ให้เพื่อนๆดำเนินการตามคำแนะนำนี้นะครับ
1. Start >> Run >> copy ข้อความข้างล่างนี้ และ Paste ลงไป ก่อนจะ Enter
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
2. Restart เครื่อง
3. Start >> Run >> Regedit เปิดตำแหน่งตามด้านล่างHKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer
ในหน้าต่างด้านขวา ให้ลบ Folder ชื่อ NoFolderOptions = “dword:00000001” หรือ ถ้าส่วนที่อยู่ใน ?? ไม่เหมือนกัน ให้ดูแต่ชื่อข้างหน้า คือ NoFoloderOptions ลบทิ้งไป แล้ว Restart เครื่องอีกครั้ง
1.เข้า safe mode (โดยการกด F8 ตอนบูตเครื่อง)
2.เข้า msconfig (start/run/msconfig -> startup)
เอาเครื่องหมายหน้าไฟล์เหล่านี้ออก
– norBtok
– smss
3.boot เครื่องใหม่ตามปกติ
หลังจากนี้ virus จะหยุดทำงานแล้ว ต่อไปเราจะตามลบมันออกให้หมด
4. โหลด file นี้ครับ เพื่อปลดล๊อกให้ใช้ Regedit
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
เมื่อโหลดเสร็จให้ คลิ๊กขวาที่คำว่า install
5. เข้า regedit (start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer
ลบ NoFolderOptions ออก (อันนี้ virus มันซ่อน menu Options…ไว้ครับ)
6. search ใน my computer (My computer/search…)
หาไฟล์ *.exe
โดยใช้ filter
–> what size is it
specify size
at most 85 kb (เผื่อไว้หน่อย)
จากผลลัพธ์ที่ได้ กด คอลัมน์ size แล้วดู ให้ลบไฟลที่ความจุ 80 kb ที่ icon จะเป็นรูป คล้ายกับ Folder มาก ลบทิ้งเลยครับ(อย่าเผลอไป ดับเบิ้ลคลิกล่ะ ต้องเริ่มข้อ 1 ใหม่เลย เตือนไว้ก่อน)
7. ลบไฟล์ เหล่านี้
%UserProfile%\Templates\A.kotnorB.com
%Windir%\inf\norBtok.exe
%Windir%\system32\3D Animation.scr
——————————————–
สำหรับวิธีกำจัดแบบถอนรากถอนโคนเจ้าไวรัส Brontok.A
1 ใช้โปรแกรมที่ thaiware.com ( CS_DevEvil ) สำหรับหยุดการทำงานของไวรัสและกำจัดไฟล์หลักของไวรัสออกจากเครื่องคอมพิวเตอร์
2 ลงโปรแกรม anti-virus (NOD32, Avast, Macfee หรืออะไรก็ได้)
3 ใช้โปรแกรม anti-virus ทำการ scan drive เพื่อค้นหาไวรัสที่ยังเหลืออยู่ในเครื่อง
หมายเหตุ: หากไม่ทำขั้นตอนที่ 1 ถึงแม้จะใช้โปรแกรม anti-virus ทำการ scan หาไวรัสในเครื่อง ก็ไม่สามารถฆ่าได้ครบทุกตัว เนื่องจากไวรัสมีการฝังตัวอยู่ในระบบ จึงไม่สามารถลบไฟล์ process ได้ ดังนั้นต้องทำขั้นตอนที่ 1
วิธีเปิด Folder Option
** ปกติการปรับเปลี่ยนค่า Configuration ของวินโดว์ หากปรับผิดจะมีผลต่อการทำงานของวินโดว์
1. run คำสั่ง GPEDIT.MSC
2. ในส่วนของ User Configuration เลือก Window Component แล้วเลือก Window Explorer
3. สังเกตุที่หน้าต่างทางขวา ให้เลือก “Remove the Folder Options menu item from the menu”
4. ปรับค่าให้เป็น Disable เสร็จให้ปิดหน้าต่าง พร้อมทำการ Restart
5 comments
Skip to comment form
ขอบคุณครับ
ซ่อมไฟล์แล้วแต่ยกเลิกกลับมาไม่ได้คลิกที่ปุ้ม
โชว์แต่พอกด OK ก็กลับไปเป็นปุ้มไม่โชว์เหมือนเดิม
แก้ไขอยางไรค่ะรบกวนด้วย
ขอโทษพิมพ์ผิด กด ปุ้ม hidden แล้วแต่เรียกกลับมาไม่ได้
กดปุ้มให้โชว์แล้วไม่โชว์เด้งกับไปเป็นปุ่มไม่โชว์เหมือนเดิม
ไวรัสข้างต้นมันนานมากแล้วครับ ปัจจุบันตัวใหม่ๆมันทำงานซับซ้อนมากขึ้นครับ ที่มันเด้งกลับเหมือนเดิมเพราะไวรัสมันกำลังทำงานอยู่ครับ ต้องทำงานปิด Process การทำงานของมันก่อน(ปกติผมจะใช้โปรแกรม hijacktthis กับ Procees explorer ) ซึ่งการจะรู้ว่า Process ไหนคือไวรัส ต้องอาศัยการสังเกตุและประสบการการซ่อมเอาเองครับ จากนั้นเราก็ทำการลบคำสั่งการทำงานซึ่งจะซ่อนอยู่ใน registry และ msconfig อีกที ดังที่ จขกท ข้างต้นได้ยกตัวอย่าง
ซึ่งไวรัสบางตัวมันจะฝังตัวไปในแฟ้มวินโดว์เลยก็มี อันนี้ก็ต้องวินใหม่อย่างเดียวหรืออาจก็อปแฟ้มนั้นๆจากเครื่องอื่นมาลองก่อนก็ได้ บางตัวก็มี Procees หลายตัวช่วยกันทำงานพอปิดตัวนี่ ตัวนู่นทำงาน ต้องปล้ำกับมันพักใหญ่ เผลอๆมันทำให้ cpu 100เปอร์ค้างก็มี ส่วนมากมาจากแผ่นหนังและเพลงแผ่นแท้ ของค่ายหนัง-เพลงบางค่าย เช่นหนัง ชัทเตอร์หรือ vcd พรศักดิ์ชุดมีเมียเด็กเป็นตัน ชักจะยาวละแค่นี้ก่อนละกันครับ
ใครอยากเอาไวรัสไปลองศึกษาดูการทำงานของมันลองโหลดไปลองได้นะครับถ้าเจ๋งพอ ผมบีบวินซิฟขังไว้แล้วครับ อันนี้เป็นไวรัสตัวเก่าๆ จาก ปี2003-2008 เก็ยสะสมจากการซ่อมเครื่องให้ลูกค้า หลังๆนี้ไม่ค่อยได้เก็บไว้ครับไม่ค่อยว่างศึกษา มีตั้งแต่ไวรัส i love you ,folder.htt ,ไวรัส msn พวก implus ไวรัสัสตระกูล hacked by ทั้งหลาย ตั้งแต่ godzila 8 bit 1 bye จนถึง หมี แพนด้าทูปสามก้าน
เวิร์ม W32/Sality.AT sscvihost Mskernel32 Phim nguoi lon Secret
แยกคอมเม้นเผื่อเว็บมาสเตอร์ต้องการลบ
ไวรัสทั้งหมดนี้ขังซิปไว้แล้วไม่คลายก้ไม่มีปัญหา ที่สำคัญ แอนตี้ไวรัสตัวใหม่สามารถตรวจจับและลบได้หมดแล้ว ใครอยากลอง
http://www.mediafire.com/?hnu6y0bbvnrvsio
ดาวน์โหลดไวรัสที่นี่ครับ อย่าเอาไปแกล้งคนอื่นนะครับ