วิธีแก้ไวรัส notepad.exe                                

   อาการที่เห็นได้ชัดเมื่อติดไวรัสตัวนี้คือ เมื่อเราเปิด IE  เว็บไซต์หน้าแรกของเครื่องเราจะเป็นเว็บไซต์ google ของจีนครับ
ชื่อเว็บ http://www.google.cn
หน้า google จีน

 

แล้วในแฟลชไดว์ฟก็จะมีไฟล์ลูกๆของไวรัสอยู่ครับ โดยไวรัสจะสร้างไฟล์ไวรัสที่ชื่อเหมือนโฟลเดอร์งานของเราแล้วเอาโฟลเดอร์งานของเราซ่อนไว้ครับ
รูปไวีรัสในแฟลชไดว์ฟ

นี่คือสองอาการที่เห็นได้ชัดครับ  
ไวรัสแต่ละตัวก็มีจุดประสงค์ต่างกันไปครับ ไวรัสตัวนี้ก็เช่นกันครับ   มีจุดประสงค์ที่น่ากลัวที่สุดครับ คือ ขโมยรหัสผ่านของเราครับ
คือเมื่อเครื่องคอมเครื่องใดที่มีไวรัสตัวนี้อยู่ แล้วคุณใช้คอมเครื่องที่ติดไวรัสตัวนี้ ล๊อคอินเข้าไปเช็คเงิน ระวังรหัสผ่านถูกขโมยนะครับ
ผมลองใช้โปรแกรมตรวจจับดูว่าเมื่อติดแล้วมีการเชื่อมต่อไปที่ใดบ้างก็พบว่า เชื่อมต่อไปยังเว็บ baidu.com ครับ
ดูจากโค๊ดแล้วก็พบว่ามีการล๊อคอินเข้าระบบด้วยครับ แสดงว่า เมื่อติดไวรัสแล้วไวรัสจะส่งไฟล์รหัสผ่านของเรา ไปยังเมล์ของเข้าของไวรัสครับ
http://www.webphand.com/notepad_exe/3.JPG

อีกรูปครับ
http://www.webphand.com/notepad_exe/0.JPG

มีการเปิดพอร์ต 1548 เพื่ออัฟโหลดข้อมูลครับ
http://www.webphand.com/notepad_exe/4.JPG

ผมแน่ใจว่ามันขโมยข้อมูลแน่ๆครับ เพราะมีหลักการทำงาน 3 อย่างครับ
1. ติดปุ๊บมันลบคุ๊กกี้ของเราเลยครับ
2. มีการเชื่อมต่อไปยังเว็บไซต์อีเมล์
3. มีการเปิดพอร์ตเพื่ออัฟโหลดไฟล์ข้อมูล

เป็นไวรัสที่ไม่อันตรายกับไฟล์ของเราครับ แต่ อันตรายที่จะโดยขโมยรหัสผ่านครับ

 

เอาละครับมาเริ่มแก้กันเลยครับ    โหลดโปรแกรมมาช่วยแก้ก่อนครับ                Kill Process       Hijack this     cpe17antiautorun

1. หยุดไวรัส
เปิดโปรแกรม Kill Process  แล้วคลิกคลุมที่โปรเซส 866516.EXE กับ 37C653.exe   เลือกคำสั่ง Terminal ครับ  
คลิกคลุมที่โปรเซส 866516.EXE กับ 37C653.exe เลือกคำสั่ง Terminal

แล้วทำอีกครั้งครับ
หยุดโปเซส 866516.EXE

 

2. ลบไวรัส          เซตให้คอมแสดงไฟล์ที่ซ่อนก่อนครับ   คลิกอ่านวิธีเซต  
เข้าไปที่ C:\WINDOWS\system32  ลบโฟลเดอร์ที่ชื่อ 817F8F     36637C     และ   C653F7 ออกครับ
ลบโฟลเดอร์ที่ชื่อ 817F8F 36637C และ C653F7

แล้วเข้าไปที่ C:\Documents and Settings\ ชื่อแอคเค้าน์คุณ \Local Settings\Temp
ลบโฟลเดอร์ E_4 ครับ

  ต่อไปลบไฟล์ไวรัสในแฟลชไดว์ฟครับ เพื่อความปลอดภัย เราควรติดตั้งโปรแกรมลบไฟล์ไวรัส autorun.inf ป้องกันไว้ครับ
ให้ติดตั้งโปรแกรม CPE17 ก่อนครับ
แล้วค่อยเสียบแฟลชไดว์ฟครับ แล้วให้เข้าแฟลชไดว์ฟโดย คลิกที่ Start ----->Run พิมพ์ชื่อไดว์ฟเอาครับ แฟลชไดว์ฟเป็นไดว์ฟ F ก็พิมพ์   F:   แล้วเอนเทอร์ครับ
แล้วลบไฟล์ไวรัสที่มันสร้างเลียนแบบชื่องานของเราออกครับ แล้วคลิกขวาที่โฟลเดอร์งานของเราที่ไวรัสมันซ่อนไว้จะเป็นสีจางๆอะครับ คลิกขวา
เลือกคำสั่ง Properties แล้วเอาเครื่องหมายถูกทั้งสองช่องออกแล้วกด Ok ครับ

3. ลบคำสั่งเรียกไวรัสครับ
เปิดโปรแกรม Hijack this แล้วคลิกถูกหน้าบรรทัดที่มีคำสั่งเรียกไวรัส แล้วกด Fix checked ครับ
คลิกถูกหน้าบรรทัดที่มีคำสั่งเรียกไวรัส

แล้วก็อย่าลืมไปเซตหน้าแรกของ IE เป็นเว็บ www.google.co.th ด้วยนะครับ  

เรียบร้อยครับวิธีแก้ไวรัส Notepad.exe