May 14, 2010

W32.Imaut.A Virus

Today I found virus W32.Imaut.A in handdy drive on plan and public relations development division of The Public Relations Department region 3 Chiang Mai. When I search for how to remove W32.Imaut.A with google search engine I found this information on web site.
โค๊ด:
http://www.precisesecurity.com/computer-virus/imaut-oct07.htm

So you can remove W32.Imaut.A virus by your self with manual or use free online scan.

Description:

W32.Imaut.A is a propagating worm on messaging services such as Yahoo! Instant Messenger and Microsoft Windows Live Messenger.


W32.Imaut.A procedures requires technical know-how on  computer troubleshooting. It is better to consult your LAN Administrator or Technical Persons to avoid additional damage on your computer if modifications on Services and Registry have to be done.



MANUAL REMOVAL:

1. Temporarily Disable System Restore (Windows Me/XP). [how to]
2. Update the virus definitions.
3. Reboot computer in SafeMode [how to]

4. Run a full system scan and clean/delete all infected files
5. Delete any values added to the registry. [how to edit registry]
Navigate to the subkey and delete the value:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value: "Task Manager" = "%Windir%\svhost32.exe"

Navigate to the subkey and delete the value:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
Value: "Homepage" = "1"

Navigate to the subkey and delete the values:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Values:
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"

Navigate to the subkey and delete the value:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Value: "Start Page" = "[http://]concerto4.net/[REMOVED]"

Navigate to the subkey and delete the value:
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz
Value: "content url" = "[http://]concerto4.net/[REMOVED]"

Navigate to the subkey and delete the value:
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast
Value: "content url" = "[http://]concerto4.net/[REMOVED]"

6. Exit the Registry Editor and restart the computer.

7. In order to make sure that W32.Imaut.A is completely eliminated from your computer, carry out a full scan of your computer using AntiVirus and Antispyware Software. Another way to delete the virus using various Antivirus Program without the need to install can be done with Online Virus Scanner.



  FREE ON-LINE VIRUS SCANNER

โค๊ด:
http://www.precisesecurity.com/antivirus/online-scan.htm


  SPYWARE REMOVAL TOOLS:

Download and run any of these Anti-Spyware:
โค๊ด:
http://www.precisesecurity.com/computer-antispy.htm

May 13, 2010

Set editor program for cron edit.

Trip for Crontab

crontab -e uses the EDITOR environment variable. to change the editor to your own choice just set that. You may want to set EDITOR in you .bashrc because many commands use this variable. Let's set the EDITOR to nano a very easy editor to use:

export EDITOR=nano

ในการแก้ไข crontab โดยใช้คำสั่ง crontab -e นั้น ส่วนใหญ่ผู้ใช้งานจะได้ใช้โปรแกรม Editor ที่เป็นค่าพื้นฐานของเครื่อง/ระบบ นั้นๆ เช่น VI เป็นต้น แต่ในการทำงานใน Editor พื้นฐานนั้นบางคนก็อาจไม่ชอบในความยุ่งยากก็เป็นได้ เช่น การใช้ VI พื้นฐาน ก่อนจะแก้ไขข้อความ จะต้องกด I เพื่อเข้าสู่โหมด Insert ก่อน ถ้าเผลอพิมพ์ข้อความไปก่อนโดยไม่ได้ดูที่หน้าจอ ก็อาจทำให้ข้อความดั้งเดิมผิดเพี้ยนไปได้ นี่เป็นประสบการณ์ตรง และอีกส่วนหนึ่ง การออกจากโปรแกรม VI ต้องกด : แล้วตามด้วย q! หรือ :wq! เพื่อกำหนดให้ write & quit โดยไม่ต้องถามซ้ำ ซึ่งก็อาจจำยากสำหรับผู้ที่ไม่ได้ใช้บ่อย ๆ 

ปัญหานี้เราสามารถกำหนดให้ Crontab เลือกใช้โปรแกรม Text editor ที่เราชื่นชอบใดๆ ก็ได้ (Command Line) เช่นโปรแกรม nano เป็นต้น ทั้งนี้ ถ้าเรามีสิทธิ์เข้าถึงระบบได้ ก็สามารถแก้ไขไฟล์ .bashrc ใน root ของเราเอง โดยเพิ่มการกำหนดค่าของ Editor ไว้ เช่นระบบ ของ FC จำมีส่วนของ User specific มาให้แล้ว

# User specific aliases and functions
export EDITOR=nano


สำหรับ Cron job ใด ๆ ที่เราไม่ต้องการให้มีการส่งเมล์รายงาน เราสามารถบังคับให้ส่งไปทางอื่น หรือ ละทิ้งไปเลยก็ได้ เรียกว่า การ Pipe (ไปพ์) เช่น กรณีที่มีการปรับฐานเวลากับระบบ Time Server ซึ่งจะเป็นงานที่ต้องทำอยู่ตลอดเวลา ถ้ายอมให้ส่งเมล์เข้ามาก็จะเปลืองพื้่นที่ กรณีนี้แก้ไขโดยเพิ่มคำสั่งนี้ต่อท้าย cron job นั้นๆ

>/dev/null 2>&1.
หรือ
&> /dev/null

เช่น
10 * * * * /usr/sbin/ntpdate clock.thaicert.nectec.or.th >/dev/null 2>&1.
หรือ
10 * * * * /usr/sbin/ntpdate clock.thaicert.nectec.or.th &> /dev/null

-----------------------------------------------------------------------------------------------------
Q.
How do disable mail alert by crontab? 
When my job is executed it will sent an email to me. How can I prevent this?

A. crontab command is use to maintain crontab files for individual users.

By default the output of a command or a script (if any produced), will be email to your local email account. To stop receiving email output from crontab you need to append following string:
Cron Job Prevent the sending of errors and output

To prevent the sending of errors and output, add any one of the following at the end of the line for each cron job to redirect output to /dev/null.
>/dev/null 2>&1.
OR
&> /dev/null

suck as :
10 * * * * /usr/sbin/ntpdate clock.thaicert.nectec.or.th >/dev/null 2>&1.
or
10 * * * * /usr/sbin/ntpdate clock.thaicert.nectec.or.th &> /dev/null

Issue for "file is missing or corrupt" : Admin Memo 004

เมื่อเปิดคอมพิวเตอร์ขึ้นมาแล้วพบปัญหา ไฟล์ระบบของ Windows เสียหายหรือไม่สมบูรณ์ 
ทำให้ไม่สามารถบูตเครื่องขึ้นมาได้ ที่หน้าจอของเครื่องมีแต่ข้อความเตือน

Windows could not start because the following file is missing or corrupt:

Windows\System32\Config\System 
หรือ
Windows\System32\Config\DEFAULT
หรือ
Windows\System32\Config\SOFTWARE
etc.

เราจะแก้ไขปัญหาอย่างไร? ? ?

วันก่อนผมได้พบปัญหาเช่นเดียวกัน และก็ทำสารพัดวิธีการที่จะกู้คืนระบบมาให้ได้
จนในที่สุดก็สำเร็จ(ใช้เวลาไปเกือบทั้งวัน)

เมื่อพบปัญหาแล้วระบบวินโดวส์ฟ้องขึ้นมา แสดงว่าไฟล์ระบบเสียหายหรือไม่สมบูรณ์นั้น
ผมค้นหาวิธีการต่างๆ ในเว็บไซต์ ก็ได้คำแนะนำหลากหลาย ในนั้นหลายๆคนได้พูดถึงการล้างพาติชั่นเพื่อลงโปรแกรมใหม่ ซึ่งไม่ใช่แนวทางแก้ปัญหาที่ถูกต้องนัก แม้ว่าจะเป็นทางที่สามารถทำให้ระบบคืนกลับมาใช้งานได้แต่ก็อาจสูญเสียไฟล์และข้อมูลสำคัญหลาย ๆ อย่างในเครื่องไปก็ได้

ข้อแนะนำที่ดีที่ผมเจอนั้น อยู่ในไซต์ของไมโครซอฟต์ที่แนะนำให้ทำการรีแพร์ระบบโดยการบูตจากแผ่นติดตั้ง Windows XP ที่มีอยู่ เมื่อระบบถามความต้องการ ติดตั้ง หรือ Repair ให้เข้าสู่ Repair Mode (พิมพ์ R)
แล้วทำการคัดลอกไฟล์ระบบใน C:\WINDOWS\SYSTEM32\CONFIG\ จำนวน 5 ไฟล์ออกมาก่อน หลังจากนั้นค่อย ลบไฟล์เดิมทิ้ง แล้วคัดลอกไฟล์ที่สำเนาไว้กลับคืน ก็จะแก้ปัญหาได้

--------------------------------
ในทางปฏิบัติ มันก็ไม่ได้ง่ายอย่างนั้นซะทีเดียว เมื่อผมพบปัญหาต่อมา จากการปฏิบัติตามคำแนะนำหลังจากเข้ัาสู่ระบบ Recovery Console แล้วก็พบปัญหาไม่สามารถสั่งงานระบบด้วยคำสั่งใดๆ ได้ ยกเว้น HELP กับ CLS แม้กระทั่งคำสั่งพื้นๆ คือ DIR ก็ไม่ยอมรับคำสั่ง 
--- ต่อวันที่ 6 มีนาคม 2552 เวลา 10:19 น. ---
จากเหตุการณ์ที่พบ ทุกครั้งที่พิมพ์คำสั่งง่ายๆ ไม่ว่าจะ DIR หรือ CDจะขึ้นคำว่า
"The path or file specified is not valid" แล้วจะส่งคำสั่งอะไรก็ไม่เป็นผลนอกจากเคลียร์หน้าจอด้วย CLS
หรือ HELP เท่านั้น สรุปก็คือสั่งไม่ได้ก็ไม่สามารถแก้ไขปัญหาได้จากวิธีการเข้าสู่ Recovery Console Mode

เอาใหม่ เมื่อไม่สามารถแก้ปัญหาได้จากวิธีแรก ก็ต้องหาวิธีเข้าสู่ระบบและ System Drive ให้ได้ 
วิธีการต่อมาที่ผมลองพยายามก็คือ การบูตจากแผ่น CD Hiren 9.6 หลังจากบูตเข้าำไปแล้วก็พบปัญหาเบื้องต้นเล็กน้อย ส่วนนั้นก็คือโดยปกติการบูตด้วย DOS ธรรมดา จะมองไม่เห็น NTFS Partition ซึ่ง System Drive ของผมก็เป็น NTFS ซะด้วยสิ เอาละไม่เป็นไร ขอลองใช้เครื่องมือที่ Hiren Boot CD มีมาให้ก่อนแล้วกัน ผมเลือกใช้ NTFS Ext2FS, Ext3FS (FileSystems) Tools ที่ Support DOS  ในนั้นจะมี 2 - 3 โปรแกรมที่ไม่ได้ระบุว่าเป็นตัวที่ใช้อ่านข้อมูลจาก NTFS File เพียงอย่างเดียว ซึ่งคงมีประโยชน์สำหรับใช้ในการคัดลอกข้อมูล จาก NTFS Partition ออกมาสำรองไว้ก่อนนะแหละ ก็เลยลองใช้ NTFS Pro, NTFS 4 DOS, และ Paragon Mount Everything โปรแกรมแต่ละโปรแกรมกลับไม่ยอมทำงานด้วยดีกับระบบของผม จะส่งอาการมากบ้างน้อยบ้าง ตามอาการ บางตัวถึงขั้นระบบ Crash ไปเลยก็มี แต่พอนำ CD นี้ไปลองกับเครื่องอื่นกลับใช้ได้ดีซะอีก ว้า.... ยุ่งแล้วซิ



.... คิด ๆ ๆ แล้ว ก็คิด


ไหน ๆ ก็ไหน ๆ แล้วเมื่อ CD ยังลองกับอีกเครื่องหนึ่งได้ ทำไมไม่ลองเอา Hard Disk Drive ไปเชื่อมต่อกับอีกเครื่องหนึ่งละ ฮึม... เข้าที ว่าแล้วก็เลยต้องแกะฝาเครื่องออกนำ Hard Disk Drive ออกมาต่อเชื่อมเข้ากับ อุปกรณ์เชื่อมต่อ Hard Drive ผ่าน USB ที่เรียกว่า USB to SATA/IDE cable แล้วนำไปปลั๊ก (USB Plug) เข้าำักับเครื่องคอมพิวเตอร์อีกเครื่องหนึ่ง....
เมื่อเครื่องคอมฯ เครื่องนี้พบว่ามี DRIVE ใหม่เพิ่มเข้ามา ครบทุก ๆ ไดร์ฟแล้วก็เริ่มลงมือทำตามที่ Microsoft แนะนำไว้นั่นคือ การคัดลอกไฟล์ระบบจำนวน 5 ไฟล์ออกมา, ลบไฟล์ระบบเดิมทิ้ง แล้ว นำไฟล์ระบบที่คัดลอกออกมากลับคืนไว้ที่เดิม ในขั้นตอนนี้จากการแนะนำของ Microsoft จะอยู่บนระบบ Microsoft Recovery Console ซึ่งจะเป็น Command Line เป็นหลัก ผมจึงใช้คำสั่งบน Command line ด้วยเพื่อไม่ให้งง
โดยคำสั่งต่าง ๆ จะมีดังนี้

1. เข้าสู่ Command line windows ด้วยการพิมพ์คำสั่ง cmd ในช่อง Start -> Run
2. ในหน้าต่าง Command line ให้เปลี่ยนไปยังไดร์ฟที่ต้องการจัดการ  ด้วยคำสั่ง [Drive Letter]: แล้วกด [Enter] (กรณีของผมได้รับ Drive Letter เป็น H: ก็พิมพ์ H: กด [Enter])
3. สร้างไดเร็คทอรี่ หรือ โฟล์เดอร์ ขึ้นมารองรับการสำรองไฟล์ระบบ ด้วยคำสั่ง md repair [Enter] (Create directory or folder for system file backup)
4. ย้ายการทำงานเข้าสู่ไดเร็กทอรี่ของไฟล์ที่มีปัญหา ด้วยคำสั่ง cd Windows\System32\Config\ (Change directory to missing or corrupt system file with command: cd Windows\System32\Config\)
5. พิมพ์คำสั่งเพื่อคัดลอกไฟล์ออกจากไดเร็คทอรี่เดิมจำนวน 5 ไฟล์ 
copy DEFAULT h:\repair\
copy SAM h:\repair\
copy SECURITY h:\repair\
copy SOFTWARE h:\repair\
copy SYSTEM h:\repair\

6. พิมพ์คำสั่งลบไฟล์ระบบ จำนวน 5 ไฟล์ ใน H:\Windows\System32\Config\ ทิ้งไป
del DEFAULT
del SAM
del SECURITY
del SOFTWARE
del SYSTEM

7. คัดลอก ไฟล์ที่สำรองไว้กลับคืนมาดังเดิม
copy h:\repair\DEFAULT h:\windows\system32\config\
เป็นคำสั่งคัดลอกจากไฟล์ DEFAULT จาก h:\repair มายัง h:\windows\system32\config\
หรือจะใช้คำสั่งโดยไม่ต้องระบุปลายทาง เพราะเป็นการทำงานในไดเร็คทอรี่ที่ต้องการคัดลอกไฟล์มาอยู่แล้ว
copy h:\repair\SAM 
copy h:\repair\SECURITY 
copy h:\repair\SOFTWARE 
copy h:\repair\SYSTEM 

หรือ อาจใช้คำสั่งย้ายเพื่อลบไฟล์ที่สำรองไว้ด้วยทันที (ไม่แนะนำควรลบไฟล์ทิ้งหลังกู้ระบบเสร็จแล้ว)
move h:\repair\DEFAULT
move h:\repair\SAM 
move h:\repair\SECURITY 
move h:\repair\SOFTWARE 
move h:\repair\SYSTEM 

***** แต่ในกรณีที่นำ Hard Disk Drive ไปปลั๊กกับอีกเครื่องแบบนี้ ถ้าใครสะดวกและไม่ชำนาญการใช้คำสั่ง DOS ก็สามารถใช้ Windows Explorer ในการ Copy, Paste และ Delete ก็คงจะง่ายมากขึ้น

8. หลังจากนั้นให้ปลด Hard Disk Drive ออกจากเครื่องที่นำไปเชื่อมต่อแล้วนำกลับไปประกอบเข้าเครื่องเดิม
9. บูตเครื่องเข้าสู่ระบบ เครื่องจะทำการตรวจเช็คระบบสักพัก เราต้องยอมรับแล้วก็รอเพื่อความสมบูรณ์ของระบบให้กลับคืนมาดังเดิม ห้ามข้ามขั้นตอนนี้โดยเด็ดขาด

10. ประสบความสำเร็จ ระบบกลับคืนมาแล้ว โดยไม่ต้องล้างระบบ ลงใหม่ หรือทำให้ข้อมูลสูญหายแต่อย่างใด ใครลองวิธีไหนได้ผล ก็ใช้วิธีนั้นได้ครับอย่าให้ถึงขั้นล้างระบบเพื่อลง OS ใหม่ก็แล้วกัน

May 12, 2010

ป้องกัน Flash Drive จากไวรัส Autorun

ป้องกัน Flash Drive จากไวรัส Autorun

Flash Drive, Thumb Drive, Pen Drive หรือ ฯลฯ ไม่ว่าจะเรียกว่าอะไร? ในที่นี้ขอเรียกว่า Flash Drive ก็แล้วกัน Flash Drive เป็นอุปกรณ์จัดเก็บข้อมูลชนิดพกพาที่เรารู้จักกันดี และมีประโยชน์อย่างมากมาย ขณะที่ตัวเล็กๆ แต่มีความสามารถในการบรรจุข้อมูลได้มหาศาล สามารถพกพาข้อมูลไปใช้ยังที่ต่าง ๆ ได้อย่างง่ายดายด้วยขนาดที่เล็กกระทัดรัด แต่ขณะที่เราได้ใช้ประโยชน์กับอุปกรณ์ชนิดนี้ หลายต่อหลายคนกลับประสบปัญหา การติดไวรัส หรือ Malware หรือโปรแกรมที่ไม่ประสงค์ดี ที่จู่โจมเข้าสู่ระบบในหลากหลายรูปแบบทั้งไวรัส, เวิร์ม หรือสปายแวร์ที่ติดมาพร้อมกับ Flash Drive ของใคร ๆ ที่อาจจะไปปลั๊กกันเครื่องอื่น ๆ แล้วติดไวรัสมา หรือมีไวรัสอยู่้ในเครื่องตัวเองแล้วติดออกไปกับ Flash Drive แล้วไปแพร่กระจายไปยังเครื่องอื่นๆ ที่นำ Flash Drive นี้ไปใช้งานร่วมด้วย นั่นเป็นปัญหาที่ไม่รู้จบ ใครติดไวรัสแล้วรู้ตัวว่าติด ก็แก้ไขกันไปที่ปลายเหตุ ส่วนใครที่ยังไม่ติดไวรัสก็ต้องเสี่ยงกันต่อไป เมื่อเรายังคงต้องใช้อุึปกรณ์ร่วมกัน ใช้เครือข่ายร่วมกันอยู่ทุกเมื่อเชื่อวัน แล้วเมื่อไหร่ปัญหาจะหมดสิ้นไปเสียที ตอบได้ทันทีเลยว่าปัญหาไวรัสไม่มีทางจบ

เมื่อปัญหาที่จะต้องต่อกรกับไวรัส ไม่มีวันจบสิ้น นับวันมีแต่จะเพิ่มความรุนแรง และหลากหลายช่องทางวิธีการโจมตีเครื่องเป้าหมาย วิธีการที่ต้องตามแก้ไขปัญหาไม่ใช่วิธีที่ถูกต้อง แต่การหาทางป้องกันปัญหาไม่ให้เกิดขึ้น หรือมีโอกาสเกิดขึ้นให้น้อยที่สุดเท่่าที่จะเป็นไปได้คงจะเป็นทางออกที่ดีกว่าอย่างแน่นอน วันนี้ผมมีวิธีป้องกันไวรัสที่มาพร้อมกับ Flash Drive อย่างง่าย ๆ มาให้ลองใช้เป็นทางเลือกในการป้องกันตัวเองกัน 

เนื่องจากผู้ใช้ส่วนใหญ่ จะเน้นการป้องกันไปที่เครื่องคอมพิวเตอร์เป็นหลัก ไม่ว่าจะเป็นการป้องกันด้วยโปรแกรมตรวจจับไวรัส สปายแวร์ หรือโปรแกรมค้นหาทำลาย สปายแวร์และโทรจัน รวมพลังกันอย่างหลากหลายแล้วก็ตาม แต่ทว่าปัจจุบันอุปกรณ์ที่เป็น พาหะ นั้นกลับเป็น Flash Drive ที่เราพกพาไปไหนต่อไหน ซึ่งก็ยังไม่ปลอดภัยอยู่ดี ลองนึกภาพดูว่าหากเรานำ Flash Drive ไปใช้งานกับเครื่องที่มีไวรัสอยู่ โดยที่ไม่มีโปรแกรมป้องกันกำจัดไวรัสด้วยแล้ว เป็นที่แน่นอนว่าFlash Drive ของเราต้องได้ของแถมกลับมาด้วยอย่างแน่นอน หลังจากนั้นอาจนำไวรัสนั้นไปติดเข้ากับเครื่ืองอื่น ๆ ที่ไม่มีระบบป้องกัน หรือไม่ได้รับการปรับปรุงข้อมูลไวรัสให้เป็นปัจจุบัน อีกก็ได้ ดังนั้น แทนที่เราจะยอมเสี่ยงให้ Flash Drive ของเราเป็นพาหะ นำไวรัสจากเครื่องใดๆ ไปแพร่กระจายต่อไป เรามาป้องกันอุปกรณ์ของเรากันก่อนดีกว่า 

ก่อนที่เราจะเรียนรู้วิธีป้องกัน Flash Drive เราต้องเข้าใจวิธีการติดต่อของไวรัสกันก่อน เนื่องจากไวรัสประเภทนี้ ได้อาศัยคุณสมบัติในการทำงานอัตโนมัติ (Auto run) ของอุปกรณ์จัำดเก็บข้อมูลประเภทเคลื่อนที่ได้แบบ CD-ROM, Flash Drive, Card Reader หรือ USB Disk ที่เรียกว่า Movable Drive ทั้งหลาย เป็นตัวแพร่กระจาย เมื่อเราใช้อุปกรณ์จำพวกนี้ในเครื่องที่มีไวรัสอยู่ โปรแกรมไวรัสนั้น ๆ ก็จะถูกสั่งให้เขียนตัวเองลงในอุปกรณ์หรือ Flash Drive นั้นๆ พร้อมทั้งเขียนไฟล์ Autorun.inf ขึ้นมา 1 ไฟล์ ซึ่งในไฟล์นี้จะมีคำสั่งเพื่อให้ไวรัสทำงานทุกครั้ง ที่มีการปลั๊กตัวเองไปกับเครื่องใดๆ โดยการเขียนตัวเองกลับไปยังเครื่องนั้นๆ เช่นกัน 

เมื่อเป็นเช่นนี้ เราก็รู้แล้วว่าตัวการสำคัญที่ทำให้เกิดการแพร่กระจายไวรัสไปยัง Flash Drive ก็คือไฟล์ Auto run นั้นเองเนื่องจากเป็นที่อยู่ของคำสั่ง ที่สั่งให้ไวรัสทำงานอัตโนมัติ 

ดังนั้นถ้าเราไม่ต้องการให้ไวรัสใช้ Flash Drive ของเราเป็นพาหะ ก็เพียงแต่ป้องกันไม่ให้ไวรัสเขียนไฟล์ Autorun.inf ลงมาได้เท่านั้น ถึงแม้ว่าจะเขียนไฟล์ไวรัสลงใน Flash Drive ได้ก็ตามแต่ไวรัสจะไม่สามารถทำงานได้อีกต่อไป (หากไม่มีการสั่งให้โปรแกรมทำงาน)

สรุปวิธีการป้องกันที่ง่ายที่สุดก็คือ "เราต้องสร้างไฟล์ Autorun.inf ขึ้นมาเอง ก่อนที่ไวรัสจะสร้างขึ้่นมา" โดยไฟล์ Autorun.inf นั้นต้องเป็นไฟล์ที่ลบไม่ได้(ง่าย ๆ) โดยโปรแกรมอื่นๆ ดังนั้นเมื่อในอุปกรณ์ของเรามีไฟล์นั้นอยู่แล้ว โดยปกติ ระบบจะไม่สามารถเขียนไฟล์ที่มีชื่อเดียวกันซ้ำได้อีก ในขณะที่เขียนไฟล์ทับก็ไม่ได้ ลบออกก็ไม่ได้ ก็เลยไม่สามารถเขียน Autorun.inf เข้ามาแทนใน Flash Drive ได้อีก เท่านี้ก็ปลอดภัยในระดับหนึ่งแล้วหล่ะ อย่างน้อยเวลานำอุปกรณ์ Flash Drive หรือ Movable Drive ไปใช้ที่อื่นๆ ก็จะไม่ต้องกลายเป็นพาหะนำไวรัสไปแพร่กระจายต่ออีกต่อไป

==== เอาคอนเซ็บการป้องกันไปก่อน วันหลังจะมาเพิ่มเติมขั้นตอนวิธีการแบบละเอียด ====

                                                                                 Article by K.Suphachai

May 11, 2010

วิธีแก้ไวรัส Hacked by Godzilla ที่เครื่องคุณดับเบิลคลิกเข้า Handry Drive ไม่ได้

Hacked By Godzilla 

เป็นไวรัสตัวใหม่ที่กำลังระบาดอยู่ จัดเป็น spyware ที่ก่อกวนการทำงานมากกว่าจะทำลายข้อมูล โดยจะเป็นการติดผ่าน Handy Drive และ Floppy Disk เท่านั้น

ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore 
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”

วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก
3)คลิก OK

3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name (เพื่อ sort File)
2)คลิกเลือกไฟล์ wscript.exe ( ทีละตัว )
3)คลิกปุ่ม End Process

5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive และ Floppy disk ด้วย

6.เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )

7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK 
ปรากฏไดอะล็อกบ็อก Registry Edit

8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )

10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK 
ปรากฏไดอะล็อกบ็อก Group Policy 
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK 
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น

12.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง msconfig กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก System Configuration Utility คลิกแท็บ Startup
1)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้าไฟล์ MS32DLL ออก
2)คลิกปุ่ม Apply
3)คลิกปุ่ม OK (หรือ Close)
จะปรากฏไดอะล็อกบ็อก System Configuration เลือก Exit Without Restart

13.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
14.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file 
2)คลิก OK

15. Click เม้าส์ขวาที่ไอคอน Recycle bin เพื่อเรียก Shortcut Menu เลือกคำสั่ง Empty Recycle bin เพื่อยืนยันการลบไฟล์ไวรัสออกจากเครื่องคอมพิวเตอร์อีกครั้ง 


เท่านี้เพื่อนๆก็จะสามารถเล่นเน็ตได้โดยไม่ถูกรบกวนอีก...เอ็นลองใช้วิธีนี้แล้วได้ผลครับ เอามาจากศูนย์คอมของมหาลัยนะ เพื่อนๆที่มีปัญหากับไวรัสตัวนี้อยู่เอาไปใช้ได้เลย 

รับรองได้ผลครับ

วิธีกำจัดไวรัส Flashy.exe ที่ทำให้เครื่อง login เข้า windows ไม่ได้

คุณกำลังประสบปัญหาเช่นนี้ใช่หรือไม่........เครื่อง restart login เข้าไม่ได้ flash drive พัง เครื่องมองไม่เห็น จน เครียด กินเหล้า.... เราขอเสนอ วิธีการกำจัดไวรัส Flashy.exe...............................

ในขั้นแรกเราต้อง login เข้าไปก่อนโดยใช้ 
username: Administrator
password: hacked
จะสามารถเข้าเครื่องไปได้ แต่กำจัดไม่ได้แค่ให้ใช้ชั่วคราวก่อนเท่านั้นเอง จากนั้น ทำตามบทความต่อไปนี้
---------------------------------------------------------
- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น 

- ส่วนเรื่อง password ให้ไปที่ User account ใน Controlpanel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ) 

อาการของเครื่องที่ติด Flashy.exe 

- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด 

- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ 

Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย 

- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ 

อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที 

- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว 

หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้ 

- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ 

- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที 

- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน) 

- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป อย่าง Brontok .. 

ขั้นตอนการกำจัดไวรัส Flashy.exe 

1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย 

หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act... 

- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป 

- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป 

- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode 

2. เมื่อเข้า Safe Mode มาแล้ว 

- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK 

3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..) 

4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat 

เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน 

-------------------------------------------------------- 

@ECHO OFF 

REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f 

REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f 

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2 

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0 

REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2 

-------------------------------------------------------- 

5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง 

6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง 

เพิ่มเติม 

ต้องเข้าไปแก้ค่าใน regedit ด้วย 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2" 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4" 


--------------------------------------------------------------------------------
Brontok ยังแก้กันยังไม่หมดเลยตัวใหม่มาอีกแล้ว 
ไวรัสตัวนี้ร้ายที่สุดทำงานเร็วที่สุดเท่าที่กระผมเคยเจอมาครับ ที่สำคัญติดง่ายมาก ร้ายกว่าไอ้เขียวอีก(Brontok)อีกครับแถมไม่มีโปรแกรมแอนตี้ไวรัสตัวไหนจัดการได้แบบอยู่หมัด ป่านดีใจครับที่เป็นคนแรกที่หาทางแก้ไขได้ใน3คืน(ไม่ได้นอนเลยครับ)ป่านเอาเครื่องคอมของตัวเองทดลองเชียวนะครับ ลองเข้าGoogleค้นคำว่าFlashy.exe.สิครับจะเห็นว่ามีคนโพสขึ้นมาถามเพียบเลยครับฝากเอาเวบนี้โพสด้วยนะครับเมื่อเราติดไวรัสตัวนี้แล้ว จะทำให้เข้าวินโดว์ไม่ได้ครับ 
เพราะมันจะถามรหัสผ่าน ทั้งที่เราไม่ได้ตั้งเลย 
แล้วรหัสผ่านที่ว่ารหัสคือ hacked 
เมื่อเราเข้าวินโดว์ได้แล้วเราก็มาฆ่าไวรัสกันครับ 
อันดับแรกเราหยุดการทำงานของมันก่อนครับ 
กด Ctrl+Alt+Delete แล้วเลือกคลิกFlashy.exe แล้วคลิก End Process ตรงมุมขวาล่างครับ 
แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ ต่อไปเราต้องเข้าregedit แต่ยังเข้าไม่ได้เพราะไวรัสมันปิดไว้เราก็ต้องใช้ตัUnhookexec.inf เนี่ยแหละครับ ปลดล็อคมันก่อน โหลดได้จากลิ้งนี้ครับ 
http://securityresponse.symantec.com/avcenter/UnHookExec.inf 


เมื่อโหลดมาแล้วก็คลิกขวา แล้วเลือก Installครับ 
แล้ว ไปที่ Start--->Run พิมพ์ regeditแล้วเข้าไปลบคีย์ตามนี้ครับ 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions 
ลบNoFolderOptions ออกเลยครับ ไวรัสมันสร้างขึ้นมาครับ 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ด้านขวามือ --------> HideFileExt 
ลบ HideFileExt 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess ด้านขวามือ -------->Start 
ลบ Start 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ด้านขวามือ --------> Flashy.exe 
ลบ Flashy.exe ออกครับ 

แล้วไปลบ systemID.pif ที่Start Menu\Programs\Startup\ systemID.pif 
ลบ systemID.pif ออกเลยครับ 

ไปที่ Start--->Run พิมพ์ msconfig ไปที่แถบ startup เลือกติ๊กถูกหน้าsystemID ออกครับ 

แล้วรีสตาร์ทเครื่องแล้วลองกด Ctrl+Alt+Delete ดูครับว่าFlashy.exeยังมีอยู่ในนั้นไหม ไม่มีก็เสร็จครับ 

ต่อไปเราก็ต้องแก้ที่ไวรัสมันสร้างรหัสให้เราทำให้เวลาจะเปิดเครื่องต้องใส่รหัสทุกครั้ง 

ผมลองเข้าไปดูใน User accounts แล้วไม่เห็นมีให้เรารีมูฟรหัสผ่านเลยตอนนี้ผมยังแก้เอารหัสออกไม่ได้ครับ แต่ก็แก้ให้ไม่ต้องใส่รหัสทุกครั้งได้ครับ โดยการ 
เข้า Run พิมพ์ regedit แล้วไปตามนี้ครับ 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
แก้สตริงคีย์ตามนี้ครับหากไม่มีก็คลิกขาวเลือก New-->String value 
ตามนี้ครับ 

"AutoAdminLogon"="1" 
"DefaultUserName"="ชื่อผู้ใช้อะครับ" 
"DefaultPassword"hacked" 

หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อFlashy.exe ใน C:\WINDOWS\system32 ต้องเปิด Show hidden File ก่อนนะครับถึงจะเห็น เพราะไวรัสตัวนี้มันซ่อนอยู่ 

การแก้ไขเมื่อคอมฯติด Worm Flashy
วิธีกำจัดไวรัสชื่อ Flashy.exe
ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised
computer.

1. เราต้องทำให้เครื่องเราที่ ติด Password อยู่ Boot ให้ได้ก่อน ทำได้โดยกด F8 เพื่อเข้า Safe Mode ขณะ Boot และใส่ Password เป็น hacked
2. เมื่อเข้า Safe Mode มาแล้ว – คลิกขวาที่ My Computer > Properties > 
แท็บ System Restore > เลือก Turn off System Restore on all drives > OK

3. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killflashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat  เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO On
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------

4. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ  Processes
- หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)

5. ปรับ FolderOption ให้ Show All แล้วไปที่ Start Menu\ All Programs\Startup หา systemID.pif  แล้วลบทิ้ง (คลิกขวา > Delete)
ไปที่ C:\WINDOWS\system32 หา Flashy.exe แล้วลบทิ้ง

6. เลือก Start Run และเรียก Regedit ไปที่  HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ลบ Flashy Botทิ้ง(คลิกขวา->Delete)

7. จบขั้นตอนการกำจัด Flashy.exe เปลี่ยน Admin Password เป็นตัวที่ท่านต้องการ > Restart เครื่อง

8. ติดตั้ง Antivirus ที่สามารถป้องกันและกำจัด Flashy ได้เช่น Zonealarm หรือ Bitdefender ที่ Update แล้ว

9. Scan Virus ทั้งเครื่องอีกครั้งพร้อมทั้ง Scan Handy Drive ทุกตัวที่เคยต่อกับเครื่องนี้

ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.
1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย 
หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes
- หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat 
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------

5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete)
ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง

6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
Note:
- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น
- ส่วนเรื่อง password ให้ไปที่ User account ใน Controlpanel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)
อาการของเครื่องที่ติด Flashy.exe โดย คุณ BeckMaNeaR
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้
Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe )
Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ
ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok )
และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว
พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที

จากการสังเกตุ 
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย ( คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆเป็นค่อยๆไป อย่าง Brontok .