คุณกำลังประสบปัญหาเช่นนี้ใช่หรือไม่........เครื่อง restart login เข้าไม่ได้ flash drive พัง เครื่องมองไม่เห็น จน เครียด กินเหล้า.... เราขอเสนอ วิธีการกำจัดไวรัส Flashy.exe...............................
ในขั้นแรกเราต้อง login เข้าไปก่อนโดยใช้
username: Administrator
password: hacked
จะสามารถเข้าเครื่องไปได้ แต่กำจัดไม่ได้แค่ให้ใช้ชั่วคราวก่อนเท่านั้นเอง จากนั้น ทำตามบทความต่อไปนี้
---------------------------------------------------------
- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น
- ส่วนเรื่อง password ให้ไปที่ User account ใน Controlpanel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)
อาการของเครื่องที่ติด Flashy.exe
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้
Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป อย่าง Brontok ..
ขั้นตอนการกำจัดไวรัส Flashy.exe
1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย
หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------
5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
เพิ่มเติม
ต้องเข้าไปแก้ค่าใน regedit ด้วย
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"
--------------------------------------------------------------------------------
Brontok ยังแก้กันยังไม่หมดเลยตัวใหม่มาอีกแล้ว
ไวรัสตัวนี้ร้ายที่สุดทำงานเร็วที่สุดเท่าที่กระผมเคยเจอมาครับ ที่สำคัญติดง่ายมาก ร้ายกว่าไอ้เขียวอีก(Brontok)อีกครับแถมไม่มีโปรแกรมแอนตี้ไวรัสตัวไหนจัดการได้แบบอยู่หมัด ป่านดีใจครับที่เป็นคนแรกที่หาทางแก้ไขได้ใน3คืน(ไม่ได้นอนเลยครับ)ป่านเอาเครื่องคอมของตัวเองทดลองเชียวนะครับ ลองเข้าGoogleค้นคำว่าFlashy.exe.สิครับจะเห็นว่ามีคนโพสขึ้นมาถามเพียบเลยครับฝากเอาเวบนี้โพสด้วยนะครับเมื่อเราติดไวรัสตัวนี้แล้ว จะทำให้เข้าวินโดว์ไม่ได้ครับ
เพราะมันจะถามรหัสผ่าน ทั้งที่เราไม่ได้ตั้งเลย
แล้วรหัสผ่านที่ว่ารหัสคือ hacked
เมื่อเราเข้าวินโดว์ได้แล้วเราก็มาฆ่าไวรัสกันครับ
อันดับแรกเราหยุดการทำงานของมันก่อนครับ
กด Ctrl+Alt+Delete แล้วเลือกคลิกFlashy.exe แล้วคลิก End Process ตรงมุมขวาล่างครับ
แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้าregedit แต่ยังเข้าไม่ได้เพราะไวรัสมันปิดไว้เราก็ต้องใช้ตัUnhookexec.inf เนี่ยแหละครับ ปลดล็อคมันก่อน โหลดได้จากลิ้งนี้ครับ
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
เมื่อโหลดมาแล้วก็คลิกขวา แล้วเลือก Installครับ
แล้ว ไปที่ Start--->Run พิมพ์ regeditแล้วเข้าไปลบคีย์ตามนี้ครับ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions
ลบNoFolderOptions ออกเลยครับ ไวรัสมันสร้างขึ้นมาครับ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ด้านขวามือ --------> HideFileExt
ลบ HideFileExt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess ด้านขวามือ -------->Start
ลบ Start
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ด้านขวามือ --------> Flashy.exe
ลบ Flashy.exe ออกครับ
แล้วไปลบ systemID.pif ที่Start Menu\Programs\Startup\ systemID.pif
ลบ systemID.pif ออกเลยครับ
ไปที่ Start--->Run พิมพ์ msconfig ไปที่แถบ startup เลือกติ๊กถูกหน้าsystemID ออกครับ
แล้วรีสตาร์ทเครื่องแล้วลองกด Ctrl+Alt+Delete ดูครับว่าFlashy.exeยังมีอยู่ในนั้นไหม ไม่มีก็เสร็จครับ
ต่อไปเราก็ต้องแก้ที่ไวรัสมันสร้างรหัสให้เราทำให้เวลาจะเปิดเครื่องต้องใส่รหัสทุกครั้ง
ผมลองเข้าไปดูใน User accounts แล้วไม่เห็นมีให้เรารีมูฟรหัสผ่านเลยตอนนี้ผมยังแก้เอารหัสออกไม่ได้ครับ แต่ก็แก้ให้ไม่ต้องใส่รหัสทุกครั้งได้ครับ โดยการ
เข้า Run พิมพ์ regedit แล้วไปตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขาวเลือก New-->String value
ตามนี้ครับ
"AutoAdminLogon"="1"
"DefaultUserName"="ชื่อผู้ใช้อะครับ"
"DefaultPassword"hacked"
หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อFlashy.exe ใน C:\WINDOWS\system32 ต้องเปิด Show hidden File ก่อนนะครับถึงจะเห็น เพราะไวรัสตัวนี้มันซ่อนอยู่
การแก้ไขเมื่อคอมฯติด Worm Flashy
วิธีกำจัดไวรัสชื่อ Flashy.exe
ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised
computer.
1. เราต้องทำให้เครื่องเราที่ ติด Password อยู่ Boot ให้ได้ก่อน ทำได้โดยกด F8 เพื่อเข้า Safe Mode ขณะ Boot และใส่ Password เป็น hacked
2. เมื่อเข้า Safe Mode มาแล้ว – คลิกขวาที่ My Computer > Properties >
แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killflashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO On
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------
4. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes
- หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
5. ปรับ FolderOption ให้ Show All แล้วไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete)
ไปที่ C:\WINDOWS\system32 หา Flashy.exe แล้วลบทิ้ง
6. เลือก Start Run และเรียก Regedit ไปที่ HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ลบ Flashy Botทิ้ง(คลิกขวา->Delete)
7. จบขั้นตอนการกำจัด Flashy.exe เปลี่ยน Admin Password เป็นตัวที่ท่านต้องการ > Restart เครื่อง
8. ติดตั้ง Antivirus ที่สามารถป้องกันและกำจัด Flashy ได้เช่น Zonealarm หรือ Bitdefender ที่ Update แล้ว
9. Scan Virus ทั้งเครื่องอีกครั้งพร้อมทั้ง Scan Handy Drive ทุกตัวที่เคยต่อกับเครื่องนี้
ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.
1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย
หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes
- หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------
5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete)
ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
Note:
- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น
- ส่วนเรื่อง password ให้ไปที่ User account ใน Controlpanel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)
อาการของเครื่องที่ติด Flashy.exe โดย คุณ BeckMaNeaR
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้
Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe )
Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ
ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok )
และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว
พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
จากการสังเกตุ
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย ( คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆเป็นค่อยๆไป อย่าง Brontok .
No comments:
Post a Comment