ไวรัส Godzila
ประเภท ไวรัสตามลักษณะการทำงานลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้
แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไข
สามารถแก้ไขได้ 2 วิธี คือ
วิธีที่1
1. ดาวโหลด Fix Tool นี้เพื่อกำจัด คลิกดาวโหลด(ดูการใช้งาน)
วิธีที่2
โดยการกำจัดเอง ทำตามขั้นตอนต่อไปนี้
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก ดังรูป
3)คลิก OK
สามารถแก้ไขได้ 2 วิธี คือ
วิธีที่1
1. ดาวโหลด Fix Tool นี้เพื่อกำจัด คลิกดาวโหลด(ดูการใช้งาน)
วิธีที่2
โดยการกำจัดเอง ทำตามขั้นตอนต่อไปนี้
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก ดังรูป
3)คลิก OK
3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name
2)คลิกเลือกไฟล์ wscript.exe
3)คลิกปุ่ม End Process
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name
2)คลิกเลือกไฟล์ wscript.exe
3)คลิกปุ่ม End Process
5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double
Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs
ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง
Handy Drive ด้วย
6.เปิดโฟลเดอร์ C:\WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs
ออก (โดยกด Shift+Delete )
7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run
พิมพ์คำสั่ง regedit กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Registry Edit
ปรากฏไดอะล็อกบ็อก Registry Edit
8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software -->
microsoft-->windows-->Current Version --> Run เพื่อลบไฟล์
MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด
)
9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft
--> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window
Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run
พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Group Policy
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
ปรากฏไดอะล็อกบ็อก Group Policy
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซีดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
12. Double
Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders
2)คลิก OK
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders
2)คลิก OK
14.รีสตาร์ทเครื่อง
ไวรัส Flashy.exe
ไวรัส ชนิดนี้ เป็นไวรัสประเภท โทรจันที่เข้าไปเปลี่ยนแปลงรหัสผ่านระดับ Administrator ของ Windows เมื่อติดไวรัสให้ใช้ username และ password นี้สำหรับเข้าระบบ
User
name : Administrator
Password : hacked
Password : hacked
โทรจัน (Trojan
) เป็นโปรแกรมที่ถูกเขียนขึ้นมาให้ทำตัวเหมือนว่าเป็น
โปรแกรมธรรมดาทั่ว ๆ ไป เพื่อหลอกล่อผู้ใช้ให้ทำการเรียกขึ้นมาทำงาน แต่เมื่อ
ถูกเรียกขึ้นมาแล้ว ก็จะเริ่มทำลายตามที่โปรแกรมมาทันที
ม้าโทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้ง ชุด
โดยคนเขียนจะทำการตั้งชื่อโปรแกรมพร้อมชื่อรุ่นและคำอธิบายการใช้งานที่ดูสมจริง
เพื่อหลอกให้คนที่จะเรียกใช้ตายใจ
<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->
<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->
อาการของเครื่องที่ติด Flashy.exe
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe
จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ อยู่เฉยๆ
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ อยู่เฉยๆ
อาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card
Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
-
อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป อย่าง
Brontok ..
<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->
<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->
วิธีกำจัดไวรัส Flashy.exe
วิธีที่ 1
-
ใช้โปรแกรม NOD32 Flashy-Fix ในการกำจัด
- โดยการทำงานของ Tools ตัวนี้จะช่วยในเรื่องการกำจัดไฟล์ และ service ต่างๆของโทรจัน flashy ภายใน hard disk เท่านั้นไม่ได้รวมถึง flash drive หากต้องการสแกน flash drive ต้องใช้โปรแกรม NOD32 ทำการสแกน ดาวโหลดได้ที่หน้าดาวโหลดโปรแกรมครับ ในส่วนของ password ของเครื่องคอมพิวเตอร์ของคุณ จะต้องเข้าไปแก้ไขเอง โดย password ที่ตัว flashy ได้ทำการสร้างขึ้นมานั้นคือ hacked เมื่อ Login แล้วคุณจะสามารถเข้าไปเปลี่ยน password ได้ด้วยตัวเอง
- โดยการทำงานของ Tools ตัวนี้จะช่วยในเรื่องการกำจัดไฟล์ และ service ต่างๆของโทรจัน flashy ภายใน hard disk เท่านั้นไม่ได้รวมถึง flash drive หากต้องการสแกน flash drive ต้องใช้โปรแกรม NOD32 ทำการสแกน ดาวโหลดได้ที่หน้าดาวโหลดโปรแกรมครับ ในส่วนของ password ของเครื่องคอมพิวเตอร์ของคุณ จะต้องเข้าไปแก้ไขเอง โดย password ที่ตัว flashy ได้ทำการสร้างขึ้นมานั้นคือ hacked เมื่อ Login แล้วคุณจะสามารถเข้าไปเปลี่ยน password ได้ด้วยตัวเอง
วิธีใช้งาน
1. เมื่อคุณ download ลงมาแล้วจะได้รับไฟล์ NOD32 Flashy-Fix
2.
ให้คุณทำการ double click ที่ไฟล์ NOD32
Flashy-Fix เพื่อเริ่มการทำงานของโปรแกรม
3.
ให้คุณอ่านและทำความเข้าใจ License agreement แล้วกด I Agree ดูรูป
4.
เมื่อถึงหน้าต่าง Choose Component จะมี
2 หัวข้อให้คุณเลือกคือ
- Remove
Flashy Trojan คือการกำจัดตัวโทรจัน Flashy ออกไป
- Scan
and clean with NOD32 ทำการสแกนเครื่องของคุณด้วย NOD32 อีกครั้ง
5. แนะนำให้คุณเลือกทั้ง 2 ข้อครับ แต่ถ้าคุณไม่มีโปรแกรม NOD32 อยู่ให้เลือกข้อ ข้อเดียวครับ แล้วกด Do it now ดูรูป
5. แนะนำให้คุณเลือกทั้ง 2 ข้อครับ แต่ถ้าคุณไม่มีโปรแกรม NOD32 อยู่ให้เลือกข้อ ข้อเดียวครับ แล้วกด Do it now ดูรูป
6.
จากนั้นก็นั่งรอการแก้ไข หลังจากทำการกำจัดเสร็จแล้วให้
Restart computer 1ครั้ง
วิธีที่ 2
1.
เราต้องทำให้เครื่องเราที่ ติด password อยู่
boot ให้ได้ก่อน ทำได้โดย หาแผ่น
Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน v
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน v
@ECHO
OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s /v Start /t REG_DWORD /d 2
-------------------------------------------------------- -----------------------------------------------------------------------
5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s /v Start /t REG_DWORD /d 2
-------------------------------------------------------- -----------------------------------------------------------------------
5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
ไม่มีความคิดเห็น:
แสดงความคิดเห็น