-- วิธีกำจัดไวรัส Brontok A/B --

อาการเมื่อติดไวรัส

- จะมีรูปเวปนี้ขึ้นมาบ่อยๆครับ

- เมนู Folder Options หาย
- เมื่อพิมพ์ คำสั่ง cmd หรือคำสั่ง msconfig ในเมนู run เครื่องจะทำการ restart โดยอัตโนมัติ

ผลกระทบกับระบบ

ไวรัสตัวนี้มันจะฝังตัวเองไว้ในระบบ ตั้งชื่อ process แบบเดียวกับของระบบ เช่น services.exe , csrss.exe เป็นต้น และมันจะสร้างไฟล์ของมัน ให้มีหน้าตาเหมือนโฟลเดอร์ แล้วก็ชื่อเดียวกับโฟลเดอร์งานของคุณครับแต่มันจะมีนามสกุล.exe ต่อท้ายมันพยามยามสร้างลูกมันไว้ครับ ไวรัสตัวนี้มันแพร่ไปตามเครือข่ายได้ครับ โดยเฉพาะถ้าคุณแชร์ไดร์ฟกันในแลนด้วยแล้ว มันไปทุกเครื่องในระบบแลนครับ มันก็จะปิด Registry Editor ไม่ให้เราแก้ไขได้ด้วยครับ หากเรา กด Start >> run พิมพ์ regedit แล้วกด OK จะมีข้อความว่า

"Registry editing has been disabled by your administrator"

หรือพิมพ์ msconfig กด Enter เสร็จจะรีสตาร์ททันที

วิธีกำจัด

- ดาวโหลดโปรแกรม AVG เพื่อกำจัดครับ คลิกดาวโหลด
-หากต่อระบบแลนอยู่ให้ทำการถอดออกก่อน เมื่อติดตั้งเสร็จจะปรากฏหน้าต่างโปรแกรมขึ้นมาบอกว่าเจอไวรัส
เลือกคำสั่ง MOVE TO Vault ไปเรื่อยๆครับ เมื่อมีหน้าต่างถามว่าจะรีสตาร์ทเครื่องตอนนี้เลยไหมให้ตอบว่า No หรือจะรีสตาร์ท แล้วค่อยมาสแกนอีกทีหลังจากเปิดเครื่องขึ้นมาแล้วก็ได้
-คลิกขวาที่ My computer เลือกคำสั่ง Scan With AVG ดังรูปครับ



- เมื่อสแกนเสร็จแล้ว ให้กดคอนโทรลเอ (CTRT+A) แล้วคลิกขวาเลือก MOVE TO Vault ดังรูป

- เมื่อ MOVE TO Vault เสร็จก็เข้าโปรแกรม AVG แล้วไปเลือกคำสั่งตรงช่อง Virus Vault
แล้วคลิกขวาเลือก Empty Vault เพื่อลบไวรัสที่เรากักไว้ครับ

- รีสตาร์ทแล้วสแกนอีกรอบครับ
- คลิก Start>>RUN แล้วพิมพ์ข้อความต่อไปนี้(หรือก็อปปี้ไปใส่ก็ได้ครับ)

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

กด Enter แล้วลอง พิมพ์ regedit ในช่อง Run แล้ว Enter ลองดูว่าสามารถเข้าได้ไหมครับ
- หรือจะโหลด Fix Tool มาแก้ไขก็ได้ครับ ดาวโหลดคลิก
- เมื่อโหลดเสร็จจะได้ไฟล์ นามสกุล .INF ให้คลิกขวาเลือกคำสั่ง install ครับ
- แล้วรีสตาร์ทเครื่อง แล้ว เข้า regedit (หากยังเข้าไม่ได้แสดงว่าไวรัสยังไม่หยุดทำงานให้เริ่มขั้นตอนที่1ใหม่ )
- เสร็จแล้วคลิก start/run/regedit
-
เข้าไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion /
Policies / Explorer
ลบ NoFolder Options ออก ดังรูป

-ไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion /run

ลบ ไฟล์ที่เขียนว่า Tok นำหน้า ทั้งสองไฟล์ ดังรูป

ไปที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ลบไฟล์ที่ชื่อว่า Bron นำหน้า กับ RavAV นำหน้าออก ดังรูป

- รีสตาร์ทเครื่อง
- หากเปิดเครื่องแล้วมี หน้าต่าง Error ขึ้นมา ดังรูป

- ให้โหลด โปรแกรม Hijacked คลิกดาวโหลด แล้วเปิดโปรแกรมขึ้นมาเลือกคำสั่งที่สอง แล้วติ๊กเครื่องหมายถูก ดังรูป


- เลือกคำสั่ง Fix checked แล้วกด Yes แล้วรีสตาร์ทเครื่อง
- Error ทั้งหมดก็จะหายไป สามารถใช้งานได้ตามปกติครับ


แก้ไขเพิ่มเติมโดย: katatummo


ย้อนกลับ หน้าแรก