การแก้ไข VBS.PICA.M

การแก้ไข VBS.PICA.M
อาการ
จะไปกันไวรัสพวก .vbs ไม่ให้มัน autorun ขึ้นมาเอง
อย่างเวลาใช้แฟรตไดร์ก็จะเข้าหน้าต่างได้เลย แต่ถ้าติดเจ้า killvbs
เราจะเข้าตรงๆไม่ได้เลย ต้องเลือก explore ถึงจะใช้ได้ ซึ่งตรงนี้น่ารำคาญมาก
วิธีการแก้ไข
Killvbs.vbs ถูกสร้างโดย wscript.exe เป็น windows scripting host file
ที่มากับวินโดส ดูเหมือนไม่มีพิษภัยอะไร แต่ประมาณทุก 10 วินาที มันจะเช็คตัวเองตลอด ว่าไฟล์
killvbs ยังอยู่หรือไม่ ซึ่งทำให้เราไม่สามารถลบ killvbs ทิ้งไปได้ คือ
ลบไปแล้วมันจะสร้างใหม่ตลอด ตรงนี้ cpu usage จะถูกใช้งานตลอดโดยไม่จำเป็น
ที่จะต้องทำคือต้องปิด wscript.exe ไปก่อนครับ คือ end process ที่ Task Manager แต่เมื่อลบไปแล้ว
restart คอมใหม่มันก็กลับมาอีก ที่จริงแล้วต้องตามไปลบถึง regedit ครับ
start > run > regedit.exe แล้วไปที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
จะเห็น
Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs
ให้แก้เป็น เหลือแค่นี้ อย่าลืม ( , ) หลังสุดต้องมีด้วย ผมไม่แน่ใจว่าสามารถเอาออกได้ด้วยหรือไม่
Userinit C:\WINDOWS\system32\userinit.exe,
restart คอม
เท่านี้ก็หยุด wscript.exe ไม่ให้รันตอนเข้าวินโดสได้แล้วครับ จากนั้นให้เอา Hide protected
operating system file ออกก่อนนะครับ แล้วก็ตามไปลบ killvbs
ที่อยู่ในแฟรตไดร์หรือในเมม รวมถึงใน system32 จะมีอีกตัวด้วย
เท่านี้ก็เข้าแฟรตไดร์ได้ตามปกติแล้วครับ
เพิ่มเติมให้เข้า regedit แล้ว find ค้นหาคำว่า killvbs แล้วลบออกครับ ส่วนมากจะอยู่ตรง
dir ของเมมมันจะบันทีก id เอาไว้ ให้ลบ folder ที่เขียนว่า autorun ที่มีคำสังของ
killvbs ออกเลยครับ เพราะถ้าเราเอาเมมที่ยังติด id นี้อยู่มันจะไปรันคำสั่ง wscript
ขึ้นมาใหม่ครับ ทำให้กลับมาเป็นเหมือนเดิมครับ

ข้อความนี้ถูกเขียนใน วิธิกำจัดไวรัสจากคอมพ์ คั่นหน้า ลิงก์ถาวร

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s