ทำไม Nod32 Eset V.4 ของผมมันไม่สามารถแสกนใน Safemode ได้ครับ

เครื่องผมมันดดนไวรัส nvvsvc.exe csrss.exe winlogon.exe ผมจะลองเข้าไปแสกนใน Safemode แต่ทำยังไงก็ไม่สามรถแสกนได้ มันฟ้อง Comunication kernel failed ประมาณนี้อ่ะครับ  ไม่ทราบต้องทำยังไงครับ แล้ววิธีแก้ไวรัสพวกนี้ทำวิธีไหนได้บ่างครับ ขอบคุณครับ

โห..ถ้ารู้ขนาดนั้นคงไม่ต้องพึ่ง Nod แล้วมั้งครับ ของผมก็รัน Nod ใน Safe Mode ไม่ได้เหมือนกันครับ

ใน safemode กราฟฟิคจะไม่ทำงาน Nod ม้นเป็นกราฟฟิค เพราะฉะนั้นก็เลยเป็นงั้นแหละครับ

ก็ไม่ยาก เข้า safemode แล้วก็ search หาชื่อไวรัสแล้วก็ลบแค่นั้นแหละครับ

โห..ถ้ารู้ขนาดนั้นคงไม่ต้องพึ่ง Nod แล้วมั้งครับ ของผมก็รัน Nod ใน Safe Mode ไม่ได้เหมือนกันครับ

ใน safemode กราฟฟิคจะไม่ทำงาน Nod ม้นเป็นกราฟฟิค เพราะฉะนั้นก็เลยเป็นงั้นแหละครับ

ก็ไม่ยาก เข้า safemode แล้วก็ search หาชื่อไวรัสแล้วก็ลบแค่นั้นแหละครับ

ขอบคุณครับ จะลองดูนะครับ

ทางที่ดีสำหรับผมลงวินโดว์ใหม่อ่ะครับ เพราะไวรัสกินไฟล์ exe กับระบบไปแล้ว แก้ไปก็เหมือนไม่มีประโยชน์อ่ะครับ

ถ้าเทียบเหมือนกับว่า ขาโดนน้ำร้อนลวกแล้ว เรารักษาหายดี สุดท้ายก็ยังเป็นลอยแผลเหมือนเดิมประมาณนี้

แต่ถ้าจะแก้ก็ได้นะลองดูทีละตัวเลย

csrss.exe

แก้โดยเข้า safemode แล้วไปที่ C:WindowsSystemLevelx *ที่ใส่ x เพราะอาจไม่เหมือนกัน แล้วไฟล์ csrss.exe ลบทิ้งได้เลย

จากนั้นไปหา Csrss.exe จากเครื่องอื่น มา Copy ไปไว้ที่ C:WINDOWSsystem32dllcache

แล้วลบไฟล์ Csrss.exe ที่อยู่ C:WINDOWSsystem32  ถ้าลบไม่ได้ ก็ copy ไฟล์ใหม่มาทับ



ส่วน Winlogon ตามนี้

1. เข้า safe mode
2. เข้า msconfig (start/run/msconfig -> startup)
เอาเครื่องหมายหน้าไฟล์เหล่านี้ออกครับ
- norBtok
- smss
3. boot เครื่องใหม่ตามปกติ
หลังจากนี้ virus จะหยุดทำงานแล้วครับ ต่อไปเราจะตามลบมันออกให้หมด

4. โหลด file นี้ครับ เพื่อปลดล๊อกให้ใช้ Regedit
[direct]http://securityresponse.symantec.com/avcenter/UnHookExec.inf[/direct]
เมื่อโหลดเสร็จให้ คลิ๊กขวาที่คำว่า install นะครับ
5. เข้า regedit (start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer
ลบ NoFolderOptions ออก (อันนี้ virus มันซ่อน menu Options...ไว้ครับ)
6. search ใน my computer (My computer/search...)

หาไฟล์ *.exe
โดยใช้ filter
--> what size is it?
specify size
at most 85 kb (เผื่อไว้หน่อย)
จากผลลัพย์ที่ได้ กด คอลัมน์ size แล้วดู ให้ลบไฟลที่ความจุ 80 kb ที่ icon จะเป็นรูป คล้ายกับ Folder
มาก ลบทิ้งเลยครับ (อย่าเพลอไป ดับเบิ้ลคลิ๊กหล่ะ ต้องเริ่มข้อ 1 ใหม่เลยนะครับ หุหุ เตือนไว้ก่อน)
7. ลบไฟล์ เหล่านี้ด้วยครับ
%UserProfile%TemplatesA.kotnorB.com
%Windir%infnorBtok.exe
%Windir%system323D Animation.scr

จบครับ
ข้อมูลเพิ่มเติมได้ที่นี้ครับ
\inside2printSymantec Security Response - [email protected]




ส่วน nvvsvc.exe ผมไม่แน่จัยว่าเป็นไวรัสหรือเปล่านะครับ เพราะว่ามันเป็นผลรันของการ์ดจอ nvidia ไม่ใช่เหรอ


มีเทคนิคเพิ่มเติมจากคุณ CyberJiab นะครับ

โค๊ด: [Select]

เรารู้ว่า file ติดไวรัสชื่อว่า c:windowssystem32prai.dll

เราก็สั่งคำสั่ง

cacls c:windowssystem32prai.dll /p everyone:N

จากนั้นก็ลอง boot เครื่องใหม่   prai.dll virus ที่ติดใน winlogon.exe หรือ process อื่นๆก็ไม่สามารถ load เข้าสู้ memory ได้

จากนั้นเราก็ไปสั่ง

cacls c:windowssystem32prai.dll /p everyone:Y
del /f c:windowssystem32prai.dll
ก็จะลบ virus ตัวนี้ได้ตามต้องการ

วิธีนี้เท่าที่เคยลองมา ได้ผล 100% ครับ ตัวไหนฆ่าไม่ได้เจอวิธีนี้ตายเรียบ ไม่เชื่อไปลองดูได้ ยิ้ม

ทางที่ดีสำหรับผมลงวินโดว์ใหม่อ่ะครับ เพราะไวรัสกินไฟล์ exe กับระบบไปแล้ว แก้ไปก็เหมือนไม่มีประโยชน์อ่ะครับ

ถ้าเทียบเหมือนกับว่า ขาโดนน้ำร้อนลวกแล้ว เรารักษาหายดี สุดท้ายก็ยังเป็นลอยแผลเหมือนเดิมประมาณนี้

แต่ถ้าจะแก้ก็ได้นะลองดูทีละตัวเลย

csrss.exe

แก้โดยเข้า safemode แล้วไปที่ C:WindowsSystemLevelx *ที่ใส่ x เพราะอาจไม่เหมือนกัน แล้วไฟล์ csrss.exe ลบทิ้งได้เลย

จากนั้นไปหา Csrss.exe จากเครื่องอื่น มา Copy ไปไว้ที่ C:WINDOWSsystem32dllcache

แล้วลบไฟล์ Csrss.exe ที่อยู่ C:WINDOWSsystem32  ถ้าลบไม่ได้ ก็ copy ไฟล์ใหม่มาทับ



ส่วน Winlogon ตามนี้

1. เข้า safe mode
2. เข้า msconfig (start/run/msconfig -> startup)
เอาเครื่องหมายหน้าไฟล์เหล่านี้ออกครับ
- norBtok
- smss
3. boot เครื่องใหม่ตามปกติ
หลังจากนี้ virus จะหยุดทำงานแล้วครับ ต่อไปเราจะตามลบมันออกให้หมด

4. โหลด file นี้ครับ เพื่อปลดล๊อกให้ใช้ Regedit
[direct]http://securityresponse.symantec.com/avcenter/UnHookExec.inf[/direct]
เมื่อโหลดเสร็จให้ คลิ๊กขวาที่คำว่า install นะครับ
5. เข้า regedit (start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer
ลบ NoFolderOptions ออก (อันนี้ virus มันซ่อน menu Options...ไว้ครับ)
6. search ใน my computer (My computer/search...)

หาไฟล์ *.exe
โดยใช้ filter
--> what size is it?
specify size
at most 85 kb (เผื่อไว้หน่อย)
จากผลลัพย์ที่ได้ กด คอลัมน์ size แล้วดู ให้ลบไฟลที่ความจุ 80 kb ที่ icon จะเป็นรูป คล้ายกับ Folder
มาก ลบทิ้งเลยครับ (อย่าเพลอไป ดับเบิ้ลคลิ๊กหล่ะ ต้องเริ่มข้อ 1 ใหม่เลยนะครับ หุหุ เตือนไว้ก่อน)
7. ลบไฟล์ เหล่านี้ด้วยครับ
%UserProfile%TemplatesA.kotnorB.com
%Windir%infnorBtok.exe
%Windir%system323D Animation.scr

จบครับ
ข้อมูลเพิ่มเติมได้ที่นี้ครับ
\inside2printSymantec Security Response - [email protected]




ส่วน nvvsvc.exe ผมไม่แน่จัยว่าเป็นไวรัสหรือเปล่านะครับ เพราะว่ามันเป็นผลรันของการ์ดจอ nvidia ไม่ใช่เหรอ


มีเทคนิคเพิ่มเติมจากคุณ CyberJiab นะครับ

โค๊ด: [Select]

เรารู้ว่า file ติดไวรัสชื่อว่า c:windowssystem32prai.dll

เราก็สั่งคำสั่ง

cacls c:windowssystem32prai.dll /p everyone:N

จากนั้นก็ลอง boot เครื่องใหม่   prai.dll virus ที่ติดใน winlogon.exe หรือ process อื่นๆก็ไม่สามารถ load เข้าสู้ memory ได้

จากนั้นเราก็ไปสั่ง

cacls c:windowssystem32prai.dll /p everyone:Y
del /f c:windowssystem32prai.dll
ก็จะลบ virus ตัวนี้ได้ตามต้องการ

วิธีนี้เท่าที่เคยลองมา ได้ผล 100% ครับ ตัวไหนฆ่าไม่ได้เจอวิธีนี้ตายเรียบ ไม่เชื่อไปลองดูได้ ยิ้ม

ขอบคุณครับ

ทางที่ดีสำหรับผมลงวินโดว์ใหม่อ่ะครับ เพราะไวรัสกินไฟล์ exe กับระบบไปแล้ว แก้ไปก็เหมือนไม่มีประโยชน์อ่ะครับ

ถ้าเทียบเหมือนกับว่า ขาโดนน้ำร้อนลวกแล้ว เรารักษาหายดี สุดท้ายก็ยังเป็นลอยแผลเหมือนเดิมประมาณนี้

โห..เปรียบซะ55+ สรุปลงใหม่เร็วและดีสุด ฮะฮะ