วิธีแก้ไข ไวรัส Handy Drive
ไวรัส : Backdoor.Glupzy / Disabler.I Trojan
ไฟล์ : Flashy.exe
อาการที่พบ : ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่
* กรณีที่เครื่องคอมพิวเตอร์ถามรหัสผ่านของ Administrator ให้ใส่ password ว่า hacked
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ อยู่เฉยๆอาจจะปกติไม่มีอะไร
แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive หรือ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่
Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
โปรแกรมสแกนไวรัส
- หากว่าใน Flash Drive หรือ Memory Card ของเรามี Aplication อยู่ (ที่มีนามสกุล .exe) Flashy.exe จะทำการปลอมชื่อตัวเอง
ไปเป็นชื่อเดียวกันกับ Aplication นั้นๆ ทำให้เราเข้าใจว่า Aplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok )
เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน ไวรัส เข้าเครื่องในทันที
- ไวรัส ตัวนี้ไม่แพร่กระจายในเครือข่าย ไม่ไปเขียนค่าหรือติดตั้งตัวเองในเครื่องอื่นๆ ในวง Lan
แต่ใช้ Flash Drive หรือ Memory Card เป็นพาหะ
- อาการจะแสดงผลในทันที
วิธีแก้ไขที่คอมพิวเตอร์
1. Restart เครื่อง และระหว่างที่ Boot อยู่นั้น ให้กด F8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode แล้ว คลิกขวาที่ My Computer > Properties > แท็บ System Restore
เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process
(กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
5. ไปที่ Start Menu > Programs > Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete)
ไปที่ C:\WINDOWS\system และ C:\WINDOWS\system32 หาไฟล์ Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
(เข้าไปแก้ไขใน regedit ด้วยนะครับ)
HKEY_CURRENT_USER > Software > MicrosoftWindows > CurrentVersion > Policies > Explorer “NoFolderOptions” = “1″
HKEY_CURRENT_USER > Software > MicrosoftWindows > CurrentVersion > Explorer > Advanced “HideFileExt” = “1″
HKEY_CURRENT_USER > Software > MicrosoftWindows > CurrentVersion > Explorer > Advanced “Hidden” = “2″
HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > SharedAccess “Start” = “4″
วิธีแก้ไขที่ไวรัส Handy Drive
หลังจากแก้ไขที่คอมพิวเตอร์เรียบร้อยแล้ว ควรจะ Format Flash Drive หรือ Memory Card ทันที โดยไม่ต้องรอโปรแกรมสแกนไวรัสนะครับ
ถ้าต้องการที่จะ BackUp ไฟล์ใน Flash Drive หรือ Memory Card ให้อ่านที่ “ข้อควรระวัง” ด้านล่างก่อน
ข้อควรระวัง : ก่อนที่จะทำการคลิกเข้าไปยัง Folder ต่างๆ ใน Flash Drive หรือ Memory Card ให้ตรวจสอบก่อนว่าเป็น Folder หรือ Aplication
ตรวจสอบได้โดย คลิกขวาที่ Folder >Properties > ให้ดูที่ Type: ถ้าเป็น Aplication อย่าไปคลิก
ปัญหาเหล่านี้จะไม่เกิดขึ้นนะครับ ถ้าตอมพิวเตอร์ของคุณมี”โปรแกรมสแกนไวรัส”ขั้นเทพประจำการอยู่
ข้อมูลจาก http://nisit.buu.ac.th