nignoii

4 out of 5 dentists recommend this WordPress.com site

ชื่อไวรัส 10 ชื่อ พร้อม บอกวิธีการป้องกัน

on July 7, 2012

 1  ชื่อไวรัส : Win32/RJump.A 

ผลเสียที่เกิดขึ้น 
       เมื่อเราต้องการใช้งาน Handy Drive ผ่านทาง My Computer โดยใช้วิธีดับเบิ้ลคลิก วินโดว์สจะฟ้องว่า ไม่สามารถเข้าใช้งานได้ ซึ่งตรงนี้ หลายๆท่านอาจคิดว่า Handy Drive เสียไปแล้ว แต่จริงๆแล้ว เรายังสามารถเข้าใช้งานได้โดยการคลิกขวา แล้วเลือกเมนู Explore หรือ Open แต่ตัวไวรัสนั้นยังคงอยู่ใน Handy Drive ของเรา 
วิธีแก้ไข 
1. คลิก Start->run พิมพ์ regedit คลิก ok คลิกที่ไอคอน My Computer (ในโปรแกรม regedit) แล้วกดปุ่ม Ctrl+F ที่คีย์บอร์ด หรือเลือกเมนู Edit->Find… 
2. พิมพ์คำว่า adober.exe แล้วกดปุ่ม Enter ให้มันค้นหา ถ้าพบที่ใดให้ทำการลบทันที โดยกดปุ่ม Delete ที่คีย์บอร์ด หรือคลิกขวาแล้วเลือก Delete แล้วจึง กดปุ่ม F3 เพื่อทำการค้นหาต่อไป จนไม่พบข้อความ adober.exe 
3. ทำการค้นหา คำว่า ravmonlog อีกคำหนึ่ง เมื่อเจอแล้วให้ลบทิ้งเช่นกัน 
4. ปิดโปรแกรม regedit แล้วคลิกที่เมนู Start->Search-> เลือก For Files or Folders…แล้วค้นหาไฟล์ autorun.inf, adober.exe, msvcr71.dll, ravmonlog โดยให้ค้นหาจากทุกไดรฟ์ที่เรามี หากพบว่ามีอยู่พร้อมๆกัน หรือ ไฟล์ที่ 1, 2, 3 พร้อมๆกันในโฟลเดอร์เดียวกัน ก็ขอให้สงสัยไว้ก่อนว่าเป็นไฟล์ไวรัส แต่หากพบเดี่ยวๆ อยู่ในบางโฟลเดอร์ นั่นอาจจะไม่ใช่ไฟล์ไวรัสก็ได้ อาจจะเป็นไฟล์ของวินโดวส์หรือโปรแกรม ไม่ควรลบเด็ดขาด 
5. บู๊ตเครื่องใหม่ แล้วเปิดโปรแกรม regedit อีกหน แล้วทำการค้นหาคำทั้งสองคำอีกที หากไม่พบ แสดงว่าน่าจะปลอดจากไวรัสแล้ว 
วิธีป้องกัน 
   มีการสแกนไวรัสก่อนที่จะใช้งาน 

  
2.  ชื่อไวรัส W32.MSN.Worm 
ประเภท Worm 
การทำงาน 
  ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip 
และสามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger 
ผลเสียที่เกิด 
1.เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย 
2.เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger 
วิธีป้องกันตัวเองจากหนอนชนิดนี้ 
1.ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร 
2.สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ 
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด 
3.ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ 
วิธีแก้ไขการกำจัดหนอนแบบอัตโนมัติ 
ดาวน์โหลดโปรแกรม MSN_Worm_Remover.exe จาก http://www.thaicert.org/advisory/alert/msnworm/MSN_Worm_Remover.exe 

 3.ชื่อไวรัส SymbOS.Doomboot.A 

ประเภท ม้าโทรจัน(trojan) 
การทำงาน 
   ม้าโทรจันชนิดนี้จะปลอมตัวว่าเป็นเกมส์ Doom 2 เวอร์ชันที่ถูกแก้โปรแกรม (Cracked) เพื่อเพิ่มความน่าสนใจหลอกล่อให้เหยื่อหลงดาวน์โหลดม้าโทรจันไปติดตั้งลงในเครื่องโทรศัพท์มือถือ ถ้าหากว่าม้าโทรจันสามารถฝังตัวเข้ากับเครื่องโทรศัพท์มือถือแล้วจะมีการปล่อยตัวหนอนที่ชื่อ SymbOS.Commwarrior.B ด้วยไฟล์ที่ชื่อว่าCommwarrior.B.sis 
     ผลเสียที่เกิด    
1.สิ้นเปลืองทรัพยากรของเครื่อง : หนอนที่แฝงมากับม้าโทรจันจะเปิดใช้งานบลูทูธจนแบตเตอรี่หมด 
2.เครื่องอาจทำงานผิดพลาด : เนื่องจากม้าโทรจันชนิดนี้สามารถทำให้เครื่องเปิดใช้งานไม่ได้ 
วิธีป้องกัน

ติดตั้งโปรแกรมป้องกันไวรัสบนโทรศัพท์มือถือ ไม่ว่าจะเป็นยี่ห้อใดก็ตาม ซึ่งในปัจจุบันมีการจำหน่ายมากมายหลายยี่ห้อ ตัวอย่างเช่น Trend Micro Mobile Security, F-Secure Mobile Anti-Virus หรือ Sim Works Anti-virus เป็นต้น 
3.ระงับการดาวน์โหลด หรือรับโปรแกรมที่ไม่ทราบแหล่งที่มา หรือที่มาที่ไม่น่าไว้วางใจ 
4.หมั่นตรวจสอบโปรแกรมหรือแอพพลิเคชันที่ถูกติดตั้งในเครื่องโทรศัพท์มือถืออยู่เสมอ หากพบโปรแกรมใดที่น่าสงสัยหรือไม่น่าไว้วางใจก็ให้ลบทันที 
5.จำกัดการใช้งานบลูทูธ (Bluetooth) ในที่สาธารณะเท่าที่จำเป็น เพื่อลดความเสี่ยงจากการคุกคามของไวรัส รวมทั้งถูกโจมตีด้วยแอพพลิเคชันของผุ้บุกรุกผ่านเทคโนโลยีนี้ได้ 
6.งดการเปิด SMS, MMS หรือแอพพลิเคชันที่ไม่ทราบแหล่งที่มา หรือมีเนื้อหาเชื้อเชิญให้เปิด ซึ่งอาจจะเป็นไวรัสหรือโปรแกรมอันตรายก็ได้ 
7.หากสงสัยว่าโทรศัพท์มือถือที่ใช้งานอยู่ถูกไวรัสคุกคาม หรือถูกโจมตีด้วยแอพพลิเคชันแปลกๆ ให้ทำการปิดเครื่องโทรศัพท์เพื่อป้องกันมิให้ไวรัสแพร่กระจายออกไปยังเครื่องอื่น จากนั้นให้นำเครื่องโทรศัพท์เข้าไปซ่อมที่ศูนย์บริการทันที 

วิธีแก้ไข การกำจัดม้าโทรจันแบบกึ่งอัตโนมัติ 

1.เข้าเมนูของเครื่องโทรศัพท์มือถือ ไปที่รายการ Tools 
2.เลือกเครื่องมือที่ชื่อ Manager ในรูปที่ 2 ซึ่งเป็นการเปิดโปรแกรม App. Manager 
3.เลื่อนแถบไปยังชื่อ Doom 2 cracked DFT v1.0 ดังรูปที่ 4 จากนั้นทำการลบโดยกดปุ่มที่ Options เลือก Remove 
หมายเหตุ แอพพลิเคชันนี้อาจจะมีชื่ออื่นที่คล้ายกัน เช่น ชื่อไฟล์ Doom_2_wad_cracked_by_DFT_S60_v1.0.sis 
4.จะปรากฎข้อความให้ยืนยัน “Doom 2 cracked DFT v1.0 will be removed from phone. Continue?” แล้วกด Yes 
5.จากนั้นจะมีข้อความ “Removal may stop other applications from working. Continue anyway?” ให้เลือก Yes 
6.หลังจากลบ Doom 2 cracked DFT v1.0 แล้วให้ทำการลบ CommWarrior ด้วยวิธีตั้งแต่ข้อ 3 – 5 โดยเปลี่ยนชื่อจาก Doom 2 cracked DFT v1.0 เป็น CommWarrior 
7.ดาวน์โหลดโปรแกรม F-Commwarrior จาก http://mobile.f-secure.com/tools/f-commwarrior.sis มาเก็บไว้ในเครื่องคอมพิวเตอร์ 
8.ทำการถ่ายโอนไฟล์ที่ดาวน์โหลดได้ในข้อที่ 7 จากเครื่องคอมพิวเตอร์มายังโทรศัพท์มือถือ โดยวิธีการต่างๆ เช่น อินฟาเรด บลูทูธ สายดาต้าลิ้งค์ หรือ GPRS เป็นต้น แล้วทำการติดตั้งในโทรศัพท์มือถือ 
9.จากนั้นเปิดใช้งาน F-Commwarrior แล้วเลือกสแกน เพื่อกำจัดหนอน SymbOS.Commwarrior.B ออกจากเครื่อง 
10.ทำการปิด แล้วเปิดเครื่องใหม่ และทำการสแกนด้วยโปรแกรม F-Commwarrior อีกครั้งหนึ่ง 

 4. ชื่อไวรัส :Hacked By MooZilla 
ไฟล์ : Spoof 
ผลเสียที่เกิดขึ้น 
1. เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore 
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked by Moozilla” 
3. เวลาเข้าเวปจะลิงก์ไปที่หน้าของเวปเกมเวปหนึ่งทุกครั้ง 
วิธีแก้ไข 
1. ให้ท่านดาวน์โหลด โปรแกรม Fix “Hacked By Godzilla” ไปลงที่เครื่องครับ คลิกดาวโหลด 
2. ทำการเปิดโปรแกรมขี้นมาครับ หลังจากนั้นมีหน้าต่างโชว์ ข้อมูลเกี่ยวกับ ลิขสิทธิ์ของโปรแกรมครับ ให้กด I Agree 
3. จากนั้นในหน้าต่างถัดไปจะมี Option ให้เลือกครับว่า ต้องการอะไรบ้าง โดย 
     – Remove Godzilla[Butsur.A,B] คือการกำจัดตัว ไวรัสทั้งสองนี้ออกไป 
     – Remove Autorun.inf คือการกำจัดตัว Autorun ของไดร์ฟนั้นๆออกไป (เพื่อเป็นการกันไม่ให้ไวรัสติดมาและกระจายตัวอีกครับ) 
     – Scan and clean with NOD32 ทำการสแกนเครื่องของคุณด้วย NOD32 อีกครั้ง สำหรับใน Option นี้สำหรับผู้ที่ติดตั้งโปรแกรม Nod32 Antivirus  หากเครื่องของท่านไม่ได้ติดตั้งไว้ ก็ไม่จำเป็นต้องเลือกในหัวข้อนี้ 
4. หลังจากนั้นโปรแกรมจะขึ้นมาให้เลือก Drive ที่มีปัญหา ซึ่งหากไม่รู้ก็ให้เลือก Scan ทีละ Drive จนครบทั้งหมด 
5. หลังจากกำจัดไวรัสเรียบร้อยแล้ว โปรแกรมทำการรีสตาร์ทเครื่องคอมพิวเตอร์ 

5.ชื่อไวรัส :W32.Sober.AG@mm 
ประเภท : fishing 
ผลเสียที่เกิดขึ้น 
1.ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง 
2.เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรีย์ ทำให้เครื่องทำงานผิดพลาดได้ 
3.ลดระดับความปลอดภัยของเครื่อง : เขียนทับไฟล์ที่ชื่อ luall.exe ซึ่งจะรันตัวหนอนทุกครั้งที่มีการเรียกโปรแกรม Live Update
วิธีแก้ไข การกำจัดหนอนแบบอัตโนมัติ 
1.ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com 
2.ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp 
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern 
3.แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1 
4.ตัดการเชื่อมต่อเครือข่าย 
5.หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย 
6.จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan 
7.เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง 
8.ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส 
วิธีป้องกัน 
1.ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที 
2.ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น 
3.ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ 
4.(Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ 
5.ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด 
6.สร้างแผ่นกู้ระบบฉุกเฉิน 

 6. ชื่อไวรัส W32.Nimda 

ประเภท    backdoor 
การทำงาน    
1.กระจายตัวจาก client ไปยัง client โดยผ่านทางอี-เมล์ 
2.กระจายตัวจาก client ไปยัง client โดยผ่านทาง network shares 
3.จาก web server (ที่ถูก compromised) ไปยัง client โดยผ่านทาง web browser โดยที่จะขึ้น prompt ให้ดาวน์โหลดไฟล์ .eml 
4.จาก client ไปยัง web server ( IIS 4.0/5.0 directory traversal vulnerability VU #11677) 
5.จาก client ไปยัง web server ผ่านทาง backdoor ที่เปิดไว้โดย Code Red II และ Sadmind/IIS worm 
วิธีป้องกัน    
1.สำหรับ Internet Explorer version 5.01 or 5.5 without SP2 ให้ติดตั้ง Patch คลิกดาวโหลด เพื่อทำการแก้ไข Bug ของ Outlook Express ที่จะรันไฟล์ที่แนบมากับ จดหมายทีติดไวรัส W32.Nimba โดยอัตโนมัติ 
2.สำหรับ Windows NT และ Windows 2000 จะต้องทำการอัพเดต Patch เพื่อแก้ไขบั๊ก ของ IIS server จาก http://www.microsoft.com/technet/security/bulletin/ms00-078.asp http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 
3.ติดตั้งโปรแกรม Antivirus ที่มีความสามารถในการ Scan Web Page ได้เช่น PC-Cillin 2000, Norton Antivirus 2001, McAfee Virus Scan เป็นต้น 
4.อัพเดต ฐานข้อมูลของไวรัสอยู่เสมอ 
5.ยกเลิกการแชร์ไฟล์หรือโฟลเดอร์ 
วิธีแก้ไข ดาวน์โหลดโปรแกรมสำหรับกำจัด 

1.หลังจากที่ดาวน์โหลดไฟล์ดังกล่าวแล้วให้ดับเบิ้ลคลิกไฟล์ Fixnimda.com และ้เลือก Clean Share และ Clean Registry Entries 
2.กดปุ่ม START เพื่อเริ่มการตรวจสอบและกำจัดไวรัสออกจากระบบ 

7. ไวรัสคลิปVDO.EXE 

    เป็นไวรัสที่ไม่ได้สร้างความเสียหายร้ายแรงแก่ระบบเท่าใดแต่สร้างความรำคาญให้แก่ผู้ใช้ที่ติดไวรัสชนิดนี้มา โดยไวรัสชนิดนี้จะมีรูปร่างเหมือน Folder ที่อยู่ใน Win dows ทั่วๆไป แต่จะมีนามสกุลเป็น.exeทำให้เมื่อคลิกมัน ก็จะทำการฝังตัวไว้ใน C:WINDOWSsystem32 โดยจะทำการรันตัวมันเองขึ้นมาเรื่อยๆและสร้างไฟล์ คลิปVDO.exe ขึ้นมาใหม่เรื่อยๆ แม้ว่าจะทำการลบไฟล์ คลิปVDO.exe แล้วก็ตาม 
วิธีแก้ไขไวรัส คลิปVDO.exe 
1.เข้า windows task manager โดยกด Ctrl+Alt+Del ไปที่แทบ processes หาไฟล์ที่ชื่อ soundmsg.exe จากนั้นก็จัดการ end progress โดยการคลิ้กขวาเลือก end process หรือ กด delete แล้วตอบ yesไป 
2. ลบไฟล์ คลิปVDO.exe 
3. ไปที่ C:windowssystem32 แล้วหาไฟล์ soundmsg.exe หรือsearch หาไฟล์ soundmsg.exe 
4.ไปที่Start menu->Run พิมพ์เข้า RegEdit เลือกที่HK_Local_MachineSoftwareMicrosoftWindowsCu rrentVersionRun ลบค่า Registry ที่ชื่อVirus test 
5.ถ้าไวรัสติดที่Handy drive ให้เข้าSave Mode ของWindows แล้วเข้าไปลบไฟล์คลิปVDO.exe 

8. ไวรัส Brontok
ลักษณะอาการ
– Menu Folder Option จะหายไป
– จะเกิดไฟล์ .exe ชื่อเหมือน Folder ในทุก Folder ที่เปิดเข้าไปดู
-มีหน้าเวปขึ้นมาเขียนว่า Brontok
– ไม่สามารถเรียกใช้ Registry Editor และFolder Option ได้
วิธีแก้ไข
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode ( กด f8 รัวๆตอนรีบู๊ดเครื่อง)เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start upยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ลบค่า “NoFolderOptions” = “1
8. ไปที่ %UserProfile%\Local Settings\Application Data\ ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%\Start Menu\Programs\Startup\
ลบFile Empty.pif
10.ไปที่ %UserProfile%\Templates\ ลบFile A.kotnorB.com
11.ไปที่ %Windir%\inf\ ลบfile norBtok.exe
12. ไปที่%System%\ ลบfile 3D Animation.scr

9. ไวรัส Flashy.exe

ลักษณะอาการ
– ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้
-หาก พยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
– Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
-อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
– เมื่อเสียบFlash Driveเข้าไปหรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
– หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ (นามสกุล .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
จะ มีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
– Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
– อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป
วิธีแก้ไข
1. ให้ใส่รหัสผ่าน คือ hacked
2. เข้าไปที่Task Manager เลือก Processes หาชื่อ Flashy.exe และ systemID.pif เลือกEnd Process
3. เนื่องจาก ไม่สามารถเข้าไปแก้ไขค่า Registry ในRun> regedit ได้ จึงต้องสร้างไฟล์เพื่อปลดล็อค regedit โดยการสร้าง Notepadแล้วพิมพ์ ดังนี้ โดย File สามารถใช้ปลดล็อค ได้กับทุกกรณีที่มีการล็อค regedit ที่เกิดจากไวรัสตัวอื่นๆ
เมื่อพิมพ์เสร็จก็ให้ save เป็นนามสกุล .inf หรือสามารถ Download โดยคลิ๊กที่ Link
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
เมื่อสร้าง หรือ Download เสร็จ ให้คลิกขวาแล้วเลือก install
4. ไปที่ Run พิมพ์ regedit แล้วให้ลบไฟล์ใน regedit ดังนี้
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\ ลบ “NoFolderOptions” = “1“
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\ ลบ “HideFileExt” = “1”
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\ ลบ “Hidden” = “2”
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\ ลบ “Start” = “4”
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run ลบ Flashy.exe
5. ไปที่Start Menu\Programs\Startup ลบ systemID.pif
6. ไปที่ Run พิมพ์ msconfig เลือก start up เอาเช็คถูกหน้า systemIDออก
7. ไปที่ Run พิมพ์ regedit แล้วไปที่HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
โดยแก้ค่าRegistryดังนี้ (ถ้าไม่มีก็คลิกขาวเลือกNewเลือกString value)
“AutoAdminLogon”=”1” “DefaultUserName”=“ชื่อผู้ใช้”
“DefaultPassword”hacked”
8. เปิด Show hidden File แล้วไปที่ C:\WINDOWS\system32 ลบ File ชื่อ Flashy.exe
9. หาแผ่น Hirens BootCD 8.1 โดยการโหลดจาก http://files.9down.com:8080/HBCD81%5Bwww.9down.com%5D.rar
Writeลง แผ่นCD แล้วทำการ Boot เครื่องด้วย CD ให้เลือกหัวข้อ Password ข้อ 1. แล้วเลือก patition เลือก Account ที่จะล้าง Password และ ออกจากโปรแกรม

10.ไวรัส Godzila
ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools –> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก
3)คลิก OK
3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name (เพื่อ sort File)
2)คลิกเลือกไฟล์ wscript.exe
3)คลิกปุ่ม End Process
5. เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive ด้วย
6.เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
7.ไปที่ปุ่ม Start–>Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Registry Edit
8. คลิกเลือก HKEY_LOCAL_MACHINE –> Software –> microsoft–>windows–>Current Version –> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
9.คลิกเลือก HKEY_CURRENT_USER –> Software –> Microsoft –> Internet Explorer –> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10.คลิกปุ่ม Start –> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Group Policy
11. คลิกเลือก User Configuration –> Administrative Templates –> System –> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
การป้องกัน

การเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
12.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools –> Folder Options
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders
2)คลิก OKแล้วลองรีสตาร์ทเครื่อง


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: