อาการของเครื่องที่โดนไวรัสตัวนี้เล่นงาน
1.ไม่สามารถเรียกใช้งานเมนู Folder Options ได้ (เมนู Folder Options หาย)
2.ไม่สามารถเรียกใช้งาน Windows Task Manager ได้ (เมื่อกด Ctrl + Alt + Del) หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที
3.ไม่สามารถเรียกใช้งานโปรแกรม Registry Editor ได้ หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที
4.ไม่สามารถเรียกใช้งาน System Configuration Utility ผ่านคำสั่ง msconfig ได้ หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที
5.ไม่สามารถกดหรือเรียกใช้งานปุ่ม Search ได้ และที่ Start Menu ปุ่มคำสั่ง Search จะหายไป
6.และเมื่อดับเบิลคลิกเปิด My Computer แล้วดับเบิลคลิกเพื่อเปิดเข้าไปยังไดร์ฟที่ต่อ Card Reader อยู่ด้วย จะไม่สามารถเปิดได้แต่ระบบจะเปิดหน้าต่างนี้ขึ้นมาแทน
แต่ถ้าเปิดด้วย Windows Explorer และเลือกไดร์ฟจากเมนูด้านซ้ายก็จะเจอกับไฟล์ซึ่งเป็นไวรัสดังรูป
วิธีการกำจัดไวรัส DCIM.exe
1.ทำการดาวน์โหลดโปรแกรมต่อไปนี้มาเก็บไว้ที่เครื่องของท่านก่อนครับ
+ Process Explorer จะทำหน้าที่แทน Windows Task Manager ที่โดนล็อคไว้ เพื่อทำการเปิดโปรเซสที่เกี่ยวข้องกับไวรัส DCIM.exe แทน -> Download
+ NOD32 Registry Recovery Tool จะทำหน้าที่ในส่วนของการเปิดใช้ฟังก์ชันที่ไวรัสตัวนี้ปิดการทำงานเอาไว้เช่น เรียกคืนเมนู Folder Options, โชว์ไฟล์ที่ถูกซ่อน, แสดงนามสกุลของไฟล์, เปิดการใช้งาน Registry Editor, เปิดการใช้งาน Windows Task Manager เป็นต้น -> Download
2.เมื่อดาวน์โหลดโปรแกรมทั้ง 2 ตัวมาเรียบร้อยแล้ว ให้เปิดโปรแกรม Process Explorer ขึ้นมาก่อน จะเห็นได้ว่ามีโปรเซสแปลกปลอมที่ชื่อ msmsgs.exe กำลังรันตัวเองอยู่ โปรเซสตัวนี้นี่แหละที่คอยสอดส่องดูแลการใช้งานต่างๆเช่น หากเราฝืนใช้คำสั่งเพื่อเปิด Windows Task Manager หรือ Registry Editor มันก็จะรีสตาร์ทเครื่องทันที (ถ้ารู้ว่าเครื่องตัวเองติดไวรัสตัวนี้ในครั้งแรก หากใช้ Process Explorer เปิดขึ้นมาจะพบว่ามีโปรเซสอีกชื่อหนึ่งรันอยู่นั่นก็คือ DCIM.exe) ดังนั้นให้คลิกขวาที่โปรเซสตัวนี้ แล้วเลือก Kill Process ดังรูป
3.เปิดโปรแกรม NOD32 Registry Recovery Tool ขึ้นมา เพื่อให้โปรแกรมเปิดฟังก์ชันต่างๆที่ไวรัสตัวนี้ได้ปิดการทำงานทุกอย่างในเครื่องเอาไว้ ให้กลับมาเหมือนเดิม
4.ทดลองเปิดโปรแกรม Registry Editor ผ่านคำสั่ง Regedit และ System Configuration Utility ผ่านคำสั่ง msconfig ที่เมนู Run, เปิด Windows Task Manager ด้วยการกด Ctrl + Alt + Del จะสามารถเปิดใช้งานได้แล้ว
5.เปิดโปรแกรม System Configuration Utility ผ่านคำสั่ง msconfig ที่เมนู Run แล้วเลือกที่แท็ป Startup ให้เอาเครื่องหมายถูกหน้าหัวข้อต่อไปนี้ออกได้แก่ system, bad1, bad2, bad3, Msmsgs แล้วกด Apply > OK รีสตาร์ทเครื่องใหม่
6.กด Start > Run พิมพ์คำสั่ง Gpedit.msc แล้วกด OK เพื่อเปิดเข้าใช้งานโปรแกรม Group Policy
+ ที่พาเนลด้านซ้ายให้เลือกหัวข้อย่อย User Configuration > Administrative Templates > Start Menu and Taskbar
+ ที่พาเนลด้านขวาให้ดับเบิลคลิกที่หัวข้อ Remove Search menu from Start Menu
+ กำหนดคุณสมบัติในหัวข้อนี้ให้เป็น Disabled แล้วกด Apply > OK
+ จะพบว่าปุ่ม Search ที่ Start Menu และ My Computer ได้กลับมาและใช้งานได้ตามปกติแล้วครับ
มาต่อกันที่การฆ่าซ้ำ เอาแบบให้ DCIM.exe สิ้นซากกันไปเลย
1.เปิด Control Panel แล้วดับเบิลคลิกเลือกไอคอน Folder Options > ที่หัวข้อ View ตั้งค่าตามรูป
2.เปิด Windows Explorer แล้วสำรวจในทุกๆไดร์ฟรวมถึงอุปกรณ์ที่เชื่อมต่อผ่านพอร์ต USB ต่างๆเช่น Card Reader, แฟลชไดร์ฟ, กล้องถ่ายรูป เป็นต้น (คลิกเลือกไดร์ฟจากเมนูด้านซ้าย) ว่ามีไฟล์ที่ชื่อ Autorun.inf, DCIM.exe อยู่บ้างหรือไม่ ถ้ามีให้ลบออกทันที โดยกดปุ่ม Shift + Delete
3.กด Start > Run พิมพ์ Regedit แล้วกด OK (เพื่อเรียกใช้งานโปรแกรม Registry Editor)
4.เลือกเมนู Edit > Find… พิมพ์ system.exe แล้วกด Find Next (เพื่อค้นหาที่อยู่ของไวรัสทุกตัวที่ซ่อนตัวเองไว้ในรีจิสตรี)
5.จะพบว่าเจอทั้ง 2 ตัวเลย Msmsgs.exe และ system.exe ให้คลิกขวาที่โฟลเดอร์คีย์ตัวนี้แล้วเลือก Delete
6.และนี่อยู่กันพร้อมหน้าพร้อมตาเลย โดยในโฟลเดอร์คีย์ startupreg จะประกอบไปด้วย Msmsgs (Msmsgs.exe), SYS1 (system.exe), SYS2 (bad1.exe), SYS3 (bad2.exe), SYS4 (bad3.exe) ให้ลบโฟลเดอร์คีย์ทั้ง 5 ตัวนี้ออกไปทันทีครับ
7.ทำการค้นหาคีย์ที่ชื่อ bad1.exe, bad2.exe, bad3.exe และ Msmsgs.exe ต่อไป โดยกดปุ่ม F3 (Find Next) เมื่อเจอแล้วให้ลบออกด้วย
8.เปิด Windows Explorer ขึ้นมาอีกครั้ง แล้วเข้าไปที่โฟลเดอร์ WINDOWS ค้นหาไฟล์ที่ชื่อ Autorun.inf ให้ลบด้วยการกด Shift + Delete
9.และเข้าไปที่โฟลเดอร์ C:>WINDOWS > system32 แล้วลบไฟล์ bad1.exe, bad2.exe, bad3.exe และ msmsgs.exe ออกไปด้วยโดยกดปุ่ม Shift + Delete ไฟล์ที่ลบจะได้ไม่ไปค้างอยู่ใน Recycle Bin ครับ
ยาวครับ อ่านต่อเต็มๆที่ varietypc.net
credit varietypc.net
Rob_Society 