iDeeZiGn.CoM - แหล่งมั่วสุมของชาวครีเอทีฟ ออนไลน์ | UNDERGROUND CORNER | Virus ทุกสายพันธ์ (ผู้ดูแล: tonkza11) | แก้ไข ไวรัส Recycle Bin
           
หน้า: [1]   ลงล่าง
« หน้าที่แล้ว ต่อไป »
พิมพ์
ผู้เขียน หัวข้อ: แก้ไข ไวรัส Recycle Bin  (อ่าน 4146 ครั้ง)
matrix
บุคคลทั่วไป
« เมื่อ: กุมภาพันธ์ 23, 2009, 03:29:00 pm »
ไวรัส Recycle Bin
Trojan.agent.ad หรือไวรัส Recycle Bin

* เครื่องที่เปิด AutoRun สามารถติดเชื้อนี้ผ่าน Handy Drive ได้ *

 


รายละเอียด

 

ผู้ใช้งานได้ดาวน์โหลดเชื้อร้ายนี้มาจากอินเทอร์เน็ตด้วยความไม่รู้
เชื้อร้ายนี้แพร่กระจายผ่านสื่อบันทึกที่เคลื่อนย้ายได้ (Removable drive) เช่น Handy Drive
เชื้อร้ายจะสร้าง Recycle Bin และไฟล์ autorun.inf ในทุกๆ Removable drive
ไม่มีข้อมูลความสูญเสียมากกว่านี้


ข้อมูลในไฟล์ Autorun.inf

open=
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe

 

ขั้นตอนการแก้ไข

ดาวน์โหลดโปรแกรม Process Explorer | ที่นี่ (exe) | Microsoft (zip)
รันโปรแกรม procexp.exe เลือก Agree เพื่อเข้าใช้งาน
 Kill โปรเซส (Process) ชื่อ svchost.exe โดยเลือกรายการที่ไม่มีรายละเอียดแสดงเมื่อนำเมาส์ไปวางเหนือ ดังรูป


Start > Run พิมพ์คำสั่ง regedit กด Enter
ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon
โปรดทำด้วยความระมัดระวัง มิฉะนั้นอาจไม่สามารถบูตเข้าสู่ Windows ได้
แก้ไขค่าในตัวแปรชื่อ Userinit ด้วยการ Double Click หรือคลิกขวาเลือก Modify เป็น

Windows XP ให้ตั้งค่า Userinit เป็น c:\windows\system32\userinit.exe
%System%\userinit.exe (on Windows 2000, XP, and Server 2003)
userinit.exe,nddeagnt.exe (on Windows NT)
เมื่อ%System% เป็นชื่อโฟลเดอร์ของระบบ แทนสัญญลักษณ์นี้ด้วย
สำหรับ Windows NTและ 2000  = C:\WINNT\System32
สำหรับ Windows XP และ Server 2003 C:\Windows\System32
เช่น Windows XP ให้ตั้งค่า Userinit เป็น c:\windows\system32\userinit.exe
ปิดหน้าต่างโปรแกรม Registry Editor
Start > Search หรือ Find หาคำว่า RECYCLER ในทุก Drive ลบรายการที่พบด้วยปุ่ม Shift + Delete
Start > Search หรือ Find หาคำว่า _sv_CMD_ ในทุก Drive ลบรายการที่พบด้วยปุ่ม Shift + Delete
ลบไฟล์ autorun.inf ในทุก Drive ด้วย Shift + Delete
เปิดโปรแกรมป้องกันไวรัส และสั่งให้ตรวจสอบไวรัสทั้งเครื่อง (ทุก Drive)

บันทึกการเข้า
matrix
บุคคลทั่วไป
« ตอบ #1 เมื่อ: กุมภาพันธ์ 23, 2009, 03:33:33 pm »
วิธีนี้นะครับผมได้นำมาจากเว็บป่านดอมคอมครับ ต้องขอบคุณช่างป่านมา ณ โอกาสนี้ด้วยครับ

วิธีแก้ไวรัส RECYCLE เวอร์ชั่น winservices.exe  ที่ติดต่อทางโปรแกรม skype

อาการเมื่อติดไวรัสตัวนี้คือ เครื่องที่ติดไวรัสตัวนี้จะส่งไฟล์ชื่อแบบว่าลามกๆ ไปยังรายชื่อสนทนาในโปรแกรม skype ครับ
แต่ละชื่อก็น่าเปิดทั้งนั้นครับ  นามสกลจะเป็น .Pif บ้าง .com บ้างครับ
รูปตัวอย่างหน้าต่างที่ส่งไฟล์มาให้เรารับครับ  (test_virus คือเครื่องลองไวรัสครับ)


มื่อกดรับแล้วเปิด ไวรัสก็จะเข้าไปอยู่ใน RECYCLE ในไดว์ฟซีเลยครับ พร้อมทั้งเขียนค่าเรียกตัวเองขึ้นมาทำงานทุกครั้งที่เปิดเครื่องครับ
มาเริ่มแก้กันเลยนะครับ ก่อนเริ่มแก้ หากท่านมีแฟลชไดว์ฟที่ใช้งานอยู่หรือที่เคยเสียบเครื่องนี้ ให้เอามาเสียบไว้ด้วยเลยครับ เพราะจะได้ลบไวรัสเลยทีเดียว



โหลดโปรแกรมช่วยแก้มา 3 โปรแกรม ExplorerXP Hijackthis   Unlocker

โหลดเสร็จแล้วติดตั้ง explorerxp  unlocker ทั้งสองตัวจนเสร็จแล้ว เปิดโปรแกรม explorerxp แล้วคลิกที่ไดว์ฟซี แล้วคลิกขวา เลือกคำสั่ง
unlockerแล้วเลือกออฟชั่นเป็น ลบหรือ delete แล้วกด OK ครับ

 

ขอ อธิบายนิดนะครับ โฟลเดอร์ RECYCLE นั้นต้องมีทุกไดว์ฟครับ หากลบไปแล้วแต่ยังมีโฟลเดอร์นี้อยู่ถือว่าปกติครับ แต่สงสัยว่าจะมีไวรัสในโฟลเดอร์นี้หรือไม่
ก็ให้ใช้โปรแกรม explorerxp ดูครับ คลิกที่โฟลเดอร์  RECYCLEดู หากมีไฟล์ desktop.ini กับ INFO2 ถือว่าปกตินะครับ หากมีไฟล์ไม่ใช่ชื่อสองตัวนี้ลบออกได้เลยครับ
ส่วนในแฟลชไดว์ฟนั้นต้องไม่มีโฟลเดอร์ RECYCLE นะครับ หากมีถือว่าติดไวรัสครับ

ต่อไปก็แก้ไวรัสในแฟลชไดว์ฟด้วยครับ เราจะเห็นไฟล์ไดว์ฟ เป็นรูปโฟเดอร์สีเหลือ แต่เมื่อดับเบิ้ลคลิกก็เข้าไปไม่ได้ หรืออาจจะเข้าได้
แต่ผมเข้าไม่ได้ครับ ทั้งๆที่ถอดเสียบๆๆๆ หลายครั้ง มันสร้างคำสั่งเรียกไวรัสแต่มันไม่ได้เอาไวรัสใส่ในแฟลชไดว์ฟด้วย
อาจจะเป็นเพราะติดไม่นานก็เป็นได้ครับ ดูรูปครับ บรรทัดที่สอง ไวรัสเขียนคำสั่งว่า เมื่อดับเบิ้ลคลิกเปิดไดว์ฟให้เรียกไฟล์ชื่อ autorunme.exe ในโฟลเดอร์ถังขยะขึ้นมาทำงาน
แต่ในโฟลเดอร์ถึงขยะดันไม่มีไฟล์ที่มันเรียก ก็เลยกลายเป็นว่าทำให้เราดับเบิ้ลคลิกเปิดแฟลชไม่ได้ครับ

   This image to resize Original size is 592x368 View image Enlarge please Click here...
 

ก็แก้เหมือนเมื่อกี๊ครับ คือลบโฟลเดอร์ RECYCLE ออกครับ และลบไฟล์ autorun.inf ออกด้วยครับ

ต่อไปก็ไปลบลูกไวรัสที่มันสร้างไว้เตรียมส่งครับ จะอยู่ใน
C:\Documents and Settings\ชื่อผู้ใช้\Local Settings\Temp\
ให้เปิดโดยใช้โปรแกรม explorerxpนะครับ แล้วก็ลบไฟล์ในนั้นออกให้หมดครับ ลบโดยใช้โปรแกรม unlocker ลบนะครับ
   This image to resize Original size is 828x653 View image Enlarge please Click here...

แล้วให้เรารีสตาร์ทครับ
เมื่อเปิดขึ้นมาให้เปิดโปรแกรม Hijack this แล้วติ๊กถูกหน้าบรรทัดดังรูปครับ เพื่อลบคำสั่งเรียกไวรัสออกครับ
   This image to resize Original size is 657x738 View image Enlarge please Click here...


เรียบร้อยครับ วิธีแก้ไวรัส ง่ายๆครับ อ่านเพื่อเป็นแนวทางนะครับ
โดย ช่างป่าน
www.webphand.com

จบไปแล้วครับ...

บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์
« หน้าที่แล้ว ต่อไป »
กระโดดไป: