ชื่อผู้ใช้งาน
รหัสผ่าน:
 
หน้า: [1]
  พิมพ์  
 
ผู้เขียน หัวข้อ: System Volume Information & RECYCLER คือ ไวรัสใช่มั้ยครับ?  (อ่าน 46447 ครั้ง)
มกราคม 12, 2011, 10:22:07 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« เมื่อ: มกราคม 12, 2011, 10:22:07 am »

มันเริ่มต้นจากคอมติดไวรัสจากแฟลชไดร์ฟ
แต่พอใช้ NOD32 สแกน ก็ไม่มีอะไรในเครื่อง (แฟลชไดร์ฟเพื่อนผมมีไวรัส สแกนแล้ว)
NOD32ผมนี่อัพเดทตลอดนะครับ ผมตั้งมันอัพเดทอัตโนมัติเลย
แต่ว่า ในคอม ผมมีโฟลเดอร์นึง ที่ผม hidden มันไว้
ปรากฏว่า เหมือนไวรัสมันจะไปตั้งค่าใน folder option ไม่ให้โชว์พวก hidden น่ะครับ
พอผมแก้มันได้ ที่ hidden มันก็โชว์ ปรากฏว่าผมเจอโฟลเดอร์ System Volume Information กับ RECYCLER
ทั้งๆที่ ผมไม่เคยเห็นมาก่อนเลย แถมไอ้ RECYCLER มันมีความจุด้วย = =
ผมก็เลยลบมัน แต่พอมาดูใหม่ มันก็ขึ้นมาเองเฉยเลย
มันใช่ไวรัสหรือเปล่าครับ? ถ้าใช่ ผมควรทำยังไง รกหูรกตามาก TT

System Volume Information กับ RECYCLER
มันอยู่ทุกไดร์ฟเลยนะ T^T
« แก้ไขครั้งสุดท้าย: มกราคม 12, 2011, 11:36:31 am โดย อ.สมฤกษ์ » บันทึกการเข้า
มกราคม 12, 2011, 10:22:25 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« ตอบ #1 เมื่อ: มกราคม 12, 2011, 10:22:25 am »

System Volume Information - ​เป็นโฟล์เดอร์ที่เก็บค่าต่างๆที่เกิดการเปลี่ยนแปลงขึ้นเมื่อเปิดการทำงานของ System Restore ลบโฟล์เดอร์ไม่ได้ครับ แต่ทำให้มันใช้พื้นที่น้อยๆได้โดยการ Clean System Restore แล้วสร้าง System Restore point ขึ้นมาใหม่ครับ

วิธีการ Clean System Restore
- ไปที่ Start > All Programs > Accessories > System Tools > Disk Cleanup
- เลือก Drive ที่จะทำการ Clean คลิ๊ก OK (ถ้าในเครื่องมีหลาย Drive ต้อง Clean ทุก Drive ครับ แต่จะ Clean ได้ทีละ Drive ฉะนั้น Drive ที่เหลือต้องมาสั่ง Clean ด้วยวิธีเดียวกันนี้ทีหลัง)
- พอเครื่องทำการ Scan เสร็จจะมีหน้าต่าง Disk Cleanup for.... ปรากฏขึ้นมา ไปที่แท๊ป More Options ด้านล่างในส่วนของ System Restore คลิ๊กเลือก Clean up แล้วคลิ๊ก OK
- ทีนี้จะมีหน้าต่างถามยืนยันว่าต้องการลบ Restore point จริงมั๊ย ให้คลิ๊ก Yes แล้วคลิ๊ก OK ที่หน้าต่าง Disk Cleanup อีกทีนึง ก็จะมีหน้าต่างถามยืนยันการกระทำอีกทีนึงก็คลิ๊ก Yes ก็จะเป็นการลบ Restore point ใน Drive นั้นออกไปแล้วครับ
- ใช้วิธีเดียวกันในการ Clean Restore point ใน Drive อื่นๆในเครื่อง

หลังจากที่ Clean Restore point ในทุก Drive เสร็จแล้ว ก็ต้องไปสร้าง Restore point ใหม่ครับ

วิธีสร้าง System Restore Point
- ไปที่ Start > All Programs > Accessories > System Tools > System Restore
- เลือก Create a restore point คลิ๊ก Next
- ในช่อง Restore point description ให้พิมพ์ชื่อที่เราต้องการให้เป็นชื่อ Restore point ลงไป แล้วคลิ๊ก Create เครื่องก็จะสร้าง Restore point ใหม่ ณ เวลานั้นให้เราครับ

ทีนี้ลองกลับไปดูในโฟล์เดอร์ System Volume Information จะเห็นว่ามันใช้พื้นที่น้อยลงมากครับ

Credit: http://www.beartai.com
« แก้ไขครั้งสุดท้าย: มกราคม 12, 2011, 10:34:15 am โดย อ.สมฤกษ์ » บันทึกการเข้า
มกราคม 12, 2011, 10:28:30 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« ตอบ #2 เมื่อ: มกราคม 12, 2011, 10:28:30 am »

Folder ชื่อ Recycler และ Recycled

 เรื่องต่อมาที่เคยได้ยินและเคยเข้าใจผิดด้วยตัวเองเหมือนกันคือเรื่องของ Folder ที่ชื่อ Recycler ที่เห็นอยู่ในทุกๆ Drive เลย แถมยังสีจางๆซะอีก ทีแรกคิดว่าโดนไวรัสเข้าแล้วเรา ลบก็ไม่ได้หรือลบได้ก็กลับมาอีก น่ากลัวจริงๆ ด้วยความเข้าใจผิดที่ว่าถ้าเป็นถังขยะจะต้องเป็นชื่อ Recycle Bin เท่านั้นและต้องเป็นรูปถังขยะเขียวๆสิ ถึงจะของแท้ จนลองไปค้นหาข้อมูลดูจาก Google ถึงได้ตาสว่างว่าจริงๆแล้วมันก็อาจจะเป็นไวรัสหรือไม่ใช่ไวรัสแล้วแต่กรณีครับ เลยขอเอามาเล่าสู่กันฟังเพื่อจะได้แยกแยะออกว่าไหนไวรัส ไหนไม่ใช่ไวรัสเอาแบบฟันธงกันลงไปเลย

 ก่อนอื่นต้องขอเกริ่นเรื่องของถังขยะสักเล็กน้อยนะครับเผื่อคนที่เพิ่งเริ่มต้นจะได้ไม่งง เรื่องของเรื่องก็คือว่าใน Windows นั้นเมื่อเราทำการลบไฟล์ ตัว Windows จะไม่ได้ทำการลบไฟล์นั้นจริงๆครับ(ยกเว้นกด Shift+Delelete) เพียงแค่ทำการย้ายไปใส่ในถังขยะซึ่งเรียกว่า Recycle Bin ซึ่งทุกๆคนจะเห็นมันอยู่บน Desktop นั่นล่ะครับ เผื่อวันนึงเราเปลี่ยนใจให้อภัยจะเอามันกลับมาก็ยังสามารถไปเอามันออกมาจากถังได้ ซึ่งโดยแท้จริงแล้วเจ้า Recycle Bin ที่เราเห็นอยู่บน Desktop เป็นเพียงแค่ Shortcut นะครับไม่ได้เป็นที่เก็บไฟล์ที่ลบไปจริงๆ ที่เก็บของมันจริงๆก็จะเป็น Folder Recyclerหรือ Recycled ซึ่งเป็น Folder แอบ(สีจาง)ซึ่งอยู่ในทุกๆ Drive นั่นเอง อ้าว! แล้ว Recycler กับ Recycled ต่างกันยังไงล่ะ ทำไมบางเครื่องมี Recycled ซึ่งเป็นรูปถังขยะเลย แต่บางเครื่องกลับมี Recycler ซึ่งเป็นรูป Folder ธรรมดาๆแล้วข้างในมีถังขยะชื่อยาวๆ นี่ล่ะครับที่มาของเรื่องนี้

 ที่มาที่ไปมันเป็นแบบนี้ครับ คือในการแบ่ง Partition เพื่อลง Windows นั้นเราสามารถเลือกประเภทของ Partition ได้ทั้งแบบ FAT32 หรือ NTFS ซึ่งทั้ง 2 รูปแบบต่างกันยังไงนั้นลองไปอ่านดูที่นี่นะครับ http://www.ntfs.com/ntfs_vs_fat.htm ผมขอไม่อธิบายนะครับไม่งั้นจะยาวไป เอาเป็นว่าเราต้องเลือกแบบใดแบบหนึ่งแล้วกันนะครับ ซึ่งในกรณีที่เราเลือกแบบ FAT32 นั้นเจ้าถังขยะที่อยู่ในทุกๆ Drive เพื่อเก็บไฟล์ที่โดนลบนั้นก็จะเป็นรูปถังขยะและชื่อว่า Recycledซึ่งอันนี้ไม่ค่อยน่าตกใจ แต่ปัญหาก็คือว่าถ้าเราเลือกเป็น NTFS นี่สิครับเจ้า Folder ที่เก็บไฟล์ที่โดนลบนั้น ไม่ได้ใช้ชื่อ Recycle แถมไม่ได้เป็นรูปถังขยะซะอีก เป็นแค่รูป Folder ธรรมดาๆสีจางๆ และใช้ชื่อว่า Recycler ครับ ซึ่งมีไวรัสบางตัวก็ใช้เจ้า Recycler นี่ล่ะครับเป็นที่อาศัย จนผมก็เคยเข้าใจผิดไปว่าเจ้า Folder ที่ว่านี้เป็นไวรัสไปด้วย ดังนั้นในบทความนี้ผมจะกล่าวถึงเพียง Folder Recycler เพียงอย่างเดียวนะครับ เพราะเจ้า Recycled นั้นผมเองยังไม่เคยเจอปัญหาครับ

 คราวนี้เรามาดูกันนะครับว่าเจ้า Recycle Bin ซึ่งอยู่บน Desktop กับเจ้า Recycler ซึ่งมีอยู่ในทุกๆ Drive มีหน้าที่และความเกี่ยวข้องกันยังไง จะได้เป็นข้อมูลในการแยกแยะระหว่างไวรัสกับไม่ใช่ไวรัสครับ สำหรับ Recycle Bin ที่อยู่บน Desktop นั้นตามที่บอกว่าเป็นเหมือนแค่ Shortcut ชี้ไปยังที่เก็บไฟล์ที่โดนลบไปเท่านั้น ซึ่งในการลบไฟล์นั้นในกรณีที่ HD เราแบ่งเป็นหลายๆ Drive ถึงแม้ว่าเมื่อเราลบไฟล์แล้วเราเห็นว่ามันมาอยู่ใน Recycle Bin บน Desktop แต่โดยแท้จริงแล้ว Folder ที่ใช้เก็บไฟล์ที่โดนลบนั้นอยู่ในแต่ละ Drive ที่เราลบครับ เช่นเราลบไฟล์ใน Drive D ถึงแม้ว่าเราจะมองเห็นว่ามันอยู่ใน Recycle Bin บน Desktop แต่โดยแท้จริงแล้วไฟล์ที่โดนลบมันจะเอาไปเก็บไว้ที่ D:\\Recycler\\ตัวเลขยาวๆ นะครับ แล้วเดี๋ยวจะอธิบายเพิ่มเติมว่าตัวเลขยาวๆคืออะไร โดยถ้าเราเปิดเข้าไปผ่าน My Computer ก็จะเห็นว่ามันอยู่ใน Folder ชื่อ Recycler\\ตัวเลขยาวๆ ในทุกๆ Drive นั่นล่ะ แต่จริงๆไม่ใช่นะครับมันเพียงภาพลวง ถ้าอยากดูของจริงก็ลองใช้ ExplorerXP เข้าไปดูครับจะเห็นว่าจริงๆแล้วมันมีอะไรอยู่ข้างในกันแน่ เอาเป็นผมสรุปสั้นๆก่อนแล้วกันครับว่าโดยแท้จริงแล้ว ไฟล์ที่เราลบจาก Drive ไหนก็จะไปเก็บอยู่ใน Folder Recycler\\ตัวเลขยาวๆ ของ Drive นั้นๆ ไม่ได้อยู่ในทุกๆ Drive เหมือนที่เห็นใน My computer (ผมคงอธิบายไม่งงนะครับ)

 เอาล่ะครับก่อนอื่นเรามาทำความรู้จักโดยคร่าวๆกับตัวเลขยาวๆกันก่อนว่ามันคืออะไรและมายังไงกัน สำหรับตัวเลขยาวๆที่กล่าวถึงจะเป็นตัวเลข 8 ชุดซึ่งคั่นด้วยเครื่องหมาย - ซึ่งเรียกว่า SID(Security IDentifier) ก็จะเป็นหมายเลขประจำตัวของ User ของเครื่องคอมพิวเตอร์เครื่องนั้นๆ จะเรียกว่าเป็นหมายเลขบัตรประจำตัวก็ใกล้เคียงครับ จะใช้ในการอ้างอิงถึง User ในเครื่องนั้นๆกรณีติดต่อกับเครื่องอื่นๆในระบบเครือข่าย ซึ่ง User แต่ละคนในเครื่องจะมีหมายเลขไม่ซ้ำกันครับ สำหรับรายละเอียดลึกๆเรื่องนี้ลองศึกษาเพิ่มเติมที่ http://support.microsoft.com/kb/243330 นะครับ ตรงนี้เอาแค่เข้าใจคร่าวๆเพื่อนำไปวิเคราะห์ไวรัสในขั้นต่อไปกันครับ ก่อนจะจบหัวข้อ SID แนะนำให้โหลด Ultra_SID เก็บไว้นะครับโดย Tool ตัวนี้ใช้ในการแสดงหมายเลข SID ของ User ในเครื่องของเราทั้งหมดครับ

 อีกเรื่องที่ควรจะรู้ก่อนจะไปวิเคราะห์เรื่องของไวรัส Recycler ก็คือการจัดเก็บไฟล์ที่โดนลบไว้ใน Foder Recycler ครับ ตามที่บอกไว้ข้างต้นว่าในการลบไฟล์นั้นถึงแม้ว่าเราจะมองเห็นว่ามีไฟล์ที่เราลบนั้นอยู่ในRecycle Bin บน Desktop แต่โดยแท้จริงแล้วไฟล์ที่โดนลบมันจะเอาไปเก็บไว้ที่ Drive ที่ลบไฟล์:\\Recycler\\ตัวเลขยาวๆครับ ซึ่งตอนนี้เรารู้แล้วล่ะว่าตัวเลขยาวๆที่ว่าคือหมายเลข SID ซึ่งเราสามารถตรวจสอบหมายเลข SID ของเราได้จาก Tool ที่ให้โหลดไปนั่นล่ะครับ

 มาถึงตอนนี้เราจะลองใช้ ExplorerXP เข้าไปดูที่ Folder Recycler เลยก็ได้ครับ จะเห็นรูปถังขยะที่เป็นหมายเลข SID ของเราอยู่ข้างในซึ่งกรณีที่เรายังไม่ได้มีการลบไฟล์ใดๆ ภายในถังนั้นจะมีไฟล์ชื่อ Desktop.ini และ INFO2 อยู่ภายใน(ซึ่งผมจะอธิบายไว้ในตอนหลังๆนะครับว่า 2 ไฟล์นี้คืออะไร) กรณีนี้ถือว่าเป็นปกติครับ มาต่อกันในเรื่องของการจัดการกับไฟล์ที่โดนลบครับ คือในกรณีที่เครื่องของเราใช้หลายๆคน คือมีหลายๆ User เมื่อเข้าไปใน Folder Recycler นั้นเราก็จะเห็นว่ามีถังขยะหลายๆถังซึ่งแต่ละถังจะเป็นหมายเลข SID ของแต่ละ User แยกจากกัน พูดง่ายๆว่าไฟล์ที่ลบโดยใครก็จะอยู่ในถังใครถังมันล่ะครับ

 แล้วถ้ามีการลบไฟล์เกิดขึ้นล่ะจะเป็นยังไง คำตอบก็คือ Windows จะทำการย้ายไฟล์ที่โดนลบนั้นมาใส่ไว้ใน Folder Recycler ตาม Drive ที่ไฟล์นั้นๆอยู่ก่อนโดนลบครับ คือถ้าลบไฟล์ใน Drive D มันก็จะไปเก็บไว้ใน Folder Folder D:\\Recycler ลบใน Drive C ก็จะไปเก็บไว้ใน Folder Folder C:\\Recycler และภายในก็จะใส่ไว้ในถังตาม SID ของ User ที่เป็นผู้ลบครับ

 ยกตัวอย่างเช่นผมมีหมายเลข SID เป็น S-1-5-21-3008556928-1690244188-1837343850-500 และได้ลบไฟล์ C:\\Test\\Test_C.exe ตัว Windows ก็จะทำการย้ายไฟล์ Test_C.exe ซึ่งโดนลบไปเก็บไว้ที่ C:\\Recycler\\S-1-5-21-3008556928-1690244188-1837343850-500\\ ครับ

 เรามาดูลึกเข้าไปอีกนิดว่า Windows มันจัดการกับไฟล์ที่เราลบไปยังไงบ้าง ตัว Windows ไม่ได้เอาไฟล์ที่เราลบไปเก็บไว้ตรงๆเหมือนเรา Cut แล้ว ไป Paste ในอีก Folder นะครับ(ทั้งๆที่ Recycler ก็เป็นเหมือน Folder ธรรมดาๆนี่ล่ะ) แต่ Windows จะทำการเปลี่ยนชื่อไฟล์ที่เราลบ ก่อนเอาไปใส่ไว้ใน Folder Recycler โดยมีหลักในการเปลี่ยนชื่อดังนี้ครับ คือชื่อใหม่ที่เปลี่ยนจะขึ้นต้นด้วยตัว D (ตัวใหญ่) ตามด้วยชื่อ Drive ที่ไฟล์นั้นอยู่ก่อนโดนลบ และสุดท้ายก็จะเป็นหมายเลขซึ่งจะเป็นลำดับไฟล์ที่โดนลบ ตามด้วยนามสกุลของไฟล์ครับ ถ้าอ่านแล้วงงมาดูตัวอย่างกันเลยครับ

 เช่นจากตัวอย่างข้างต้น ผมลบไฟล์ C:\\Test\\Test_C.exe ดังนั้นเมื่อ Windows ทำการย้ายไฟล์ที่โดนลบไปใส่ใน Folder Recycler ก็จะเปลี่ยนชื่อไฟล์เป็น Dc1.exe ถ้าผมลบไฟล์ C:\\XXX.docไปอีกไฟล์มันก็จะเปลี่ยนชื่อเป็น Dc2.doc หรือกรณีผมลบไฟล์ชื่อ D:\\Test\\Test_D.exe มันก็จะเปลี่ยนชื่อเป็น Dd1.exe เพียงแต่เอาไปเก็บไว้คนละ Drive ตามที่บอก คือลบจาก Drive ไหนก็เก็บใน Folder Recycler ของ Drive นั้น ลองดูรูปด้านล่างประกอบนะครับ






 คงมีคำถามกันในใจว่า แล้วถ้าวันนึงเราเปลี่ยนใจที่จะยกเลิกการลบล่ะ จะ Restore ไฟล์กลับออกมาจากถังแล้วWindows จะรู้ได้ยังไงว่าจะเอาไฟล์ของเรากลับไปไว้ที่เดิมก่อนลบตรงไหนและชื่ออะไรในเมื่อเล่นเปลี่ยนชื่อไฟล์เราซะแล้ว ความลับอยู่ที่ไฟล์ Info2 ที่กล่าวถึงไว้ตอนต้นน่ะครับ ถ้าเราเปิดเข้าไปดูข้างในก็จะเห็นว่า Windows เก็บชื่อพร้อมตำแหน่งเดิมของไฟล์ก่อนลบไว้ในนั้นล่ะครับ เมื่อจะ Restore กลับ Windows ก็จะไปอ่านค่าจากในนั้นล่ะว่าควรจะแก้ชื่อกลับเป็นอะไร และเอากลับไปไว้ตรงไหน เอาเป็นว่าเราเข้าใจแล้วนะครับว่าไฟล์ Info2 มีไว้เพื่ออะไร ส่วนอีกไฟล์ที่อยู่ด้วยกันคือไฟล์ Desktop.ini นั้นก็ไม่มีอะไรมากครับ เป็นเพียงแค่ตัวบอกว่านี่คือ Folder ถังขยะให้แสดง Icon เป็นรูปถังขยะ และทำการ Link ข้อมูลกับ Folder Recycle Bin บน Desktop เท่านั้นเองครับ ลองดูรูปด้านล่างประกอบนะครับ



 เอาล่ะครับ หลังจากเกริ่นเรื่องของ Folder Recycler กันมายาว(มาก) เราก็คงเข้าใจหน้าที่และหลักการทำงานของมันแล้ว คราวนี้เรามาดูกันครับว่าเจ้าไวรัส Recycler มันมาแอบอยู่ตรงไหน และต่อไปเราจะแยกแยะได้ยังไงว่าอันไหนไวรัสอันไหนไม่ใช่ เท่าที่ผมเคยเจอและค้นๆข้อมูลดู เจ้าไวรัส Recycler มันจะใช้การแอบอยู่ใน Folder Recycler ของเครื่องเรานี่ล่ะครับ โดยการสร้างถังที่มีหมายเลข SID เป็น S-1-5-21-1078073611-1993962763-839522115-1003 ไว้ใน Folder Recycler ซึ่งหมายเลข SID นี้ไม่ได้เป็นหมายเลขของ User ในเครื่องเราแต่อย่างใดครับ สำหรับเครื่องที่มีผู้ใช้เพียงคนเดียว(User เดียว) จะสังเกตุได้ไม่ยากครับเพราะเมื่อเข้าไปใน Folder Recycler แล้วมันควรจะมีถังหมายเลข SID ซึ่งเป็นของเราเพียงถังเดียว แต่กลับมีถังแปลกปลอมขึ้นมาซึ่งก็มีหมายเลข SID ตามที่บอกไป อันนี้ติดไวรัส Recycler แน่นอนแล้วครับ หรือในกรณีที่มีหลาย User ก็ลองสำรวจดูนะครับว่าถังไหนไม่ใช่หมายเลข SID ของ User ในเครื่องเรา มันคือไวรัสแน่นอนครับ ซึ่งภายในถัง SID ปลอมนั้นมันจะมีไฟล์ที่ชื่อ mmc32.exe หรือบางครั้งก็ชื่อ Info32.exe อยู่ ซึ่งเมื่อเราเข้าใจหลักการจัดการกับไฟล์ที่โดนลบตามที่อธิบายในขั้นต้นแล้ว เราก็จะสามารถรู้ได้ทันทีว่าไฟล์ที่อยู่ในถัง SID นั้น ไม่มีทางที่จะเก็บชื่อเต็มๆแบบนี้ ดังนั้นไฟล์ 2 ตัวนี้มีความผิดปกติ หรือพูดง่ายๆว่าเป็นไวรัสนั่นเองครับ

 และในอีกกรณีหนึ่งซึ่งสังเกตุได้ก็คือ ในกรณีที่เราเลือกรูปแบบ Partition เป็นแบบ FAT32 มันจะไม่มี Folder Recycler ครับ แต่มันจะเป็น Folder Recycled ซึ่งเป็นรูปถังขยะเลย ดังนั้นถ้าเราสร้าง Partition เป็นแบบ FAT32 แล้วมี Folder Recycler โผล่ขึ้นมา มั่นใจได้เลยครับว่าไวรัสแน่นอน ซึ่งในกรณีนี้ผมขอหมายรวมถึง Thumb Drive ด้วยนะครับ เพราะตัว Thumb Drive ไม่ว่าจะเป็น Partition เป็นแบบไหนก็จะไม่มีการสร้าง Folder Recycler หรือแม้กระทั่ง Folder Recycled โดยเด็ดขาดครับ เพราะการลบไฟล์จาก Thumb Drive เป็นการลบแล้วลบเลย สังเกตุว่าจะไม่มีการถามว่าจะ Send to Recycle Bin หรือไม่ ต่างกับการลบไฟล์บน HD ครับ ดังนั้นถ้าใน Thumb Drive มี Folder Recycler หรือ Folder Recycled นั่นคือไวรัส 100% ครับ ฟันธง! ลองดูภาพประกอบนะครับ

บันทึกการเข้า
มกราคม 12, 2011, 10:38:59 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« ตอบ #3 เมื่อ: มกราคม 12, 2011, 10:38:59 am »

วันนี้ผมเข้าเว็บไม่ค่อยได้เข้าได้บ้างเข้าไม่ได้บ้างเพราะผมกำลังปรับโฮสใหม่ ก็เลยมีเวลานั่งคิดเรื่องไวรัส
แล้วผมก็คิดถึงไวรัสตัวนี้ เพราะว่าเป็นไวรัสที่ติดแล้วคนทั่วไปคิดว่าไม่ใช่ไวรัส หรือบางคนไม่ได้ติดแต่ไม่รู้ว่าตัวเองติดไวรัส
ตัวนี้หรือไม่ ซึ่งในหลายเว็บก็เขียนวิธีแก้ไวรัสตัวนี้อยู่ แต่เขียนแค่ตัวเดียวเวอร์ชั่นเดียวเท่านั้น ซึ่งมีเว็บผมเว็บแรกกระมังครับ
ที่สนใจไวรัสตัวนี้และเข้าใจหลักการทำงานของไวรัสตัวนี้ ไวรัสตัวนี้มีหลายเวอร์ชั่น ซึ่งผู้สร้างคงสร้างขึ้นมาเรื่อยๆ เพราะติดแล้ว
ดูไม่ค่อยออกเลย ลองหาข้อมูลดูก็ไม่มีใครวิจัยไวรัสตัวนี้อย่างจริงจังเลยนะครับ   ค้นข้อมูลคลิก  RECYCLER
ก็จะพบคนเขียนวิธีแก้แบบต่างๆซึ่งยังไม่มีใครทราบกันว่ามันมีหลายเวอร์ชั่น ป่านเป็นผู้พบคนแรกเลยเชียวละครับ
หรือหากเป็นข้อมูลเกี่ยวกับ RECYCLER อย่างละเอียดละก็ผมเจอเว็บหนึ่งครับผมไม่ก๊อปมาละกันคลิกไปอ่านเลยครับ
http://www.dpu.ac.th  ซึ่งเว็บนี้ก็ได้แนะวิธีดูว่าติดหรือไม่ติดไวรัส  RECYCLER หรือไม่

แต่ช่างป่านมีวิธีดูไวรัสตัวนี้ว่าท่านติดไวรัสตัวนี้หรือไม่โดยวิธีง่ายๆและได้ผลครับ
นั่นก็คือใช้โปรแกรม WINRAR นี่เองครับ เป็นโปรแกรมบีบอัดไฟล์ที่ท่านรู้จักดี หากยังไม่มีในเครื่องก็ โหลด มาติดตั้งครับ
เช็คว่าในเครื่องท่านมีหรือไม่ ก็คลิกขวาตรงไฟล์อะไรซักไฟล์แล้วมีคำว่า Add to .rar ไหม หากมีก็ไม่ต้องโหลดนะครับ


วิธีเช็คว่าติดไวรัส RECYCLER ด้วยโปรแกรม WINRAR
ให้เราคลิกขวาที่โฟลเดอร์ RECYCLER เลยครับ อาจจะในแฟลชไดว์ฟหรือในไดว์ฟ ซี ก็ได้ครับ
ลองซะทุกไดว์ฟก็ดีครับ ให้คลิกขวาที่โฟลเดอร์ RECYCLER แล้วเลือกคำสั่ง Add to RECYCLER.rar




ก้จะได้ไฟล์ RECYCLER.rar มาครับ ให้เราดับเบิ้ลคลิกเปิดนี้เลยครับ เมื่อเปิดแล้วจะเห็นโฟเดอร์ RECYCLER อยู่ครับให้คลิก
เปิดมันอีกครับ จะเห็นโฟลเดอร์ชื่อยาวๆก็ให้เปิดอีกครับ
ดูว่าในนั้นมีไฟล์ EXE หรือไม่ หากไม่มีคือไม่ติดไวรัสครับ



หากพบแบบนี้ คือมีไวรัสครับ คือมีไฟล์ นามสกุล exe  และชื่อนั้นจะบ่งบอกว่าติดเวอร์ชั่นไหนครับ



ชื่อไวรัสที่พบบ่อยคือ INFO.exe    Shellopen.exe   spoolsv.exe  และคงมีมาใหม่เรื่อยๆครับ

แนวทางการแก้ไวรัสตัวนี้ก็เชิญลิ้งค์นี้ลยครับ
http://www.webphand.com/RECYCLER/

เป็นไงกันบ้างครับ อ่านแล้วได้ความรู้เพิ่มขึ้นไหมครับ เป็นเกร็ดความรู้เล็กน้อยจากผมในวันที่เข้าเว็บไม่ได้ครับ

อ้างอิงจาก
http://www.webphand.com/RECYCLER/Check/
บันทึกการเข้า
มกราคม 12, 2011, 10:55:04 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« ตอบ #4 เมื่อ: มกราคม 12, 2011, 10:55:04 am »

วิธีแก้ไวรัส RECYCLER

ไวรัสตัวนี้เริ่มติดกันมานานแล้ว โปรแกรมแอนตี้ไวรัส ส่วนมากแล้วก็กันและลบไวรัสตัวนี้ได้หมดแล้ว
แต่เวบผมยังไม่มีวิธีแก้เลย ก็เลยลองค้นๆหาไวรัสดูและได้ไวรัสจากสมาชิกส่งมาด้วย เมื่อลองวิจัยไวรัสตัวนี้
ใช้เวลา 3วันสองคืนจึงจะแก้ได้ครับ
(ตอนที่เขียนอยู่นี้ก็หิวข้าวมากแต่ลุกไปทานไม่ได้เพราะลุกไปแล้วกลับมาทำต่อมันจะลืมต้องทนหิวแล้วทำต่อให้เสร็จ)
ตามวิธีแก้ที่ผมใช้นั้นคือมีหลักในการแก้อยู่ว่า ตรวจหาโปรเซสไวรัสแล้วหยุดแล้วไปลบไวรัสและไปแก้อาการหลังติดไวรัส
ไวรัสตัวที่ผมลองนี้ ดันมีสองเวอร์ชั่นครับ แล้วดันลองเวอร์ชั่นที่สอง ซึ่งมันไม่มีโปรเซสทำงานผมจึงตามหยุดมันไม่ได้
จึงทำให้การวิจัยไวรัสตัวนี้ใช้เวลาตั้ง3คืนครับ วิธีแก้ของผมนี้ไม่ซ้ำกับใครแน่นอนครับ ผมเขียนและค้นคว้าด้วยตนเองทั้งหมดครับ

ดังที่กล่าวไปแล้วว่าไวรัสตัวนี้มีสองเวอร์ชั่น แต่ในความจริงแล้วมันอาจจะมีมากว่านี้นะครับ ผู้ที่สร้างไวรัสตัวนี้คงสร้างมาอีกเรื่อยๆครับ
วิธีแยกว่าไวรัสเป็นเวอร์ชั่นไหนนั้น ให้ดูดังนี้ครับ ให้เราเซตให้แสดงไฟล์ที่ซ่อนก่อนครับ  คลิกอ่านวิธีเซต
แล้วให้เข้าแฟลชไดว์ฟครับจะเห็นไฟล์ชื่อ autorun.inf ครับ ดับเบิ้ลคลิกเปิดดูได้เลยครับ
หรือลองใช้วิธีเช็คอีกวิธี                  คลิกอ่านวิธีเช็คว่าติดไวรัส RECYCLER หรือไม่
ไวรัสตัวนี้มีเวอร์ชั่นไหนบ้างผมก็จะเอามาเพิ่มเรื่อยๆครับ ตอนนี้ก็ปาเข้าไป 5 เวอร์ชั่นแล้ว   หากมีข้อความ

[autorun]
open=

shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe

แสดงว่าเป็นไวรัส RECYCLER  เวอร์ชั่น 1 ครับ
 

 

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
shell\open\default=1

แสดงว่าเป็นไวรัส RECYCLER  เวอร์ชั่น 2 ครับ
 

 

[AutoRun]
open=.\RECYCLERS\RECYCLERS\wlninltsu.exe /start
shell\Open\command=.\RECYCLERS\RECYCLERS\wlninltsu.exe /start

แสดงว่าเป็นไวรัส RECYCLER  เวอร์ชั่น 3 ครับ
 
หากเปิดแล้วมีข้อความดังรูปก็เป็นเวอร์ชั่น 4 ครับ


[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
shell\open\default=1

เจอข้อความแบบนี้เวอร์ชั่น 5 ครับ

หากเป็นเวอร์ชั่นที่ 1 ก็อ่านวิธีแก้หน้านี้เลยครับ
ก่อนเริ่มแก้นั้นหากมีแฟลชไดว์ฟที่คิดว่าติดไวรัสตัวนี้อยู่ก็เสียบไว้รอเลยครับ

โหลดไฟล์ช่วยแก้ไวรัส    Process Explorer     Hijack This      ไฟล์ซ่อม userinit.exe กับ shell.exe

เปิดโปรแกรม Process Explorer  แล้วคลิกขวาที่โปรเซส svchost.exe  ดังรูปครับ ในรูปจะมีหลายตัวนะครับ ดูดีๆครับ
โปรเซสไวรัสตัวนี้เมื่อเอาเมาท์ไปจ่อแล้วมันจะบอกพาธว่าอยู่ที่ C:\WINDOWS\system ครับแล้วรายละเอียด โปรเซสก็จะไม่มีบอกเลยครับ
เมื่อดูแล้วว่าใช่แน่น่อนก็ให้คลิกขวาแล้วเลือกคำสั่ง Kill process แล้ว OK



แล้วเข้าไปลบไฟล์ไวรัสตัวนี้เลยครับ เข้าไป C:\WINDOWS\system แล้วคลิกขวา Delete เลยครับ



แล้วไปแฟลชไดว์ฟ ไปลบไฟล์ไวรัสในแฟลชไดว์ฟครับ ให้เข้าแฟลชไดว์ฟโดยการ คลิกที่ Start  --->Run  (มุมซ้ายล่างสุด)
 แล้วพิมพ์ชื่อแฟลชไดว์ฟ  หากเป็นไดว์ฟ  F ก็พิมพ์ F: แล้ว เอนเทอร์ครับ  ลบไฟล์ดังรูปลบทั้งสองไฟล์เลยครับ



แล้วเข้าไดว์ฟ ซี และทุกไดว์ฟเลยครับ ให้เข้าไปเปิดโฟลเดอร์ RECYCLER แล้วจะเห็นถังขยะก็ครับ
ให้ลบทิ้งเลยครับ หากลบไม่ได้ก็ใช้โปรแกรม Unlock ช่วยลบครับ
หากยังไม่มีก็โหลดมาติดตั้งครับ โหลด Unlocker



แล้วลบคำสั่งที่สั่งที่เรียกไวรัสขึ้นมาทำงานตอนเปิดเครื่องครับ ให้เปิดโปรแกรม Hijack this ครับ
คลิกถูกที่บรรทัดดังรูปครับ แล้ว กด Fix checked ครับ


หรือจะลองแก้ด้วยตนเองก็เข้า Start ----> Run พิมพ์ regedit แล้วเอนเทอร์ครับ แล้วไปที่คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
แล้วมองขวามือดับเบิ้ลคลิกคีย์ชื่อ Userinit เปิดขึ้นมาแล้วลบ ให้เหลือแค่ userinit.exe, แล้วกด OK ครับ
(ดูดีๆนะครับมีลูกน้ำต่อท้ายด้วยนะครับ) หรือจะใช้โปรแกรมซ่อมของป่านก็ได้ครับ ไฟล์ซ่อม userinit.exe กับ shell.exe


รีสตาร์ทขึ้นมาแล้วเอาแฟลชไดว์ฟเสียบดูหากไม่มีไฟล์ autorun.inf กับโฟลเดอร์ RECYCLER  ก็แก้ได้เรียบร้อยครับ

อ้างอิงจาก
http://www.webphand.com/RECYCLER/
บันทึกการเข้า
มกราคม 12, 2011, 11:02:14 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« ตอบ #5 เมื่อ: มกราคม 12, 2011, 11:02:14 am »

วิธีแก้ไวรัส info.exe หรือไวรัส RECYCLER

ชื่อไวรัส Trojan.Agent.AD

รายละเอียด
    - ผู้ใช้งานได้ดาวน์โหลดเชื้อร้ายนี้มาจากอินเทอร์เน็ตด้วยความไม่รู้
    - เชื้อร้ายนี้แพร่กระจายผ่านสื่อบันทึกที่เคลื่อนย้ายได้ (Removable drive) เช่น Handy Drive
    - เชื้อร้ายจะสร้าง Recycle Bin และไฟล์ autorun.inf ในทุกๆ Removable drive
    - ไม่มีข้อมูลความสูญเสียมากกว่านี้

ข้อมูลในไฟล์ Autorun.inf


open=
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe
ขั้นตอนการแก้ไข


1.ดาวน์โหลดโปรแกรม Process Explorer | ที่นี่ (exe) | Microsoft (zip)
2.รันโปรแกรม procexp.exe เลือก Agree เพื่อเข้าใช้งาน
3.Kill โปรเซส (Process) ชื่อ svchost.exe โดยเลือกรายการที่ไม่มีรายละเอียดแสดงเมื่อนำเมาส์ไปวางเหนือ ดังรูป



4.Start > Run พิมพ์คำสั่ง regedit กด Enter
5.ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
6.โปรดทำด้วยความระมัดระวัง มิฉะนั้นอาจไม่สามารถบูตเข้าสู่ Windows ได้       แก้ไขค่าในตัวแปรชื่อ Userinit ด้วยการ Double Click หรือคลิกขวาเลือก Modify เป็น

          o สำหรับ Windows NTและ 2000  = C:\WINNT\System32\userinit.exe หรือ C:\WINNT\System32\nddeagnt.exe
          o สำหรับ Windows XP และ Server 2003 C:\Windows\System32\userinit.exe


7.ปิดหน้าต่างโปรแกรม Registry Editor
8.Start > Search หรือ Find หาคำว่า RECYCLER ในทุก Drive ลบรายการที่พบด้วยปุ่ม Shift + Delete
9.Start > Search หรือ Find หาคำว่า _sv_CMD_ ในทุก Drive ลบรายการที่พบด้วยปุ่ม Shift + Delete
10.ลบไฟล์ autorun.inf ในทุก Drive ด้วย Shift + Delete
11.เปิดโปรแกรมป้องกันไวรัส และสั่งให้ตรวจสอบไวรัสทั้งเครื่อง (ทุก Drive)

ที่มา: bitdefenderthailand.com

อ้างอิงจาก
http://gler.net/node/295
« แก้ไขครั้งสุดท้าย: มกราคม 12, 2011, 11:05:36 am โดย อ.สมฤกษ์ » บันทึกการเข้า
มกราคม 12, 2011, 11:35:10 am
อ.สมฤกษ์
Hero Member
*****
กระทู้: 852



อีเมล์
« ตอบ #6 เมื่อ: มกราคม 12, 2011, 11:35:10 am »

โปรแกรม ฆ่าไวรัส Autorun.inf และ Recycler

Download โปรแกรมได้ที่นี่

http://www.kaokaenggan.com/bb/KillAutorunVirus.zip


ล่าสุด Version 2.2
การทำงานของโปรแกรมจะใช้วิธีง่ายๆ
โดยมันจะลบไฟล์ Autorun.inf
และ Folder (โฟลเดอร์) ชื่อ Recycler อยู่ตลอดเวลา
แต่ถ้า Folder นั้น ติดไวรัสจนมันทำงานแล้วจะลบไม่ได้
ต้องใช้โปรแกรม Unlocker ลบมันก่อน

Download ได้ที่นี่

http://www.filehippo.com/download_unlocker

หลังจาก Download โปรแกรม Unlocker
แล้ว Unzip และติดตั้งเสร็จแล้ว
เวลาจะใช้งานเพื่อลบไฟล์ หรือ Folder ที่ลบไม่ได้
เช่นกรณีนี้จะลบ Folder ชื่อ Recycler ซึ่งเป็นไวรัส
แต่ลบตามปกติไม่ได้เนื่องจากว่า
ไวรัสที่ซ่อนใน Folder ดังกล่าวกำลังทำงานอยู่
แต่สามารถลบผ่านโปรแกรม Unlocker ได้
ปกติตอนติดไวรัสตัวนี้ ใหม่ๆ
มันยังไม่ทำงานจะสามารถลบได้

ถ้าต้องการลบผ่านโปรแกรม Unlocker
ก็คลิกขวามือที่ไฟล์หรือ Folder ที่ต้องการลบ
แล้วเลือกเมนูย่อย Unlocker



ปกติถ้าไวรัสนั้นยังไม่ทำงาน
แต่ Folder เซ็ตให้ลบไม่ได้เฉยๆ
มักเจอหน้าต่างแบบนี้
ก็แค่เปลี่ยนจาก No action เป็น Delete
แล้วกดปุ่ม OK



แต่ถ้าไปลบ Folder ที่มีไวรัสหรือมีโปรแกรมกำลังทำงานอยู่
จะเห็นหน้าตาเป็นแบบนี้



ซึ่งจะแสดงชื่อ Process ที่กำลังทำงานอยู่
โดยโปรแกรมที่รันอยู่นี้
อาศัยอยู่ภายใน Folder ที่เราต้องการจะลบ
ให้เปลี่ยนจาก No action เป็น Delete
แล้วคลิกปุ่ม Unlock All ก็จะลบได้
ถ้าลบไม่ได้ บางทีอาจต้องเปลี่ยนจาก Delete เป็น Rename ก่อน
แล้วถึงตามไปลบชื่อใหม่ที่เราพึ่งเปลี่ยนอีกที
นอกจากไวรัสตัวนี้จะชอบอาศัยอยู่ใน Folder ชื่อ Recycler แล้ว
ยังเคยตรวจเจอใน Folder ชื่อ System Volume Information ด้วย
และ Folder ชื่อแปลกๆ ที่นำหน้าด้วย _ เช่น _dxcnc เป็นต้น
และมักจะมีไฟล์ไวรัสนำหน้าด้วย a หรือ A ตามหลังด้วยตัวเลข
เช่น A121323.exe เป็นต้น ฝั่งอยู่ใน c:\windows\system32
แต่ไม่จำเป็นต้องตามไปลบก็ได้ถ้าไม่ชำนาญ
เดี๋ยวจะทำให้ Windows พัง
แค่ลบไฟล์ Autorun.inf ที่ Flash Drive
และ Folder ชื่อ Recycler เพื่อไม่ให้มันแพร่กระจายก็พอแล้ว
ไฟล์ Autorun.inf จะทำงานครั้งเดียวตอนเสียบ Flash Drive ใหม่ๆ
ไฟล์นี้สามารถสั่งรันโปรแกรมนั่นนี่ให้ทำงานได้
แถมยังแอบส่งข้อมูลผ่านทางเน็ตได้อีกด้วย
แค่ลบไฟล์นี้ต่อให้มีโปรแกรมไวรัส .exe อยู่ ใน Flash Drive
ถ้าไม่ไปรันมัน มันก็ไม่ทำงาน

หลัง Download ไฟล์ KillAutorunVirus.zip มาไว้ที่เครื่องแล้ว
ก็ทำการ Unzip และติดตั้งตามนี้

วิธีติดตั้งสำหรับ PC, Notebook, Netbook และ Server
1. Double click ไฟล์ Setup_KillAutorunVirus.bat
2. เสร็จแล้ว Restart ใหม่

เมื่อเข้า Windows อีกครั้ง
จะมีเห็น โปรแกรม Kill Autorun Virus ทำงานอยู่ ดังนี้




อย่าปิดโปรแกรมปล่อยไว้แบบนั้น
โดยย่อให้เล็กลงได้ แบบนี้



โปรแกรมนี้มันจะทำงานอยู่ตลอดเวลา
โดยจะหน่วงเวลาให้ทำทุกๆ 5 วินาที
ไม่ทำให้เครื่องช้าแต่อย่างใด
โดยมันจะลบไฟล์ Autorun.inf ในทุก Drive
และลบ Folder ชื่อ Recycler ใน SYSTEMDRIVE ด้วย
SYSTEMDRIVE คือ Drive ที่ลง Windows ปกติจะเป็น Drive C:\
ซึ่งโปรแกรมตัวนี้ยังไม่สามารถลบไวรัสในเครื่องที่ติดได้
เพียงแต่ยับยั้งไม่ให้แพร่กระจายได้

ในกรณีที่มี Folder ที่เปิด Share ไฟล์ไว้
ให้แก้ไฟล์ 200_KillAutorunVirus.bat ดังนี้
โดยแก้ที่ 5 บรรทัดนี้

rem @attrib -r -s -h X:\ShareDrive\*.*
rem @del X:\ShareDrive\kh* /Q
rem @del X:\ShareDrive\*.exe /Q
rem @del X:\ShareDrive\*.inf /Q
rem @rd X:\ShareDrive\RECYCLER /S /Q

เป็น

@attrib -r -s -h X:\ShareDrive\*.*
@del X:\ShareDrive\kh* /Q
@del X:\ShareDrive\*.exe /Q
@del X:\ShareDrive\*.inf /Q
@rd X:\ShareDrive\RECYCLER /S /Q

ส่วน path X:\Share\
ให้แก้ให้ตรงตาม path ที่เปิดแชร์ไฟล์ไว้
มันจะลบไฟล์นามสกุล .exe , .inf และนำหน้าด้วย kh ด้วย
ดังนั้นควรเก็บไฟล์เหล่านี้ไว้ใน Folder อีกที
ถ้าเป็นโปรแกรมของท่านจริงๆ ไม่ใช่ไวรัสสร้างขึ้นมา
เช่น ถ้าเรามีโปรแกรม .exe ก็ให้สร้าง Folder ย่อย
แล้วนำไปเก็บไว้ที่ Folder นั้น
เช่น F:\Software\test.exe เป็นต้น
จากตัวอย่าง Floder ย่อยชื่อ Software
เมื่อแก้โปรแกรมเสร็จทุกครั้งแล้ว
ให้ทำตามขั้นตอนการติดตั้งใหม่

ปล. กรณีมี Cd-Rom
ในรุ่นเก่า มันเจอ Autorun.inf ที่ Cd-Rom
แต่ลบไม่ได้ก็เลยเกิดข้อความ Error ตลอดเวลา
แม้จะนำ Cd-Rom ออกไปแล้วก็ตาม
ต้องปิดโปรแกรมตัวนี้แล้ว Restart ใหม่ถึงจะหายเป็นปกติ
แต่ในรุ่นนี้ได้แก้ปัญหาที่ว่านี้แล้ว
มันจะไม่ขึ้น Error เมื่อเล่น Cd-Rom ที่มีไฟล์ Autorun.inf อีก

แต่ถ้ายังไม่หายแนะนำให้ใช้โปรแกรม Notepad แก้ 200_KillAutorunVirus.bat
โดยไปลบ Drive CD/DVD ของเครื่องคุณออกจาก Source Code 2 บรรทัด
ที่แบบเดิมเขียนไว้แบบนี้
FOR %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (
ถ้าเครื่องคุณมี 2 Drive CD/DVD เป็น Drive E: กับ F: ให้แก้ใหม่เป็นแบบนี้
FOR %%x in (C D G H I J K L M N O P Q R S T U V W X Y Z) DO (
ลบ E F ออกถ้ามีแค่ E: ก็ลบแค่ E ทำทั้งสองบรรทัดที่เจอว่าเขียนแบบนี้
เสร็จแล้ว Save และ Setup โปรแกรมใหม่ตามที่ได้อธิบายไว้แล้ว

----------------------------------------------------

วิธีติดตั้ง สำหรับ Flash Drive
1. Copy ไฟล์ Kill_Virus_FD.bat ไปไว้ที่ Flash Drive
2. แล้ว Double Click หลังเสียบเสร็จ หรือก่อนถอดออกทุกครั้ง
เพื่อฆ่าไวรัสที่ติดใน Flash Drive
ไวรัสจะได้ไม่แพร่กระจายออกไป
มันจะลบไฟล์ที่มีนามสกุลเหล่านี้ทั้งหมด
.bat ( ยกเว้น Kill_Virus_FD.bat )
.com ( ยกเว้น %SYSTEMDRIVE%\NTDETECT.COM )
.inf , .exe , .vbs , .dll
และ Folder ชื่อ Recycler ด้วย
ดังนั้นควรเก็บไฟล์เหล่านี้ไว้ใน Folder อีกที
ถ้าเป็นโปรแกรมของคุณจริงๆ
ไม่ใช่ไวรัสสร้างขึ้นมา

----------------------------------------------------

โปรแกรมเสริม
ที่เพิ่มเข้ามาเก็บไว้ที่ c:\FfF
หลัง Double click ไฟล์ Setup_KillAutorunVirus.bat แล้ว

210_NoAutoRun.bat Double click เพื่อแก้ Registry ไม่ให้มีการ Autorun
220_Show_All_Files.bat Double click เพื่อแสดงไฟล์หรือ Folder ที่ถูกไวรัสซ่อนไว้ทั้งหมด โดยต้องใส่ Drive ที่จะทำ เช่น D , E , F เป็นต้น
820_MsConfig.bat Double click เพื่อเรียกโปรแกรม Msconfig ของ Windows เพื่อ Set ค่า Startup
<<< วิธีแก้ปัญหาเครื่องชอบแฮงค์โดยเฉพาะ Netbook >>>
999_SystemRestore.bat Double click เพื่อเรียกโปรแกรม System Restore ของ Windows เพื่อกู้ข้อมูลระบบกลับคืน
<<< วิธีการทำ System Restore >>>

----------------------------------------------------

ปล. ต้อง Double Click ไฟล์ Kill_Virus_FD.bat ที่ Flash Drive ทุกครั้ง
แม้ว่าจะมองไม่เห็นไฟล์ Autorun.inf ก็ตาม
เพราะว่าบางเครื่องอาจตั้งค่าให้มองไม่เห็นไฟล์ที่ถูกซ่อนไว้
ให้ใช้โปรแกรมเสริม 220_Show_All_Files.bat
เพื่อแสดงไฟล์ที่ซ่อนทั้งหมดอีกครั้ง
และไฟล์ Autorun.inf อาจเป็นไฟล์ปกติไม่ใช่ไวรัส
แต่ไม่สามารถแยกออกได้
ในกรณีที่จะเขียนโปรแกรมฆ่าไวรัสประเภทนี้
จึงต้องลบทิ้งทั้งหมด
ซึ่งปกติแล้ว ทุก Flash Drive มักจะไม่มีไฟล์นี้
ถ้ามีแสดงว่ามันอาจไม่ปกติ

สำหรับเครื่องที่ใช้ Windows Vista
เมื่อลงโปรแกรมแล้วโปรแกรมไม่ทำงาน
บางทีต้องหลอกโดยการเปิด Notepad ในเครื่องนั้น
แล้ว Copy Source Code ทั้งหมดของโปรแกรมแต่ละโปรแกรม
ไปแปะแล้ว Save เป็นชื่อเดิม
แล้วมันถึงทำงานได้เคยเจอรุ่นก่อน
แต่รุ่นนี้ยังไม่ได้ลองว่า
ทำงานได้เลยโดยไม่มีปัญหาแบบเดิมหรือไม่
สงสัยอาจเป็นปัญหาการไม่เข้ากันบางอย่าง
ระหว่าง Windows XP กับ Windows Vista

ส่วน Folder ชื่อ Recycled
มันผูกติดกับ Recycle Bin
ถ้าไปลบมันจะทำให้ไม่สามารถกู้ไฟล์ที่ถูกลบได้
ถ้าไม่คิดจะกู้ไฟล์ที่ถูกลบในภายหลัง
ก็เพิ่ม code ให้ลบ Recycled เหมือน Recycler ด้วยก็ได้
เผื่อไวรัสมันชอบแอบไปหลบอยู่ใน Folder เหล่านี้
ซึ่ง Version 2.0 ได้ลบมันทั้งคู่แต่ใน Version นี้
ลบแค่ Recycler อย่างเดียว Recycled ไม่ได้ลบ
โดยลบทั้ง Autorun.inf และ Recycler ใน Flash Drive ด้วย
กรณี Flash Drive Double Click ไฟล์ Kill_Virus_FD.bat
ที่ Flash Drive ตรงๆ จะลบไวรัสได้เยอะกว่า


อ้างอิงจาก
http://maha-arai.blogspot.com/2010/01/blog-post.html
บันทึกการเข้า
   
หน้า: [1]
  พิมพ์  
 
กระโดดไป:  

Powered by SMF 1.1.4 | SMF © 2006-2007, Simple Machines LLC | Thai language by ThaiSMF
Cennet By Burak
Valid XHTML 1.0! Valid CSS!