การแก้ไวรัส “เอาประเทศไทยของกูคืนมา” 

ไวรัสคอมพิวเตอร์ “เอาประเทศไทยของกูคืนมา” ลักษณะการทำงานคล้ายกับ ไวรัส “Hacked by Godzilla” เป็นไวรัส spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล โดยจะเป็นการติดผ่าน

ลักษณะอาการเมื่อเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ติดไวรัส

1. เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่าง ๆ ได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟ โดยเลือกเมนูOpen หรือ Explore

2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “เอาประเทศไทยของกูคืนมา”

3. ตรงช่อง Address จะแสดงคำว่า “ http://ไอ้สนธิไอ้บ้าอำนาจกูเกลียดมึง/ ”

วิธีแก้ปัญหา 

1. Double Click ไอคอน My Computer ที่Desktop เลือกเมนูTools --> Folder Options 

2. ปรากฏไดอะล็อก Folder Options คลิกแท็บ View

2.1 คลิกเลือก Show Hidden files and folders

2.2 เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก

2.3 คลิก OK

3. กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด

4. ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes

4.1 คลิกเลือกเมนูImage Name (เพื่อ sort File)

4.2 คลิกเลือกไฟล์ wscript.exe ( ทีละตัว )

4.3 คลิกปุ่ม End Process  

5. เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf ลบไฟล์ที่มีนามสกุล .dll ออก ชื่อของไฟล์ผมจำไม่ได้แต่ให้สังเกตลักษณะของมัน คือ เป็นเงาลางๆแตกต่างจากไฟล์ตัวอื่น (โดยให้กด Shift + Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive  ด้วย 

6. ไปที่ปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK ปรากฏไดอะล็อก บ็อก Registry Edit 

7. คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> Microsoft  --> Windows NT  --> Current Version --> Winlogon และหาไฟล์ที่ชื่อว่า “ Userinit ” คลิกเข้าไปครับ ตรงช่อง “ Value data: ” คุณจะเห็น “ C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ wscript.exe,……etc. ”

   โดยลบคำสั่งออกให้มีแค่คำสั่ง “ C:\WINDOWS\system32\userinit.exe,”เท่านั้น อย่าลบเกินนะครับ

8. คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “เอาประเทศไทยของกูคืนมา” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด) และ ไฟล์ที่ชื่อว่า  Start Page คลิกเข้าไป ตรงช่อง Value data: คุณจะเห็น “ http://ไอ้สนธิไอ้บ้าอำนาจกูเกลียดมึง ” ให้แก้เป็น http อะไรก็ได้ เช่น “http://www.google.co.th/” ก็ได้ 

9. คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “เอาประเทศไทยของกูคืนมา” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด) 

10. Click เม้าส์ขวาที่ไอคอน Recycle bin เพื่อเรียก Shortcut Menu เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง

11. Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options 

12. ปรากฏไดอะล็อก Folder Options คลิกแท็บ View 

     12.1 คลิก / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file

     12.2 คลิก OK 

13. ให้ Restart เครื่องใหม่

ตรวจสอบการแก้ปัญหา

      เมื่อทำการแก้ไขครบตามวิธีการทั้งหมดเรียบร้อยแล้ว สามารถตรวจสอบว่าไวรัสได้ถูกกำจัดแล้วหรือไม่ ได้ดังนี้

1. สามารถ Double Click เปิดไดร์ฟต่าง ๆ ได้ที่มีได้

2. เมื่อเปิดหน้าต่าง Internet Explorer แล้ว Title bar ของ IE จะต้องไม่มีคำว่า“เอาประเทศไทย

    ของกูคืนมา”

3. เมื่อเสียบ Handy Drive จะต้องไม่ Autorun

ข้อเสนอแนะ 

1. ควรจะแน่ใจว่าเลือกไฟล์หรือ register ที่ต้องการจะลบได้ถูกต้องเพราะหากลบผิดอาจ

    ทำให้ระบบปฏิบัติการเสียหายได้ 

2. เมื่อนำHandy Drive มาเสียบใหม่ควรจะตรวจสอบไฟล์ภายในเสียก่อนว่าเป็นไฟล์ไวรัสหรือไม่