วิธีกำจัดไวรัสซ่อนโฟลเดอร์ในแฟลชไดร์ว Recycled.exe

0

Recycled.exe (Win32/AutoRun.FlyStudio.J worm)

พอดีมีเพื่อนที่ทำงานท่านหนึ่ง เครื่องที่บ้านเค้าติดไวรัสตัวนี้อยู่น่ะครับ แล้วเอามาแพร่ยังเครื่องที่ทำงานด้วย (แต่เครื่องที่ทำงานผมกำจัดมันเรียบร้อยแล้ว) และเค้าอยากให้ช่วยสอนวิธีกำจัดไวรัสตัวนี้ให้ แต่ถ้าบอกด้วยปากเปล่าคิดว่ายังไงก็คงจะแก้ไม่ได้แน่ เพราะเป็นแค่ผู้ใช้งานทั่วไป ก็เลยทำวิธีกำจัดเป็นเว็บเพจให้ไป และก็ถือโอกาสเอาวิธีกำจัดมาลงไว้ที่บ้านหลังนี้ด้วยครับ เผื่อเครื่องของท่านใดกำลังโดนไวรัสตัวนี้เล่นงานอยู่โดยไม่รู้ตัว.. จะได้แก้ไขได้ด้วยตัวเอง..

การทำงานของไวรัสชนิดนี้
ไวรัสชนิดนี้เท่าที่ผมสังเกต มันจะไม่ทำอันตรายกับโฟลเดอร์ใดๆในเครื่องเลย แต่จะฝังตัวเองไว้ในเครื่องคอมพิวเตอร์นั้นๆและทำการซ่อนโฟลเดอร์ต่างๆที่อยู่ในแฟลชไดร์วแทน และเมื่อเราเอาแฟลชไดร์วที่ติดไวรัสตัวนี้ไปเสียบเข้ากับคอมพิวเตอร์เครื่องอื่นๆไวรัสก็จะแพร่กระจายไปยังเครื่องคอมพิวเตอร์นั้นๆด้วย

+ เมื่อเสียบแฟลชไดร์วที่ไม่มีไวรัสเชื่อมต่อเข้ากับคอมพิวเตอร์ที่ติดไวรัส โดยเลือก Open folder to view files แล้วกด OK ไวรัสจะวิ่งเข้ามายังแฟลชไดร์วทันที

76001

+ ถ้าเปิด My Computer เพื่อจะเรียกใช้งานโฟลเดอร์ต่างๆที่อยู่ภายในแฟลชไดร์วจะพบว่าทุกอย่างปกติดี คิดว่าคงไม่มีไวรัสเป็นแน่

76002

+ แต่ถ้าสั่งโชว์ไฟล์ใน Folder Options ละก็ จะพบว่าโฟลเดอร์จริงๆนั้นโดนซ่อนเอาไว้ (โฟลเดอร์จริงๆจะกลายเป็นสีจางๆ) และจะมีไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์จริงๆขึ้นมาแทนที่ แต่มีนามสกุลต่อท้ายว่า .EXE

76003

เครื่องมือที่จำเป็น

HijackThis v2.0.2 สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส -> www.filehippo.com/download_hijackthis/

วิธีการกำจัดไวรัส Recycled.exe

1.กด Ctrl + Alt + Delete เพื่อเรียกใช้งาน Windows Task Manager

2.คลิกขวา Process ที่ชื่อ XP-XXXXXXXX.EXE อาจจะเหมือนหรือคล้ายๆอย่างในรูป เลือก End Process

76004

3.กด Yes เพื่อยืนยัน

76005

4.ติดตั้งโปรแกรม HijackThis แล้วเรียกโปรแกรมขึ้นมา แล้วกด Do a system scan only แล้วรอให้ HijackThis สแกนให้เสร็จ

76006

5.หาคีย์ที่มีชื่อคล้ายๆกับในรูปแล้วใส่เครื่องหมายถูกข้างหน้า แล้วกด Fix checked

76007

6.ถ้าสแกนดูอีกครั้งจะพบว่าค่าที่เคยใส่เครื่องหมายถูกไว้ ตอนนี้ไม่มีแล้ว

7.คลิก Start -> Control Panel -> ดับเบิลคลิก Folder Options แล้วตั้งค่าตามรูป

76008

7.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่โฟลเดอร์ C:\> WINDOWS > system32 แล้วหาไฟล์ที่ชื่อ XP-XXXXXXXX.EXE คลิกเลือกไฟล์ แล้วกดปุ่ม Shift + Delete

76009

8.และไวรัสตัวนี้จะซ่อนบางโฟลเดอร์ แล้วสร้างไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์ขึ้นมา แต่ถ้าสังเกตให้ดีจะพบว่าไฟล์ที่เลียนแบบเหมือนโฟลเดอร์นี้มีนามสกุลเป็น .EXE ขึ้นมาด้วย จะถูกเก็บไว้ในแฟลชไดร์วเท่านั้น ดังนั้นให้กำจัดไฟล์เหล่านี้ในแฟลชไดร์วด้วย

โดยคลิก Start -> Search แล้วตั้งค่าตามรูป เสร็จแล้วกด Search

76010

9.เลือกลบเฉพาะไฟล์ที่เลียนแบบตัวเองเหมือนโฟลเดอร์แต่มีนามสกุลต่อท้ายด้วย .EXE แล้วกดปุ่ม Shift + Delete ไฟล์จะไม่ไปค้างอยู่ใน Recycle Bin อีก และลบไฟล์ Autorun.inf, Recycled.exe ที่อยู่ในแฟลชไดร์วด้วยนะครับ

76011

10.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่ไดร์วของแฟลชไดร์วจะเห็นว่ามีโฟลเดอร์ถูกไวรัสซ่อนไว้โชว์ขึ้นมา ให้คลิกขวาที่ไฟล์เลือก Properties

76012

11.เอาเครื่องหมายถูกหน้าหัวข้อ Hidden ออก แล้วกด Apply -> OK แค่นี้ก็เสร็จเรียบร้อยแล้วคร้าบ

76013

Note. หลังจากนี้ควรติดตั้งโปรแกรมป้องกันไวรัส Autorun อย่างเช่น CPE17 Autorun Killer, Anti Removable Disk Virus (ARDV) จะป้องกันไวรัสที่แอบแฝงมากับแฟลชไดร์วได้ดีอีกทางหนึ่งด้วยครับ

Previous articleเขียนแผ่น VCD แต่เอาไปเปิดกับเครื่องเล่นไม่ได้?
Next articleวิธีง่ายๆของการติดตั้ง IE6 และ IE7 ไว้บนระบบเดียวกัน
ส่วนตัวชื่นชอบการเขียน, พัฒนาซอร์สโค้ดเว็บไซต์เป็นชีวิตจิตใจ ตลอดจนถึงอัพเดตเนื้อหาทริค, เทคนิคคอมพิวเตอร์ และข่าวสารเทคโนโลยีทุกอย่าง นอกเหนือจากการเคลียร์งานหลักเสร็จเรียบร้อย ก็จะมาทิ้งชีวิตให้กับ VarietyPC.net กันต่อแทบทุกวัน แต่บางครั้งอาจจะไม่ได้อัพเดตเนื้อหา เพราะต้องพัฒนาระบบการจัดการ Backend หลังบ้านไปด้วยและมีคนทำเพียงคนเดียว แม้จะไม่ได้รับผลตอบแทนจากแหล่งใดๆก็ตาม ตอนนี้เว็บไซต์เล็กๆแห่งนี้ก็ใกล้ย่างเข้าปีที่ 12 แล้วครับ และจะยังคงอยู่แชร์ความรู้กับพี่น้อง เพื่อนๆคนไทย และทั่วโลกตลอดไปครับ