กระทู้เก่าบอร์ด อ.Yeadram
8,011 4
URL.หัวข้อ /
URL
Virus ในการ์ดมือถือ
ภายในสัปดาห์ที่ผ่านมา
มีเพื่อนร่วมงานของผม 2 คน ปรึกษากับผมว่า มือถือเขาเป็นอะไรก็ไม่รู้
เพลงที่เคยมีเคยฟัง วันนี้ มันมองเห็นแต่ชื่อเพลง แต่พอจะเล่นเพลง มันฟ้อง error ว่า ไม่สามารถหาไฟล์เจอ
และยังเล่าอีกว่า บางคนเอาการ์ดไปเปิดผ่านคอมพิวเตอร์ ก็ยืนยันว่า ไฟล์เพลงมันยังคงมีอยู่
ผมได้ฟังก็สงสัยใคร่รู้ จึงขอยืมการ์ด micro sd ของเขามาขอดู
ก็เห็นว่ามีสิ่งแปลกปลอม มาปะปน ผมก็จัดการเคลียร์ออกให้ แต่ยังไม่แน่ใจว่าสาเหตุมันมาจากไหน
หลังจากนั้น คนที่สอง ก็มาปรึกษากับผมด้วยปัญหาคล้ายๆ กัน ผมก็อาสาว่าจะจัดการให้ จึงเอาการ์ดเขามาตรวจดู เห็นอาการคล้ายกับคนแรก จึงมั่นใจได้ว่า มันลุกลามติดต่อกันเป็นไวรัสชนิดหนึ่ง จึงสังเกตอาการแล้วเอามาเล่าสู่กันฟังดังนี้
อาการ :
- เห็นชื่อเพลง แต่เปิดเพลงไม่ได้ ฟ้องว่า ไม่เห็นตำแหน่งไฟล์เพลง
- มองไม่เห็นชื่อเพลงใดๆ เปิดโฟลเดอร์ (ผ่านมือถือ) ก็เป็นโฟลเดอร์ว่าง แต่นำการ์ดไปเปิดในคอมพิวเตอร์ ก็ยังมองเห็นรายชื่อไฟล์ตามปกติ
ลักษณะที่แท้จริง:
- โฟลเดอร์เดิม ทุกๆ โฟลเดอร์ ถูกตั้งค่า Attribute ให้ซ่อนไว้
- มีการสร้าง short cut ขึ้นมาแทนที่โดยใช้ชื่อตามชื่อโฟลเดอร์เดิมของเราทั้งหมด จำนวนช็อตคัด เท่ากับจำนวนของโฟลเดอร์เดิมของเรา
- มีโฟลเดอร์เพิ่มเติมมาอีก 1 โฟลเดอร์ สุ่มตั้งชื่อเอง ข้างในมีไฟล์ หลายไฟล์ โดยเอาชื่อโฟลเดอร์เดิมของเรามาตั้งชื่อไฟล์ ซ่อนไว้ในโฟลเดอร์นี้ และไฟล์ทุกไฟล์เป็นไฟล์ .exe
- มีการนำไฟล์นอก เข้ามาเก็บไว้ในการ์ดเพิ่มเติม คือ windrvs32.exe
- มีการสร้างไฟล์ autorun.inf ซึ่งข้างในเป็นคำสั่งให้เรียกใช้ไฟล์ windrvs32.exe และสั่งให้คอมพิวเตอร์ เปิดอ่านการ์ดอัตโนมัติ
วิธีแก้ไข:
- ใช้ คำสั่ง dos (command promp) ตั้งค่า attribute ให้สามารถมองเห็นและลบมันได้ กับไฟล์สองไฟล์ autorun.inf และ windrvs32.exe
- ใช้ คำสั่ง dos (command promp) ตั้งค่า attribute ของทุกๆ โฟลเดอร์ที่ถูกซ่อนให้กลับมาเป็นปกติ
- เปิดการ์ดขึ้นมาดูด้วย window explorer ตามปกติ
- ลบ short cut ทิ้งให้หมด
- ลบโฟลเดอร์ที่ชื่อแปลกๆ (สุ่มตั้งชื่อมา) อาจจะคล้ายๆ เบอร์โทรศัพท์ เช่น 94728631 เป็นต้น อาจใช้คำสั่ง dir จาก command prompt สำรวจดูข้างในก่อนก็ได้
มีเพื่อนร่วมงานของผม 2 คน ปรึกษากับผมว่า มือถือเขาเป็นอะไรก็ไม่รู้
เพลงที่เคยมีเคยฟัง วันนี้ มันมองเห็นแต่ชื่อเพลง แต่พอจะเล่นเพลง มันฟ้อง error ว่า ไม่สามารถหาไฟล์เจอ
และยังเล่าอีกว่า บางคนเอาการ์ดไปเปิดผ่านคอมพิวเตอร์ ก็ยืนยันว่า ไฟล์เพลงมันยังคงมีอยู่
ผมได้ฟังก็สงสัยใคร่รู้ จึงขอยืมการ์ด micro sd ของเขามาขอดู
ก็เห็นว่ามีสิ่งแปลกปลอม มาปะปน ผมก็จัดการเคลียร์ออกให้ แต่ยังไม่แน่ใจว่าสาเหตุมันมาจากไหน
หลังจากนั้น คนที่สอง ก็มาปรึกษากับผมด้วยปัญหาคล้ายๆ กัน ผมก็อาสาว่าจะจัดการให้ จึงเอาการ์ดเขามาตรวจดู เห็นอาการคล้ายกับคนแรก จึงมั่นใจได้ว่า มันลุกลามติดต่อกันเป็นไวรัสชนิดหนึ่ง จึงสังเกตอาการแล้วเอามาเล่าสู่กันฟังดังนี้
อาการ :
- เห็นชื่อเพลง แต่เปิดเพลงไม่ได้ ฟ้องว่า ไม่เห็นตำแหน่งไฟล์เพลง
- มองไม่เห็นชื่อเพลงใดๆ เปิดโฟลเดอร์ (ผ่านมือถือ) ก็เป็นโฟลเดอร์ว่าง แต่นำการ์ดไปเปิดในคอมพิวเตอร์ ก็ยังมองเห็นรายชื่อไฟล์ตามปกติ
ลักษณะที่แท้จริง:
- โฟลเดอร์เดิม ทุกๆ โฟลเดอร์ ถูกตั้งค่า Attribute ให้ซ่อนไว้
- มีการสร้าง short cut ขึ้นมาแทนที่โดยใช้ชื่อตามชื่อโฟลเดอร์เดิมของเราทั้งหมด จำนวนช็อตคัด เท่ากับจำนวนของโฟลเดอร์เดิมของเรา
- มีโฟลเดอร์เพิ่มเติมมาอีก 1 โฟลเดอร์ สุ่มตั้งชื่อเอง ข้างในมีไฟล์ หลายไฟล์ โดยเอาชื่อโฟลเดอร์เดิมของเรามาตั้งชื่อไฟล์ ซ่อนไว้ในโฟลเดอร์นี้ และไฟล์ทุกไฟล์เป็นไฟล์ .exe
- มีการนำไฟล์นอก เข้ามาเก็บไว้ในการ์ดเพิ่มเติม คือ windrvs32.exe
- มีการสร้างไฟล์ autorun.inf ซึ่งข้างในเป็นคำสั่งให้เรียกใช้ไฟล์ windrvs32.exe และสั่งให้คอมพิวเตอร์ เปิดอ่านการ์ดอัตโนมัติ
วิธีแก้ไข:
- ใช้ คำสั่ง dos (command promp) ตั้งค่า attribute ให้สามารถมองเห็นและลบมันได้ กับไฟล์สองไฟล์ autorun.inf และ windrvs32.exe
- ใช้ คำสั่ง dos (command promp) ตั้งค่า attribute ของทุกๆ โฟลเดอร์ที่ถูกซ่อนให้กลับมาเป็นปกติ
- เปิดการ์ดขึ้นมาดูด้วย window explorer ตามปกติ
- ลบ short cut ทิ้งให้หมด
- ลบโฟลเดอร์ที่ชื่อแปลกๆ (สุ่มตั้งชื่อมา) อาจจะคล้ายๆ เบอร์โทรศัพท์ เช่น 94728631 เป็นต้น อาจใช้คำสั่ง dir จาก command prompt สำรวจดูข้างในก่อนก็ได้
4 Reply in this Topic. Dispaly 1 pages and you are on page number 1
2 @R10204
ขอบคุณครับ ได้ของใหม่มาลองอีกแล้ว
3 @R10394
ที่อ็อฟฟิศ โดนเหมือนกัน มันใช้ชื่อ RECYCLER แล้วก็สร้างชอร์ทคัตมาแต่เปิดไม่ได้ โดยโฟล์เดอร์ของจริงถูกซ่อนหมด จะเข้าไปลบมันยังไงดี
4 @R10402
RECYCLER เป็นชื่อของไฟล์ ระบบ นะครับ เป็นของระบบวินโดวส์
เป็นชื่อของ Space ที่วินโดวส์สร้างขึ้นครับ ถ้าอยากลบก็แค่คลิ๊กขวามันแล้วก็ลบได้ครับ แต่ว่า อย่าเหนื่อยเลย ตราบใดที่คุณยังใช้วินโดวส์ เดี๋ยวมันก็สร้างของมันมาใหม่อีกแหละครับ
ส่วนไฟล์หรือโฟลเดอร์อื่นๆ ที่ถูกซ่อน คุณรู้ได้อย่างไรว่าถูกซ่อน หรือว่าคุณได้เปิดเข้าไปข้างในแล้ว อา.... นั่นเป็นวิธีที่ผิดนะครับ ถ้าระแวงสงสัยว่ามีไวรัส ไม่ควรเปิดเข้าไปดูข้างในด้วยคำสั่งของวินโดวส์นะครับ เช่นคำสั่ง Open หรือ Browse หรือ Autorun ไม่ควรอย่างยิ่งครับ
เมื่อสงสัย ควรเข้าไปดูทาง Dos ครับ
คำสั่งเข้าดูไฟล์ซ่อนครับ dir /a:h
สมมติว่าเห็นรายชื่อไฟล์ที่ถูกซ่อนชื่อว่า work.exe แล้วต้องการจะลบมัน
ก็ต้องแก้ attribute ก่อนครับด้วยคำสั่ง
attrib -a -r -s -h work.exe
แล้วค่อยสั่งลบด้วย
del work.exe
อย่างนี้เป็นต้นครับ (เสร็จไป 1 ไฟล์ ถ้ามันมีหลายไฟล์ ทำแบบนี้ทีละขั้นตอน ไม่ไหว ก็ต้องหาทางใช้สคริปต์ช่วย ดังที่โพสต์ไปแล้วก่อนหน้านี้ครับ)
เป็นชื่อของ Space ที่วินโดวส์สร้างขึ้นครับ ถ้าอยากลบก็แค่คลิ๊กขวามันแล้วก็ลบได้ครับ แต่ว่า อย่าเหนื่อยเลย ตราบใดที่คุณยังใช้วินโดวส์ เดี๋ยวมันก็สร้างของมันมาใหม่อีกแหละครับ
ส่วนไฟล์หรือโฟลเดอร์อื่นๆ ที่ถูกซ่อน คุณรู้ได้อย่างไรว่าถูกซ่อน หรือว่าคุณได้เปิดเข้าไปข้างในแล้ว อา.... นั่นเป็นวิธีที่ผิดนะครับ ถ้าระแวงสงสัยว่ามีไวรัส ไม่ควรเปิดเข้าไปดูข้างในด้วยคำสั่งของวินโดวส์นะครับ เช่นคำสั่ง Open หรือ Browse หรือ Autorun ไม่ควรอย่างยิ่งครับ
เมื่อสงสัย ควรเข้าไปดูทาง Dos ครับ
คำสั่งเข้าดูไฟล์ซ่อนครับ dir /a:h
สมมติว่าเห็นรายชื่อไฟล์ที่ถูกซ่อนชื่อว่า work.exe แล้วต้องการจะลบมัน
ก็ต้องแก้ attribute ก่อนครับด้วยคำสั่ง
attrib -a -r -s -h work.exe
แล้วค่อยสั่งลบด้วย
del work.exe
อย่างนี้เป็นต้นครับ (เสร็จไป 1 ไฟล์ ถ้ามันมีหลายไฟล์ ทำแบบนี้ทีละขั้นตอน ไม่ไหว ก็ต้องหาทางใช้สคริปต์ช่วย ดังที่โพสต์ไปแล้วก่อนหน้านี้ครับ)
Time: 0.2673s
หรือคุณอาจใช้ dos prompt สั่งตามลำดับดังนี้
- แก้ attribute autorun.inf
- ลบ autorun.inf
- copy ไฟล์สคริปต์ vbs ตัวนี้ไปวางใน การ์ด
- สั่งรัน vbs ตัวนี้
สคริปต์ VBS ครับ นำไปดัดแปลงประยุกต์ได้ตามใจชอบ ไม่สงวนสิทธิ์ใดๆ ครับ ไม่รู้จะสงวนมันไปทำไมเหมือนกัน อิอิ ใครๆ ก็เขียนได้ 555
Dim WshShell
Dim fso 'As New FileSystemObject
Dim fo 'As Folder
Dim pth 'As String
Set fso = CreateObject("scripting.filesystemobject")
Set WshShell =CreateObject("WScript.Shell")
pth=replace(wscript.scriptfullname,wscript.scriptname,"")
on error resume next
WshShell.Run "Attrib -a -r -s -h windrvs32.exe"
WshShell.Run "del windrvs32.exe"
Set fo = fso.GetFolder(pth)
For Each sfdr In fo.SubFolders
WshShell.Run "Attrib -a -r -s -h " & sfdr.name
Next
on error goto 0
msgbox "open drive with window explorer" & vbcrlf & _
"And delete all shortcuts by yourself" & vbcrlf & _
"BEWARE!" & vbcrlf & _
"One folder have a name like phone number" & vbcrlf & _
"Example '94728631'" & vbcrlf & _
"DO NOT open or browse anyway" & vbcrlf & _
"Just DELETE !"
set wshshell = nothing
set fso = nothing