Recycled.exe
MD5 : E5CF46AF3702553E3CAE33F7181E0552
SHA1 : 81122D797CE9527E7A504475BD44758361FFA9A1
How to remove recycled.exe (Win32 autoRun.FlyStudio.BF : Detect by NOD32) recycled.exe
MD5 : 82E0CEF0A8B8A1045F8AFBDB96E4D88D
SHA1 : ED27DE63FBF1091F1AB19A77092BB3D90E8F84FB
How to remove recycled.exe (Win32 autoRun.FlyStudio.MD : Detect by NOD32) recycled.exe
MD5 : 58cc4ce0f7f59000007bbc69f3c60448
SHA1 : d9894c4266ee10187867bac51fd6341dc35b94f6
===================================================
Win32 AutoRun.FlyStudio.J
Other name
AntiVir > Worm/Autorun.ehw
AVG > Generic10.BAZC
BitDefender > Worm.Agent.U
ClamAV > W32.Zloyfly
Dr.Web > Win32.HLLW.Autoruner
F-Prot > W32/Trojan.WFZ
F-Secure > Worm.Win32.AutoRun.ehw
GData > Worm.Win32.AutoRun.ehw
Ikarus >Trojan-Dropper.Win32.Flystud
Kaspersky > Worm.Win32.AutoRun
McAfee > W32/Autorun.worm.dp
Microsoft > Worm:Win32/Autorun.DM
ESET NOD32 > Win32 AutoRun.FlyStudio.J
Norman > W32/Lineage.BHIH
Panda > W32/Autorun.ARY
Quick Heal > Worm.AutoRun.ehw
Sophos > W32/Autorun-ABR
Trend Micro > WORM_GOOMHTTP
===================================================
Win32 autoRun.FlyStudio.BF
AntiVir > TR/Dropper.Gen
AVAST > Win32:Trojan-gen
AVG > SHeur.CDKL BitDefender > Trojan.Spy.Agent.NXS
ClamAV > Trojan.Downloader-64749
F-Prot > W32/Nuj.A.gen!Eldorado
F-Secure > Trojan-Downloader.Win32.VB.gvj
GData > Trojan-Downloader.Win32.VB.gvj
Kaspersky > Trojan-Downloader.Win32.VB.gvj
McAfee > W32/Autorun.worm.dq.gen
Microsoft > Worm:Win32/Autorun.DM
NOD32 > Win32.AutoRun.FlyStudio.BF
Norman > W32/DLoader.JUOS
nProtect > Trojan-Downloader/W32.Agent.1514464
Quick Heal > TrojanDownloader.VB.gvj
Sophos > Mal/EncPk-GF 2.196
Sunbelt > Trojan-Downloader.Win32.VB.gvj
Symantec > W32.SillyFDC
Trend Micro >2 TROJ_VB.SM 0.030
VBA32 > Win32.AutoRun.FlyStudio.BF
==================================================
Win32.AutoRun.FlyStudio.MD
a-squared > Worm.Win32.AutoRun!IK
AhnLab > Win-Trojan/Xema.variant
AntiVir > TR/Dropper.Gen
AVAST! > Win32:AutoRun-AYE [Wrm]
BitDefender > Generic.Malware.SFMb
CA (VET) > Win32/Pigeon.BALB trojan
ClamAV > Worm.Autorun-1929
Comodo > TrojWare.Win32.Trojan.StartPage.~ac
Dr.Web > Win32.HLLW.Autoruner
F-Prot > W32/Nuj.A.gen!Eldorado
F-Secure > Worm.Win32.AutoRun.ehw
Fortinet > W32/Autorun.DP!worm
GData > Worm.Win32.AutoRun.ehw
Ikarus > Worm.Win32.AutoRun
JiangMin > Worm/AutoRun.ov
Kaspersky > Worm.Win32.AutoRun.ehw
KingSoft > Win32.Troj.FakeFolder.ix
McAfee > W32/Autorun.worm.dp
Microsoft 1> Worm:Win32/Regul.D
NOD32 > Win32/AutoRun.FlyStudio.MD
Panda > W32/Autorun.AKT
Sophos > Mal/Generic-A
Sunbelt > Trojan.Win32.Generic!BT
Symantec > W32.SillyFDC
VBA32 > Trojan.HLLW.Erun
VirusBuster > Trojan.DL.VB.EJQN
------------------------------------------------------------------------
เมื่อทำการ Run ไฟล์ Recycled.exe ผลปรากฏว่ามีการสร้างไฟล์ลงใน system32 ดังนี้
c:\windows\system32\com.run
c:\windows\system32\dp1.fne
c:\windows\system32\eapi.fne
c:\windows\system32\internet.fne
c:\windows\system32\krnln.fnr
c:\windows\system32\og.dll
c:\windows\system32\og.edt
c:\windows\system32\regex.fnr
c:\windows\system32\shell.fne
c:\windows\system32\spec.fne
c:\windows\system32\ul.dll
c:\windows\system32\XP-xxxxxxxx.exe (random ชื่อไปเรี่อยๆ แต่ขึ้นต้นด้วย XP-)
และมีการสร้างไฟล์ลงใน temp อีกจำนวนหนึ่ง
มีการสร้าง กกกกกก.lnk ไว้ที่ Startup ซึ่งก็ไปเรียกใช้ไฟล์ XP-xxxxxxxx.exe ใน system32 นั้นเอง
หรือถ้าดูใน msconfig จะเห็นดังภาพ
มีการสร้างไฟล์ autorun.inf และ recycled.exe ใน USB Drive
ถ้า Click ขวา ที่ USB Drive จะพบข้อความที่อ่านไม่ออกดังภาพ
มีการซ่อน folder ใน USB drive และสร้าง folder ปลอม ที่เป็น นามสกุล .exe ขึ้นมาแทน
-------------------------------------------------------------------------
วิธีกำจัด virus recycled
(Win32 AutoRun.FlyStudio.F and Win32 autoRun.FlyStudio.BF )
-------------------------------------------------------------------------
Download Virus Remove Tool :
ExplorerXP Hijack This NOD32 Recovery Tool DKDC_Hash
ก่อนอื่นให้ตัดการเชื่อมต่อเครือข่ายต่างเช่น Internet, Lan และถ้ามี USB Drive ก็ให้เสียบไว้เลยครับ แล้วทำตามนี้
1.กดปุ่ม Ctrl+Alt+Del ที่ keyboard เลือกที่ไฟล์ XP-xxxxxxxx.exe แล้วกดปุ่ม End process
2.เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ XP-xxxxxxxx.exe ใน system32 รวมถึงไฟล์อื่นที่บอกไว้ด้านบนครับ
3. เปิดโปรแกรม Hijack This ทำการ fix checked ที่ 2 บรรทัดนี้
HKLM\..\Run: [XP-xxxxxxxx] C:\WINDOWS\system32\XP-xxxxxxxx.EXE
Startup: iiiiii.lnk = C:\WINDOWS\system32\XP-xxxxxxxx.EXE
4.เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix now เพื่อ Show hidden file โดยไม่ต้องเลือก Scan& clean with NOD32
5. เปิดโปรแกรม DKDC_Hash Scan USB Drive เพื่อกำจัด Folder ที่มีนามสกุล .exe
5.1 โดยเลือกไฟล์ต้นฉบับ
5.2 เลือก option ระบุ Drive
5.3 Click ปุ่ม ค้นหา+ทำลาย
โปรแกรมจะทำการกำจัด Folder ที่มีนามสกุล .exe ทั้งหมดที่มีค่า MD5 ตรงกับไฟล์ต้นฉบับ
ก็คือเจ้า recycled (MD5 : E5CF46AF3702553E3CAE33F7181E0552) นี้แหละครับ
(ขอขอบคุณโปรแกรมดีๆของคุณ ปิยะวัฒน์ เกลี้ยงขำ แห่ง DKDC -Ultra ครับ)
6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK
แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK
7. ใช้โปรแกรม ATF Cleanner เคลียร์ temp
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorun
และ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
ปล. อย่าลืมลบไฟล์ ที่อยู่ใน system32 ด้วยด้วยนะครับ
จบแล้วครับ วิธีแก้ Recycled.exe
(Win32 AutoRun.FlyStudio.J : Detect by NOD32)
(Win32 AutoRun.FlyStudio.BF : Detect by NOD32)
in32 AutoRun.FlyStudio.MD : Detect by NOD32)
=================== Test by PeeTech ====================
จำนวนครั้งที่ทดสอบ = 3 +2 + 1 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2
No comments:
Post a Comment