รายชื่อไวรัส และอาการ กับวิธีแก้ไข
Virus computer and virus remove
ไวรัส Brontok
ลักษณะอาการ
- Menu Folder Option จะหายไป
- จะเกิดไฟล์ .exe ชื่อเหมือน Folder ในทุก Folder ที่เปิดเข้าไปดู
-มีหน้าเวปขึ้นมาเขียนว่า Brontok
- ไม่สามารถเรียกใช้ Registry Editor และFolder Option ได้
วิธีแก้ไข
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode ( กด f8 รัวๆตอนรีบู๊ดเครื่อง)เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start upยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก
http://securityresponse.symantec.com...UnHookExec.inf
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesExplorer ลบค่า "NoFolderOptions" = "1
8. ไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%Start MenuProgramsStartup
ลบFile Empty.pif
10.ไปที่ %UserProfile%Templates ลบFile A.kotnorB.com
11.ไปที่ %Windir%inf ลบfile norBtok.exe
12. ไปที่%System% ลบfile 3D Animation.scr
ไวรัสคลิป VDO.EXE
เป็นไวรัสที่ไม่ได้สร้างความเสียหายร้ายแรงแก่ระบบเท ่าใดแต่สร้างความรำคาญให้แก่ผู้ใช้ที่ติดไวรัสชนิดนี ้มา โดยไวรัสชนิดนี้จะมีรูปร่างเหมือนFolderที่อยู่ในWin dows ทั่วๆไป แต่จะมีนามสกุลเป็น.exeทำให้เมื่อคลิกมัน ก็จะทำการฝังตัวไว้ใน C:WINDOWSsystem32 โดยจะทำการรันตัวมันเองขึ้นมาเรื่อยๆและสร้างไฟล์ คลิปVDO.exe ขึ้นมาใหม่เรื่อยๆ แม้ว่าจะทำการลบไฟล์ คลิปVDO.exe แล้วก็ตาม
วิธีแก้ไขไวรัส คลิปVDO.exe
1.เข้า windows task manager โดยกด Ctrl+Alt+Del ไปที่แทบ processes หาไฟล์ที่ชื่อ soundmsg.exe จากนั้นก็จัดการ end progress โดยการคลิ้กขวาเลือก end process หรือ กด delete แล้วตอบ yesไป
2. ลบไฟล์ คลิปVDO.exe
3. ไปที่ C:windowssystem32 แล้วหาไฟล์ soundmsg.exe หรือsearch หาไฟล์ soundmsg.exe
4.ไปที่Start menu->Run พิมพ์เข้า RegEdit เลือกที่HK_Local_MachineSoftwareMicrosoftWindowsCu rrentVersionRun ลบค่า Registry ที่ชื่อVirus test
5.ถ้าไวรัสติดที่Handy drive ให้เข้าSave Mode ของWindows แล้วเข้าไปลบไฟล์คลิปVDO.exe
Svchost.exe
เป็น Worm ชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการ Window ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host process ใช้รัน กับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem,Netman,NtmsSvc,RasMan โดยที่สามารถรันได้หลายๆ instance พร้อมกัน
อีกชื่อหนึ่งที่ใช้คือ W32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฎิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS
ขั้นตอนการทำงานของ W32.CodeBlue
1.เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:Inetpub/wwwroot/scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:Svchost.exe และเรียกใช้งาน
4. C:Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบ
W32.CodeBlue จะสร้างและแก้ไข
1.ทำการสร้างไฟล์ C:Svchost.exe และแก้ไข registry ดังนี้
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
2. สร้างไฟล์ชั่วคราวที่ C:d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:WINNTsystem32Wscript.exe
3.ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
4.ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน
วิธีตรวจสอบ
ในDrive C หรือ D จะมีFolder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมีFolder ต่างๆเช่น c , cpu ,n ,w และอื่นๆ
- ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือC:WINDOWSSvchost.exe
วิธีแก้ไข
1.ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้
ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3.ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs
Flashy.exe
ลักษณะอาการ
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้
-หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
-อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบFlash Driveเข้าไปหรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ (นามสกุล .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป
วิธีแก้ไข
1. ให้ใส่รหัสผ่าน คือ hacked
2. เข้าไปที่Task Manager เลือก Processes หาชื่อ Flashy.exe และ systemID.pif เลือกEnd Process
3. เนื่องจาก ไม่สามารถเข้าไปแก้ไขค่า Registry ในRun> regedit ได้ จึงต้องสร้างไฟล์เพื่อปลดล็อค regedit โดยการสร้าง Notepadแล้วพิมพ์ ดังนี้ โดย File สามารถใช้ปลดล็อค ได้กับทุกกรณีที่มีการล็อค regedit ที่เกิดจากไวรัสตัวอื่นๆ
เมื่อพิมพ์เสร็จก็ให้ save เป็นนามสกุล .inf หรือสามารถ Download โดยคลิ๊กที่ Link
http://securityresponse.symantec.com...UnHookExec.inf
เมื่อสร้าง หรือ Download เสร็จ ให้คลิกขวาแล้วเลือก install
4. ไปที่ Run พิมพ์ regedit แล้วให้ลบไฟล์ใน regedit ดังนี้
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion PoliciesExplorer ลบ "NoFolderOptions" = "1“
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "HideFileExt" = "1"
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "Hidden" = "2"
-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccess ลบ "Start" = "4"
-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run ลบ Flashy.exe
5. ไปที่Start MenuProgramsStartup ลบ systemID.pif
6. ไปที่ Run พิมพ์ msconfig เลือก start up เอาเช็คถูกหน้า systemIDออก
7. ไปที่ Run พิมพ์ regedit แล้วไปที่HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
โดยแก้ค่าRegistryดังนี้ (ถ้าไม่มีก็คลิกขาวเลือกNewเลือกString value)
"AutoAdminLogon"="1" "DefaultUserName"=“ชื่อผู้ใช้"
"DefaultPassword"hacked"
8. เปิด Show hidden File แล้วไปที่ C:WINDOWSsystem32 ลบ File ชื่อ Flashy.exe
9. หาแผ่น Hirens BootCD 8.1 โดยการโหลดจาก http://files.9down.com:8080/HBCD81%5...own.com%5D.rar
Writeลงแผ่นCD แล้วทำการ Boot เครื่องด้วย CD ให้เลือกหัวข้อ Password ข้อ 1. แล้วเลือก patition เลือก Account ที่จะล้าง Password และ ออกจากโปรแกรม
Toy.exe
ลักษณะอาการ
1.เมื่อเปิดเครื่องขึ้นมาหน้า Desktop จะมีภาษาจีนและ ภาษาอังกฤษขึ้นมา
2.ไม่สามารถ เข้า Local Disk ต่างๆได้ตามปกติรวมถึง Flash Drive ด้วยโดยจะดับเบิ้ลคลิ๊กเข้า Drive ต่างๆโดยตรงไม่ได้ ต้องคลิ๊กขวาแล้ว Open หรือ Explore เท่านั้น
วิธีแก้ไข
1.เข้าไปที่
C:/Document and Setting ชื่อ User Start Menu Program Startup
และ C:/WINDOWS/SYSTEM32
ลบFile ที่ชื่อ mslogon
2.ทำการ Restart เครื่อง
Windows Genuine (ตอนนี้ไมโครซอฟท์เอาจริงกับเรื่องนี้มาก หากคุณต่อเน็ตอยู่คงต้องเจอแน่ ๆๆ)
เนื่องจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP PRo ผิดลิขสิทธิ์ทั่วโลกกว่าครึ่งกำลังถูก Microsoft ตรวจสอบลิขสิทธิ์ทำให้ต้อง Format Harddisk ใหม่ทั้งหมด ผ่านทาง Windows Update ปัญหานี้เกิดจากตัวอัพเดตที่มีรหัส KB890859 โดยจะทำให้ user mode ของ Windows เกิดปัญหา จะเริ่มจาก Microsoft จะเข้ามาเตือนว่า Update พร้อมสำหรับ โหลดแล้ว (สำหรับผู้ที่ตั้งเป็น Notify me but don't download) เมื่อการอัพเดตเสร็จสมบูรณ์ Product Key จะถูกส่งไปยัง Microsoft Server เพื่อดูว่าผิดลิขสิทธิ์หรือไม่ หากผิด เมื่อเครื่องคุณ Restart แล้วก็จะไม่สามารถ Logon ได้ เครื่องจะมีหน้าจอสีฟ้า เกิดจากการแก้ไขไฟล์ในระดับ kernel ทำให้เกิด c000021a fatal error
วิธีแก้ไข 1
วิธีที่ 1 เข้า recovery console ของวินโดว์
1.Set Bios ให้เครื่องบูตจากซีดีรอม โดยใส่แผ่น setup ของวินโดว์ xp เอาไว้
2.เมื่อเครื่องบูตเข้าตัวเซ็ตอัพวินโดว์จนถึงหน้าที่ ให้เลือกเซ็ตอัพให้กด r เพื่อเข้าสู่ recovery console
3.เมื่อเข้าสู่ recovery console จะเป็นจอสีดำคล้าย DOS แล้วจะถามว่าต้องการทำงานกับไดรฟ์ไหน โดยจะมีรายการขึ้นมาให้กดตัวเลขเลือก เช่น [1]C:\WINDOWS ถ้าจะทำงานกับไดรฟ์นี้ก็กด 1 แล้วกด enter
4.ให้ใส่ Password ลงไป ถ้าไม่มีก็กด enter ผ่านไปเลย แล้วก็จะขึ้น C:\WINDOWS>
5. ให้เข้าไปในโฟลเดอร์ชื่อ $NtUninstallKB890859$ โดยพิมพ์ cd$NtUninstallKB890859$ แล้วกด enter ที่หน้าจอจะขึ้นC:\WINDOWS$NtUninstallKB890859$>
6. พิมพ์ dir แล้วกด enter จะมีรายชื่อไฟล์ขึ้นมาให้ดู ให้ copy ไฟล์ authz.dll, user32.dll, winsrv.dll, ntkrnlpa.exe, ntoskrnl.exe และ win32k.sys ไปไว้ที่ C:\WINDOWS\SYSTEM32
7.พิมพ์ copy authz.dll c:\windows\system32 แล้วกด enter จะถามว่าจะให้ overwrite ทับไฟล์ที่มีอยู่แล้วหรือไม่ ให้ตอบ yes โดยกด y ทำแบบนี้จนครบทุกไฟล์ คือ พิมพ์ copy ชื่อไฟล์ c:\windows\system32
เมื่อทำครบหมดทุกไฟล์แล้วให้พิมพ์ exit แล้วกดenterเครื่องจะรีสตาร์ตเอง
วิธีแก้ไข 2 (ผมใช้วิธีนี้ครับไดผลค่อนข้างดีแต่ไม่แน่ใจว่าจะกลับมาอีกหรือเปล่า ต้องรอดู)
1.เปิด Windows Task Manager.
2.กด End process wgatray.exe ใน Task Manager.
3.Restart Windows XP แล้วเข้า Safe Mode.
4.ลบFile WgaTray.exe จาก c:\Windows\System32.
5.ลบFile WgaTray.exe จาก c:\Windows\System32\dllcache.
6.ไปที่ Run พิมพ์ RegEdit.
7.ไปที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
8.ลบ folder ‘WgaLogon’ และทุก File
9.Reboot Windows XP.
ไวรัส Godzila
ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก
3)คลิก OK
3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name (เพื่อ sort File)
2)คลิกเลือกไฟล์ wscript.exe
3)คลิกปุ่ม End Process
5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive ด้วย
6.เปิดโฟลเดอร์ C:WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Registry Edit
8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> microsoft-->windows-->Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Group Policy
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซี ดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได ้ง่ายขึ้น
12.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders
2)คลิก OK
แล้วลองรีสตาร์ทเครื่องดูครับว่ายังเป็นอยู่ไหมครับ
ไวรัส AdobeR.exe Win32/RJump.A
วิธีกำจัด
ไวรัสตัวนี้ผมยังไม่เป็นมีใครเขียนวิธีแก้อย่างละเอี ยดครับ
ผมก็เลยช่วยเขียนแจกทุกที่โดนไวรัสตัวนี้ครับ
ไวรัสตัวนี้เท่าผมเคยเจอเนี่ยติดจากแฮนดี้ไดว์ฟครับ
้ก่อนจะบอกวิธีแก้บอกวิธีป้องกันก่อนละกันนะครับ
เราควรปิดไม่ให้แฮนดี้ไดว์ฟเปิดเองอัตโนมัติเวลาเสีย บ
เพราะปกติเสียบแฮนดี้ไดว์ฟปุ๊บ ก็จะเด้งขึ้นขึ้นมา
ถามเราว่าจะเปิดแฮนดี้ไดว์ฟด้วยโปรแกรมอะไรซึ่งหากว่ าในแฮนดี้ไดว์ฟนั้นมีไฟล์Autorun.inf
อยู่ มันก็จะเปิดตามคำสั่งที่อยู่ในไฟล์Autorun.infโดยอัต โนมัต
ซึ่งแล้วแต่ไวรัสว่ามันจะเขียนคำสั่งให้รันตัวไหนขึ้ นมาไฟล์Autorun.infสามารถเปิดอ่านได้โดยดับเบิ้ลคลิก ได้เลยไม่เป็นอันตรายครับ
วิธีปิดไม่ให้แฮนดี้ไดว์ฟเปิดเองอัตโนมัต
Start ----> Run ---> gpedit.msc ---->Computer
Configuration--->Administrative Templetes ----> system
--->ดูในช่องขวามือ ดับเบิ้ลคลิกคำว่า
Turn Off Auto play เลือกเป็น Enabled ในช่อง Turn Off Auto playon =
All drives กด OK เสร็จครับ แล้วเวลาเสียบแฮนดี้ไดว์ฟเข้า My computer
เพื่อความปลอดภัยอย่าไปดับเบิ้ลคลิกแฮนดี้ไดว์ฟนะครั บ
ควรคลิกขวาดูว่ามีคำว่า Auto หรือ Auto run ไหม หากมีอะใช่เลย
มีไวรัสแน่นอนครับ
ให้เราเลือกOpenนะครับ แล้วเราก็ไปลบไฟล์ ไปลบไฟล์ไวรัสในนั้นกันครับ
โดย ไปที่ My computer -->Tools --> Folder options -->View -->
หัวข้อ Hiden files and folder ใต้นั้นให้ติ๊กเลือก Show hiden file
and folder แล้วติ๊กถูกสองบรรทัดล่างออกด้วยครับ แล้วOK
(อย่าทำกลับคืนนะครับ)
แล้วคลิกขวาที่แฮนดี้ไดว์ฟ เลือก Open แล้วลบไฟล์ Autorun.inf
Adober.exe msvcr71.dll ravmonlog สังเกตง่ายมันจะจางๆอะครับ
หากลบไม่ได้แสดงว่าไวรัสมันทำงานอยู่นั่นหมายความว่า คุณเผลอดับเบิ้ลคลิกแฮนดี้ไดว์ฟ
ให้คุณกด Ctrl+Alt+Delete โปรแกรม Task Manager จะขึ้นมานะครับ
หลังจากนั้นให้คุณเลือกใน แถบProcesses หาโปรแกรมที่ชื่อว่า AdobeR.exe
หลังจากนั้นให้คุณกด End Task แล้วกด OKได้เลยครับ
แล้วก็ไปลบไฟล์AdobeR.exe ใน C:WINDOWS
แล้วก็ไปลบคำสั่งในรีจิสทรี้ครับ โดย
Start ----> Run --->regedit
-->HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
แล้วมองขวามือลบDWORDชื่อว่า RAVD
แล้วก็ปิดครับ ก็เสร็จแล้วครับ
--------------------------------------------------------------------------------------------------------------------
ความหมายของรหัส Blue Screen Code และวิธีแก้
Blue Screen Code คืออะไร? (เคยไหม? เวลาที่เราเล่นอยู่ดีๆ คอมก็มีจอสีน้ำเงินขึ้นและมีรหัส เช่น (stop code 0X0000002E) Data Bus Error หรืออาจจะมีรหัสอย่างอื่นอีก... แต่ละรหัสมันมีความหมายของมันครับ ไม่ใช่อยู่ดีๆก็ขึ้นมาเฉยๆ ไม่ต้องตกใจมันไม่ใช่ไวรัส แต่คอมของเรามีความผิดปกติในซอฟแวร์ ไม่ก็ฮาร์ดแวร์บางส่วน
1.(stop code 0X000000BE) Attempted Write To Readonly Memory
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดจากการลง driver หรือ โปรแกรม หรือ service ที่ผิดพลาด เช่น ไฟล์บางไฟล์เสีย ไดร์เวอร์คนละรุ่นกัน ทางแก้ไขให้ uninstall โปรแกรมตัวที่ลงก่อนที่จะเกิดปัญหานี้ ถ้าเป็นไดร์เวอร์ก็ให้ทำการ roll back ไดร์เวอร์ตัวเก่ามาใช้ หรือ หาไดร์เวอร์ที่ล่าสุดมาลง (กรณีที่มีใหม่กว่า) ถ้าเป็นพวก service ต่างๆที่เราเปิดก่อนเกิดปัญหาก็ให้ทำการปิด หรือ disable ซะ
2.(stop code 0X000000C2) Bad Pool Caller
สาเหตุและแนวทางแก้ไข:
ตัวนี้จะคล้ายกับตัวข้างบน แต่เน้นที่พวก hardware คือเกิดจากอัฟเกรดเครื่องพวก Hardware ต่าง เช่น ram ,harddisk การ์ดต่างๆ ไม่ compatible กับ XP ทางแก้ไขก็ให้เอาอุปกรณ์ที่อัฟเกรดออก ถ้าจำเป็นต้องใช้ก็ให้ลงไดร์เวอร์ หรือ อัฟเดท firmware ของอุปกรณ์นั้นใหม่ และคำเตือนสำหรับการจะอัฟเดท ให้ปิด anti-virus ด้วยนะครับ เดียวมันจะยุ่งเพราะพวกโปรแกรม anti-virus มันจะมองว่าเป็นไวรัส
3.(stop code 0X0000002E) Data Bus Error
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดจากการส่งข้อมูลที่เรียกว่า BUS ของฮาร์ดแวร์เสียหาย ซึ่งได้แก่ ระบบแรม ,cache L2 ของซีพียู , เมมโมรีของการ์ดจอ, ฮาร์ดดิสก์ทำงานหนักถึงขั้น error (ร้อนเกินไป) และเมนบอร์ดเสีย
4.(stop code 0X000000D1)Driver IRQL Not Less Or Equal
สาเหตุและแนวทางแก้ไข:
อาการไดร์เวอร์กับ IRQ(Interrupt Request ) ไม่ตรงกัน การแก้ไขก็เหมือนกับ error ข้อที่ 1
5. (stop code 0X0000009F)Driver Power State Failure
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดจาก ระบบการจัดการด้านพลังงานกับไดรเวอร์ หรือ service ขัดแย้งกัน เมื่อคุณให้คอมทำงานแบบ"hibernate" แนวทางแก้ไข ถ้าวินโดวส์แจ้ง error ไดร์เวอร์หรือ service ตัวไหนก็ให้ uninstall ตัวนั้น หรือจะใช้วิธี Rollback driver หรือ ปิดระบบจัดการพลังงานของวินโดวส์ซะ
6.(stop code 0X000000CE) Driver Unloaded Without Cancelling Pending Operations
สาเหตุและแนวทางแก้ไข:
อาการไดร์เวอร์ปิดตัวเองทั้งๆ ทีวินโดวส์ยังไม่ได้สั่ง การแก้ไขให้ทำเหมือนข้อ 1
7.(stop code 0X000000F2)Hardware Interrupt Storm
สาเหตุและแนวทางแก้ไข:
อาการที่เกิดจากอุปกรณ์ฮาร์ดแวร์ เช่น USB หรือ SCSI controller จัดตำแหน่งกับ IRQ ผิดพลาด สาเหตุจากไดร์เวอร์หรือ firmware การแก้ไขเหมือนกับข้อ 1
8.(stop code 0X0000007B)Inaccessible Boot Device
สาเหตุและแนวทางแก้ไข:
อาการนี้จะมักเจอตอนบูตวินโดวส์ จะมีข้อความบอกว่าไม่สามารถอ่านข้อมูลของไฟล์ระบบหรื อ boot partitions ได้ ให้ตรวจฮาร์ดดิสก์ว่าปกติหรือไม่ สายแพหรือสายไฟที่เข้าฮาร์ดดิสก์หลุดหรือไม่ ถ้าปกติดีก็ให้ตรวจไฟล์ boot.ini อาจจะเสีย หรือไม่ก็มีการทำงานแบบmulti OS ให้ตรวจดูว่าที่ไฟล์นี้อาจเขียน config ของ OS ขัดแย้งกัน
อีกกรณีหนึ่งที่เกิด error นี้ คือเกิดขณะ upgrade วินโดวส์ สาเหตุจากมีอุปกรณ์บางตัวไม่ compatible ให้ลองเอาอุปกรณ์ที่ไม่จำเป็นหรือคิดว่ามีปัญหาออก เมื่อทำการ upgrade วินโดวส์ เรียบร้อย ค่อยเอาอุปกรณ์ที่มีปัญหาใส่กลับแล้วติดตั้งด้วยไดร์ เวอร์รุ่นล่าสุด
9. (stop code 0X0000007A) Kernel Data Inpage Error
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดมีปัญหากับระบบ virtual memory คือวินโดวส์ไม่สามารถอ่านหรือเขียนข้อมูลที่ swapfile ได้ สาเหตุอาจเกิดจากฮาร์ดดิสก์เกิด bad sector, เครื่องติดไวรัส, ระบบ SCSI ผิดพลาด, RAM เสีย หรือ เมนบอร์ดเสีย
10. (stop code 0X00000077) Kernel Stack Inpage Error
สาเหตุและแนวทางแก้ไข:
อาการและสาเหตุเดียวกับข้อ 9
11.(stop code 0X0000001E) Kmode Exception Not Handled
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดการทำงานที่ผิดพลาดของไดร์เวอร์ หรือ service กับ หน่วยความจำ และ IRQ ถ้ามีรายชื่อของไฟล์หรือ service แสดงออกมากับ error นี้ให้ทำการ uninstall โปรแกรมหรือทำการ roll back ไดร์เวอร์ตัวนั้น
ถ้ามีการแจ้งว่า error ที่ไฟล์ win32k สาเหตุเกิดจาก การ control software ของบริษัทอื่นๆ (Third-party) ที่ไม่ใช้ของวินโดวส์ ซึ่งมักจะเกิดกับพวก Networking และ Wireless เป็นส่วนใหญ่
Error นี้อาจจะเกิดสาเหตุอีกอย่าง นั้นคือการ run โปรแกรมต่างๆ แต่หน่วยความจำไม่เพียงพอ
12.(stop code 0X00000079)Mismatched Hal
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดการทำงานผิดพลาดของ Hardware Abstraction Layer (HAL) มาทำความเข้าใจกับเจ้า HAL ก่อน HAL มีหน้าที่เป็นตัวจัดระบบติดต่อระหว่างฮาร์ดแวร์กับซอ ฟท์แวร์ว่าแอปพลิเคชั่นตัวไหนวิ่งกับอุปกรณ์ตัวไหนให ้ถูกต้อง ยกตัวอย่าง คุณมีซอฟท์แวร์ที่ออกแบบไว้ใช้กับ Dual CPU มาใช้กับเมนบอร์ดที่เป็น Single CPU วินโดว์ก็จะไม่ทำงาน วิธีแก้คือ reinstall วินโดวส์ใหม่
สาเหตุอีกประการการคือไฟล์ที่ชื่อ NToskrnl.exe หรือ Hal.dll หมดอายุหรือถูกแก้ไข ให้เอา Backup ไฟล์ หรือเอา original ไฟล์ที่คิดว่าไม่เสียหรือเวอร์ชั่นล่าสุดก๊อปปี้ทับไ ฟล์ที่เสีย
13.(stop code 0X0000003F)No More System PTEs
สาเหตุและแนวทางแก้ไข:
อาการนี้เกิดจากระบบ Page Table Entries (PTEs) ทำงานโดย Virtual Memory Manager (VMM) ผิดพลาด ทำให้วินโดวส์ทำงานโดยไม่มี PTEs ซึ่งเป็นสิ่งจำเป็นสำหรับวินโดวส์ อาการนี้มักจะเกิดกับการที่คุณทำงานแบบ multi monitors
ถ้าคุณเกิดปัญหานี้บ่อยครั้ง คุณสามารถปรับแต่ง PTEs ได้ใหม่ ดังนี้
1. ให้เปิด Registry ขึ้นมาแก้ไข โดยไปที่ Start > Run แล้วพิมพ์คำสั่ง Regedit
2. ไปตามคีย์นี้ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSe ssion ManagerMemory Management
3. ให้ดูที่หน้าต่างขวามือ ดับคลิกที่ PagedPoolSize ให้ใส่ค่าเป็น 0 ที่ Value data และคลิก OK
4. ดับเบิลคลิกที่ SystemPages ถ้าคุณใช้ระบบจอแบบ Multi Monitor ให้ใส่ค่า 36000 ที่ Value data หรือใส่ค่า 40000 ถ้าเครื่องคุณมี RAM
128 MB และค่า 110000 ในกรณีที่เครื่องมี RAM เกินกว่า 128 MB แล้วคลิก OK
รีสตาร์ทเครื่อง
14.(stop code 0X00000024) NTFS File System
สาเหตุและแนวทางแก้ไข:
อาการนี้สาเหตุเกิดจากการรายงานผิดพลาดของ Ntfs.sys คือไดร์เวอร์ของ NTFS อ่านและเขียนข้อมูลผิดพลาด สาเหตูนี้รวมถึง การทำงานผิดพลาดของ controller ของ IDE หรือ SCSI เนื่องจากการทำงานของโปรแกรมสแกนไวรัส หรือ พื้นที่ของฮาร์ดดิสก์เสีย คุณๆสามารถทราบรายละเอียดของerror นี้ได้โดยให้เปิดดูที่ Event Viewer วิธีเปิดก็ให้ไปที่ start > run แล้วพิมพ์คำสั่ง eventvwr.msc เพื่อเปิดดู Log file ของการ error โดยให้ดูการ error ของ SCSI หรือ FASTFAT ในหมวด System หรือ Autochk ในหมวด Application
15.(stop code 0X00000050)Page Fault In Nonpaged Area
สาเหตุและแนวทางแก้ไข:
อาการนี้สาเหตุการจากการผิดพลาดของการเขียนข้อมูลในแ รม การแก้ไขก็ให้ทำความสะอาดขาแรมหรือลองสลับแรมดูหรือไ ม่ก็หาโปรแกรมที่ test แรมมาตรวจว่าแรมเสียหรือไม่[/h
16.(stop code 0Xc0000221)Status Image Checksum Mismatch
สาเหตุและแนวทางแก้ไข:
อาการนี้สาเหตุมาจาก swapfile เสียหายรวมถึงไดร์เวอร์ด้วย การแก้ไขก็เหมือนข้อ 15
17.(stop code 0X000000EA) Thread Stuck In Device Driver
สาเหตุและแนวทางแก้ไข:
อาการของ error นี้คือการทำงานของเครื่องจะทำงานในแบบวนซ้ำๆ กันไม่สิ้นสุด เช่นจะรีสตร์ทตลอด หรือแจ้งerror อะไรก็ได้ขึ้นมาไม่หยุด ปัญหานี้ สาเหตุอาจจะเกิดจาก bug ของโปรแกรมหรือสาเหตุอื่นๆ เป็นร้อย การแก้ไขให้พยายามทำตามนี้
1.ให้ดูที่ power supply ของคุณว่าจ่ายกำลังไฟเพียงพอกับความต้องการของคอมคุณ หรือไม่ ให้ดูว่าในเครื่องคุณมีอุปกรณ์มากไปไม่เหมาะกับ power supply ของคุณ ก็ให้เปลื่ยนตัวใหม่ให้กำลังมากขึ้น ปัญหานี้ผมเคยมีประสพการณ์แล้ว 2 ครั้ง คือ
2. ให้คุณดูที่การ์ดจอว่าได้ใช้ไดร์เวอร์ตัวล่าสุด ถ้าแน่ใจว่าใช้ตัวล่าสุดแล้วยังมีอาการ ก็ให้ทำการ Rollback ไดร์เวอร์ตัวก่อนที่จะเกิดปัญหา
3. ตรวจดูการ์ดจอและเมนบอร์ดว่าเสียหรือไม่เช่น มีรอยไหม้, ลายวงจรขาด มีชิ้นสวนบางชิ้นหลุดจากตำแหน่งเดิม เป็นต้น
4. ดูที่ bios ว่าส่วนของ VGA slot เลือกโหมด 4x,8x ถูกตามสเปกของการ์ดหรือไม่
5. เช็คดูที่ผู้ผลิตเมนบอร์ดว่ามีไดร์เวอร์ตัวใหม่หรือไ ม่ ถ้ามีให้โหลดลงใหม่ซะ
6. ถ้าคุณมีการ์ดแลนหรือเมนบอร์ดของคุณมี on board อยู่ให้ disable ฟังก์ชั่น "PXE Resume/Remote Wake Up" โดยไปปิดที่ BIOS
18. (stop code 0X0000007F) unexpected Kernel Mode Trap
สาเหตุและแนวทางแก้ไข:
อาการนี้ส่วนใหญ่จะเป็นกับนัก overclock (ผมก็คนหนึ่ง) เป็นอาการ RAM ส่งข้อมูลให้ CPU ไม่สัมพันธ์กันคือ CPU วิ่งเร็วเกินไป หรือร้อนเกินไปสาเหตุเกิดจากการ overclock วิธีแก้ก็คือลด clock ลงมาให้เป็นปกติ หรือ หาทางระบายความร้อนจาก CPU ให้มากที่สุด
19. (stop code 0X000000ED)Unmountable Boot Volume
สาเหตุและแนวทางแก้ไข:
อาการที่วินโดวส์หาฮาร์ดดิสก์ไม่เจอ (ไม่ใช่ตัวบูตระบบ) ในกรณีที่คุณมีฮาร์ดดิสก์หลายตัว หนึ่งในนั้นคุณอาจใช้สายแพของฮาร์ดดิสก์ผิด เช่น ฮาร์ดดิสก์เป็นแบบ 33MB/secound ซึ่งต้องใช้สายแพ 40 pin แต่คุณเอาแบบ 80 pin ไปต่อแทน
Credit http://www.jpp-thai.com/bb.php?topic=74
ไม่มีความคิดเห็น:
แสดงความคิดเห็น