หลายๆ ท่านคงประสบปัญหาใหม่ที่ใช้งาน MS-Word อยู่ดีๆ เครื่องก็ช่วยพิมพ์ประโยคแปลกๆ ให้เองอัตโนมัติ แถมด้วยอาการประเภทเดียวกับไวรัสที่ระบาดในช่วงที่ผ่านมาคือ Autorun แถมให้ด้วย เรามาดูวิธีแก้ไขไวรัสตัวนี้กันครับ.
W32/Hakag-A
อาการ
วิธีกำจัดไวรัสแบบ Manual
1. Download Tools ที่นี่ครับ
2. Attract Files โดยโปรแกรม Winzip หรือ Winrar จะได้ Files มา 3 Files
3. Double Click ไฟล์ procexp.exe เพื่อทำการหยุด Process ของไวรัส ถ้าเจอ SCVHSOT.EXE ฝห้คลิกขวาแล้วเลือก Kill Process
4. Double Click ไฟล์ TaskManagerFix.exe Click Fix Now Click x เพื่อออกจากโปรแกรม
5. คลิก Mouse ปุ่มขวาที่ไฟล์ UnHookExec.inf เลือก Install
Note: ทดสอบว่า KillProcess ของไวรัสยังโดย Right Click ที่ Task Bar TaskManager จะกลับมาใช้งานได้ดังเดิม
6. คลิกปุ่ม Start เลือก run พิมพ์ regedit
- เลื่อน Cursor กลับไปที่จุดเริ่มต้น My Computer Click Edit Find พิมพ์ ms32dll ถ้าเจอให้กดปุ่ม Delete ลบได้เลย กดปุ่ม F3 ค้นจนจบ
- แก้ไขค่า HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer กรอบด้านขวาหากพบว่าคีย์ NoFolderOptions ถูกกำหนดค่าเป็น 1 ให้ดับเบิ้ลคลิกบนคีย์ดังกล่าว แล้วแก้กลับเป็น 0
ออกจากโปรแกรม Regedit
7. เปิด Windows Explorer Click Tools, Folder Options...และเปลี่ยนค่าตามรูป
8. เปิด Folder Windows หรือ Winnt โดยคลิกขวาเลือก Explore (ห้ามใช้ Open หรือ Double Click) ให้ลบไฟล์ scvhsot.exe และ hinnem.scr โดยการคลิกขวาเลือก Delete
9. เปิด Folder Windows\System32 หรือ Winnt\System32 โดยคลิกขวาเลือก Explore (ห้ามใช้ Open หรือ Double Click) ให้ลบไฟล์ scvhsot.exe และ autorun.inf และ blastclnnn.exe โดยการคลิกขวาเลือก Delete
10. Click Start run พิมพ์ gpedit.msc กด Enter เลือก Admintrative Templates, System, Turn of AutoPlay แก้ไขค่าดังรูป เพื่อยกเลิกคำสั่ง AutoRun
Note: บางครั้งคุณจะไม่สามารถยกเลิกการซ่อนไฟล์ได้ให้ทำการลบโดย Click Start เลือกคำสั่ง Run พิมพ์ cmd
1. ย้าย Directory ใช้งานไปที่ Folder Windows พิมพ์
2. ค้นหาไฟล์ scvhsot.exe และ hinhem.scr พิมพ์ dir /ah
3. ย้าย Directory ใช้งานไปที่ Folder Windows\system32 พิมพ์ cd\windows\system32 กด Enter
Note: เสร็จแล้วให้ค้นหาไฟล์นามสกุล .exe โดยกำหนดเงื่อนไขตามรูป
เมื่อเจอให้ทำการลบไฟล์ (จะมีชื่อตามชื่อ Folder) .exe ที่ขนาด = 246KB ทิ้งได้เลย ให้สังเกต icon folder จะไม่คมชัด เหมือน icon folder ปกติ และมี Description Nhatquanglan ดังรูป
1. ตัวที่ต้อง Kill Process หรือ End Task คือ scvhsot.exe เท่านั้นนะครับ ส่วน svchost.exe ห้ามเด็ดขาดเพราะเป็น System Files ของระบบครับถ้าเราทำเครื่องจะนับถอยหลัง Restart ทันทีครับ
2. เลือก Start run พิมพ์ msconfig หลือก tab startup ถ้ามีเครื่องหมายถูก หรือเช็คบ็อก หน้าไฟล์ scvhsot.exe, ms32dll.dll.vbs, music.exe ให้เอาออกให้หมดครับ
3. ไวรัสตัวนี้จะกลับมาติดเครื่องได้อีกเมื่อเราเริ่มใช้งานอุปกรณ์พวก TrumpDrive หรือ Handy Drive, Memory Stick ของกล้อง โทรศัพท์ หรือ CD ROM ดังนั้นหลังจากทำการฆ่าไวรัสเสร็จคราวหน้าถ้าจะใช้งานอุปกรณ์ดังกล่าวอย่า Double Click หรือคลิก mouse ปุ่มขวาแล้ว Open ให้เลือก Explore อย่างเดียวครับ เพื่อเปิดใช้งาน และมองหาไฟล์ autorun, scvhsot ใน Drive ดังกล่าวถ้ามีแสดงว่าอุปกรณ์ที่เรานำมาใช้ มีไวรัสติดมาให้ลบทิ้งก่อน และค้นไฟล์นามสกุล .exe ที่มีขนาด 246KB (icon จะเป็น Folder ปรุๆ) ถ้าเจอให้ลบทิ้งเช่นกัน (อย่าลืมโชว์ Hidden Files และ System Files ใน Folder Option ไว้ด้วยนะครับ)
credit : http://www.weblogs.dmh.go.th/index.php?/archives
/32-W32Hakag-A,-SCVHSOT.EXE,-Nhatquanglan.html
ไม่มีความคิดเห็น:
แสดงความคิดเห็น