- สมัครสมาชิกเมื่อ
- 2009-1-12
- เข้าระบบล่าสุด
- 2010-9-23
- จิตพิศัย
- 437
- เงินสด
- 49893
- โพสต์แล้ว
- 171
- UID
- 670
 
- สมัครสมาชิกเมื่อ
- 2009-1-12
- เข้าระบบล่าสุด
- 2010-9-23
- จิตพิศัย
- 437
- เงินสด
- 49893
- โพสต์แล้ว
- 171
- UID
- 670
|
- บทความจาก : http://www.varietypc.net
Recycled.exe (Win32/AutoRun.FlyStudio.J worm)
พอดีมีเพื่อนที่ทำงานท่านหนึ่งเครื่องที่บ้านเค้าติดไวรัสตัวนี้อยู่น่ะครับแล้วเอามาแพร่ยังเครื่องที่ทำงานด้วย(แต่เครื่องที่ทำงานผมกำจัดมันเรียบร้อยแล้ว)และเค้าอยากให้ช่วยสอนวิธีกำจัดไวรัสตัวนี้ให้แต่ถ้าบอกด้วยปากเปล่าคิดว่ายังไงก็คงจะแก้ไม่ได้แน่เพราะเป็นแค่ผู้ใช้งานทั่วไป ก็เลยทำวิธีกำจัดเป็นเว็บเพจให้ไปและก็ถือโอกาสเอาวิธีกำจัดมาลงไว้ที่บ้านหลังนี้ด้วยครับเผื่อเครื่องของท่านใดกำลังโดนไวรัสตัวนี้เล่นงานอยู่โดยไม่รู้ตัว..จะได้แก้ไขได้ด้วยตัวเอง..
การทำงานของไวรัสชนิดนี้
ไวรัสชนิดนี้เท่าที่ผมสังเกตมันจะไม่ทำอันตรายกับโฟลเดอร์ใดๆในเครื่องเลยแต่จะฝังตัวเองไว้ในเครื่องคอมพิวเตอร์นั้นๆและทำการซ่อนโฟลเดอร์ต่างๆที่อยู่ในแฟลชไดร์วแทนและเมื่อเราเอาแฟลชไดร์วที่ติดไวรัสตัวนี้ไปเสียบเข้ากับคอมพิวเตอร์เครื่องอื่นๆไวรัสก็จะแพร่กระจายไปยังเครื่องคอมพิวเตอร์นั้นๆด้วย
+ เมื่อเสียบแฟลชไดร์วที่ไม่มีไวรัสเชื่อมต่อเข้ากับคอมพิวเตอร์ที่ติดไวรัส โดยเลือก Open folder to view files แล้วกด OK ไวรัสจะวิ่งเข้ามายังแฟลชไดร์วทันที
+ ถ้าเปิด My Computer เพื่อจะเรียกใช้งานโฟลเดอร์ต่างๆที่อยู่ภายในแฟลชไดร์วจะพบว่าทุกอย่างปกติดี คิดว่าคงไม่มีไวรัสเป็นแน่
+ แต่ถ้าสั่งโชว์ไฟล์ใน Folder Options ละก็จะพบว่าโฟลเดอร์จริงๆนั้นโดนซ่อนเอาไว้ (โฟลเดอร์จริงๆจะกลายเป็นสีจางๆ)และจะมีไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์จริงๆขึ้นมาแทนที่แต่มีนามสกุลต่อท้ายว่า .EXE
เครื่องมือที่จำเป็น
HijackThis v2.0.2 สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส -> Download
วิธีการกำจัดไวรัส Recycled.exe
1.กด Ctrl + Alt + Delete เพื่อเรียกใช้งาน Windows Task Manager
2.คลิกขวา Process ที่ชื่อ XP-XXXXXXXX.EXE อาจจะเหมือนหรือคล้ายๆอย่างในรูป เลือก End Process
3.กด Yes เพื่อยืนยัน
4.ติดตั้งโปรแกรม HijackThis แล้วเรียกโปรแกรมขึ้นมา แล้วกด Do a system scan only แล้วรอให้ HijackThis สแกนให้เสร็จ
5.หาคีย์ที่มีชื่อคล้ายๆกับในรูปแล้วใส่เครื่องหมายถูกข้างหน้า แล้วกด Fix checked
6.ถ้าสแกนดูอีกครั้งจะพบว่าค่าที่เคยใส่เครื่องหมายถูกไว้ ตอนนี้ไม่มีแล้ว
7.คลิก Start -> Control Panel -> ดับเบิลคลิก Folder Options แล้วตั้งค่าตามรูป
7.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่โฟลเดอร์ C:> WINDOWS > system32 แล้วหาไฟล์ที่ชื่อ XP-XXXXXXXX.EXE คลิกเลือกไฟล์ แล้วกดปุ่ม Shift + Delete
8.และไวรัสตัวนี้จะซ่อนบางโฟลเดอร์แล้วสร้างไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์ขึ้นมาแต่ถ้าสังเกตให้ดีจะพบว่าไฟล์ที่เลียนแบบเหมือนโฟลเดอร์นี้มีนามสกุลเป็น .EXE ขึ้นมาด้วย จะถูกเก็บไว้ในแฟลชไดร์วเท่านั้น ดังนั้นให้กำจัดไฟล์เหล่านี้ในแฟลชไดร์วด้วย
โดยคลิก Start -> Search แล้วตั้งค่าตามรูป เสร็จแล้วกด Search
9.เลือกลบเฉพาะไฟล์ที่เลียนแบบตัวเองเหมือนโฟลเดอร์แต่มีนามสกุลต่อท้ายด้วย .EXE แล้วกดปุ่ม Shift + Delete ไฟล์จะไม่ไปค้างอยู่ใน Recycle Binอีก และลบไฟล์ Autorun.inf, Recycled.exe ที่อยู่ในแฟลชไดร์วด้วยนะครับ
10..เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore->เข้าไปที่ไดร์วของแฟลชไดร์วจะเห็นว่ามีโฟลเดอร์ถูกไวรัสซ่อนไว้โชว์ขึ้นมาให้คลิกขวาที่ไฟล์เลือก Properties
11.เอาเครื่องหมายถูกหน้าหัวข้อ Hidden ออก แล้วกด Apply -> OK แค่นี้ก็เสร็จเรียบร้อยแล้วคร้าบ
Note. หลังจากนี้ควรติดตั้งโปรแกรมป้องกันไวรัสAutorun อย่างเช่น CPE17 Autorun Killer, Anti Removable Disk Virus(ARDV) จะป้องกันไวรัสที่แอบแฝงมากับแฟลชไดร์วได้ดีอีกทางหนึ่งด้วยครับ |
|
โพสต์เมื่อ 2009-7-5 03:14
| แสดงเฉพาะโพสต์ของผู้ใช้นี้
โพสต์เมื่อ 2010-5-21 10:11
| แสดงเฉพาะโพสต์ของผู้ใช้นี้
โพสต์เมื่อ 2009-5-6 00:01
| 
