Recycled.exe (Win32/AutoRun.FlyStudio.J worm)
พอดีมีเพื่อนที่ทำงานท่านหนึ่ง เครื่องที่บ้านเค้าติดไวรัสตัวนี้อยู่น่ะครับ แล้วเอามาแพร่ยังเครื่องที่ทำงานด้วย (แต่เครื่องที่ทำงานผมกำจัดมันเรียบร้อยแล้ว) และเค้าอยากให้ช่วยสอนวิธีกำจัดไวรัสตัวนี้ให้ แต่ถ้าบอกด้วยปากเปล่าคิดว่ายังไงก็คงจะแก้ไม่ได้แน่ เพราะเป็นแค่ผู้ใช้งานทั่วไป ก็เลยทำวิธีกำจัดเป็นเว็บเพจให้ไป และก็ถือโอกาสเอาวิธีกำจัดมาลงไว้ที่บ้านหลังนี้ด้วยครับ เผื่อเครื่องของท่านใดกำลังโดนไวรัสตัวนี้เล่นงานอยู่โดยไม่รู้ตัว.. จะได้แก้ไขได้ด้วยตัวเอง..
การทำงานของไวรัสชนิดนี้
ไวรัสชนิดนี้เท่าที่ผมสังเกต มันจะไม่ทำอันตรายกับโฟลเดอร์ใดๆในเครื่องเลย แต่จะฝังตัวเองไว้ในเครื่องคอมพิวเตอร์นั้นๆและทำการซ่อนโฟลเดอร์ต่างๆที่อยู่ในแฟลชไดร์วแทน และเมื่อเราเอาแฟลชไดร์วที่ติดไวรัสตัวนี้ไปเสียบเข้ากับคอมพิวเตอร์เครื่องอื่นๆไวรัสก็จะแพร่กระจายไปยังเครื่องคอมพิวเตอร์นั้นๆด้วย
+ เมื่อเสียบแฟลชไดร์วที่ไม่มีไวรัสเชื่อมต่อเข้ากับคอมพิวเตอร์ที่ติดไวรัส โดยเลือก Open folder to view files แล้วกด OK ไวรัสจะวิ่งเข้ามายังแฟลชไดร์วทันที
+ ถ้าเปิด My Computer เพื่อจะเรียกใช้งานโฟลเดอร์ต่างๆที่อยู่ภายในแฟลชไดร์วจะพบว่าทุกอย่างปกติดี คิดว่าคงไม่มีไวรัสเป็นแน่
+ แต่ถ้าสั่งโชว์ไฟล์ใน Folder Options ละก็ จะพบว่าโฟลเดอร์จริงๆนั้นโดนซ่อนเอาไว้ (โฟลเดอร์จริงๆจะกลายเป็นสีจางๆ) และจะมีไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์จริงๆขึ้นมาแทนที่ แต่มีนามสกุลต่อท้ายว่า .EXE
เครื่องมือที่จำเป็น
HijackThis v2.0.2 สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส -> www.filehippo.com/download_hijackthis/
วิธีการกำจัดไวรัส Recycled.exe
1.กด Ctrl + Alt + Delete เพื่อเรียกใช้งาน Windows Task Manager
2.คลิกขวา Process ที่ชื่อ XP-XXXXXXXX.EXE อาจจะเหมือนหรือคล้ายๆอย่างในรูป เลือก End Process
3.กด Yes เพื่อยืนยัน
4.ติดตั้งโปรแกรม HijackThis แล้วเรียกโปรแกรมขึ้นมา แล้วกด Do a system scan only แล้วรอให้ HijackThis สแกนให้เสร็จ
5.หาคีย์ที่มีชื่อคล้ายๆกับในรูปแล้วใส่เครื่องหมายถูกข้างหน้า แล้วกด Fix checked
6.ถ้าสแกนดูอีกครั้งจะพบว่าค่าที่เคยใส่เครื่องหมายถูกไว้ ตอนนี้ไม่มีแล้ว
7.คลิก Start -> Control Panel -> ดับเบิลคลิก Folder Options แล้วตั้งค่าตามรูป
7.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่โฟลเดอร์ C:\> WINDOWS > system32 แล้วหาไฟล์ที่ชื่อ XP-XXXXXXXX.EXE คลิกเลือกไฟล์ แล้วกดปุ่ม Shift + Delete
8.และไวรัสตัวนี้จะซ่อนบางโฟลเดอร์ แล้วสร้างไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์ขึ้นมา แต่ถ้าสังเกตให้ดีจะพบว่าไฟล์ที่เลียนแบบเหมือนโฟลเดอร์นี้มีนามสกุลเป็น .EXE ขึ้นมาด้วย จะถูกเก็บไว้ในแฟลชไดร์วเท่านั้น ดังนั้นให้กำจัดไฟล์เหล่านี้ในแฟลชไดร์วด้วย
โดยคลิก Start -> Search แล้วตั้งค่าตามรูป เสร็จแล้วกด Search
9.เลือกลบเฉพาะไฟล์ที่เลียนแบบตัวเองเหมือนโฟลเดอร์แต่มีนามสกุลต่อท้ายด้วย .EXE แล้วกดปุ่ม Shift + Delete ไฟล์จะไม่ไปค้างอยู่ใน Recycle Bin อีก และลบไฟล์ Autorun.inf, Recycled.exe ที่อยู่ในแฟลชไดร์วด้วยนะครับ
10.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่ไดร์วของแฟลชไดร์วจะเห็นว่ามีโฟลเดอร์ถูกไวรัสซ่อนไว้โชว์ขึ้นมา ให้คลิกขวาที่ไฟล์เลือก Properties
11.เอาเครื่องหมายถูกหน้าหัวข้อ Hidden ออก แล้วกด Apply -> OK แค่นี้ก็เสร็จเรียบร้อยแล้วคร้าบ
Note. หลังจากนี้ควรติดตั้งโปรแกรมป้องกันไวรัส Autorun อย่างเช่น CPE17 Autorun Killer, Anti Removable Disk Virus (ARDV) จะป้องกันไวรัสที่แอบแฝงมากับแฟลชไดร์วได้ดีอีกทางหนึ่งด้วยครับ