วิธีแก้ไวรัส ckvo.exe,hgu.bat

ไวรัสตัวนี้ผมยกให้เป็นไวรัส ที่ซ่อนตัวเก่งที่สุดเท่าที่ผมเคยเจอมาเลยครับ โปรแกรมเช็คไวรัสที่ผมใช้อยู่มองไม่เห็นไวรัสตัวนี้เลยครับ
ผมได้ไวรัสตัวนี้มาจากการซ่อมคอมออนไลน์ให้ท่านหนึ่ง ผมเข้าไปคุมเครื่องแล้วก็ใช้ Hijack this เช็คดูก็เจอ
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
ผมก็ใช้ hijack this แก้ไม่ให้มันเปิดขึ้นมาอีกแล้วรีสตาร์าทเครื่อง ก็ไม่พบบรรทัดนี้ใน Hijack this แล้ว
แต่ไหงผมเซตเปิดให้แสดงไฟล์ที่ซ่อนไม่ได้
ใช้โปรแกรม Security Task Manager เช็คแล้วไม่มีโปรเซสอะไรน่าสงสัยเล้ย


จึงได้รู้ข้อมูลเพียงแต่ว่า ติดไวรัส ckvo.exe แล้วจะทำไงดีละ เซตให้แสดงไฟล์ที่ซ่อนก็ไม่ได้
ลองกดปุ่มค้นหาไฟล์ โดยพิมพ์ชื่อไฟล์ autorun.inf ก็แล้ว ckvo.exe ก็แล้วก็ไม่พบตัวมัน
ผมก็เลยใช้โปรแกรม นีโร เพื่อดูไฟล์ที่ซ่อนอยู่ ก็พบไฟล์ autorun.inf กับไฟล์ hgu.bat มีอยู่ในทุกไดว์ฟครับ
แล้วผมก็ไรท์ไฟล์ไวรัส เป็น image ไฟล์แล้วใช้ deamon tool เปิดแล้วก็ก๊อปไฟล์ไฟล์ไวรัสไว้หน้าจอแล้ว ส่งไวรัสให้ตัวเอง
แล้ว ก็ลองติดที่เครื่องตัวเอง ใช้เวลาแก้ราว 20 นาทีได้ ก็เสร็จครับ ไวรัสตัวนี้ติดนานๆไม่ดีแน่ครับ เพราะว่าผมดูคำสั่งมันแล้ว
มันจะพยายามเขียนไฟล์ไวรัส ทับไฟล์ไดว์ฟเวอร์ของเราด้วยครับ หากติดนานจึงจะขึ้นประมาณ

เพราะไฟล์ของระบบมีการเปลี่ยนแปลงวินโดว์จึงป้องกันตัวเอง โดยมีหน้าต่างให้เราใส่แผ่น วินโดว์แล้ว กด OK ครับ
หาแผ่นวินโดว์มาใส่แล้วกด OK ด้วยนะครับ เพื่อที่ไฟล์ของระบบจะได้ไม่โดนไวรัสเข้าไปฝังตัวอยู่ครับ ไวรัสตัวนี้ติดผ่านแฟลชไดว์ฟนะครับ หรืออาจจะมีบางเวบที่หลอกว่าเป็นไฟล์ แครก ไฟล์โกงเกมส์หลอกให้เราโหลดมา ไวรัสตัวนี้โปรแกรมแอนตี้ไวรัส NOd32 v.3.0.657
กับ kaspersky 7.0 อัฟเดทแล้วทั้งคู่ก็ยังไม่รู้จักเลยนะครับ นอกจากเขียนโค๊ดให้ตัวมันซ่อนได้แล้ว ยังสามารถเขียนโค๊ด
ไม่ให้โปรแกรมแอนตี้ไวรัสชื่อดัง จับ่ได้อีกต่างหาก เก่งมากๆเลยครับ ใครกันน้อ

วิธีแก้ครับ โหลดตัวช่วยแก้มาก่อนครับ Hijack This Kill Box Fix_Show_Hidden

หากมีแฟลชไดว์ฟที่ติดไวรัส ตัวนี้อยู่ให้เสียบแฟลชไดว์ฟไว้ด้วยเลยนะครับ
แล้วเปิด hijack this ขึ้นมา กด Ok แล้ว กด ปุ่มที่สอง แล้วคลิกถูกหน้าบรรทัดที่มีชื่อไวรัส
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
แล้วกดปุ่ม Fix checked ข้างล่าง

แล้วเปิดโปรแกรม Kill box ขึ้นมา หากเปิดแล้วขึ้นเออเร่อประมาณว่าเกี่ยวกับไฟล์ MSCOMCTL.OCX ให้ โหลดไฟล์ MSCOMCTL.OCX
แล้วเอาไปใส่ไว้ C:\WINDOWS\system32 แล้วเปิดโปรแกรม Kill Box อีกครั้ง เมื่อเปิดได้แล้วให้ ใส่ข้อความ
C:\WINDOWS\system32\ckvo.exe ในช่องตามรูปแล้วคลิกเลือก Delete on Reboot แล้วคลิกถูกหน้า End Explorer .............
แล้วกด กากบาทสีแดง แล้วกด Yes แล้วจะนับถอยหลัง เพื่อรีสตาร์ทครับ

ปล.หากบูตไม่ขึ้นให้เอาแฟลชไดว์ฟออกก่อนครับ แล้วพอขึ้นโลโก้วินโดว์ XP ค่อยเอาเสียบครับ
เพราะวิธีแก้ในตอนแรกนั้นผมให้เสียบแฟลชไดว์ฟไว้รอเลย กลัวบางเครื่องจะบูตจากแฟลชไดว์ฟเลยทำให้บูตไม่ขึ้นครับ
หากไม่ได้เสียบก็ไม่เป็นไรครับ

เมื่อรีสตาร์ทขึ้นมาให้เปิดโปรแกรม Fix_Show_Hidden เพื่อเซตแสดงไฟล์ที่ซ่อนครับ แล้วเข้า My computer ไปคลิกที่ Tool
Folder Option ------>View --->คลิกเลือก Show hidden file and folder แล้วเอาเครื่องหมายถูกสองบรรทัดใต้นั้นออกด้วยครับ


แล้วก็เข้าไดว์ฟต่างๆ โดยการพิมพ์ชื่อไดว์ฟครับ ห้ามดับเบิ้ลคลิกไดว์ฟโดยเด็ดขาดครับเช่นไดว์ฟ ซี ก็พิมพ์ C: แล้ว เอนเทอร์
พิมพ์ในช่อง Address ดังรูปครับ

แล้วจะเห็นไฟล์ไวรัส ชื่อ autorun.inf กับ hgu.bat ครับ ให้ลบทิ้งเลยครับ แค่สองไฟล์นี้นะครับ ห้ามลบไฟล์เกินกว่านี้ครับ
ให้ทำแบบนี้กับทุกไดว์ฟเลยครับ รวมทั้งแฟลชไดว์ฟด้วยครับ

แล้วเข้าไปที่ไดว์ฟ C:\WINDOWS\system32\ ลบไฟล์ ckvo0.dll หรือหากมี ckvo1.dll หรือ ckvo.dll ให้ลบออกด้วยเลยครับ มันจะอยู่ใกล้ๆกันครับ

แล้วตอนนี้ไวรัสก็ได้ถูกลบออกไปจากเครื่องแล้วครับ ต่อไปก็ปิดการแสดงไฟล์ที่ซ่อนด้วยครับ เพราะเราจะเปิดแสดงไฟล์ที่ซ่อน
ตอนที่เราจะหาไวรัสเท่านั้นครับ

แนวทางการป้องกัน เพื่อป้องกันไวรัสตัวนี้จากแฟลชไดว์ฟนั้นต้องติดตั้งโปรแกรมป้องกันไวรัส autorun ครับ
แนะนำของ CPE17 ครับ

เขียนเมื่อเวลา ตี2 57 นาทีของวันที่9กค แต่ตีสองแล้วก็กลายเป็นเขียนวันที่ 10 กค 2551 ครับ
เขียนวิธีแก้โดยช่างป่าน น่าจะเป็นคนแรกที่เขียนวิธีแก้ได้ครับ ลองค้นดูแล้วไม่มีใครเขียนวิธีแก้เลยครับ
ข้อมูลเมื่อวันที่ 10 กค 2551 โปรแกรม แอนตี้ไวรัส AVG Nod32 Kaspersky ยังไม่รู้จักไวรัสตัวนี้ครับ
หากทำตามแล้วไม่ได้มีปัญหาติดขัดในการแก้ไขไวรัส ตัวนี้ โทรมาปรึกษาได้ 24 ชั่วโมงครับ 089-7003025
www.webphand.com เวบไซต์แนะแนวทางการแก้ไขไวรัส โดยไม่พึ่งโปรแกรมแอนตี้ไวรัส