การแก้ไข VBS.PICA.M

การแก้ไข VBS.PICA.M

Godzilla หรือ VBS.Pica.E@mm

เป็นไวรัสตัวใหม่ที่กำลังระบาดอยู่
จัดเป็น spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล
โดยจะเป็นการติดผ่าน Handy Drive และ Floppy Disk เท่านั้น

ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวา เพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”

ขั้นแรก Download Removal Tool* VBS.Pica.M

*หมายเหตุ ถ้าเป็น Godzilla ที่มีชื่อว่า Worm.VBS.Solow.C ให้ใช้ AntiVB-8bit

ปิดในส่วน System Restore   (Turn Off)
Restart เครื่องแล้วกด F8 ค้างไว้ เพื่อเข้า Safe Mode
Run AntiPica-en.exe ที่ download มา โปรแกรมจะทำการแก้ไข  Register  และลบ Process ของไวรัส
เมื่อเสร็จ  ให้กด Scan  อีกครั้งเพื่อค้นหาและลบ spyware ออกจากเครื่องทั้งหมด 
เมื่อเสร็จเรียบร้อย ให้ Restart  เครื่องทันที

วิธีการแก้ไข Manual

Killvbs.vbs ถูกสร้างโดย wscript.exe เป็น windows scripting host file
ที่มากับวินโดส ดูเหมือนไม่มีพิษภัยอะไร แต่ประมาณทุก 10 วินาที มันจะเช็คตัวเองตลอด ว่าไฟล์
killvbs ยังอยู่หรือไม่ ซึ่งทำให้เราไม่สามารถลบ killvbs ทิ้งไปได้ คือ
ลบไปแล้วมันจะสร้างใหม่ตลอด ตรงนี้ cpu usage จะถูกใช้งานตลอดโดยไม่จำเป็น

ที่จะต้องทำคือต้องปิด wscript.exe ไปก่อนครับ คือ end process ที่ Task Manager แต่เมื่อลบไปแล้ว
restart คอมใหม่มันก็กลับมาอีก ที่จริงแล้วต้องตามไปลบถึง regedit ครับ
start > run > regedit.exe แล้วไปที่
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

จะเห็น
Userinit C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32killVBS.vbs

ให้แก้เป็น เหลือแค่นี้ อย่าลืม ( , ) หลังสุดต้องมีด้วย ผมไม่แน่ใจว่าสามารถเอาออกได้ด้วยหรือไม่
Userinit C:WINDOWSsystem32userinit.exe,

restart คอม

เท่านี้ก็หยุด wscript.exe ไม่ให้รันตอนเข้าวินโดสได้แล้วครับ จากนั้นให้เอา Hide protected
operating system file ออกก่อนนะครับ แล้วก็ตามไปลบ killvbs
ที่อยู่ในแฟรตไดร์หรือในเมม รวมถึงใน system32 จะมีอีกตัวด้วย
เท่านี้ก็เข้าแฟรตไดร์ได้ตามปกติแล้วครับ

เพิ่มเติมให้เข้า regedit แล้ว find ค้นหาคำว่า killvbs แล้วลบออกครับ ส่วนมากจะอยู่ตรง
dir ของเมมมันจะบันทีก id เอาไว้ ให้ลบ folder ที่เขียนว่า autorun ที่มีคำสังของ
killvbs ออกเลยครับ เพราะถ้าเราเอาเมมที่ยังติด id นี้อยู่มันจะไปรันคำสั่ง wscript
ขึ้นมาใหม่ครับ ทำให้กลับมาเป็นเหมือนเดิมครับ

ข้อความนี้ถูกเขียนใน วิธิกำจัดไวรัสจากคอมพ์ คั่นหน้า ลิงก์ถาวร

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s