10/01/2553

การลบไวรัส AUTORUN.IY AUTORUN.ZR

ไวรัสตัวนี้อยู่ในประเภท Worm ปรกติจะไม่แสดงอาการอะไร จะแสดงข้อความเมื่อไฟล์ของมันถูกลบโดยโปรแกรมสแกนไวรัส แต่โปรแกรมสแกนไวรัสส่วนใหญ่จะลบไฟล์ออกไม่หมด เพราะไวรัสตัวนี้ประกอบไปด้วยหลายไฟล์ โดยมันจะเริ่มทำงานทุกครั้งที่เปิดเครื่อง และจะทำการคืนค่า start up ของมันใน Registry เพื่อให้ตัวมันได้เริ่มทำงานอีกครั้งตอนเปิดเครื่อง หากว่าผู้ใช้พยายามลบออก ดังนั้นเมื่อเราลบค่าใน start up มันก็จะกลับมาอีก โดยตอนเปิดเครื่องจะแสดงหน้าจอดังนี้

nvcpl64.dll
โดยจะมีข้อความแสดงข้อผิดพลาดดังนี้
Error in C:\WINDOWS\system32\NvCpl64.dll
Missing entry:RunDll32.exe
ขั้นตอนการลบไวรัส
สามารถใช้ Combofix ซึ่งง่ายกว่า หรือใช้วิธีเดิมดังนี้
บูตเข้า Windows ด้วยแผ่น Window PE หากยังไม่มีดู วิธีการทำแผ่น Windows PE
แก้ไข Registry โดยดูวิธีจาก การแก้ไขค่า Registry Windows จากแผ่นบูต Windows PE
ในวงเล็บสีแดงคือตำแหน่งที่เข้าไปแก้ไขจากแผ่น Windows PE จากบทความ การแก้ไขค่า Registry Windows จากแผ่นบูต Windows PE
ลบ Key
HKEY_CLASSES_ROOT\CLSID (HKEY_USERS\software\Classes\CLSID)
{00000231-1000-0010-8000-00AA006D2EA4}

แก้ไข Entry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced (HKEY_USERS\current\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced)
ShowSuperHidden = "0"
เป็น 1
ShowSuperHidden = "1"

ลบ Key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects (HKEY_USERS\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects)
{00000231-1000-0010-8000-00AA006D2EA4}

ลบ Entry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (HKEY_USERS\software\Microsoft\Windows\CurrentVersion\Run)
NvCpl = "RunDll32.exe "%System%\NvCpl64.dll",RunDll32.exe"

แก้ไข Entry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (HKEY_USERS\software\Microsoft\Windows NT\CurrentVersion\Windows)
AppInit_DLLs = "%System%\IPv6.dll"
เป็นค่าว่าง
AppInit_DLLs = ""

ลบ Key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify (HKEY_USERS\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify)
cryptnet21

ต่อไปให้เราหาไฟล์ของไวรัส เพื่อลบออกโดยจะมีไฟล์ดังนี้

C:\Thumbs.lnk
C:\Autorun.inf
%System%\arf
%System%\cryptnet21.dll
%System%\IPv6.dll
%System%\NvCpl64.dll
%System%\WinXP.bmp

บางเครื่องจะมีไฟล์นี้
%Systemroot%\SoftwareDistribution\Uninstall.bin
%System%\drivers\ReSSDT.sys

%Systemroot% ปรกติคือ C:\Windows
%System% ปรกติของ Windows 9x คือ C:\Windows\System
%System% ปรกติของ Windows XP NT 2000 คือ C:\Windows\System32
บางไฟล์อาจจะถูกโปรแกรมสแกนไวรัสลบออกไปบ้างแล้วทำให้หาไม่เจอ ก็ลบเท่าที่หาเจอครับ

0 ความคิดเห็น:

แสดงความคิดเห็น