อนลงมาหา
hackby debugger

http://www.free-anti-virus-spam.blog...1_archive.html


ถ้าเอาแบบดิบๆที่ผมเคยแก้ก็เปิด taskmanager ขึ้นมาแล้ว end process ตัว Wscript ที่มีทั้งหมดออกแล้วจะสั่งให้มันโชว์ hidden ได้ครับระหว่างนั้นให้ตามไปลบ file ต้องสงสัยออกซะ ส่วนใหญ๋ก็ใน drive c:/d/ในflash drive ลบพวก autorun.inf กับตัว Mskernel 32.vbs แล้วใช้ antivirus ที่อัพเดตล่าสุด scan ซ้ำอีกทีดูครับ

นี่ nod 32 regity recover ครับ
แต่ขอบอกว่าถ้าเป็นตัวเดียวกับที่ผมบอกมันไม่ได้ผลหรอกเพราะเราต้องปิด
Wscript ให้ได้ก่อนเป็นอันดับแรกมันถึงจะทำงานได้

โหลดละครับ มันkill wscriptอ่ะ แต่มันก็เป็นเหมือนเดิมอยู่อ่ะ

แล้วมันไปเป็นตัวไหนหว่า

ใช้ antivirus ยี่ห้อไหนอยู่ครับลิงเปลี่ยนยี่ห้อดูแล้วอัพเดต เลือกให้เป็นรุ่นทดลองก็ได้

ปล.ปิด system restor รึยังแล้วหลังจาก kill Wscript แล้วห้ามดับเบิ้ลคลิก drive อื่นๆเด็ดขาดนะครับจะเข้าก็พิมคำสั่ง c: / D: แทนแบบนี้ หรือคลิกขวาเลือก explorer ห้ามกด open

ลองเอานี้ไปใช้ดูครับ อะไรที่คิดว่าติดไวรัสไม่ว่าจะเป็นแฟลชไดร์ HDD เสียบไปให้หมด

http://www.uploadd.com/download.aspx...A1B9281B2BQ4N7[8JSADOD6CWMJ19
หลังใช้ตัวด้านบนสแกนแล้ว ถ้าเจอ folder เหลืองๆแปลกๆกว่าชาวบ้านให้ลบทิ้งเลยครับ อย่าไป ดับเบิลคิกมัน

เครื่องผมไม่ได้ลง antivirus สักตัวเลยครับ
ใช้ Adware 2008 pro , spybot , spyware doctor ,ardv แค่นี้ละครับ

ขยันใช้มันหน่อย เครื่องก็สบายดีครับ ถ้าเจอไวรัสจิงๆ ก็ลงantivirus ไปลงเสร็จลบทิ้งเดียวเครื่องช้า
พวก kaspersky , bitdefener

ผมใช่kaspersky7.0อ่ะคับ ลงวินใหม่ก็ให้มันshow hidden fileไม่ได้ตลอดเลยอ่ะ ลงใหม่3รอบละอ่ะ control panmelก็หาย อะไรของมันก็ไม่รู้อ่ะ ไม่ได้format hd ทั้งลูกอ่ะ

ลงใหม่ 3 รอบนี่ format drive อื่นด้วยรึเปล่าถ้าไม่ก็แบคอัพลง dvd แล้ว delete partion เลยดุดิมันจะยังอยู่ไหมแล้วระหว่างลงห้ามเสียบ flash drive หรืออะไรเด็ดขาด

ปล.ลองทำใน safemode รึยังครับไปหยุด Wscript แล้วใช้พวก antivirus+antispyware+anti rootkit อีกอันด้วยก็ได้ ถ้าไม่ได้ก็ข้างล่าง


ปล.จริงผมว่าหยุด Wscript ได้มันก็จะหยุดซ่อนแล้วนะแล้วอาการที่ว่าเปิดแล้วมันก็ปิด+control หายเนี่ยมันเหมือน hackby debugger มากจริงๆ

คำเตือน ผู้กระทำตามอย่างที่ผมแนะนำควรระมัดระวังในการใช้คำสั้งอาจจะลำบากสำหรับบาง ท่าน เพียงแต่ผมเสนอทางเลือกเท่านั้น ไม่ได้เป็นวิธีที่ดีที่สุดแต่เป็นวิธีที่ผมประสบด้วยตนเอง แล้วใช้วิธีนี้แก้ไขครับ ก็ได้ผลครับ...ไฟล์ที่เกี่ยวข้องเท่าที่เห็นก็มี 3 ไฟล์ด้วยกัน ถูกใส่ Attrib +R +H +S +A หมดทุกไฟล์

1. c:\autorun.inf และ ทุก Drive ที่เป็นไปได้ อยู่ใน root ไดเรคทรอรีส์ครับ จะเป็น Scripts เรียก c:\MSkernel32.vbs

2. ไฟล์ MSkernel32.vbs อยู่ใน ตำแหน่งต่างๆ ดังนี้
- c:\MSkernel32.vbs
- c:\Windows\MSkernel32.vbs
- c:\Documents and Settings\**UserName**\Local Settings\Temp\MSkernel32.vbs (ตรง **User name** เป็นโฟล์เดอร์ของผู้ใช้)

3. ไฟล์ boot.ini จะติดอยู่ใน ตำแหน่งต่างๆ ดังนี้
- c:\Windows\boot.ini
- c:\Documents and Settings\**UserName**\Local Settings\Temp\boot.ini (ตรง **User name** เป็นโฟล์เดอร์ของผู้ใช้)

ข้อสังเกต ลองใช้ คำสั่งใน command prompt ใน root โดย พิมพ์ว่า dir /a /s mskernel32.vbs
****** คำเตือน c:\boot.ini อย่าไปยุ่ง เพราะเป็นของ Windows******

การแก้ไข ธรรมดาที่สุด ถ้าไม่มีเครื่องมืออื่นๆ
เข้า Safe mode
เข้า command prompt
ใช้ คำสั่ง attrib -r -h -s -a [ในตำแหน่งที่หาเจอ]
เช่น
c:\>attrib -r -h -s -a c:\MSkernel32.vbs
c:\>attrib -r -h -s -a c:\Windows\MSkernel32.vbs
c:\>attrib -r -h -s -a c:\Windows\boot.ini
c:\>attrib -r -h -s -a c:\Documents and Settings\**UserName**\Local Settings\Temp\MSkernel32.vbs
c:\>attrib -r -h -s -a c:\Documents and Settings\**UserName**\Local Settings\Temp\boot.ini

จากนั้นใช้คำสั่ง ลบทิ้ง ดังนี้

c:\>del c:\MSkernel32.vbs
c:\>del c:\Windows\MSkernel32.vbs
c:\>del c:\Windows\boot.ini
c:\>del c:\Documents and Settings\**UserName**\Local Settings\Temp\MSkernel32.vbs
c:\>del c:\Documents and Settings\**UserName**\Local Settings\Temp\boot.ini

c:\> เป็นเครื่องหมาย Prompt ของ Windows command prompt ไม่ต้องคียเข้าไป (ส่วนจะมีส่วนผสมอย่างอื่น เช่น ชื่อโฟล์เดอร์ก็ช่างมัน ไม่ต้องสนใจ)

ออก จาก command prompt เข้า regedit ที่ run command หาคำว่า MSkernel32.vbs แล้วลบบรรทัดที่มี Key Word นี้อยู่ออกให้หมด นอกจากนี้ หาคำว่า c:\windows\boot.ini ก็ลบเช่นเดียวกัน จากนั้นก็ Reboot เครื่องใหม่