# Notification.
Notification

Author Topic: KillVBS.vbs ที่มาและที่ไป ปัญหากวนใจสำหรับคนใช้แฟรตไดร์หรือเมมการ์ดอื่นๆ  (Read 3541 times)

0 Members and 1 Guest are viewing this topic.

Offline chaiwut

  • Webmaster
  • *****
  • Posts: 1599
    • MSN Messenger - chaiwut38@hotmail.com
    • View Profile
ก่อนอื่นต้องบอกก่อนว่า Killvbs ตัวนี้ไม่ใช่ไวรัสนะครับ แต่มันเป็น tool จากเศษซากการกำจัดไวรัสที่ชอบเขียนด้วย xxx.vbs ทั้งหลาย ที่โด่งดัง เช่น ไวรัส Godzilla

ชื่อก็บอกอยู่แล้วว่า killvbs คือมันจะไปกันไวรัสพวก .vbs ไม่ให้มัน autorun ขึ้นมาเอง อย่างเวลาเราเสียบแฟรตไดร์ก็จะเข้าหน้าต่างได้เลย แต่ถ้าติดเจ้า killvbs นี้เราจะเข้าตรงๆไม่ได้เลย ต้องเลือก explore ถึงจะใช้ได้ ซึ่งตรงนี้น่ารำคาญมาก เครื่องผมไม่เคยติด Godzilla  แต่แอนตี้ไวรัสเคยสแกนเจอซึ่งอยู่ในเมมของลูกค้า ผมเลยต้องรับผลจากการกำจัดไวรัส ด้วยคือมี killvbs มากวนใจ ทีนี้จะเอาออกทำให้เป็นแบบเดิมๆเสียที

เกริ่นมาซะยาว มาดูวิธีเอาออกกันบ้าง
Killvbs.vbs ถูกสร้างโดย wscript.exe เป็น windows scripting host file ที่มากับวินโดส ดูเหมือนไม่มีพิษภัยอะไร แต่ประมาณทุก 10 วินาที มันจะเช็คตัวเองตลอด ว่าไฟล์ killvbs ยังอยู่หรือไม่ ซึ่งทำให้เราไม่สามารถลบ killvbs ทิ้งไปได้ คือ ลบไปแล้วมันจะสร้างใหม่ตลอด ตรงนี้ cpu usage จะถูกใช้งานตลอดโดยไม่จำเป็น

ที่จะต้องทำคือต้องปิด wscript.exe ไปก่อนครับ คือ end process ไป แต่เมื่อลบไปแล้ว restart คอมใหม่มันก็กลับมาอีก ที่จริงแล้วต้องตามไปลบถึง regedit ครับ
start > run > regedit.exe แล้วไปที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

จะเห็น
Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

ให้แก้เป็น เหลือแค่นี้ อย่าลืม ( , ) หลังสุดต้องมีด้วย ผมไม่แน่ใจว่าสามารถเอาออกได้ด้วยหรือไม่
Userinit  C:\WINDOWS\system32\userinit.exe,

restart คอม

เท่า นี้ก็หยุด wscript.exe ไม่ให้รันตอนเข้าวินโดสได้แล้วครับ จากนั้นให้เอา Hide protected operating system file ออกก่อนนะครับ แล้วก็ตามไปลบ killvbs ที่อยู่ในแฟรตไดร์หรือในเมม รวมถึงใน system32 จะมีอีกตัวด้วย เท่านี้ก็เข้าแฟรตไดร์ได้ตามปกติแล้วครับ

เพิ่มเติมให้เข้า regedit แล้ว find ค้นหาคำว่า killvbs แล้วลบออกครับ ส่วนมากจะอยู่ตรง dir ของเมมมันจะบันทีก id เอาไว้ ให้ลบ folder ที่เขียนว่า autorun ที่มีคำสังของ killvbs ออกเลยครับ เพราะถ้าเราเอาเมมที่ยังติด id นี้อยู่มันจะไปรันคำสั่ง wscript ขึ้นมาใหม่ครับ ทำให้กลับมาเป็นเหมือนเดิมครับ

ตัวฆ่า
http://www.cartoonikkyu.com/trackerx90/Compressed/killVBS.vbs_killer.zip

เคตติด:http://www.trackerx90.th.gs/

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
    • iPlusZone.com
มาเพิ่มเติมให้เป็นวิทยาทาน อาจจะยาวไปหน่อย เพราะไม่ได้มาตอบเองหลายวัน [emo06]


ให้แก้เป็น เหลือแค่นี้ อย่าลืม ( , ) หลังสุดต้องมีด้วย ผมไม่แน่ใจว่าสามารถเอาออกได้ด้วยหรือไม่
Userinit  C:\WINDOWS\system32\userinit.exe,


จากข้อความข้างต้น
Userinit  C:\WINDOWS\system32\userinit.exe,

ห้ามลบ C:\WINDOWS\system32\userinit.exe, หรือแก้ไขเด็ดขาด
เพราะถ้าเผลอลบออกไป จะทำให้ไม่สามารถเข้าใช้งานวินโดวส์ได้
เครื่องจะติดอยู่หน้า logon ตลอดเวลา
ถ้ามีรหัสผ่าน พอเราใส่รหัสไป จะเหมือนว่ากำลัง logon แต่สักพักจะขึ้น logging off และกลับมาหน้า logon อีกครั้ง
เป็นแบบนี้ไปเรื่อย ๆ

ส่วนนี้จะเป็นส่วนสั่งงานชุดแรกก่อนการ logon มีความสำคัญกว่า
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ถ้าใครอยากสั่งโปรแกรมให้เปิดใช้งานเป็นอันดับต้น ๆ ก็ใส่ตรงนี้ได้เลย
เช่นจะสั่ง program.exe ให้ทำงาน ก็ใส่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit  C:\WINDOWS\system32\userinit.exe, C:\Programs\Program.exe
ตรงส่วนนี้ ถึงจะกด shift ก่อนบูตเข้าวินโดวส์ มันก็ไม่โดนยกเว้นนะครับ
และโทรจันบางตัวสามารถข้ามไปโหลดในส่วน Safe Mode ได้ด้วย
พวกโทรจันที่มีไฟล์สำรองอยู่หลาย ๆ ที่ และเปลี่ยนชื่อเองได้ พวกนี้แก้ไขใน Safe Mode ไม่ค่อยได้ผล
อธิบายมาก เดี๋ยวจะนอกประเด็นไป [emo10]

นอกเรื่องนิดนึง
เพราะเคยทำพลาดกับเครื่องลูกค้าไปครั้งนึง จำจนตายเลย
ยังดีว่าแก้ไขได้ เพราะคุ้น ๆ กับ registry อยู่หลายส่วน
บางคนเจอปัญหาแบบนี้มา ก็บอกวินโดวส์พัง ต้องลงใหม่
ผมเคยไปแก้ปัญหาแบบนี้ให้ตามร้านคอมฯที่รู้จักอยู่หลายครั้ง
เห็นช่างซ่อมคอมฯหลาย ๆ คน นึกเอาแต่เงินกับผลประโยชน์เข้าตัว อย่าทำแบบนี้เลยครับ ใจเขาใจเรา
ลูกค้าก็อยากได้ความไว้วางใจ และไม่อยากให้ข้อมูลของเขาหายหรอก
หลอกลูกค้าครั้งสองครั้ง เค้าก็ไม่เชื่อใจร้านแล้วล่ะ ลูกค้าไม่เชื่อใจร้าน เสียชื่อร้านนะครับ
ตัวช่างไม่ได้เสียชื่อ เพราะลูกค้าจะไม่บอกชื่อช่าง (ก็ส่วนใหญ่ไม่ถามชื่อช่างนี่นา) แต่จะบอกว่า ร้านนี้โกง... อะไรก็ว่ากันไป
มีบางทีลูกค้ารู้ว่าผมซ่อมเป็น เลยไม่ให้ช่างซ่อม กลับมาคุยกับผม ขอให้ซ่อมให้
เห็นช่างหน้าเสียไปเลย
ดีนะที่รู้จักเจ้าของร้าน ไม่งั้นโดนแบน [emo03]

นอกเรื่องอีกนิดนึง [emo06]
องค์ประกอบย่อย ๆ ใน registry ที่เรียกโดย regedit ขึ้นมา
หลาย ๆ ตำราภาษาไทยบอกไว้ว่า ควรทำการสำรองข้อมูล registry ไว้ แต่เอาเข้าจริง ๆ ที่สำรองข้อมูลไว้ มันเปล่าประโยชน์ครับ
เพราะแทบทุกตำรา ไม่บอกวิธีนำข้อมูลกลับคืน เมื่อมีปัญหา (แล้วจะสำรองไว้ทำแมวอะไรล่ะครับ)
และถึงรู้วิธีนำข้อมูลกลับ แต่ส่วนที่เพิ่มเติมไป มันลบออกไม่ได้เป็นส่วนใหญ่ ข้อมูลที่สำรองไว้ก็หมดประโยชน์เช่นกัน
หลาย ๆ คนคงเคยอ่าน ๆ กันมา หลากหลายตำราแล้ว แต่สำหรับหนังสือเมืองนอก
พวกภาษาอังกฤษ (ผมชอบอ่านเป็นส่วนใหญ่ หาอ่านตามห้องสมุด ไม่ซื้อหรอกครับ แพงสุด ๆ)
ไม่ค่อยเจอที่บอกว่าให้สำรองข้อมูล registry เพราะบอกไว้ ก็ไม่ค่อยจะมีบอกวิธีนำข้อมูลกลับ
แต่พอแปลเป็นไทย ก็อย่างที่บอกไว้ต้นเรื่องล่ะครับ

ขอย้ำว่า เรื่อง Registry ถ้าจำไม่ขึ้นใจ หรือไม่แน่ใจที่จะทำ อย่าเสี่ยงไปแก้ไขเป็นเด็ดขาด
และถ้ารั้นที่จะทำ ก็ทำตามข้อมูลที่บอกให้ละเอียดทุกขั้นตอน อย่าทำเป็นเก่ง ข้ามขั้นนะครับ แก้ผิดบางส่วน อาจได้ลงวินโดวส์ใหม่
เพราะแรก ๆ ผมก็เคยทำเป็นว่าเก่งกว่าหนังสือมาแล้ว พลาดไปสองสามครั้ง
แต่ก็พยายามจำทุกส่วน ทุกตัวอักษรของ Registry อยู่บ่อย ๆ บางทีเก็บไปฝันก็เคย
แต่ถึงตอนนี้ ผมก็ไม่ได้เก่งกว่าใครหรอกครับ

ปล. ผมไม่เคยจำชื่อไวรัส หรือโทรจัน นะครับ เพราะมันเยอะจัด จำไม่ไหว เดี๋ยวก็มีแตกสายพันธุ์อีก เลยไม่อยากจำ
แต่ที่จำขึ้นใจ ก็สักเกือบสิบปีก่อน ที่มีไวรัส Love Bug ตัวนี้ได้โค้ดมา ก็เลยได้ศึกษาไว้เป็นความรู้
ที่ติด ๆ กันสมัยนี้ จะเป็นโทรจันมากกว่าติดไวรัส
ถ้าติดไวรัส ไฟล์ที่ไวรัสต้องการ จะเสียเป็นส่วนใหญ่
ถ้าติดโทรจัน ไฟล์ไม่เสีย แต่ข้อมูลอาจจะผิดเพี้ยนไป อันนี้พอแก้ไขได้
คนรุ่นใหม่ ๆ ไม่ค่อยเข้าใจครับ

Offline chaiwut

  • Webmaster
  • *****
  • Posts: 1599
    • MSN Messenger - chaiwut38@hotmail.com
    • View Profile
ต้องขอบคุณท่าน fantasy มากๆเลยที่มาช่วยขยายความให้ [emo04]

Offline fantasy ಠ-ಠ

  • ผู้รู้ ผู้ตื่น ผู้เบิกบาน
  • N/A
  • *****
  • Posts: 4491
  • เมื่อวานรู้ วันนี้ก็รู้ แต่... พรุ่งนี้ไม่รู้
    • ICQ Messenger - 2484607
    • View Profile
    • iPlusZone.com
ไม่เป็นไรครับ กันเอง [emo01]
ดู ๆ แล้วเวบนี้เป็นกันเองดี เลยอยากมาเผื่อแผ่ความรู้ที่มีบ้าง เพราะจะล้นสมองแล้ว
เพราะส่วนใหญ่อ่านมาจากเท็กซ์บุ๊ค จากประสบการณ์ที่เจอมาเอง และก็จากหลาย ๆ ท่านที่แบ่งปันความรู้มาให้
ถ้าผิดถูกอะไร ก็ชี้แนะได้ครับ ผมก็ผู้ใช้คอมพิวเตอร์คนนึง (แต่ใช้คุ้มเกินไปมั้ง)

บางทีขยายความมากเกิน จนกลายเป็นบทความขนาดยาวไป
กลัวคนอ่านจะถอดใจซะก่อน

Offline chaiwut

  • Webmaster
  • *****
  • Posts: 1599
    • MSN Messenger - chaiwut38@hotmail.com
    • View Profile
ผมชอบตรงที่ท่านจะคอยเข้ามาเสริมบทความต่างๆมันอ่านแล้วได้ความรู้มาก [emo02]
ปล. หากได้เจอท่านจะขอคาระวะท่านด้วยน้ำชา 1 จอก [emo18] [emo05]


 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27