การแก้ไข VBS.PICA.M

Home  »  ปัญหาไวรัส   »   การแก้ไข VBS.PICA.M

การแก้ไข VBS.PICA.M

Godzilla หรือ VBS.Pica.E@mm

เป็นไวรัส ตัวใหม่ที่กำลังระบาดอยู่ จัดเป็น spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล โดยจะเป็นการติดผ่าน Handy Drive และ Floppy Disk เท่านั้น

ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวา เพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”

ขั้นแรก Download Removal Tool* VBS.Pica.M

*หมายเหตุ ถ้าเป็น Godzilla ที่มีชื่อว่า Worm.VBS.Solow.C ให้ใช้ AntiVB-8bit

ปิดในส่วน System Restore   (Turn Off)
Restart เครื่องแล้วกด F8 ค้างไว้ เพื่อเข้า Safe Mode
Run AntiPica-en.exe ที่ download มา โปรแกรมจะทำการแก้ไข  Register  และลบ Process ของไวรัส
เมื่อเสร็จ  ให้กด Scan อีกครั้งเพื่อค้นหาและลบ spyware ออกจากเครื่องทั้งหมด
เมื่อเสร็จเรียบร้อย ให้ Restart  เครื่องทันที

วิธีการแก้ไข Manual

Killvbs.vbs ถูกสร้างโดย wscript.exe เป็น windows scripting host file
ที่มากับวินโดส ดูเหมือนไม่มีพิษภัยอะไร แต่ประมาณทุก 10 วินาที มันจะเช็คตัวเองตลอด ว่าไฟล์
killvbs ยังอยู่หรือไม่ ซึ่งทำให้เราไม่สามารถลบ killvbs ทิ้งไปได้ คือ
ลบไปแล้วมันจะสร้างใหม่ตลอด ตรงนี้ cpu usage จะถูกใช้งานตลอดโดยไม่จำเป็น

ที่จะต้องทำคือต้องปิด wscript.exe ไปก่อนครับ คือ end process ที่ Task Manager แต่เมื่อลบไปแล้ว
restart คอมใหม่มันก็กลับมาอีก ที่จริงแล้วต้องตามไปลบถึง regedit ครับ
start > run > regedit.exe แล้วไปที่
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

จะเห็น
Userinit C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32killVBS.vbs

ให้แก้เป็น เหลือแค่นี้ อย่าลืม ( , ) หลังสุดต้องมีด้วย ผมไม่แน่ใจว่าสามารถเอาออกได้ด้วยหรือไม่
Userinit C:WINDOWSsystem32userinit.exe,

restart คอม

เท่านี้ก็หยุด wscript.exe ไม่ให้รันตอนเข้าวินโดสได้แล้วครับ จากนั้นให้เอา Hide protected
operating system file ออกก่อนนะครับ แล้วก็ตามไปลบ killvbs
ที่อยู่ในแฟรตไดร์หรือในเมม รวมถึงใน system32 จะมีอีกตัวด้วย
เท่านี้ก็เข้าแฟรตไดร์ได้ตามปกติแล้วครับ

เพิ่มเติมให้เข้า regedit แล้ว find ค้นหาคำว่า killvbs แล้วลบออกครับ ส่วนมากจะอยู่ตรง
dir ของเมมมันจะบันทีก id เอาไว้ ให้ลบ folder ที่เขียนว่า autorun ที่มีคำสังของ
killvbs ออกเลยครับ เพราะถ้าเราเอาเมมที่ยังติด id นี้อยู่มันจะไปรันคำสั่ง wscript
ขึ้นมาใหม่ครับ ทำให้กลับมาเป็นเหมือนเดิมครับ

About the author: Com250

ชอบเขียนเรื่องราวการแก้ปัญหาคอมพิวเตอร์ หรืออุปกรณ์อื่นๆ จากประสบการณ์ที่ผ่านมา

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *