Graduate School Khon Kaen University
  บทความแลกเปลี่ยนความรู้ บัณฑิตวิทยาลัย มหาวิทยาลัยขอนแก่น
หัวข้อ        กลุ่ม    คำสำคัญ   
  - แก้ไวรัส W32/Hakag-A, SCVHSOT.EXE, Nhatquanglan - โดย joeaun   hit : 16552       
W32/Hakag-A, SCVHSOT.EXE, Nhatquanglan

    หลายๆ ท่านคงประสบปัญหาใหม่ที่ใช้งาน MS-Word อยู่ดีๆ เครื่องก็ช่วยพิมพ์ประโยคแปลกๆ ให้เองอัตโนมัติ แถมด้วยอาการประเภทเดียวกับไวรัสที่ระบาดในช่วงที่ผ่านมาคือ Autorun แถมให้ด้วย เรามาดูวิธีแก้ไขไวรัสตัวนี้กันครับ.
    W32/Hakag-A จัดเป็นไวรัสที่ติดมากับ Handy Drive ที่ก่อกวนระบบได้มากตัวหนึ่ง
    เครื่องคอมพิวเตอร์ที่ติดไวรัสสังเกตุได้ง่ายๆ คือจะไม่สามารถใช้คำสั่ง Regedit และ Task Manager ได้

W32/Hakag-A


อาการ

1. คำสั่ง Folder Options ในคำสั่ง Tools หายไป2. คำสั่ง Task Manager หายไป3. ไม่สามารถใช้งานคำสั่ง regedit เพื่อแก้ไขค่า registry ได้

4. Virus จะสร้าง New Folder.exe และ ชื่อโฟลเดอร์.exe ให้เองอัตโนมัติ

ถ้าท่านเจอแบบนี้ละก็ติดไวรัส SCVHSOT.EXE หรือชื่ออย่างเป็นทางการคือ W32/Hakag-A เข้าไปแล้วครับ

วิธีกำจัดไวรัสแบบ Manual

1. Download Tools โดย คลิกที่นี่ครับ

2. Attract Files โดยโปรแกรม Winzip หรือ Winrar จะได้ Files มา 3 Files3. Double Click ไฟล์ procexp.exe เพื่อทำการหยุด Process ของไวรัส ถ้าเจอ SCVHSOT.EXE ฝห้คลิกขวาแล้วเลือก Kill Process4. Double Click ไฟล์ TaskManagerFix.exe Click Fix Now Click x เพื่อออกจากโปรแกรม

   กดแล้ว >>>  

5. คลิก Mouse ปุ่มขวาที่ไฟล์ UnHookExec.inf เลือก Install

      >>>>>          

Note : ทดสอบว่า KillProcess ของไวรัสยังโดย Right Click ที่ Task Bar TaskManager จะกลับมาใช้งานได้ดังเดิม

6. คลิกปุ่ม Start เลือก run พิมพ์ regedit

                 - ลบ scvhost : Click Edit Find พิมพ์ scvhsot ถ้าเจอให้กดปุ่ม Delete ลบได้เลย กดปุ่ม F3 ค้นจนจบ- ลบ ms32dll : เลื่อน Cursor กลับไปที่จุดเริ่มต้น My Computer Click Edit Find พิมพ์ ms32dll ถ้าเจอให้กดปุ่ม Delete ลบได้เลย กดปุ่ม F3 ค้นจนจบ

- แก้ไขให้ folder option กลับมาใช้ได้ :
แก้ไขค่า HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer กรอบด้านขวาหากพบว่าคีย์ NoFolderOptions ถูกกำหนดค่าเป็น 1 ให้ดับเบิ้ลคลิกบนคีย์ดังกล่าว แล้วแก้กลับเป็น 0ออกจากโปรแกรม Regedit

7. เปิด Windows Explorer Click Tools, Folder Options...และเปลี่ยนค่าตามรูป8. เปิด Folder Windows หรือ Winnt โดยคลิกขวาเลือก Explore (ห้ามใช้ Open หรือ Double Click) ให้ลบไฟล์ scvhsot.exe และ hinnem.scr โดยการคลิกขวาเลือก Delete

9. เปิด Folder Windows\System32 หรือ Winnt\System32 โดยคลิกขวาเลือก Explore (ห้ามใช้ Open หรือ Double Click) ให้ลบไฟล์ scvhsot.exe และ autorun.inf และ blastclnnn.exe โดยการคลิกขวาเลือก Delete

10. Click Start run พิมพ์ gpedit.msc กด Enter เลือก Admintrative Templates, System, Turn of AutoPlay แก้ไขค่าดังรูป เพื่อยกเลิกคำสั่ง AutoRunTips : บางครั้งคุณจะไม่สามารถยกเลิกการซ่อนไฟล์ได้ให้ทำการลบโดย Click Start เลือกคำสั่ง Run พิมพ์ cmd

1. ย้าย Directory ใช้งานไปที่ Folder Windows พิมพ์2. ค้นหาไฟล์ scvhsot.exe และ hinhem.scr พิมพ์ dir /ah    2.1 พิมพ์ attrib scvhsot.exe -h -s -r กด Enter

    2.2 พิมพ์ del scvhsot.exe กด Enter

    2.3 พิมพ์ attrib hinhem.scr -h -s -r กด Enter

    2.4 พิมพ์ del hinhem.scr กด Enter

   

    2.4 พิมพ์ dir /ah จะไม่เห็นไฟล์ scvhsot.exe และ hinhem.scr อีก

3. ย้าย Directory ใช้งานไปที่ Folder Windows\system32 พิมพ์ cd\windows\system32 กด Enter

    3.1 พิมพ์ dir /ah กด Enter ถ้าเจอไฟล์ scvhsot.exe และ autorun.inf และ blastclnnn.exe ให้ทำการลบทิ้งโดย
   
   

    3.1 พิมพ์ attrib scvhsot.exe -h -s -r กด Enter

    3.2 พิมพ์ del scvhsot.exe กด Enter

    3.3 พิมพ์ attrib autorun.inf -h -s -r กด Enter

    3.4 พิมพ์ del autorun.inf กด Enter

    3.5 พิมพ์ attrib blastclnnn.exe -h -s -r กด Enter

    3.6 พิมพ์ del blastclnnn.exe กด Enter

   

    3.7 พิมพ์ dir /ah จะไม่เห็นไฟล์ scvhsot.exe และ autorun.inf และ blastclnnn.exe อีก

Tips : เสร็จแล้วให้ค้นหาไฟล์นามสกุล .exe โดยกำหนดเงื่อนไขตามรูปTips :
เมื่อเจอให้ทำการลบไฟล์ (จะมีชื่อตามชื่อ Folder) .exe ที่ขนาด = 246KB ทิ้งได้เลย ให้สังเกต icon folder จะไม่คมชัด เหมือน icon folder ปกติ และมี Description Nhatquanglan ดังรูป

  ที่มา : Amornvit A.
  web : http://www.weblogs.dmh.go.th/index.php?/archives/32-W32Hakag-A,-SCVHSOT.EXE,-Nhatquanglan.html
  Key word : folder option, New folder.exe, task manager, ctrl+alt+delete, regedit,
 
ติดต่อบัณฑิตวิทยาลัย: ชั้น 3 อาคาร พิมล กลกิจ อ.เมือง จ.ขอนแก่น 40002 โทรศัพท์ 0-4320-2420 โทรสาร 0-4320-2421
บัณฑิตวิทยาลัย | มหาวิทยาลัยขอนแก่น   แนะนำ ติ-ชม หรือสอบถามรายละเอียดที่ e-mail :graduate@kku.ac.th