LSVคลังสมองออนไลน์ "ปีที่14"

โนต๊บุ๊คผมเปิดเครื่องมา มัน log on to windowns
                            User name:WIN XP
                            Password:ผมไม่รู้จะใส่อะไรดี ก่อนนั้นไม่เค่ยเป็นคับ หลังจากเล่นอินเตอร์เน๊ดมา

ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.
- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น
- ส่วนเรื่อง password ให้ไปที่ User account ใน Controlpanel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)
อาการของเครื่องที่ติด Flashy.exe
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้
Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป อย่าง Brontok ..
ขั้นตอนการกำจัดไวรัส Flashy.exe
1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย
หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)

4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTool s /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
-------------------------------------------------------
5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
เพิ่มเติม
ต้องเข้าไปแก้ค่าใน regedit ด้วย
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"

Brontok ยังแก้กันยังไม่หมดเลยตัวใหม่มาอีกแล้ว
ไวรัสตัวนี้ร้ายที่สุดทำงานเร็วที่สุดเท่าที่กระผมเคยเจอมาครับ ที่สำคัญติดง่ายมาก ร้ายกว่าไอ้เขียวอีก(Brontok)อีกครับแถมไม่มีโปรแกรมแอนตี้ไวรัสตัวไหนจัดการได้แบบอยู่หมัด ป่านดีใจครับที่เป็นคนแรกที่หาทางแก้ไขได้ใน3คืน(ไม่ได้นอนเลยครับ)ป่านเอาเครื่องคอมของตัวเองทดลองเชียวนะครับ ลองเข้าGoogleค้นคำว่าFlashy.exe.สิครับจะเห็นว่ามีคนโพสขึ้นมาถามเพียบเลยครับฝากเอาเวบนี้โพสด้วยนะครับเมื่อเราติดไวรัสตัวนี้แล้ว จะทำให้เข้าวินโดว์ไม่ได้ครับ
เพราะมันจะถามรหัสผ่าน ทั้งที่เราไม่ได้ตั้งเลย
แล้วรหัสผ่านที่ว่ารหัสคือ hacked
เมื่อเราเข้าวินโดว์ได้แล้วเราก็มาฆ่าไวรัสกันครับ
อันดับแรกเราหยุดการทำงานของมันก่อนครับ
กด Ctrl+Alt+Delete แล้วเลือกคลิกFlashy.exe แล้วคลิก End Process ตรงมุมขวาล่างครับ
แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้าregedit แต่ยังเข้าไม่ได้เพราะไวรัสมันปิดไว้เราก็ต้องใช้ตัUnhookexec.inf เนี่ยแหละครับ ปลดล็อคมันก่อน โหลดได้จากลิ้งนี้ครับ
http://securityresponse.symantec.com/avcenter/UnHookExec.inf


เมื่อโหลดมาแล้วก็คลิกขวา แล้วเลือก Installครับ
แล้ว ไปที่ Start--->Run พิมพ์ regeditแล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions
ลบNoFolderOptions ออกเลยครับ ไวรัสมันสร้างขึ้นมาครับ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ด้านขวามือ --------> HideFileExt
ลบ HideFileExt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess ด้านขวามือ -------->Start
ลบ Start

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ด้านขวามือ --------> Flashy.exe
ลบ Flashy.exe ออกครับ

แล้วไปลบ systemID.pif ที่Start Menu\Programs\Startup\ systemID.pif
ลบ systemID.pif ออกเลยครับ

ไปที่ Start--->Run พิมพ์ msconfig ไปที่แถบ startup เลือกติ๊กถูกหน้าsystemID ออกครับ

แล้วรีสตาร์ทเครื่องแล้วลองกด Ctrl+Alt+Delete ดูครับว่าFlashy.exeยังมีอยู่ในนั้นไหม ไม่มีก็เสร็จครับ

ต่อไปเราก็ต้องแก้ที่ไวรัสมันสร้างรหัสให้เราทำให้เวลาจะเปิดเครื่องต้องใส่รหัสทุกครั้ง

ผมลองเข้าไปดูใน User accounts แล้วไม่เห็นมีให้เรารีมูฟรหัสผ่านเลยตอนนี้ผมยังแก้เอารหัสออกไม่ได้ครับ แต่ก็แก้ให้ไม่ต้องใส่รหัสทุกครั้งได้ครับ โดยการ
เข้า Run พิมพ์ regedit แล้วไปตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขาวเลือก New-->String value
ตามนี้ครับ

"AutoAdminLogon"="1"
"DefaultUserName"="ชื่อผู้ใช้อะครับ"
"DefaultPassword"hacked"

หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อFlashy.exe ใน C:\WINDOWS\system32 ต้องเปิด Show hidden File ก่อนนะครับถึงจะเห็น เพราะไวรัสตัวนี้มันซ่อนอยู่

สำหรับไวรัสที่อยู่ในแฮนดี้ไดว์นะครับ ให้เอาก๊อปงานออกมาแล้วก็ฟอแมทเลยครับ หากฟอร์แมทไม่ได้ก็ใช้โปรแกรมตามลิ้งข้างล่างฟอแมทเลยครับ หากท่านกลัวไวรัสจากแฮนดี้ไดว์ไปติดที่เครื่องผมไม่แน่ใจนะว่ามันจะคนละสายพันไหม ที่ผมเจอถ้าเราไม่ไปคลิกที่ตัวไวรัสผมคิดว่ามันไม่ติดเครื่องนะครับ ลองดูละกันครับ ไม่ได้ยังไงเมล์มาถามครับ ตอบทุกวันคับ [/color]

ผมได้พิมพ์ hacked ก็ยังเข้าไม่ได้เลยคับ เข้าไปเซ๊ต Bios ก็ไม่ได้คับ ขอบคุณคับ

ใส่แผ่น hiren เข้าไปครับ บูสจากแผ่น สร้างยูสเซอร์ใหม่ ผมก็ลืมแล้ว ใครใช้บ่อย สอนเขาหน่อย แล้วก็เข้าใหม่ ตามยูสเซอร์ใหม่ แล้วไปไล่ลบ ไฟล์ ตามที่สมาชิกบอกครับ  แล้วจะกลับเข้ามาใช้ แอดมินอย่างเดิมได้ ก็ลบยูสเซอร์ใหม่ทิ้งครับ

มันไม่สามารถเข้าไปบู๊ตได้ เพราะว่าเข้าไปเซ๊ตไบออสยังไม่ได้ มันวิ่งมาที่หน้าวินโดว์อย่างเดียวคับ