วันพฤหัสบดีที่ 7 เมษายน พ.ศ. 2554

แก้ปัญหา ไวรัสซ่อน Folder แล้วสร้าง shortcut ใน FlashDrive

ไวรัสตัวนี้มีชื่อที่แตกกันทั้ง VBS Worm,VBSRunauto,VBS/Yuyun A หรือ  malware DR/Agent.JP.4, TOEUW.EXE Virus/Malware 
อาการของมัน ไวรัสตัวนี้ติดง่ายๆเลยค่ะ เพียงแค่คุณเอา Flash Drive ไปเสียบเครื่องที่ติดไวรัสอยู่แล้ว และเมื่อคุณเปิด Flash Drive ก็จะติดทันที โดยอาการที่ติดจะเป็นแบบนี้ค่ะ

ดังที่เห็นในภาพ ไวรัสจะซ่อน folder ไว้ แล้วสร้าง shortcut ที่ชื่อเดียวกับ folder นั้นขึ้นมา

วิธีแก้เบื้องต้นก่อนนะค่ะ สำหรับ flash drive ที่โดนมาจากที่อื่นคือ folder ถูกซ่อนไว้หาไม่เจอ เอากลับมาไม่ได้นะครับ  แต่คอมพิวเตอร์ไม่ได้ติดไวรัสตัวนี้ไปด้วย
1. หลังจากเสียบ flashdrive แล้วไปที่ Start-> เลือก Run แล้วพิมพ์ว่า cmd
2. หลังจากนั้นไปสำรวจว่า Flash drive เราอยู่ drive ไหน ของฉันอยู่ใน Drive G ค่ะ ได้แล้วให้พิมพ์ drive นั้น ลงไปเลยเช่น D:  E: F: แล้วแต่คนนค่ะ  พอพิมพ์ drive ลงไป จะขึ้นแบบนี้ค่ะ  G:\>

แล้วให้พิมพ์คำสั่งตามนี้ค่ะ dir แล้ว enter ก็จะแสดง file และ folder ที่มีอยู่ทั้งหมด  คือคำสั่ง dir ย่อมาจาก directory หมายถึง แสดง file และ folder อยู่อยู่ใน drive G ส่วน คำสั่ง dir /ah ก็คล้่ายๆกันแต่ต่างกันตรงมี /ah เพิ่มขึ้นมาโดยหมายถึง ให้แสดงเฉพาะ file และ folder ที่ถูกซ่อนอยู่ (hidden) ซึ่งทีนี้เราก็จะเห็นแล้วว่า folder เก็บงานเราไม่ได้หายไำปไหน ยังอยู่ครบเพียงแต่ถูกซ่อนไว้ และ ทำให้สถานะเป็น system file ต่อไปเป็นการทำให้กลับมา

โดยพิมพ์ต่อใน command prompt เลย ให้พิมพ์ว่า attrib -s -h -r /s /d 
ขออธิบายความหมายของคำสั่งก่อนนครับ attrib นั้นมาจากคำว่า Attribute แปลว่าคุณลักษณะ เป็นคำสั่งจัดการกับลักษณะหรือประเภทไฟล์ต่อมา -s -h -r เป็นการระบุประเภทของไฟล์ นั้นๆ โดย R(Read-Only) H(Hidden File) S(System File) ส่วน /s /d หมายถึงทุก file และ ทุกๆ folder รวมถึง sub folder คือ folder ย่อยๆนั้นเอง พอทราบความหมายแล้วมาดูผลการทำงานกัน พิมพ์ attrib -s -h -r /s /d แล้ว Enter ได้เลย หลังจาก enter จะมีการทำงานแว็บหนึ่ง มาดูผลการทำงานกันโดยใช้คำสั่งเดิม คือ dir /ah ผลที่ได้คือไม่มี file หรือ folder ที่ถูกซ่อนไว้เลย

ต่อไปก็ลบไฟล์ที่เป็น shortcut ไฟล์ไวรัส รวมถึง autorun.inf ทิ้่งให้หมด แค่นี้ก็หมดปัญหา
สรุปง่ายๆ สำหรับ flash drive ที่เกิดปัญหา Folder ถูกซ่อนแล้วสร้าง shortcut ปลอมขึ้นมา ดังนี้
1. เสียบ flash drive แล้วดูว่าอยู่ drive ไหน
2. ไปที่ start->run พิมพ์ cmd
3. พิมพ์คำสั่งใน cmd เป็นชื่อ drive ของ flash drive เราเช่น E: หรือ F: แล้ว enter ทั้งนี้ขึ้นอยู่กับ drive ของเรา
4. พิมพ์ attrib -s -h -r /s /d แล้ว กด enter
5. ไปลบไฟล์ shortcut ไฟล์ ไวรัสที่เป็น exe ที่เราไม่รู้จัก รวมทั้ง autorun.inf ก็เรียบร้อย

1 ความคิดเห็น:

  1. ขอบคุณมากๆๆๆเลยครับ ผมได้รูปที่ถ่ายกับญาติมาซักที

    ตอบนำออก