Trojan.agent.ad หรือไวรัส Recycle Bin
* เครื่องที่เปิด AutoRun สามารถติดเชื้อนี้ผ่าน Handy Drive ได้ *
รายละเอียด
- gser ดาวน์โหลดเชื้อร้ายนี้มาจากอินเทอร์เน็ตด้วยความไม่รู้
- เชื้อร้ายนี้แพร่กระจายผ่านสื่อบันทึกที่เคลื่อนย้ายได้ (Removable drive) เช่น Handy Drive
- เชื้อร้ายจะสร้าง Recycle Bin และไฟล์ autorun.inf ในทุกๆ Removable drive
- ไม่มีข้อมูลความสูญเสียมากกว่านี้
ข้อมูลในไฟล์ Autorun.inf
open=
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe
ขั้นตอนการแก้ไข
ชั้นที่ 1
- ดาวน์โหลดโปรแกรม Process Explorer link http://www.mediafire.com/?rkkcxcrj7i2ljuh
- รันโปรแกรม procexp.exe เลือก Agree เพื่อเข้าใช้งาน
- Kill โปรเซส (Process) ชื่อ svchost.exe โดยเลือกรายการที่ไม่มีรายละเอียดแสดงเมื่อนำเมาส์ไปวางเหนือชื่อ
ขั้นที่2
- Start > Run พิมพ์คำสั่ง regedit กด Enter
- ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon - โปรดทำด้วยความระมัดระวัง มิฉะนั้นอาจไม่สามารถบูตเข้าสู่ Windows ได้
แก้ไขค่าในตัวแปรชื่อ Userinit ด้วยการ Double Click หรือคลิกขวาเลือก Modify เป็น
Windows XP ให้ตั้งค่า Userinit เป็น c:\windows\system32\userinit.exe
- %System%\userinit.exe (on Windows 2000, XP, and Server 2003)
- userinit.exe,nddeagnt.exe (on Windows NT)
- เมื่อ%System% เป็นชื่อโฟลเดอร์ของระบบ แทนสัญญลักษณ์นี้ด้วย
- สำหรับ Windows NTและ 2000 = C:\WINNT\System32
- สำหรับ Windows XP และ Server 2003 C:\Windows\System32
- เช่น Windows XP ให้ตั้งค่า Userinit เป็น c:\windows\system32\userinit.exe
- ปิดหน้าต่างโปรแกรม Registry Editor
- Start > Search หรือ Find หาคำว่า RECYCLER ในทุก Drive ลบรายการที่พบด้วยปุ่ม Shift + Delete
- Start > Search หรือ Find หาคำว่า _sv_CMD_ ในทุก Drive ลบรายการที่พบด้วยปุ่ม Shift + Delete
- ลบไฟล์ autorun.inf ในทุก Drive ด้วย Shift + Delete
- เปิดโปรแกรมป้องกันไวรัส และสั่งให้ตรวจสอบไวรัสทั้งเครื่อง (ทุก Drive)
อ้างอิง:bitdefenderthailand.com/news_detail.php?id=132
ไม่มีความคิดเห็น:
แสดงความคิดเห็น