Tuesday, July 10, 2007

วิธีแก้ไขเมื่อติดไวรัส killVBS.vbs

แก้ไขล่าสุดเมื่อ: 10 ธันวาคม 2550

Trend Micro เรียกไวรัส killVBS.vbs ในชื่อว่าไวรัส VBS_PICA.AE สามารถอ่านรายละเอียดเกี่ยวกับไวรัสนี้ได้จาก ไวรัส VBS_PICA.AE

การแก้ไขเมื่อติดไวรัส killVBS.vbs

ข้อควรระวัง
การแก้ไขรีจีสทรีนั้นเหมาะสำหรับ Advanced User เท่านั้น เนื่องมีความเสี่ยงต่อการทำให้ระบบวินโดวส์ทำงานผิดพลาด หรือไม่สามารถทำงานได้ ดังนั้นควรทำการแก้ไขด้วยความระมัดระวังเป็นพิเศษ และควรทำการสำรองรีจีสทรี เก็บไว้ในที่ปลอดภัยก่อนทำการแก้ไข



ไวรัส killVBS.vbs เป็นไวรัสประเภท VB Script โดยจะอยู่ในไฟล์ชื่อเดียวกันคือ killVBS.vbs หลังจากที่เครื่องคอมพิวเตอร์ติดไวรัสตัวนี้ ไวรัสก็จะทำการแก้ไขหน้า Home Page ของ Internet Explorer ให้เป็นดังรูปด้านล่าง ในขณะเดียวกันมันก็จะทำการแก้ไขรีจีสทรีเพื่อ ให้ทำการรันไฟล์ killVBS.vbs ทุกครั้งที่ทำการสตาร์ทเครื่อง สำหรับการแก้ไขเมื่อโดนเล่นงานโดย ไวรัส killVBS.vbs มีวิธีการดังนี้



ขั้นตอนที่ 1. ปิดการทำงานของ Windows Script Host
1. คลิกขวาที่ Taskbar แล้วคลิก Task Manager
2. ในหน้า Task Manager คลิกแท็บ Process
3. คลิกเลือก wscript.exe แล้วคลิก End Process ดังรูปที่ 1


รูปที่ 1 Task Manager

ขั้นตอนที่ 2. ปิดบริการ Windows Script Host
1. คลิกที่ Start>All Programs>Accessories>Command Prompt
2. ที่ Command Prompt ให้พิมพ์คำสั่งดังด้านล่างเสร็จแล้วกด Enter

reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_DWORD /d 0x00000000

3. ปิด command prompt โดยการพิมพ์ exit แล้วกด Enter

ขั้นตอนที่ 3. ทำการลบไฟล์ killVBS.vbs
เนื่องจากไฟล์ killVBS.vbs จะถูกซ่อนอยู่ ดังนั้นต้องทำการแก้ไข Folder Options ให้แสดงไฟล์ที่ถูกซ่อนอยู่ก่อน
1. ให้เปิด My Computer โดยคลิก Start แล้ว My Computer
2. ในหน้าต่าง My Computer คลิกที่เมนู Tools คลิก Folder Options คลิกแท็บ View จากนั้นในหัวข้อ Hidden files and folders เลือกเป็น Show hidden files and folders เสร็จแล้วคลิก OK
3. ทำการลบไฟล์ชื่อ killVBS.vbs ซึ่งจะอยู่ในโฟลเดอร์ C:\Windows\System32\

ขั้นตอนที่ 4. ทำการแก้ไขรีจีสทรี
1. คลิกที่ Start>Run พิมพ์ regedt32.exe แล้วกด Enter
2. ในหน้าต่าง Registry Editor ให้แก้ไขรีจีสทรีคีย์ Userinit ซึ่งอยู่ที่ตำแหน่ง

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon

- ให้ดับเบิลคลิกที่ Userinit แล้วในหน้า Edit String ในช่อง Value data: ให้แก้ไขตามด้านล่างเสร็จแล้วคลิก OK

ค่าเดิม = > C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe, C:\WINDOWS\system32\killVBS.vbs,

ค่าใหม่ (ดังรูปที่ 2) => C:\WINDOWS\system32\userinit.exe,


รูปที่ 2 userinit edit


รูปที่ 3 userinit edit

3. ทำการลบรีจีสทรีคีย์ Window Title ซึ่งอยู่ที่ตำแหน่ง

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

- คลิกขวาที่ Window Title เลือก Delete และคลิก Yes ในหน้า Confirm Value Delete


รูปที่ 4 IE Window Title

4. ทำการลบรีจีสทรีคีย์ Start Page ซึ่งอยู่ที่ตำแหน่ง
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
- ดับเบิลคลิกที่ Start Page จากนั้นในหน้า Edit String ในช่อง Value data: ให้ใส่ url ที่ต้องการตั้งเป็นโฮมเพจ เช่น http://www.google.com เป็นต้น


รูปที่ 4 IE Start Page


รูปที่ 4 IE Start Page edit

5. ปิดหน้าต่าง Registry Editor
6. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์

ลิงค์ที่เกี่ยวข้อง
การป้องกันเครื่องคอมพิวเตอร์ให้ปลอดภัยจากมัลแวร์ และการป้องกันข้อมูลสูญหาย

!ข้อแนะนำ
หลังจากทำการแก้ไขเสร็จเรียบร้อย และรีสตาร์ทเครื่องคอมพิวเตอร์ใหม่แล้ว ควรทำการอัพเดทโปรแกรมป้องกันไวรัส จากนั้นให้ทำการสแกนไวรัสทั้งระบบอีกครั้งหนึ่ง เพื่อตรวจสอบไวรัสตรวจสอบไวรัสอื่นๆ และหลังจากสแกนแล้วเสร็จ ควรทำการสำรองข้อมูลเก็บไว้ในที่ปลอดภัย

killvbs.vbs, kilvbs, Fix killVBS.vbs virus, remove killVBS.vbs VBS_PICA.AE virus

© 2007 Thai Windows Administrator, All Rights Reserved.

7 Comment:

Anonymous said...

ขอบคุณมากนค่ะ ดีจัง

Anonymous said...

ขอบคุณมากคร๊าบบ

Anonymous said...

ตอนแรกแฮนดี้ไดรฟ์ของผมก็ไม่สมารถดับเบิ้ลคลิ๊กได้แต่ตอนนี้หลังจากที่หาโปรแกรมมาฆ่าไฟล์ก็ดับเบิ้ลคลิ๊กได้แล้ว แต่พอเปิดไปซักหน่อยก็ไม่มีข้อมูลหรือแม้แต่หน่วยความจำที่ใช้ในไดรฟ์ได้เลย แต่พอเอา i-mobile 313 มาต่อเข้าก็ใช้ได้นะครับ ไม่ทราบว่าผมต้องทำยังไงต่อดีครับ ผมลองลงวินโดวส์ใหม่ก็แล้ว ฃ่วยตอบทีนะครับ จนปัญญาจริงๆ

dtp said...

ผมไม่แน่ใจสาเหตุเหมือนกัน อย่างไรก็ตามลองใช้โปรแกรม TestDisk ซึ่งดาวน์โหลดได้ฟรีที่ http://www.cgsecurity.org/wiki/TestDisk_Download ดูครับ

dtp said...

หากยังไม่ได้ให้ทกลองใช้ USB Disk Storage Format Tool 2.0.6 ดูครับ ดาวน์โหลดได้ที่ http://dl03.chip.eu/download/ea4ba23fc36f96218971e7a4ed811638/4876c474/16863/HP_USB_Boot_Utility.exe

mote said...

ขอบคุณคับ ให้รายระเอียดดี :D

dtp said...

ท่านที่ถามว่า -> พอ restart เเล้วขึ้นหน้าให้เลือก account พอเลือกก็เข้าไม่ได้ต้องทำยังไง...

อยากทราบว่าแสดง Error Message ว่าอะไรครับ