วันจันทร์ที่ 13 กุมภาพันธ์ พ.ศ. 2555

แก้ไวรัส amvo.exe [โชว์ hidden file ไม่ได้,ดับเบิลคลิกไดร์ไม่ได้]


ช่วงนี้มีเครื่องหลายท่านติดไวรัส และเครื่องผมก็โดนไปด้วยครับติดจาก flashdrive จึงลองดูไฟล์ที่รันตอนเปิดวินโดว์ขึ้นมาว่ามีอะไรแปลกๆรันขึ้นมาบ้าง(ดูจาก System Configuration Utility หรือ msconfig) ก็เลยพบไฟล์ amvo.exe ผมเลยลองเอาไป search ใน google ดูพบว่าเป็นไวรัสชนิดหนึ่ง ส่วนมันคืออะไรยังไงไม่อธิบายนะครับ เพราะผมก็ไม่รู้
อาการเมื่อโดนไวรัสตัวนี้
  • ทำให้โชว์ไฟล์ซ่อน (hidden file) ไม่ได้
  • เมื่อใช้ USB Device จะช้ากว่าปกติ
  • Adds infections to plugged in USB devices
  • ดับเบิลคลิกไดร์จะเป็น new windows หรือเปิดหน้าต่างใหม่ขึ้นมา หรือดับเบิลเพื่อเปิดไม่ได้
    • วิธีการแก้ไข (ในแต่ละเครื่องอาจจะแก้ไขไม่เหมือนกัน ถึงแม้อาการจะเป็นเหมือนขั้นต้นก็ตาม)
    1. เข้าไปเช็คใน System Configuration Utility  โดยคลิก Start -> Run -พิมพ์ msconfig  -> แท็บ startup จากนั้นมองหาไฟล์ชื่อแปลกตรงนี้อาจจะไม่เหมือนกัน ท่านสามารถนำชื่อไฟล์ไป search ใน google ได้ ในกรณีนี้ของผมจะเป็นไฟล์ amvo.exe หรือจะเป็นชื่ออื่นๆ เช่น ckvo.exe,semo2x,d.com,amvo,semo2x.exe ให้เราติ๊กเครื่องหมายถูกออก เพื่อไม่ให้มันรันตอนบูตวินโดว์ มันจะรันใน C:\Windows\System32\xxx.exe ดูภาพประปอบ
     
    2. จากนั้นให้ทำการ search หาชื่อไฟล์ในโปรแกรม Registry Editor วิธีเข้าโปรแกรม Registry Editor คลิก Start menu -> Run พิมพ์ > regedit กด Ctrl+f พิมพ์ชื่อไวรัส (process) เช่น amvo.exe เจอที่ไหนคลิกขวา delete โดยกด F3 เพื่อทำการค้นหาต่อไปเรื่อยๆจนหมด
    3. จากนั้นทำการแก้ไขไฟล์ registry เพื่อแสดงไฟล์ช่อนทั้งหมดที่อยู่ในคอมพิวเตอร์เรา โดยเข้าโปรแกรม  Registry Editor  เหมือนข้อ 2 แล้วเข้าไปแก้ค่าดังนี้
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer searchidden en 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer searchsystemdirs en 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced hidden en 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced showsuperhiden en 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced superhiden en 1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN CheckedValue 1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN DefaultValue 1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL DefaultValue 1
    เช่นเข้าไปแก้ค่าใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced hidden เป็นค่า 1
    ดับเบิลคลิก แล้วแก้ไขเป็น 1 ดังรูป
    4. จากนั้นทำการ restart เครื่อง
    5. เมื่อวินโดว์บูตขึ้นมาให้ทำการหาไฟล์ amvo.exe ใน c:\windows\system32\amvo.exe และ amvo…dll จากนั้นลบไฟล์ทิ้งไป ดังรูป
    และเข้าไปที่ drive c: d: e: …  โดยเข้าแบบ start -> run พิมพ์ c: กด ok เพื่อลบไฟล์ autorun.inf ทิ้งให้หมด
    ลองทำตามดูครับขั้นตอนรายละเอียดอาจจะไม่เหมือนกัน
    เขียนโดย ที่

    ไม่มีความคิดเห็น:

    แสดงความคิดเห็น

    สมัครสมาชิก: ส่งความคิดเห็น (Atom)