Author Topic: วิธีกำจัด ไวรัส KillVBS.vbs (VBS.PICA.M) หรือ HTTP:///  (Read 3729 times)

0 Members and 1 Guest are viewing this topic.

Offline Webmaster

  • Nick Computer Services
  • Administrator
  • Full Member
  • *
  • Posts: 168
  • Karma: +999/-0
  • Gender: Male
  • Love Me Love My Services
    • Computer Service

วิธีแก้ไขไวรัส KillVBS.vbs (VBS.PICA.M) หรือ HTTP:///

ไวรัส KillVBS.vbs (VBS.PICA.M) หรือ HTTP:///

Killvbs.vbs ถูกสร้างโดย Visual Basic Script และถูกเรียกใช้งานโดย wscript.exe เป็น windows scripting host file ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว โดยจะสร้างไฟล์ autorun ลงบนแฮนดี้ไดร์ว พร้อมคัดลอกไฟล์ไวรัส killVBS.vbs ไปด้วย ไวรัสจะไม่แพร่กระจายตัวเองทางการแชร์ไฟล์ในเครือข่ายเหมือนกับไวรัสตระกูล เดียวกันที่เคยทำ เพื่อทำให้ผู้ใช้ตรวจพบยากขึ้น ซึ่งดูเหมือนไม่มีพิษภัยอะไร แต่ประมาณทุก 10 วินาที มันจะเช็คตัวเองตลอด ว่าไฟล์ killvbs ยังอยู่หรือไม่ ซึ่งทำให้เราไม่สามารถลบ killvbs ทิ้งไปได้ คือลบไปแล้วมันจะสร้างใหม่ตลอด ตรงนี้ cpu usage จะถูกใช้งานตลอดโดยไม่จำเป็น

อาการ
จะไปกันไวรัสพวก .vbs ไม่ให้มัน autorun ขึ้นมาเอง (ซึ่งดูเหมือนจะเป็นการดีกับเครื่องเรา แต่ไม่ดีอย่างที่คิดครับ และนี่ก็คงเป็นที่มาของชื่อของมัน) อย่างเวลาใช้แฟรชไดร์ฟก็จะเข้าหน้าต่างได้เลย แต่ถ้าติดเจ้า killvbs เราจะเข้าตรงๆไม่ได้เลย ต้องเลือก explore ถึงจะใช้ได้ ซึ่งตรงนี้น่ารำคาญมาก และบางครั้ง cpu usage จะจะขึ้นสูงผิดปกติ ทั้งๆ ที่เราไม่ได้เรียกใช้งานอะไรเลย และอีกอย่างที่สังเกตได้ง่ายๆ คือ ที่ Address บาร์ของ IE จะขึ้นค่าเริ่มต้นเป็น HTTP:///

วิธีการแก้ไข
ทำได้ 2 วิธี (เลือกเอาวิธีใดวิธีหนึ่งตามความเหมะสม หรือสะดวกนะครับ)

วิธีที่ 1
1. ลุยเก็บมันเองกับมือครับ (แนะนำสำหรับผู้ใช้ที่มีความรู้ความชำนาญสูงกว่าระดับผู้ใช้งานทั่วไปครับ)

1.1 ที่จะต้องทำคือต้องปิด wscript.exe เป็นอันดับแรกครับ กด Ctrl+Alt+Del เข้า Task Manager ไปทำการ end process ตัว wscript.exe (แต่เมื่อ end ไปแล้วเมื่อ restart เครื่องคอมใหม่มันก็กลับมาอีก)

1.2 ให้เอา Hide protected operating system file ออกก่อนนะครับ จะได้โชว์ให้เราเห็นทั้งหมด แล้วค้นหาคำว่า killvbs ทุกไดร์ฟ ทั้งเครื่อง (ทั้งที่อยู่ในแฟรชไดร์ฟ หรือในเมมต่างๆ รวมถึงใน system32 เจอแล้วแล้วลบออกให้หมดครับ) ส่วนมากจะอยู่ตรง dir ของเมมมันจะบันทีก id เอาไว้ ให้ลบ folder ที่เขียนว่า autorun ที่มีคำสังของ killvbs ออกไปด้วยครับ เพราะถ้าเราเอาเมมที่ยังติด id นี้อยู่มันจะไปรันคำสั่ง wscript ขึ้นมาใหม่ครับ ทำให้กลับมาเป็นเหมือนเดิมครับ

1.3 เข้า regedit ครับ โดยไปที่ start > run > regedit.exe แล้ว Enter
จากนั้นไปที่สับคีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

สังเกตดูช่องทางขวามือ จะเห็น
Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

ให้แก้เป็น Userinit C:\WINDOWS\system32\userinit.exe,
คือลบเอาส่วนของ C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs ทิ้งไปนั่นเอง

1.4 ทำการ Restart เครื่องครับ


วิธีที่ 2

ใช้โปรแกรมหรือ Remover Tool จัดการมันครับ

ดาวน์โหลด http://data.thammai.com/bank/killVBS.vbs_killer.zip ที่นี่

แตกไฟล์ที่ดาวน์โหลดมา แล้วรัน killVBS.vbs_killer จัดการมันครับ เสร็จแล้ว Restart เครื่องครับ



อ้างจาก http://steprophaisack.multiply.com/reviews/item/22


 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)


Related Topics