วิธีกำจัด virus Recycled.exe (Win32 AutoRun.FlyStudio.J )

How to remove Recycled.exe (Win32 AutoRun.FlyStudio.J : Detect by NOD32 )
Recycled.exe
MD5 : E5CF46AF3702553E3CAE33F7181E0552
SHA1 : 81122D797CE9527E7A504475BD44758361FFA9A1
============================================================
Other name
AntiVir > Worm/Autorun.ehw
AVG > Generic10.BAZC
BitDefender > Worm.Agent.U
ClamAV > W32.Zloyfly
Dr.Web > Win32.HLLW.Autoruner
F-Prot > W32/Trojan.WFZ
F-Secure > Worm.Win32.AutoRun.ehw
GData > Worm.Win32.AutoRun.ehw
Ikarus >Trojan-Dropper.Win32.Flystud
Kaspersky > Worm.Win32.AutoRun
McAfee > W32/Autorun.worm.dp
Microsoft > Worm:Win32/Autorun.DM
ESET NOD32 > Win32 AutoRun.FlyStudio.J
Norman > W32/Lineage.BHIH
Panda > W32/Autorun.ARY
Quick Heal > Worm.AutoRun.ehw
Sophos > W32/Autorun-ABR
Trend Micro > WORM_GOOMHTTP
===================================================================
เมื่อทำการ Run ไฟล์ Recycled.exe ผลปรากฏว่ามีการสร้างไฟล์ลงใน system32 ดังนี้
c:\windows\system32\com.run
c:\windows\system32\dp1.fne
c:\windows\system32\eapi.fne
c:\windows\system32\internet.fne
c:\windows\system32\krnln.fnr
c:\windows\system32\og.dll
c:\windows\system32\og.edt
c:\windows\system32\regex.fnr
c:\windows\system32\shell.fne
c:\windows\system32\spec.fne
c:\windows\system32\ul.dll
c:\windows\system32\XP-xxxxxxxx.exe (random ชื่อไปเรี่อยๆ แต่ขึ้นต้นด้วย XP-)
และมีการสร้างไฟล์ลงใน temp อีกจำนวนหนึ่ง
มีการสร้าง กกกกกก.lnk ไว้ที่ Startup ซึ่งก็ไปเรียกใช้ไฟล์ XP-xxxxxxxx.exe ใน system32 นั้นเอง



หรือถ้าดูใน msconfig จะเห็นดังภาพ




มีการสร้างไฟล์ autorun.inf และ recycled.exe ใน USB Drive



ถ้า Click ขวา ที่ USB Drive จะพบข้อความที่อ่านไม่ออกดังภาพ





มีการซ่อน folder ใน USB drive และสร้าง folder ปลอม ที่เป็น นามสกุล .exe ขึ้นมาแทน
-----------------------------------------------------------------------------------------------
วิธีกำจัด virus recycled (Win32 AutoRun.FlyStudio.F)
-----------------------------------------------------------------------------------------------

Download Virus Remove Tool :

ExplorerXP Hijack This NOD32 Recovery Tool DKDC_Hash

ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้
1.กดปุ่ม Ctrl+Alt+Del ที่ keyboard เลือกที่ไฟล์ XP-xxxxxxxx.exe แล้วกดปุ่ม End process





2.เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ XP-xxxxxxxx.exe ใน system32 รวมถึงไฟล์อื่นที่บอกไว้ด้านบนครับ



3. เปิดโปรแกรม Hijack This ทำการ fix checked ที่ 2 บรรทัดนี้
HKLM\..\Run: [XP-xxxxxxxx] C:\WINDOWS\system32\XP-xxxxxxxx.EXE
Startup: iiiiii.lnk = C:\WINDOWS\system32\XP-xxxxxxxx.EXE



4.เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix now เพื่อ Show hidden file โดยไม่ต้องเลือก Scan& clean with NOD32



5. เปิดโปรแกรม DKDC_Hash Scan USB Drive เพื่อกำจัด Folder ที่มีนามสกุล .exe
5.1 โดยเลือกไฟล์ต้นฉบับ
5.2 เลือก option ระบุ Drive
5.3 Click ปุ่ม ค้นหา+ทำลาย
โปรแกรมจะทำการกำจัด Folder ที่มีนามสกุล .exe ทั้งหมดที่มีค่า MD5 ตรงกับไฟล์ต้นฉบับ
ก็คือเจ้า recycled (MD5 : E5CF46AF3702553E3CAE33F7181E0552) นี้แหละครับ
(ขอขอบคุณโปรแกรมดีๆของคุณ ปิยะวัฒน์ เกลี้ยงขำ แห่ง DKDC -Ultra ครับ)




6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK



แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK



สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorun
และ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ

=====================By Getzaa===================