วิธีกำจัดไวรัสซ่อนโฟลเดอร์ในแฟลชไดร์ว Recycled.exe

0
3944

Recycled.exe (Win32/AutoRun.FlyStudio.J worm)

พอดีมีเพื่อนที่ทำงานท่านหนึ่ง เครื่องที่บ้านเค้าติดไวรัสตัวนี้อยู่น่ะครับ แล้วเอามาแพร่ยังเครื่องที่ทำงานด้วย (แต่เครื่องที่ทำงานผมกำจัดมันเรียบร้อยแล้ว) และเค้าอยากให้ช่วยสอนวิธีกำจัดไวรัสตัวนี้ให้ แต่ถ้าบอกด้วยปากเปล่าคิดว่ายังไงก็คงจะแก้ไม่ได้แน่ เพราะเป็นแค่ผู้ใช้งานทั่วไป ก็เลยทำวิธีกำจัดเป็นเว็บเพจให้ไป และก็ถือโอกาสเอาวิธีกำจัดมาลงไว้ที่บ้านหลังนี้ด้วยครับ เผื่อเครื่องของท่านใดกำลังโดนไวรัสตัวนี้เล่นงานอยู่โดยไม่รู้ตัว.. จะได้แก้ไขได้ด้วยตัวเอง..

การทำงานของไวรัสชนิดนี้
ไวรัสชนิดนี้เท่าที่ผมสังเกต มันจะไม่ทำอันตรายกับโฟลเดอร์ใดๆในเครื่องเลย แต่จะฝังตัวเองไว้ในเครื่องคอมพิวเตอร์นั้นๆและทำการซ่อนโฟลเดอร์ต่างๆที่อยู่ในแฟลชไดร์วแทน และเมื่อเราเอาแฟลชไดร์วที่ติดไวรัสตัวนี้ไปเสียบเข้ากับคอมพิวเตอร์เครื่องอื่นๆไวรัสก็จะแพร่กระจายไปยังเครื่องคอมพิวเตอร์นั้นๆด้วย

+ เมื่อเสียบแฟลชไดร์วที่ไม่มีไวรัสเชื่อมต่อเข้ากับคอมพิวเตอร์ที่ติดไวรัส โดยเลือก Open folder to view files แล้วกด OK ไวรัสจะวิ่งเข้ามายังแฟลชไดร์วทันที

76001

+ ถ้าเปิด My Computer เพื่อจะเรียกใช้งานโฟลเดอร์ต่างๆที่อยู่ภายในแฟลชไดร์วจะพบว่าทุกอย่างปกติดี คิดว่าคงไม่มีไวรัสเป็นแน่

76002

+ แต่ถ้าสั่งโชว์ไฟล์ใน Folder Options ละก็ จะพบว่าโฟลเดอร์จริงๆนั้นโดนซ่อนเอาไว้ (โฟลเดอร์จริงๆจะกลายเป็นสีจางๆ) และจะมีไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์จริงๆขึ้นมาแทนที่ แต่มีนามสกุลต่อท้ายว่า .EXE

76003

เครื่องมือที่จำเป็น

HijackThis v2.0.2 สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส -> www.filehippo.com/download_hijackthis/

วิธีการกำจัดไวรัส Recycled.exe

1.กด Ctrl + Alt + Delete เพื่อเรียกใช้งาน Windows Task Manager

2.คลิกขวา Process ที่ชื่อ XP-XXXXXXXX.EXE อาจจะเหมือนหรือคล้ายๆอย่างในรูป เลือก End Process

76004

3.กด Yes เพื่อยืนยัน

76005

4.ติดตั้งโปรแกรม HijackThis แล้วเรียกโปรแกรมขึ้นมา แล้วกด Do a system scan only แล้วรอให้ HijackThis สแกนให้เสร็จ

76006

5.หาคีย์ที่มีชื่อคล้ายๆกับในรูปแล้วใส่เครื่องหมายถูกข้างหน้า แล้วกด Fix checked

76007

6.ถ้าสแกนดูอีกครั้งจะพบว่าค่าที่เคยใส่เครื่องหมายถูกไว้ ตอนนี้ไม่มีแล้ว

7.คลิก Start -> Control Panel -> ดับเบิลคลิก Folder Options แล้วตั้งค่าตามรูป

76008

7.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่โฟลเดอร์ C:\> WINDOWS > system32 แล้วหาไฟล์ที่ชื่อ XP-XXXXXXXX.EXE คลิกเลือกไฟล์ แล้วกดปุ่ม Shift + Delete

76009

8.และไวรัสตัวนี้จะซ่อนบางโฟลเดอร์ แล้วสร้างไฟล์ที่มีรูปแบบเหมือนโฟลเดอร์ขึ้นมา แต่ถ้าสังเกตให้ดีจะพบว่าไฟล์ที่เลียนแบบเหมือนโฟลเดอร์นี้มีนามสกุลเป็น .EXE ขึ้นมาด้วย จะถูกเก็บไว้ในแฟลชไดร์วเท่านั้น ดังนั้นให้กำจัดไฟล์เหล่านี้ในแฟลชไดร์วด้วย

โดยคลิก Start -> Search แล้วตั้งค่าตามรูป เสร็จแล้วกด Search

76010

9.เลือกลบเฉพาะไฟล์ที่เลียนแบบตัวเองเหมือนโฟลเดอร์แต่มีนามสกุลต่อท้ายด้วย .EXE แล้วกดปุ่ม Shift + Delete ไฟล์จะไม่ไปค้างอยู่ใน Recycle Bin อีก และลบไฟล์ Autorun.inf, Recycled.exe ที่อยู่ในแฟลชไดร์วด้วยนะครับ

76011

10.เปิด My Computer โดยคลิกขวาที่ My Computer -> เลือก Explore -> เข้าไปที่ไดร์วของแฟลชไดร์วจะเห็นว่ามีโฟลเดอร์ถูกไวรัสซ่อนไว้โชว์ขึ้นมา ให้คลิกขวาที่ไฟล์เลือก Properties

76012

11.เอาเครื่องหมายถูกหน้าหัวข้อ Hidden ออก แล้วกด Apply -> OK แค่นี้ก็เสร็จเรียบร้อยแล้วคร้าบ

76013

Note. หลังจากนี้ควรติดตั้งโปรแกรมป้องกันไวรัส Autorun อย่างเช่น CPE17 Autorun Killer, Anti Removable Disk Virus (ARDV) จะป้องกันไวรัสที่แอบแฝงมากับแฟลชไดร์วได้ดีอีกทางหนึ่งด้วยครับ



คุณคิดเห็นอย่างไรกับข่าว/บทความนี้

กรุณาใส่ความคิดเห็นของคุณ!
กรุณาใส่ชื่อของคุณที่นี่