ความคิดเห็นทั้งหมด : 17

วิธีกำจัด virus adober.exe ที่แฝงมากับ Handy drive




   ชื่อไวรัส : Win32/RJump.A
ไฟล์ : AdobeR.exe
อาการที่พบ :
เมื่อเราต้องการใช้งาน Handy Drive ผ่านทาง My Computer
โดยใช้วิธีดับเบิ้ลคลิ้ก วินโดวส์จะฟ้องว่า ไม่สามารถเข้าใช้งานได้
ซึ่งตรงนี้ หลายๆท่านอาจคิดว่า Handy Drive เสียไปแล้ว
แต่จริงๆแล้ว เรายังสามารถเข้าใช้งานได้โดยการคลิ้กขวา
แล้วเลือกเมนู Explore หรือ Open แต่ตัวไวรัสนั้นยังคงอยู่ใน
Handy Drive ของเราครับ

วิธีการตรวจสอบ :
(ระบบที่ใช้ตรวจสอบเป็น Windows XP ไม่แน่ใจว่าวินโดวส์อื่นจะเป็นแบบนี้รึเปล่านะครับ)
1. เสียบ Handy Drive
2. เปิด My Computer
3. คลิ้กขวาที่ไดรฟ์ของ Handy Drive จะปรากฏเมนูขึ้น ถ้าเห็นเมนูว่า Auto หรือ Autoplay
ตัวเข้มแสดงว่า Handy Drive ของคุณน่าจะติดไวรัสตัวนี้เข้าให้แล้ว

ข้อควรระวัง:
การดับเบิ้ลคลิ้กที่ Handy Drive อาจทำให้ตัวไวรัสแพร่เข้าสู่เครื่องคอมพิวเตอร์ของคุณ
ซึ่งจะทำให้เครื่องคอมพิวเตอร์ที่ติดไวรัสตัวนี้เป็นพาหะแพร่ไวรัสต่อไปยัง Handy Drive ตัวอื่นๆได้
และบางกระแสข่าวยังบอกว่า อาจทำให้ระบบวินโดวส์รวน ทำให้ต้องติดตั้งวินโดวส์ใหม่เลยทีเดียว
แต่ก็ยังไม่ได้ยืนยันแน่ชัด เนื่องจากว่า เครื่องคอมพิวเตอร์ที่บ้านผมตัววินโดวส์ยังไม่ได้รวนถึงขั้นนั้น
แต่ก็ต้องเฝ้าระวังเอาไว้ และต้องติดตามข่าวต่อไป

วิธีการแก้ไขเมื่อติดไวรัส
ขอแบ่งเป็น 2 กรณีคือ 1. แก้ไขที่ Handy Drive และ 2. แก้ไขที่เครื่องคอมพิวเตอร์
แก้ไขที่ Handy Drive
0. เสียบ Handy Drive เข้าที่เครื่องคอมพิวเตอร์ของคุณ หากมี Autorun หรือ Autoplay
ขึ้นมา ให้กด Cancel ทั้งหมด
1. ใช้โปรแกรมสแกนไวรัสที่ได้ทำการอัพเดทฐานข้อมูลแล้วทำการสแกน Handy Drive
หากพบไวรัสตัวนี้ให้ทำการ delete ทันที โดยจะพบว่าไฟล์ที่ติดไวรัสคือ AdobeR.exe
2. เปิด My Computer แล้วคลิ้กขวาที่ไดรฟ์ของ Handy Drive แล้วเลือกเมนู Open หรือ
Explore เพื่อเข้าไปดูข้อมูลภายใน Handy Drive
3. ให้เลือกเมนู Tools > Folder Options... ที่อยู่ในแถบเมนูหลัก (แถวเดียวกับเมนู File)
จะมีหน้าต่างเล็กๆโผล่ขึ้นมาชื่อว่า Folder Options
4. ในหน้าต่าง Folder Options จะมีแถบให้เลือกอยู่หลายอัน ให้เลือก View
5. ที่ Advanced settings: ที่หัวข้อ Hidden files and folders มีตัวเลือกย่อยสองตัว
ให้เลือก Show hidden files and folders และใกล้ๆกันที่ Hide protected operating
system files (Recommended) ให้เอาเครื่องหมายถูกในกล่องสี่เหลี่ยมข้างหน้าออก
แล้วคลิ้กปุ่ม OK
6. สังเกตไฟล์ใน Handy Drive ของเรา ให้หาไฟล์ที่มีชื่อดังนี้แล้วลบออกไป (กดปุ่ม Shift+Delete)
- autorun.inf
- adober.exe
- msvcr71.dll
- ravmonlog (อันนี้ไม่มีนามสกุล)
7. ลองถอด Handy Drive ออกโดยใช้ Safely Remove แล้วเสียบเข้าไปในเครื่องใหม่อีกครั้ง
ลองตรวจสอบโดยการคลิ้กขวาที่ไดรฟ์ของ Handy Drive อีกครั้ง หากไม่พบเมนูดังที่กล่าวไว้ข้างต้น
แสดงว่า Handy Drive ของคุณน่าจะปลอดไวรัสแล้ว
8. ให้ใช้ตัวสแกนไวรัสสแกน Handy Drive ของคุณเพื่อยืนยันอีกครั้ง เป็นอันเสร็จพิธี



แก้ไขที่เครื่องคอมพิวเตอร์
ต้องเป็นผู้ใช้งานระดับสูงขึ้นมาอีกนิดนะครับ เนื่องจากต้องเข้าไปยุ่งเกี่ยวกับระบบ Registry ของวินโดวส์
หากเป็นผู้ใช้งานระดับปกติ ขอแนะนำให้ตามผู้เชี่ยวชาญให้มาดำเนินการให้นะครับ

1. เข้าสู่โปรแกรม Registry Edit โดยการเลือกเมนู Start > Run... จะปรากฏหน้าต่างเล็กๆขึ้นมา
ให้พิมพ์คำว่า regedit ลงไป แล้วกดปุ่ม Enter จะปรากฏโปรแกรมขึ้นมาดังรูป


2. คลิ้กที่ My Computer (ในโปรแกรม regedit) แล้วจึงกดปุ่ม Ctrl+F ที่คีย์บอร์ด
หรือเลือกเมนู Edit > Find... ที่เมนูด้านบนของโปรแกรม จะปรากฏหน้าต่าง Find
3. พิมพ์คำว่า adober.exe แล้วกดปุ่ม Enter ให้มันค้นหา ถ้าพบที่ใดให้ทำการลบทันที
โดยกดปุ่ม Delete ที่คีย์บอร์ด หรือคลิ้กขวาที่ข้อความที่พบแล้วเลือกเมนู Delete แล้วจึง
กดปุ่ม F3 เพื่อทำการค้นหาต่อไป
4. ดำเนินการตามข้อ 3 ไปเรื่อยๆ จนไม่พบข้อความ adober.exe
5. จากข้อ 2 และ 3 ให้ทำการค้นหาอีกคำครับ คำว่า ravmonlog อีกคำหนึ่ง
และให้ทำการลบเช่นกันครับ
6. ปิดโปรแกรม regedit แล้วเลือกที่เมนู Start > Search > For Files or Folders...
แล้วค้นหาไฟล์ autorun.inf, adober.exe, msvcr71.dll, ravmonlog โดยให้ค้นหาจาก
ทุกไดรฟ์ที่เรามีนะครับ หากพบว่ามีอยู่พร้อมๆกัน หรือ ไฟล์ที่ 1, 2, 3 พร้อมๆกันในโฟลเดอร์เดียวกัน
ก็ขอให้สงสัยไว้ก่อนนะครับ ว่าเป็นไฟล์ไวรัส ก็ขอให้ถามผู้รู้ก่อนทำการลบนะครับ แต่หากพบเดี่ยวๆ
อยู่ในบางโฟลเดอร์ นั่นอาจจะไม่ใช่ไฟล์ไวรัสก็ได้นะครับ อาจจะเป็นไฟล์ของวินโดวส์หรือโปรแกรม
ไม่ควรลบเด็ดขาดครับ
7. บูทเครื่องใหม่อีกครั้ง แล้วเปิดโปรแกรม regedit อีกหน แล้วให้ทำการค้นหาคำทั้งสองคำอีกที
หากไม่พบ แสดงว่าเครื่องของท่านน่าจะปลอดการติดเชื้อไปแล้ว แต่...
8. ให้ลองเสียบ Handy Drive ที่เราได้ลบไวรัสไปแล้วลงไปอีกทีเพื่อทดสอบ
หากพบว่ามีไวรัสอยู่ ก็แสดงว่าเครื่องของท่านนั้นยังไม่หมดเชื้อครับ

ก็ขอให้ติดตามหาวิธีการเพิ่มเติมต่อไป โดยอาจติดตามได้จากเว็บบอร์ดนี้
หรืออาจหาจาก google ก็ได้ครับ ผมนำมาเผยแพร่ก่อน
เพื่อทุกท่านจะได้ทำการตรวจสอบ และหากพบว่า Handy Drive ของท่านมีไวรัส
ก็ขอให้จัดการฆ่าไวรัสซะก่อนที่มันจะแพร่เชื้อนะครับ


Posted by : Kangaroo on board , Date : 2006-10-20 , Time : 22:30:38 , From IP : 172.29.5.76

ความคิดเห็นที่ : 1




   ลืมอีกรูปครับ

Posted by : kangaroo on board , Date : 2006-10-20 , Time : 22:31:49 , From IP : 172.29.5.76

ความคิดเห็นที่ : 2


   ปกติต้องใช้งาน Handy Drive บ่อยๆอยู่แล้ว บางทีเวลาเสียบ Handy Drive ก็ไม่ได้ Scan virus เพราะคิดว่าคงไม่เป็นไร คราวนี้คงต้อง Scan ทุกครั้งแล้วล่ะเนอะ ขอบคุณมากค่ะ แล้วแผ่น CR-W ที่เขียนข้อมูลเอกสารมาเวลาจะใช้จำเป็นต้อง Scan ทุกครั้งด้วยรึเปล่าคะ

Posted by : อิหนูเตร็ด , Date : 2006-10-21 , Time : 07:44:47 , From IP : 203.154.27.198

ความคิดเห็นที่ : 3


   เยี่ยมเลยครับขอบคุณจริงๆ เพราะเจอเยอะมาก

Posted by : ต้องลอง , Date : 2006-10-21 , Time : 10:56:10 , From IP : 172.29.5.194

ความคิดเห็นที่ : 4


   ขอบคุณมากนะคะ ลองวิธีนี้ดูแล้ว สามารถกำจัดไวรัสที่แฝงอยู่ได้จริงๆ ค่ะ
THANKS A LOT


Posted by : ได้ผลจริงๆ , Date : 2006-10-21 , Time : 14:34:08 , From IP : 172.29.1.136

ความคิดเห็นที่ : 5


   ติดไวรัสตัวนี้มาหลายเดือนแล้ว เวลาใช้ handy drive ต้องคริ๊กขวาทุกครั้งจึงจะเปิดได้ เอาไวรัสออกได้แล้ววันนี้ ดีใจจัง ขอบคุณมากค่ะ

Posted by : ทรายขาว , Date : 2006-10-22 , Time : 07:09:10 , From IP : 172.29.5.204

ความคิดเห็นที่ : 6


   ขอบคุณนะ

Posted by : NNN , Date : 2006-10-22 , Time : 20:14:27 , From IP : 172.29.7.208

ความคิดเห็นที่ : 7


   ขอบคุณมากครับ

Posted by : nsudsuang , E-mail : (nsudsuang@yahoo.com) ,
Date : 2006-10-28 , Time : 19:06:49 , From IP : ppp-124.121.140.85.r


ความคิดเห็นที่ : 8


   ขอบคุณมากนะคะ
เป็นวิธีที่ดีมากเลยค่ะ


Posted by : ได้ผล , Date : 2006-12-05 , Time : 18:39:34 , From IP : 203.188.24.13

ความคิดเห็นที่ : 9


   สุดยอดครับ Auto ตัวดำ ทึบ หาย จริงๆ ขอบคุณมากครับ เออ คุณครับถ้าเราใช้วิธีนี้อ่ะ มันสามารถลบไวรัส ได้ ทุก ตัวเลยไหมอ่ะ ครับ แบบว่าอยากรุ้อ่ะ ช่วย เมลล์มาบอกเราทีนะครับ ขอบคุณมากครับ


Posted by : LongparD , E-mail : (sadayu15@hotmail.com) ,
Date : 2006-12-09 , Time : 12:56:37 , From IP : 158.108.108.208


ความคิดเห็นที่ : 10


   มันไม่ยอมให้ลบอ่ะทำไง บอกหน่อยซิครับ เซงเลยเนี้ย

Posted by : โดน , Date : 2006-12-20 , Time : 14:27:05 , From IP : 125-25-62-35.adsl.to

ความคิดเห็นที่ : 11


   ขอบคุณมากเลยครับ ไม่ได้ข้อมูลนี้ผมแย่แน่ ^_^

Posted by : Zasda , E-mail : (Sadayu_Kwang@hotmail.com) ,
Date : 2006-12-26 , Time : 10:23:27 , From IP : ppp-58.10.87.215.rev


ความคิดเห็นที่ : 12


   มันไม่ยอมให้ลบเหมือนกันมันเขียนว่า
Handy drive write protect


Posted by : ittiput , Date : 2007-01-01 , Time : 09:24:22 , From IP : 125-25-0-214.adsl.to

ความคิดเห็นที่ : 13


   มันไม่ยอมให้ลบครับทั้งได้เจ้า Autorun.inf และ msvcr71.dll มันขึ้น Handy drive write protect ทำอะไรไม่ได้ลบก้อไม่ได้เซฟก็ไม่ได้ข้อมูลเสียหายหมด


Posted by : Little Devil , Date : 2007-01-25 , Time : 12:06:06 , From IP : 202.143.140.84

ความคิดเห็นที่ : 14


   วิธีที่ง่ายกว่ามากๆ
ไวรัสตัวนี้ระบาดมานานมากแล้วครับ นอกจะทำให้ Handy Drive (ลำดับต่อไปขอใช้ HD)ของเราดับเบิ้ลคลิ๊กเพื่อเปิดไม่ได้แล้ว การกระทำเช่นนั้นยังเป็นการติดตั้งไอ้เจ้าไวรัสตัวนี้ลงในคอมพ์ด้วย Handy Drive ตัวใหม่มาเสียบเครื่องนี้เมื่อไหร่ก็จะติดและแพร่ไปเรื่อยๆ
นอกจากนี้ถ้าคอมพ์ของเราติดอยู่แล้ว การที่เราดับเบิ้ลคลิ๊กHDตัวใหม่(ของเพื่อน,ของคนอื่นฯลฯ) ยังเป็นการเปิด Processes ตัวใหม่ให้กับคอมพ์ไปเรื่อยๆ อฺธิบายง่ายๆ ก็คือสร้างภาระให้กับคอมพ์ขึ้นเรื่อยๆ ใช้ทรัพยากรเครื่องมากขึ้นเรื่อยๆ ใช้พื้นที่ในฮาร์ดดิสก์ในการรัน Processes มากขึ้นเรื่อยๆ นะครับ
เพราะฉะนั้นวิธีที่ง่ายกว่ามากๆ ก็คือ
1) กดปุ่ม Ctrl + Alt + Delete พร้อมกัน (3 ปุ่มพิฆาต) จะปรากฏไดอะล็อกบ๊อกของ Windows Task Manager ขึ้นมา (ลองทำดูได้ครับ)
2) คลิ๊กเลือกแท็บ Processes แล้วจะเห็นโปรแกรมหรือแอพพลิเคชันทั้งเบื้องหน้าและเบื้องหลังที่รันอยู่ ให้เลื่อนหา Image name ที่ว่า AdobeR ให้เจอแล้วคลิ๊กเลือกเป็นแถบสีน้ำเงินไว้ จากนั้นให้คลิ๊กปุ่ม End Process บางเครื่องอาจจะเจอ AdobeR หลายๆ Process ให้ทำการ End Process ให้หมด (หมายความว่า หยุดการทำงานของมันบนเครื่อง)
3) เข้าไปในโปรแกรมเบิร์นแผ่น ยอดฮิต นั่นคือ โปรแกรมนีโร จะเวอร์ชันใดก็ได้ แล้วเลือกฟังก์ชัน เขียนแผ่นข้อมูล ตรงขั้นตอนการเพิ่ม(Add)ข้อมูลที่จะเบิร์น นั้นให้เราเลือกที่อยู่ของข้อมูลที่จะเบิร์นเป็นHDของเรา ทีนี้เราจะเห็นไฟล์ที่ซ่อนไว้ทั้งหมดของไวรัสตัวนี้
- autorun.inf
- adober.exe
- msvcr71.dll
- ravmonlog
ให้ทำการคลิ๊กเลือกไฟล์ที่เห็นนี้(ไม่ใช่ดับเบิ้ลคลิ๊ก คลิ๊กให้เป็นแถบสีน้ำเงิน) โดยการกดปุ่ม Ctrl ค้างไว้แล้วใช้เมาท์คลิ๊กเลือกทีละตัวก็ได้ครับ จากนั้นกดปุ่ม Delete ที่คีย์บอร์ดได้เลย (กดปุ่มdeleteที่คีย์บอร์ดเท่านั้น) จากนั้นปิดโปรแกรมนีโรได้เลย (ใช้โปรแกรมนีโรดูไฟล์ซ่อนของมัน)
4) ทำเช่นเดียวกับข้อ 3 เพียงแต่แทนที่เราจะเลือกที่อยู่ของข้อมูลในHD ไปเป็นเข้าไปใน C:windows (ไดรฟ์ C และเข้าไปในโฟลเดอร์ Windows อีกทีหนึ่ง) เลื่อนหาไฟล์ที่ว่าข้างต้นแล้วทำการกดปุ่มdelete เลย
5) รีสตาร์ทเครื่อง แล้วทุกอย่างก็ราบรื่น ดับเบิลคลิ๊กก็เปิดทันทีทันใด (ถ้าต้องรอประมาณ 3- 10 วินาทีหรืออาจนานกว่านั้นแล้วค่อยเปิด ก็เท่ากับว่าคุณได้ติดตั้งเจ้าไวรัสตัวนี้ลงไปแล้ว)
ไวรัสตัวนี้ถูกกำจัดหมดจากเครื่องก็จริง แต่ถ้าเราเปิดHDที่ติดไวรัสตัวนี้อยู่โดยการดับเบิลคลิ๊กเพื่อเปิด ก็เท่ากับว่าคุณได้ติดตั้งมันลงไปในเครื่องแล้ว
ดังนั้นควรหาโปรแกรมป้องกันไวรัสเช่น NOD32 เวอร์ชันเสียตังค์, AVG ตัวนี้ของฟรี โดยต้องอัปเดทฐานข้อมูลไวรัสให้เป็นปัจจุบันอยู่เสมอ โปรแกรมตัวหลังนี้มีข้อแม้อยู่ว่า ถ้าเป็นHDที่ไม่เคยเปิดในเครื่องเลย มันจะจับและฆ่าไวรัสตัวนี้ได้ แต่ถ้าเป็น HDที่ใช้ประจำกับเครื่องมันก็จะทำอะไรไม่ได้เหมือนกัน หมายความว่า หลังจากติดตั้งโปรแกรมแล้ว ถ้าเครื่องของคุณยังไม่เคยติดตั้งAVG มาก่อน แต่ติดไวรัสตัวนี้ เมื่อติดตั้งลงไปมันก็จะเห็นและฆ่าได้เช่นกัน ทีนี้หลังจากนั้นถ้าHDคุณติดไวรัสอีกมันอาจไม่เห็นและไม่ฆ่า แต่ก็ใช้ว่าจะทุกเครื่องไป เพราะเครื่องแบรนด์เนมหลายๆ เครื่องเจ้าไวรัสตัวนี้ไม่สามารถหนีพ้นเงื้อมมือของAVG Free edition เวอร์ชัน 7.5 ไปได้ (เพราะอะไรไม่รู้จริง งงสุดๆ ครับ เพราะไม่ใช่ครูคอมพ์)
พูดถึงเจ้า AVG Antivirus ตัวนี้สามารถดาวน์โหลดได้ที่http://www.free.grisoft.com/doc/2/lng/us/tpl/v5 มันก็ทำงานเวอร์คในระดับที่น่าพอใจ ไม่หน่วงเครื่องเวลาทำงาน (หลังติดตั้งแล้วตอนเปิดใช้ครั้งแรกจะมีขั้นตอนหนึ่งที่ถามเรา ให้เราอย่าเลือกออฟชั่นที่ว่าให้สแกนเครื่องทุกๆ วัน) อัพเดตฐานข้อมูลไวรัสง่ายมากๆ ยิ่งถ้าต่อเน็ตอยู่แล้วมันจะทำการอัพเดตออโต้ แต่ถ้าไม่ต่อเน็ตก็ไปดาวน์โหลดไฟล์อัพเดทที่ http://www.free.grisoft.com/doc/24/lng/us/tpl/v5 แล้วมาทำการอัพเดทโดยเวลาอัพเดตแทนที่จะเลือกอินเตอร์เน็ตก็ให้เลือกโฟล์เดอร์แทน จากนั้นก็เลือกหาโฟล์เดอร์ที่เราเสฟไฟล์อัพเดทมากดปุ่มอัพเดทเท่านั้นเอง ลองใช้ดูนะครับ ไม่ผิดหวัง


Posted by : ครูศรัทธาKill AdobeR Virus , E-mail : (srungpaiboonkit@gmail.com) ,
Date : 2007-02-26 , Time : 22:28:41 , From IP : 203.113.51.196


ความคิดเห็นที่ : 15


   ตอบความคิดเห็นที่ 12 และ 13
ให้คุณทำการ End Process ก่อนดังในความคิดเห็นที่ 14 ก็ได้แล้วครับ


Posted by : ครูศรัทธา , E-mail : (srungpaiboonkit) ,
Date : 2007-02-26 , Time : 22:33:49 , From IP : 203.113.51.196


ความคิดเห็นที่ : 16


   เย้ๆ เจ้าไวรัสตัวร้ายหายไปแล้ว
ขอบคุณมากนะคะ เป็นวิธีที่ดีจริงๆ
สำหรับคนที่ลบแล้วไวรัสไม่หายไป พยายามเข้านะค่ะ

สู่ๆ...สู่ตาย ^_^


Posted by : fon , Date : 2007-03-13 , Time : 20:09:10 , From IP : ppp-124.121.174.6.re

ความคิดเห็นที่ : 17


   ถึง คุณครูศรัทธาKill AdobeR Virus

ผมพยายามทำตามขั้นตอนแล้ว แต่พอกด ctrl+alt+del แล้วหาตรง Process แล้วก็ไม่พบ AdobeR ตามที่คุณครูบอกไว้เลยครับ แต่ใน HandyDrive พบไฟล์
AdobeR.exe
msvcr71.dll
pr3.vbs
win2006.vbs

แต่มัีนลบไม่ได้ บอกว่า The disk is write protech

จะแก้ไขอย่างไรครับ ช่วยแนะนำด้วยนะครับ



Posted by : ณัฐพล , E-mail : (nat_kwh@yahoo.com) ,
Date : 2007-03-22 , Time : 11:37:04 , From IP : 125-24-164-188.adsl.


ความเห็นจาก Social Network : Facebook


สงวนสิทธิ์การแสดงความคิดเห็นสำหรับ สมาชิกเท่านั้น