แก้ไวรัส KillVBS.vbs (VBS.PICA.M) หรือ HTTP:///

Killvbs.vbs ถูกสร้างโดย Visual Basic Script และถูกเรียกใช้งานโดย wscript.exe เป็น windows scripting host file ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว โดยจะสร้างไฟล์ autorun ลงบนแฮนดี้ไดร์ว พร้อมคัดลอกไฟล์ไวรัส killVBS.vbs ไปด้วย ไวรัสจะไม่แพร่กระจายตัวเองทางการแชร์ไฟล์ในเครือข่ายเหมือนกับไวรัสตระกูลเดียวกันที่เคยทำ เพื่อทำให้ผู้ใช้ตรวจพบยากขึ้น ซึ่งดูเหมือนไม่มีพิษภัยอะไร แต่ประมาณทุก 10 วินาที มันจะเช็คตัวเองตลอด ว่าไฟล์ killvbs ยังอยู่หรือไม่ ซึ่งทำให้เราไม่สามารถลบ killvbs ทิ้งไปได้ คือลบไปแล้วมันจะสร้างใหม่ตลอด ตรงนี้ cpu usage จะถูกใช้งานตลอดโดยไม่จำเป็น

อาการ

จะไปกันไวรัสพวก .vbs ไม่ให้มัน autorun ขึ้นมาเอง (ซึ่งดูเหมือนจะเป็นการดีกับเครื่องเรา แต่ไม่ดีอย่างที่คิดครับ และนี่ก็คงเป็นที่มาของชื่อของมัน) อย่างเวลาใช้แฟรชไดร์ฟก็จะเข้าหน้าต่างได้เลย แต่ถ้าติดเจ้า killvbs เราจะเข้าตรงๆไม่ได้เลย ต้องเลือก explore ถึงจะใช้ได้ ซึ่งตรงนี้น่ารำคาญมาก และบางครั้ง cpu usage จะจะขึ้นสูงผิดปกติ ทั้งๆ ที่เราไม่ได้เรียกใช้งานอะไรเลย และอีกอย่างที่สังเกตได้ง่ายๆ คือ ที่ Address บาร์ของ IE จะขึ้นค่าเริ่มต้นเป็น HTTP:///

วิธีการแก้ไข

ทำได้ 2 วิธี (เลือกเอาวิธีใดวิธีหนึ่งตามความเหมะสม หรือสะดวก)

วิธีที่ 1

1. ลุยเก็บมันเองกับมือ (แนะนำสำหรับผู้ใช้ที่มีความรู้ความชำนาญสูงกว่าระดับผู้ใช้งานทั่วไป)

1.1 ที่จะต้องทำคือต้องปิด wscript.exe เป็นอันดับแรกครับ กด Ctrl+Alt+Del เข้า Task Manager ไปทำการ end process ตัว wscript.exe (แต่เมื่อ end ไปแล้วเมื่อ restart เครื่องคอมใหม่มันก็กลับมาอีก)

1.2 ให้เอา Hide protected operating system file ออกก่อน จะได้โชว์ให้เราเห็นทั้งหมด แล้วค้นหาคำว่า killvbs ทุกไดร์ฟ ทั้งเครื่อง (ทั้งที่อยู่ในแฟรชไดร์ฟ หรือในเมมต่างๆ รวมถึงใน system32 เจอแล้วแล้วลบออกให้หมด) ส่วนมากจะอยู่ตรง dir ของเมมมันจะบันทีก id เอาไว้ ให้ลบ folder ที่เขียนว่า autorun ที่มีคำสังของ killvbs ออกไปด้วย เพราะถ้าเราเอาเมมที่ยังติด id นี้อยู่มันจะไปรันคำสั่ง wscript ขึ้นมาใหม่ ทำให้กลับมาเป็นเหมือนเดิม

1.3 เข้า regedit โดยไปที่ start > run > regedit.exe แล้ว Enter จากนั้นไปที่สับคีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

สังเกตดูช่องทางขวามือ จะเห็น
Userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

ให้แก้เป็น Userinit C:\WINDOWS\system32\userinit.exe,
คือลบเอาส่วนของ C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs ทิ้งไปนั่นเอง

1.4 ทำการ Restart เครื่อง

วิธีที่ 2

ใช้โปรแกรมหรือ Remover Tool จัดการมัน

Download killVBS.vbs_killer Now!

แตกไฟล์ที่ดาวน์โหลดมา แล้วรัน killVBS.vbs_killer จัดการมัน เสร็จแล้ว Restart เครื่อง