วิธีแก้ไขไวรัสที่แอบใส่password บน Windows
ไวรัสจอมป่วนที่ทำการเปลี่ยน Password บน Windows
ใหม่ๆ ยังนึกว่ามีใครแอบแกล้งมาใส่ Password ในเครื่อง ซะอีก
ใครโดน ลองทำตามนี้นะครับ
บทความต่อไปนี้ คัดลอกมาจากเว็บบอร์ดใน
http://www.jcomzone.comชื่อไวรัส: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.
- ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น
- ส่วนเรื่อง password ให้ไปที่ User account ใน Control panel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป
ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)
อาการของเครื่องที่ติด Flashy.exe
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้
Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
หาก ว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash
Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ
เป็นค่อยๆ ไป อย่าง Brontok ..
ขั้นตอนการกำจัดไวรัส Flashy.exe
1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย
หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties >
แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบ***ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------
@ECHO OFF
REG delete
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /f
REG delete HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v Flashy Bot /f
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v Hidden /t REG_DWORD /d 2
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLMSYSTEMCurrentControlSetServicesSharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------
5. ไปที่ Start Menu All ProgramsStartup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:WINDOWSsystem หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง
เพิ่มเติม
ต้องเข้าไปแก้ค่าใน regedit ด้วย
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess"Start" = "4"
อ้างจาก
http://www.bloggang.com/viewblog.php?id=ovo&date=10-08-2006&group=1&gblog=8