ชื่อไวรัส : Win32/RJump.A
ไฟล์ : AdobeR.exe
อาการที่พบ
: เมื่อเราต้องการใช้งาน Handy Drive ผ่านทาง My Computer
โดยใช้วิธีดับเบิ้ลคลิ้ก วินโดวส์จะฟ้องว่า ไม่สามารถเข้าใช้งานได้
ซึ่งตรงนี้ หลายๆท่านอาจคิดว่า Handy Drive เสียไปแล้ว
แต่จริงๆแล้ว เรายังสามารถเข้าใช้งานได้โดยการคลิ้กขวา
แล้วเลือกเมนู Explore หรือ Open แต่ตัวไวรัสนั้นยังคงอยู่ใน
Handy Drive ของเราครับ

วิธีการตรวจสอบ :
(ระบบที่ใช้ตรวจสอบเป็น Windows XP ไม่แน่ใจว่าวินโดวส์อื่นจะเป็นแบบนี้รึเปล่านะครับ)
1. เสียบ Handy Drive
2. เปิด My Computer
3. คลิ้กขวาที่ไดรฟ์ของ Handy Drive จะปรากฏเมนูขึ้น ถ้าเห็นเมนูว่า Auto หรือ Autoplay
ตัวเข้มแสดงว่า Handy Drive ของคุณน่าจะติดไวรัสตัวนี้เข้าให้แล้ว

ข้อควรระวัง:
การดับเบิ้ลคลิ้กที่ Handy Drive อาจทำให้ตัวไวรัสแพร่เข้าสู่เครื่องคอมพิวเตอร์ของคุณ
ซึ่งจะทำให้เครื่องคอมพิวเตอร์ที่ติดไวรัสตัวนี้เป็นพาหะแพร่ไวรัสต่อไปยัง Handy Drive ตัวอื่นๆได้
และบางกระแสข่าวยังบอกว่า อาจทำให้ระบบวินโดวส์รวน ทำให้ต้องติดตั้งวินโดวส์ใหม่เลยทีเดียว
แต่ก็ยังไม่ได้ยืนยันแน่ชัด เนื่องจากว่า เครื่องคอมพิวเตอร์ที่บ้านผมตัววินโดวส์ยังไม่ได้รวนถึงขั้นนั้น
แต่ก็ต้องเฝ้าระวังเอาไว้ และต้องติดตามข่าวต่อไป

วิธีการแก้ไขเมื่อติดไวรัส
ขอแบ่งเป็น 2 กรณีคือ 1. แก้ไขที่ Handy Drive และ 2. แก้ไขที่เครื่องคอมพิวเตอร์
แก้ไขที่ Handy Drive
0. เสียบ Handy Drive เข้าที่เครื่องคอมพิวเตอร์ของคุณ หากมี Autorun หรือ Autoplay
ขึ้นมา ให้กด Cancel ทั้งหมด
1. ใช้โปรแกรมสแกนไวรัสที่ได้ทำการอัพเดทฐานข้อมูลแล้วทำการสแกน Handy Drive
หากพบไวรัสตัวนี้ให้ทำการ delete ทันที โดยจะพบว่าไฟล์ที่ติดไวรัสคือ AdobeR.exe
2. เปิด My Computer แล้วคลิ้กขวาที่ไดรฟ์ของ Handy Drive แล้วเลือกเมนู Open หรือ
Explore เพื่อเข้าไปดูข้อมูลภายใน Handy Drive
3. ให้เลือกเมนู Tools > Folder Options... ที่อยู่ในแถบเมนูหลัก (แถวเดียวกับเมนู File)
จะมีหน้าต่างเล็กๆโผล่ขึ้นมาชื่อว่า Folder Options
4. ในหน้าต่าง Folder Options จะมีแถบให้เลือกอยู่หลายอัน ให้เลือก View
5. ที่ Advanced settings: ที่หัวข้อ Hidden files and folders มีตัวเลือกย่อยสองตัว
ให้เลือก Show hidden files and folders และใกล้ๆกันที่ Hide protected operating
system files (Recommended) ให้เอาเครื่องหมายถูกในกล่องสี่เหลี่ยมข้างหน้าออก
แล้วคลิ้กปุ่ม OK
6. สังเกตไฟล์ใน Handy Drive ของเรา ให้หาไฟล์ที่มีชื่อดังนี้แล้วลบออกไป (กดปุ่ม Shift+Delete)
- autorun.inf
- adober.exe
- msvcr71.dll
- ravmonlog (อันนี้ไม่มีนามสกุล)
7. ลองถอด Handy Drive ออกโดยใช้ Safely Remove แล้วเสียบเข้าไปในเครื่องใหม่อีกครั้ง
ลองตรวจสอบโดยการคลิ้กขวาที่ไดรฟ์ของ Handy Drive อีกครั้ง หากไม่พบเมนูดังที่กล่าวไว้ข้างต้น
แสดงว่า Handy Drive ของคุณน่าจะปลอดไวรัสแล้ว
8. ให้ใช้ตัวสแกนไวรัสสแกน Handy Drive ของคุณเพื่อยืนยันอีกครั้ง เป็นอันเสร็จพิธี

แก้ไขที่เครื่องคอมพิวเตอร์
ต้องเป็นผู้ใช้งานระดับสูงขึ้นมาอีกนิดนะครับ เนื่องจากต้องเข้าไปยุ่งเกี่ยวกับระบบ Registry ของวินโดวส์
หากเป็นผู้ใช้งานระดับปกติ ขอแนะนำให้ตามผู้เชี่ยวชาญให้มาดำเนินการให้นะครับ

1. เข้าสู่โปรแกรม Registry Edit โดยการเลือกเมนู Start > Run... จะปรากฏหน้าต่างเล็กๆขึ้นมา
ให้พิมพ์คำว่า regedit ลงไป แล้วกดปุ่ม Enter จะปรากฏโปรแกรมขึ้นมา
2. คลิ้กที่ My Computer (ในโปรแกรม regedit) แล้วจึงกดปุ่ม Ctrl+F ที่คีย์บอร์ด
หรือเลือกเมนู Edit > Find... ที่เมนูด้านบนของโปรแกรม จะปรากฏหน้าต่าง Find
3. พิมพ์คำว่า adober.exe แล้วกดปุ่ม Enter ให้มันค้นหา ถ้าพบที่ใดให้ทำการลบทันที
โดยกดปุ่ม Delete ที่คีย์บอร์ด หรือคลิ้กขวาที่ข้อความที่พบแล้วเลือกเมนู Delete แล้วจึง
กดปุ่ม F3 เพื่อทำการค้นหาต่อไป
4. ดำเนินการตามข้อ 3 ไปเรื่อยๆ จนไม่พบข้อความ adober.exe
5. จากข้อ 2 และ 3 ให้ทำการค้นหาอีกคำครับ คำว่า ravmonlog อีกคำหนึ่ง
และให้ทำการลบเช่นกันครับ
6. ปิดโปรแกรม regedit แล้วเลือกที่เมนู Start > Search > For Files or Folders...
แล้วค้นหาไฟล์ autorun.inf, adober.exe, msvcr71.dll, ravmonlog โดยให้ค้นหาจาก
ทุกไดรฟ์ที่เรามีนะครับ หากพบว่ามีอยู่พร้อมๆกัน หรือ ไฟล์ที่ 1, 2, 3 พร้อมๆกันในโฟลเดอร์เดียวกัน
ก็ขอให้สงสัยไว้ก่อนนะครับ ว่าเป็นไฟล์ไวรัส ก็ขอให้ถามผู้รู้ก่อนทำการลบนะครับ แต่หากพบเดี่ยวๆ
อยู่ในบางโฟลเดอร์ นั่นอาจจะไม่ใช่ไฟล์ไวรัสก็ได้นะครับ อาจจะเป็นไฟล์ของวินโดวส์หรือโปรแกรม
ไม่ควรลบเด็ดขาดครับ
7. บูทเครื่องใหม่อีกครั้ง แล้วเปิดโปรแกรม regedit อีกหน แล้วให้ทำการค้นหาคำทั้งสองคำอีกที
หากไม่พบ แสดงว่าเครื่องของท่านน่าจะปลอดการติดเชื้อไปแล้ว แต่...
8. ให้ลองเสียบ Handy Drive ที่เราได้ลบไวรัสไปแล้วลงไปอีกทีเพื่อทดสอบ
หากพบว่ามีไวรัสอยู่ ก็แสดงว่าเครื่องของท่านนั้นยังไม่หมดเชื้อครับ