วิธีแก้ไขไวรัสที่แอบใส่password บน Windows
ไวรัสจอมป่วนที่ทำการเปลี่ยน Password บน Windows
ใหม่ๆ ยังนึกว่ามีใครแอบแกล้งมาใส่ Password ในเครื่อง ซะอีก
ใครโดน ลองทำตามนี้นะครับ

บทความต่อไปนี้ คัดลอกมาจากเว็บบอร์ดใน http://www.jcomzone.com

ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.


- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น

- ส่วนเรื่อง password ให้ไปที่ User account ใน Control panel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป
ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)

อาการของเครื่องที่ติด Flashy.exe

- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด

- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้

Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย

- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ

อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที

- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว

หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้

- หากว่าใน Memory Card หรือ Flash
Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ

- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที

- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)

- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ
เป็นค่อยๆ ไป อย่าง Brontok ..

ขั้นตอนการกำจัดไวรัส Flashy.exe

1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย

หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...

- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป

- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป

- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode

2. เมื่อเข้า Safe Mode มาแล้ว

- คลิกขวาที่ My Computer > Properties >
แท็บ System Restore > เลือก Turn off System Restore on all drives > OK

3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)

4. เปิด Notepad แล้วก็อบ***ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat

เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน

--------------------------------------------------------

@ECHO OFF

REG delete
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /f

REG delete HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v Flashy Bot /f

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v Hidden /t REG_DWORD /d 2

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v HideFileExt /t REG_DWORD /d 0

REG add HKLMSYSTEMCurrentControlSetServicesSharedAccess /v Start /t REG_DWORD /d 2

--------------------------------------------------------

5. ไปที่ Start Menu All ProgramsStartup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:WINDOWSsystem หา Flashy.exe แล้วลบทิ้ง

6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง

เพิ่มเติม

ต้องเข้าไปแก้ค่าใน regedit ด้วย

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess"Start" = "4"



Create Date : 10 สิงหาคม 2549
Last Update : 10 สิงหาคม 2549 22:03:02 น.
Counter : 3448 Pageviews.

6 comments
  
ขอบคุณมากนะคะ ที่ให้ข้อมูล เผอิญเครื่อง NoteBook เราติดไวรัสนี้เมื่อวานนี้ค่ะ search หาก็มาเจอ Blog ของคุณเนี่ย ช่วยชีวิตไว้ได้ค่ะ

ตอนนี้กำลัง ฆ่า อยู่ ยังไม่ทราบผลค่ะ แต่ก็ โล่งใจไปเยอะเลยนะคะ

ขอบคุณมากกก มากที่สุดค่ะ
โดย: JiJi IP: 203.155.135.100 วันที่: 29 สิงหาคม 2549 เวลา:11:39:58 น.
  
แผ่น Hirens BootCD 8.1 คืออะไร คับ ช่วยบอกหน่อย หาได้จากที่ไหน บอกหน่อยนะ
โดย: ช่วยตอบหน่อยนะ IP: 58.8.57.156 วันที่: 11 กันยายน 2549 เวลา:12:42:58 น.
  
แผ่น Hiren's Bootcd คือ แผ่นซีดีที่รวบรวมโปรแกรมที่จำเป็นในการติดตั้ง ตรวจสอบและแก้ไขปัญหาคอมพิวเตอร์ หรือจะเรียกว่า คล้ายกับเป็นกล่องเครื่องมือของช่างก็ได้ครับ
ภายในแผ่นจะมีโปรแกรมที่จำเป็นมากมาย เช่น โปรแกรมจัดการพาร์ติชั่น โปรแกรมกำจัดไวรัส โปรแกรมโคลนต่างๆ มีเยอะแยะครับ นับว่าเป็นแผ่นที่มีความสำคัญและ
ช่วยอำนวยความสะดวกในการทำงานมาก ควรจะมีไว้ครับ
โดย: OvO วันที่: 14 กันยายน 2549 เวลา:9:09:18 น.
  
Hiren's Bootcd โหลดจากไหนได้บ้างค่ะ
โดย: 147 IP: 117.47.43.219 วันที่: 11 ตุลาคม 2550 เวลา:19:20:49 น.
  
แผ่น Hiren's Bootcd มีให้โหลดหรือว่าหาซื้อที่ไหนหรอครับ แล้วโปรแกรมนี้เป็นเป็นการลบ user account ที่โดนไวรัสใช่ไหมครับ
โดย: sonk_na IP: 117.47.57.136 วันที่: 21 พฤศจิกายน 2550 เวลา:21:28:30 น.
  
ลองค้นหาโหลดได้จาก Google เลยครับ มีให้โหลดกันทั่วไป

แล้วนี่เป็นการกำจัดไวรัส ไม่ใช่การลบ user ครับ
โดย: OvO วันที่: 25 พฤศจิกายน 2550 เวลา:12:33:52 น.
ชื่อ :
Comment :
 *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 
ยืนยันรหัสความปลอดภัย :
(กรอกตัวเลขที่ปรากฎในภาพ)

OvO
Location :
เชียงใหม่  Thailand

[ดู Profile ทั้งหมด]
ให้ทิปเจ้าของ Blog [?]
 ฝากข้อความหลังไมค์
 Rss Feed
 Smember
 ผู้ติดตามบล็อก : 6 คน [?]



สวัสดีครับ ผมสนใจในเรื่องคอมพิวเตอร์และอีกหลายๆเรื่อง
ยินดีที่ได้รู้จักทุกคนครับ มีบล็อกส่วนตัว เกี่ยวกับเรื่องโหราศาสตร์ และบริการดูดวงฟรี
http://thaiastrotalk.tk
Custom Search
All Blog
MY VIP Friend