วิธีแก้ไขไวรัสที่แอบใส่password บน Windows

วิธีแก้ไขไวรัสที่แอบใส่password บน Windows
ไวรัสจอมป่วนที่ทำการเปลี่ยน Password บน Windows
ใหม่ๆ ยังนึกว่ามีใครแอบแกล้งมาใส่ Password ในเครื่อง ซะอีก
ใครโดน ลองทำตามนี้นะครับ

บทความต่อไปนี้ คัดลอกมาจากเว็บบอร์ดใน http://www.jcomzone.com

ชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.


- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น

- ส่วนเรื่อง password ให้ไปที่ User account ใน Control panel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป
ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)

อาการของเครื่องที่ติด Flashy.exe

- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด

- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้

Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย

- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ

อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที

- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว

หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้

- หากว่าใน Memory Card หรือ Flash
Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ

- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที

- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)

- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ
เป็นค่อยๆ ไป อย่าง Brontok ..

ขั้นตอนการกำจัดไวรัส Flashy.exe

1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย

หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...

- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป

- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป

- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode

2. เมื่อเข้า Safe Mode มาแล้ว

- คลิกขวาที่ My Computer > Properties >
แท็บ System Restore > เลือก Turn off System Restore on all drives > OK

3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)

4. เปิด Notepad แล้วก็อบ***ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat

เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน

--------------------------------------------------------

@ECHO OFF

REG delete
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /f

REG delete HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v Flashy Bot /f

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v Hidden /t REG_DWORD /d 2

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v HideFileExt /t REG_DWORD /d 0

REG add HKLMSYSTEMCurrentControlSetServicesSharedAccess /v Start /t REG_DWORD /d 2

--------------------------------------------------------

5. ไปที่ Start Menu All ProgramsStartup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:WINDOWSsystem หา Flashy.exe แล้วลบทิ้ง

6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง

เพิ่มเติม

ต้องเข้าไปแก้ค่าใน regedit ด้วย

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess"Start" = "4"

……………………………………………………………………………………………


วิธีแก้ไขเมื่อเครื่องคอมพิวเตอร์ติด Virus Brontok.A
อาจจะเก่าหน่อย แต่หวังว่าคงมีประโยชน์สำหรับคนที่ โดนไวรัสตัวนี้นะครับ
คัดลอกบทความจาก http://www.bcoms.net

1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือ Work group ไวให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. รีบูตเข้าสู่ Safe Mode โดยกด F8 เร็วๆ ตอนเริ่มเปิดเครื่อง แล้วเลือกเข้าสู่ เซฟโหมด ในฐานะของ Administrator
3. กด Start…>run พิมพ์ msconfig กด OK ไปที่แทป StartUp ยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป
– norBtok
- smss
4. รีบูตเครื่องใหม่ ตอนนี้ไวรัสจะไม่เรียกการทำงานขึ้นมาตอน Start up อีก ต่อไปก็ต้องตามลบไฟล์และแก้ไขรีจิสทรีครับ
ลบไฟล์และแก้ไขรีจิสทรี
1.ให้คุณดาวน์โหลดไฟล์ http://securityresponse.symantec.com/avcenter/UnHookExec.inf เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วคลิกคำว่า install นะครับรีจิสทรีจะถูกปลดล็อกออก

2. กด start…>run พิมพ์ regedit กด OK เข้าไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer ในพาธทางขวา ลบค่า “NoFolderOption”= “1” ออกไป ทีนี้ Folder Options ใน Control Panel ที่ถูกซ่อนโดยไวรัสจะกลับมา

3. จากนั้นตามลบไฟล์ที่เหลือครับ เปิดหน้าต่างวินโดวส์ขึ้นมาใส่ %UserProfile%Local Settings\Application Data\ ลงไป กด Enter หากพบไฟล์เหล่านี้ลบทิ้งให้หมด
- csrss.exe
- inetinfo.exe
- lsass.exe
- services.exe
- winlogon.exe
ไปที่ %UserProfile%\Start Menu\Program\Startup\ ลบไฟล์ Empty.pif
ไปที่ %UserProfile%\Templates\ ลบไฟล์ A.kontnorB.com ไปที่ %Windir%\inf\ ลบไฟล์ norBtok.exe
ไปที่ %System%\ ลบไฟล์ 3D Animation.scr

เท่านี้ไวรัสจะถูกกำจัดไปครับ ต่อจากนี้ก็ควรทำ Windows Update โดยอาจเปิดการอัพเดทไว้เป็นแบบ Automatic เพื่อที่จะอัพเดท Security Patch ที่จะปิดช่องโหว่จากไวรัสหนอน ที่แพร่ระบาดได้อีกทางหนึ่ง (แต่ถ้าใช้ของไม่ถูกลิขสิทธิ์อย่าเปิด Auto Update นะครับ ระวังจะมีปัญหา ) หมั่นอัพเดทแอนตี้ไวรัสบ่อยๆ ครับเท่านี้จะปลอดภัยอีกระดับหนึ่ง

Remove Tools Brontok.C, A

ก่อนใช้งานควรปิดในส่วน System Restore (Turn Off) แล้วทำการ Run ตัวโปรแกรม โปรแกรมจะทำการแก้ไข Register และลบ Process ของไวรัส เมื่อเสร็จ ให้กด Scan อีกครั้งเพื่อค้นหาและลบ Worm ออกจากเครื่องทั้งหมด เมื่อเสร็จเรียบร้อย ให้ Restart เครื่องทันที


Virus "Open With"
ตามที่เรียกกันนะครับ มันจะเป็นไวรัสตัวหนึ่งที่มาสร้าง autorun.inf ที่ไดร์ฟของเรา จะทำให้ไม่สามารถ ดับเบิลคลิ๊กที่ตัวไดร์ฟเพื่อเปิดการใช้งานได้ แล้วจะขึ้นหน้าต่าง open with ให้เราเลือกโปรแกรมเพื่อเปิดการใช้งาน สามารถเข้าดูวิธีแก้ไขได้ด้งนี้

- เข้า ไปในดอสของไดรที่ติดไวรัส พิมพ์ >dir /ah เพื่อเช็ค ไฟล์ autorun.inf และไฟล์ msvcr71.dll หรือไฟล์ toy.exe ที่ทำการซ่อนไว้ ให้ทำการลบ โดยพิมพ์ >del /ah autorun.inf หรือ >del /ah msvcr71.dll