หลายคนคงเคยเจอกับปัญหาแบบนี้ ที่อยู่ดีๆ folder ใน Flash Drive หายไปหมด!! แต่ไฟล์อื่นๆดันอยู่ครบ หรือ ทุกอย่างปกติ แต่ไอ้เจ้า folder ที่ใช้เก็บข้อมูลต่างๆ ดันกลายเป็น .exe หมดเลย!! แล้วก็จะมีคำถามตามมาว่า “ทำไงดีเนี้ย งานอยู่ในนั้นหมดเลย ตาย…ล่ะทีนี้” ถ้าท่านที่เจอปัญหาแบบนี้นะครับ ให้ทำใจ…… ใจเย็นๆครับ ข้อมูลยังอยู่ครับ เพียงแค่มีไวรัสบางตัวเอามันไปซ่อนไว้
เริ่มแรกมารู้จักก่อนว่ามันคืออะไรและติดมาได้ยังไง
ไวรัสตัวนี้มีชื่อว่า “ไวรัส ซ่อนไฟล์ ให้เป็น system และสร้าง shortcut” อันนี้ผมตั้งเองครับ แต่หลายๆ ที่มีชื่อที่แตกกันครับทั้ง VBS Worm,VBSRunauto,VBS/Yuyun A หรือ malware DR/Agent.JP.4, TOEUW.EXE Virus/Malware
อาการของมัน ไวรัสตัวนี้ติดง่าย ๆ มาก เพียงแค่ท่านเอา Flash Drive ไปเสียเครื่องที่ติดไวรัสอยู่แล้ว และเมื่อท่านเปิด Flash Drive ก็จะติดทันที โดยอาการที่ติดจะเป็นแบบนี้ครับ
แสดงถึง shortcut ไปรันไฟล์ไวรัสพอ เราคลิกรันไปแล้ว ไวรัสก็จะทำงาน ถ้าเครื่องที่มี anti virus ก็ pop up ขึ้นมาเตือนแน่นอนครับ ส่วนเครื่องที่ไม่มีหรือมีแต่ไม่ update ก็ติดแน่ๆครับ
วิธีแก้เบื้องต้นก่อนนะครับ สำหรับ flash drive ที่โดนมาจากที่อื่นคือ folder ถูกซ่อนไว้หาไม่เจอ เอากลับมาไม่ได้นะครับ แต่คอมพิวเตอร์ไม่ได้ติดไวรัสตัวนี้ไปด้วย
1. การกู้คืนข้อมูลทาได้โดยการกาหนดให้ Windows ยกเลิกการซ่อนไฟล์ตามค่า Defaults โดยเริ่ม
จากการเปิด Windows Explore แล้วคลิกเม้าซ้ายที่เมนู Organize แล้วเลือก Folder and search Options ตามรูปที่
2. Windows จะแสดงหน้าต่าง Folder Options ตามรูปด้านล่าง
ให้คลิกเม้าที่ Tab View ในช่อง
Advanced settings หัวข้อ Hidden files and folders ให้กำหนดค่าดังนี้
- เลือก Show hidden files and folders
- คลิกเม้าซ้ายในช่องสี่เหลี่ยมด้านหน้า Hide extensions for known file types เพื่อเอา
เครื่องหมาย “ ถูก “ ออก
- คลิกเม้าซ้ายในช่องสี่เหลี่ยมด้านหน้า Hide Protected operating system files
(Recommended) เพื่อเอาเครื่องหมาย “ ถูก “ ออก
3. หลังจากเสียบ flashdrive แล้วไปที่ Start-> เลือก Run แล้วพิมพ์ว่า cmd
จะได้หน้าต่างสีดำๆขึ้นมาเรียกว่า command prompt ดังในรูป
4. หลังจากนั้นไปสำรวจว่า Flash drive เราอยู่ drive ไหน ของผมอยู่ใน Drive H นะครับ ได้แล้วให้พิมพ์ drive นั้น ลงไปเลยเช่น H: แล้วแต่เครื่องนะครับ พอพิมพ์ชื่อ driveตามด้วย : ลงไปแล้วกด Enter จะขึ้นแบบนี้ครับ H:\>
แล้ว ให้พิมพ์คำสั่งตามนี้ครับ dir แล้ว enter จะได้ผลตามรูปด้านบนนะครับ คือคำสั่ง dir ย่อมาจาก directory หมายถึง แสดง file และ folder อยู่อยู่ใน drive H ส่วนรูปล่าง คำสั่ง dir /ah ก็คล้่ายๆกันแต่ต่างกันตรงมี /ah เพิ่มขึ้นมาโดยหมายถึง ให้แสดงเฉพาะ file และ folder ที่ถูกซ่อนอยู่ (hidden) ซึ่งทีนี้เราก็จะเห็นแล้วว่า folder เก็บงานเราไม่ได้หายไำปไหน ยังอยู่ครบเพียงแต่ถูกซ่อนไว้ และ ทำให้สถานะเป็น system file ต่อไปเป็นการทำให้กลับมา
โดยพิมพ์ต่อใน command prompt เลย ให้พิมพ์ว่า attrib -s -h -r /s /d ดังในรูป ขอ อธิบายความหมายของคำสั่งก่อนนครับ attrib นั้นมาจากคำว่า Attribute แปลว่าคุณลักษณะ เป็นคำสั่งจัดการกับลักษณะหรือประเภทไฟล์ต่อมา -s -h -r เป็นการระบุประเภทของไฟล์ นั้นๆ โดย R(Read-Only) H(Hidden File) S(System File) ส่วน /s /d หมายถึงทุก file และ ทุกๆ folder รวมถึง sub folder คือ folder ย่อยๆนั้นเอง พอทราบความหมายแล้วมาดูผลการทำงานกัน พิมพ์ attrib -s -h -r /s /d แล้ว Enter ได้เลยครับหลังจาก enter จะมีการทำงานแว็บหนึ่ง มาดูผลการทำงานกันโดยใช้คำสั่งเดิม คือ dir /ah ผลที่ได้คือไม่มี file หรือ folder ที่ถูก ซ่อนไว้เลยดังในภาพคราวนี้ไปดูใน Flash drive กันว่าเป็นยังไงบ้าง ผลที่ได้ึืคือได้ folder ต่างๆกลับมารวมทั้งเจอ ไฟล์เจ้าปัญหา คือไฟล์ไวรัส ดังในรูป
ต่อไปก็ลบไฟล์ที่เป็น shortcut ไฟล์ไวรัส รวมถึง autorun.inf ทิ้่งให้หมด แค่นี้ก็หมดปัญหาครับ
สรุปง่ายๆ สำหรับ flash drive ที่เกิดปัญหา Folder ถูกซ่อนแล้วสร้าง shortcut ปลอมขึ้นมา ดังนี้
1. สั่งให้ Windows แสดงไฟล์ที่ถุกซ่อนโดยไวรัส
2. เสียบ flash drive แล้วดูว่าอยู่ drive ไหน
3. ไปที่ start->run พิมพ์ cmd
4. พิมพ์คำสั่งใน cmd เป็นชื่อ drive ของ flash drive เราเช่น E: หรือ F: แล้ว enter ทั้งนี้ขึ้นอยู่กับ drive ของเรา
5. พิมพ์ attrib -s -h -r /s /d แล้ว กด enter
6. ไปลบไฟล์ shortcut ไฟล์ ไวรัสที่เป็น exe ที่เราไม่รู้จัก รวมทั้ง autorun.inf ก็เรียบร้อย
7. แล้วก็อย่าลืม สั่งให้ Windows แสดงไฟล์ที่ให้เหมือนเดิมไปที่เมนู Organize แล้วเลือก Folder and search Options โดยเลือกที่ Restore Defaults ดังภาพ
ที่มา http://www.ichat.in.th/HRTCOMPUTER/topic-readid30271-page1
