ไวรัสตัวนี้มีสองเวอร์ชั่น มีสร้างรหัสผ่านกับไม่สร้างรหัสผ่านหากเปิดเครื่องขึ้นมาแล้วมีรหัสผ่านให้ใส่คำว่า hacked ครับ เมื่อเข้าวินโดว์ได้แล้วเราก็มาเริ่มฆ่ากัน

หลักการฆ่าไวรัสตัวนี้ก็คือ เราต้องหยุดการทำงานของมันก่อนครับเราจะฆ่ามันโดยที่มันทำงานอยู่ฆ่าลำบากครับกว่าจะฆ่าได้ใช้เวลาครึ่งชั่วโมง แต่ด้วยวิธีใหม่นี้ฆ่าได้ใน10นาทีครับ

อันดับแรกนะครับลบโปรแกรมฆ่าไวรัสที่ท่านมีอยู่ออกก่อนนะครับ แล้วรีสตาร์ทเครื่องหลังจากนั้นก็โหลด"โปรแกรมช่วยฆ่าไวรัสfhashy" จากเวบป่านนะครับ

http://www.4shared.com/dir/694953/c1a5190c/sharing.html

โหลดมาแล้วก็ใช้โปรแกรม HijackThis ก่อนเลยครับ วิธีใช้โปรแกรมนี้นะครับ เปิดโปรแกรมนี้ขึ้นมา แล้วเลือกคำสั่งบรรทัดที่สองครับ Do a system scan only แล้วเลือกติ๊กถูกหน้าไวรัสไฟล์ไวรัสนี้ตัวนี้จะมีอยู่สามไฟล์ด้วยกันนะครับ ชื่อ RavMone.exe Flashy.exe systemid.pif ติ๊กถูกหน้าสามไฟล์นี้ครับ แล้วคลิกคำสั่ง FIX checked แล้วกดYESแล้วรีสตาร์ทเครื่องเมื่อเปิดเครื่องขึ้นมาใหม่แล้วก็เปิดโปรแกรมนี้อีกรอบครับเพื่อเช็คว่าไวรัสยังทำงานอยู่ไหมหากไม่มีแล้วก็ติดตั้งโปรแกรมSecurity task manager เพื่อเช็คว่ามีไวรัสอะไรรันอยู่ไหมหาชื่อไวรัสสามไฟล์ดังที่บอกไว้ครับ หากเจอให้คลิกขวาตรงไฟล์ไวรัสแล้วเลือก Remove แล้วเลือก Move file to quarantine ติ๊กถูกหน้า Created restore point ออกครับ แล้วOK แล้วก็รีสตาร์ทครับ เมือเปิดเครื่องขึ้นมาใหม่ก็เปิดโปรแกรมSecurity task manager อีกครั้งเพื่อเช็คดูว่ามีไวรัสทำงานอยู่ไหม หากไม่มีก็เสร็จครับ หากมีก็ใช้สองโปรแกรมนี้ทำซ้ำไปอีกไม่เกินสองครั้งนะครับครั้งที่สามนี่ก็ไม่มีแล้วครับ เมือเห็นว่าไวรัสหยุดทำงานแล้วคราวนี้เรามาฆ่าไวรัสกัน ลงโปรแกรมฆ่าไวรัส BitDefender 9 หรือNOD32ก็ได้ครับ สองตัวนี้กันไวรัสfhashyได้ครับ ลงเสร็จแล้วก็สแกนไวรัสเลยครับโปรแกรมBitDefender เมื่อเจอไวรัสแล้วมันจะฆ่าเลยครับ แต่NOD32ผมยังไม่เคยลองใช้คับหากให้แนะนำตามความคิดของป่านนะครับ หากเครื่องคุณแรม512MBใช้BitDefender หากแรมต่ำกว่านี้ใช้ Nod32ครับเพราะBitDefender ใช้แรมค่อนข้างเยอะครับ แรมน้อยแล้วเอาไปลงเครื่องอาจจะอืดได้ครับ ย้ำเลยนะครับโปรแกรมป้องกันไวรัสอะ ห้ามลงเกิน1โปรแกรมนะครับหากลงเครื่องจะอืดแล้วก็จะฆ่าไวรัสไม่ได้ด้วยนครับ เอาละต่อไปเรามาแก้ค่าต่างๆที่ไวรัสฝากทิ้งเอาไว้ให้นะครับมันจะปิดTask manager แล้วก็เข้าregeditไม่ได้ แก้โดย คลิกขวาที่ไฟล์UnHookExec แล้วเลือกคำสั่ง Install แล้วไปที่ Start(มุมซ้ายล่างนะจ้ะ) ไป Run แล้วพิมพ์regedit แล้วOK แล้วไปที่HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions
ลบNoFolderOptions ออกเลยครับ ไวรัสมันสร้างขึ้นมาครับ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ด้านขวามือ --------> HideFileExt
ลบ HideFileExt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess ด้านขวามือ -------->Start
ลบ Start

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ด้านขวามือ --------> Flashy.exe
ลบ Flashy.exe ออกครับ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ลบ DisableRegistryTools
DisableCMD
DisableTaskMgr

ตัวไหนไม่มีก็ไม่เป็นไรครับ เมื่อลบเสร็จแล้ว ก็ไปแก้ตอนที่เปิดเครื่องขึ้นมาให้ใส่รหัสผ่านhacked ให้เข้า Run พิมพ์ regedit แล้วไปตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

แล้วมองช่องขวามือหาคีย์ดังต่อไปนี้ครับ

"AutoAdminLogon"="1"
"DefaultUserName"="ชื่อผู้ใช้อะครับ"
"DefaultPassword"hacked"
อันไหนไม่มีเราก็สร้างขึ้นมาเลยนะครับโดยการคลิกขวาตรงนั้นแล้วเลือก New-->String value

แล้วก็ใส่คีย์ที่ไม่มีเลยครับ แล้วก็รีสตาร์ทเครื่องครับเครื่องก็น่าจะเข้าวินโดว์โดยไม่ถามรหัสผ่านแล้ว หากต้องการเปลี่ยนรหัสก็ไปเปลี่ยนได้ใน control pannel ตรง user accounts คงเปลี่ยนเป็นนะครับ น่าจะหมดแล้วเนาะสำหรับปัญหาเกี่ยวกับคอม ต่อไปเราก็มาแก้ไวรัสที่ แฮนดี้ไดฟ์บ้าง
ผมเสียบแฮนดี้ไดฟ์เข้าไป

ตอนแรกผมตกใจเลยว่างานหายหมดแน่เลย ที่ไหนได้ไวรัสมันแสบมาก มันซ่อนไฟล์งานหมดเลย แล้วมันเอาไฟล์ไวรัสเสนอหน้ามีหน้าตาเหมือนโฟลเดอร์ไฟล์งานของผม แต่ผมไม่โง่คลิกมันหรอกรู้ทันมันเราเปิดโชว์ไฟล์ที่ซ่อนก่อนนะครับ เข้า My computer ไปที่แถบด้านบนไปที่ Tools ไปที่ Folder option View แล้วติ๊กถูกตรง Show hiden file and folder แล้วติ๊กถูกออกตรงคำว่า Hide extensions กับHide protected อยู่ใต้นั่นนิดหนึ่งอะครับแล้วOK แล้วค่อยเสียบแฮนดีไดฟ์ครับ เมื่อเสียบแล้วคลิกขวาOPEN ห้ามเลือกAUTOนะครับ OPEN เข้าไปแล้วก็จะเห็นไฟล์งานที่ไวรัสมันซ่อนเอาไว้ มันจะจางๆนะครับ เราก็คลิกขวาตรงไฟล์นั้นแล้วเลือกpoperties แล้วติ๊กถูกตรงคำว่าHidden กับ Read only ออกครับ แค่นี้ไฟล์เราก็จะไม่ซ่อนแล้วแล้วก็ลบไฟล์ที่ชื่อ autorun.inf ออกด้วยนะครับ แล้วก็สแกนแฮนดี้ไดฟ์ด้วย bitdefenderนะครับ แล้วก็แก้Folder opsion ให้เหมือนเดิมครับเข้า My computer ไปที่แถบด้านบนไปที่ Tools ไปที่ Folder option View แล้วติ๊กถูกตรง Do not show hidden file

ก็เป็นอันเสร็จครับ เมื่อมีไวรัสตัวนี้มาอีกก็จะโดนbitdefender ป้องกันไว้ก้จะไม่มีติดละครับ ผมว่าเดี๋ยวคนเขียนไวรัสมันก็เขียนมาใหม่แน่ครับ

รวบรวมโดยช่าง ป่าน เจ้าหน้าที่ดูแลคอมพิวเตอร์ สถานีตำรวจภูธรจังหวัดตาก