วันเสาร์ที่ 30 เมษายน พ.ศ. 2554

แก้ไวรัสซ่อน Folder+สร้างshortcut (FlashDrive และ Harddisk Ex) ผมเรียกมันว่า ” ไวรัสไอ้แมงมุม”

 การแก้ไขในแบบฉบับอาตมาเอง (XP + No antivirus )







 
ผมถือว่ามาเล่าสู่กันฟัง  ใครฆ่าไวรัสได้ ไม่ได้ ผมไม่รับผิดชอบนะ  ผมเพียงแต่พูดคุย/แนะนำเท่านั้น ไวรัส
รัสตัวนี้คาดว่าจะเป็นตัวใหม่ เพราะสามารถหลุดจากการจับของ โปรแกรม พวก USB Guard ต่างๆได้ และ Antivirus หลายตัวไม่เจอ หรือ ไม่จับเอง ต้องมีการ Scan จนเจอถึงจะจับให้  หรือ เครื่องที่ไม่ค่อยอัพเดทไวรัส ฯลฯ
  หลักการทำงานของมัน (ในตัวที่ผมโดน) คือ ซ่อนโฟเดอร์ต่างๆใน FlashDrive ของเรา แล้วสร้าง Shortcut ขึ้นมา ถ้าเราคลิกขวาที่ Shortcut แล้วเลือก Properties >> Find taget จะพบ ตำแหน่งที่ ยาวเหยียด ไปทาง C:/windows/system32….หรือ C:/windows32  หรือแค่ว่างเม้าท์ที่ Shortcut ก็จะแจ้งไปที่  C:/windows/system32 หรือ C:/windows32  ประมาณนี้แหละ(จำผิดจำถูกไม่รู้  รู้แต่ว่า ตัวไวรัสมี 3 ตัว และหนึ่งในนั้น ชื่อ windows32.exe) ก็แสดงว่าท่านผู้อ่านเจอไวรัสตัวที่ผม โดน ตัวเดียวกัน เฮ้อๆ..
สิ่งที่ควรรู้เกี่ยวกับไวรัสตัวนี้
1. ส่วนใหญ่แล้ว ตัวไวรัสจะอยู่ที่ C:\Documents and Settings\Administrator\Application Data (มี3 ตัว จะยังไม่พูดถึง) ขึ้นอยู่กับผู้ใช้งาน windows แต่สามารถเข้าไปดูตำแหน่งที่แน่นอนของมันได้ โดย Start > run  แล้วพิมพ์ msconfig เลือกดูแทป StartUp ดูที่ StartUp item มันจะชื่อ Windows32  แล้วดูตรง Command จะทราบตำแหน่งของไฟล์ที่แน่ชัด
2. มันจะอยู่ใน RECYCLER ของ FlashDrive มีไอคอน เป็นรูป ไอ่แมงมุม (110KB)พร้อมทั้งไฟล์ไวรัส บริวารของมัน อีก 4-6 ไฟล์(ใช่หมด) ถ้ามีโปรแกรม Antivirus ที่อัพเดทตลอดจะสามารถกำจัดได้ง่าย  บางครั้งก็ลบโดยตรงได้ บางครั้งก็ลบไม่ได้(คือลบแล้วก็สร้างใหม่ตลอด)
 





 

เล่าให้ฟังขำๆสำหรับผมที่ไม่ค่อยมีความรู้เท่าไหร่ แต่อยากฆ่าไวรัสตัวนี้มาก เพราะมันกวนทีนสุดๆ ซึ่งมันจะซ่อนโฟเดอร์ของเรา แล้วสร้าง Shortcut มา โดยถ้าเราเปิดมัน จะมี Internet Explore เข้าเวปอะไรไม่รู้  หนำซ้ำ โฟเดอร์ที่มันซ่อน ยังซ่อนในระดับ 2 (ระดับไฟล์ของ system ) แค่นั้นยังไม่พอ มันยังไม่ให้ตู ยกเลิกการ Hide อีก จนต้อง Format  Flashdrive หลายครั้ง (แค้น) ที่ทำบทความนี้ ไม่ใช่แค่บอกวิธีแก้ แต่อยากระบายด้วย หุหุ
การแก้ไข
1.ต้องกำจัดไวรัสในเครื่องให้หมด เพราะถ้ามันไม่ตาย เสียบ Flashdrive ก็จะเป็นเหมือนเดิมอีก แม้ว่าจะ Format Flashdrive ไปแล้ว
2.กำจัดพาหะไวรัสที่อยู่ใน Flashdrive ไม่ให้กลับมาติดเครื่องเราอีก
เริ่มซะที (ตามวิธีของผม คนอื่นไม่เกี่ยว เพราะผมไม่มี Antivirus สักตัวและใช้ winXP)
1. Start > run  แล้วพิมพ์ msconfig เลือกดูแทป StartUp ดูที่ StartUp item มันจะชื่อ Windows32  แล้วดูตรง Command จะทราบตำแหน่งของไฟล์ที่แน่ชัด(จำไว้)  เอาเครื่องหมายถูก ออก ป้องกันมัน run ตอนเข้า windows
สำหรับเครื่องผมคือ C:\Documents and Settings\Administrator\Application Data พอเข้าไปตามนั้นก็จะเจอไฟล์ 2 ไฟล์คือ 1C.tmp และ windows32.exe  ลองลบดูก็ได้ ถ้าลบได้นะ  (แต่มันจะลบไม่ได้ เพราะมัน Run อยู่ (windows32.exe)) *บางครั้งถ้ามันซ่อนอยู่ต้องทำตามขั้นตอนที่3ก่อนถึงจะมองเห็น











2. ให้ restart  เครื่องแล้วกด F8 รัวๆ เพื่อเข้า windows แบบ SafeMode แล้วเข้าไปที่ C:\Documents and Settings\Administrator\Application Data (สำหรับเครื่องผม) จะเจอ ไฟล์ต้องสงสัย 3 ไฟล์  จากที่เห็นตอนแรก 2 ไฟล์  *บางครั้งถ้ามันซ่อนอยู่ต้องทำตามขั้นตอนที่3ก่อนถึงจะมองเห็น
 













ซึ่งผมคาดเดาว่ามันอาจจะเปลี่ยนชื่อไปเป็นอย่างอื่นได้ แต่ที่แน่ๆ ไอ่แมงมุมมันโผล่มาแว้ว (มันมาได้ไงวะ)  ทำการลบทิ้งได้  (ถ้ามี antivirus อาจจะจับแล้ว)
3. ทำการเปลี่ยนโฟเดอที่ซ่อนให้ กลับมามองเห็นดังเดิม   โดยหลายคนไม่รู้ว่า การซ่อนไฟล์ มี 2 ระดับ คือ ระดับทั่วไป และระดับไฟล์ระบบ ซึ่งไวรัสตัวนี้จะซ่อนในระดับไฟล์ระบบ  โดยให้แก้ไขดังนี้  ที่หน้าต่าง Explore ไปที่ Tools > Folder Options ที่แทป View เลือกดังภาพ เลือก Show hidden files and folder..และ เอาเครื่องหมายถูก  ออกหน้า Hide.. ทั้ง 2 อัน ซึ่งอันแรก คือการซ่อนนามสกุลไฟล์ (เปิดไว้เพื่อใช้ในขั้นตอนต่อไป)  และอันที่ 2 คือการยกเลิกการซ่อนแบบไฟล์ระบบ
 


















แต่ถ้าใคร ทำตามนี้แล้ว ยังไม่เห็นโฟเดอร์ที่หายไป  ต้องดาวโหลดตัวนี้ไปช่วยครับ  คลิกที่นี่  แกะzipก่อนแล้ว ดับเบิ้ลคลิกก็เสร็จสิ้น สามารถโชว์ไฟล์ได้ (สาเหตุเพราะบางครั้ง มีไวรัสบางตัวไปทำให้เครื่องไม่สามารถ Show hidden files ได้ ถึงแม้จะไปปรับตามด้านบนแล้ว เพราะไวรัสจะไปแก้ไขค่า registry ของเครื่อง ให้ใช้เครื่องมือที่ให้ไปช่วยครับ)
4. คลิกขวาที่พื้นที่หน้าจอว่างๆ เลือก New >  Text Document  เปิดเข้าไป พิมพ์คำว่า attrib/D /S -S -H *.*
แล้วrename ไฟล์ โดยใช้ ชื่อไรก็ได้.bat  เช่น   ยกเลิกซ่อนไฟล์.bat  เป็นต้น  มันจะถาม ให้เราตอบ yes ก็จะได้  ไอค่อนจะเป็นสีดำๆ  แสดงว่าถูกต้องแล้ว  หรือใครทำไม่เป็น ก็ดาวโหลดที่นี่ ก็ได้
5. นำไฟล์ที่ได้ ไปใส่ไว้ใน Flash Drive ของเราที่โดนไวรัสรับประทานนั้น  แล้ว ดับเบิ้ลคลิก  รอจนกว่าหน้าต่างสีดำๆ จะหายไป  โฟเดอร์ส่วนใหญ่จะโผล่มา แต่จะมีบางไฟล์ บางโฟเดอร์ ไม่โผล่ ซึ่งมันจะแจ้งในหน้าต่างสีดำๆนั้นแหละ  ซึ่งให้สันนิฐานไว้ว่า เป็นไฟล์ระบบที่กำลังทำงานอยู่ หรือ ไฟล์ไวรัสที่ทำงานอยู่ (ส่วนใหญ่คือไวรัส) โดยมีวิธีแก้ง่ายๆ 2 แบบที่จะแนะนำคือ 1) ไม่ต้องทำอะไรกะมัน แต่ก๊อปปี้ไฟล์และโฟเดอร์เก็บไว้ในเครื่องเราก่อนให้หมด  แล้ว Format FlashDrive ซะเลย  ไวรัสเดี๊ยงแน่นอน   หรือ 2) เอา Flash Drive ไปแสกนไวรัสในเครื่องที่มี Antivirus ที่ดีๆ  ที่อัพเดทล่าสุด  และที่สำคัญสามารถฆ่ามันได้
6.ทดลองกลับไปกลับมา ให้แน่ใจว่า ไวรัสในแฮนดี้ หรือ เครื่องไม่มีแล้ว เพราะมันจะติดกลับไปกลับมาได้ ถ้าไม่ฆ่าทั้ง 2 แหล่ง

การป้องกันที่ดีที่สุดสำหรับไวรัสประเภทนี้(ซึ่งต่อไปคงจะเจอแนวนี้อีกเยอะอยู่นะ)
1. ปิดการ Autorun ของ Flash drive (หาได้ตาม Google ทั่วไป) เพราะถ้ามันอยู่ FlashDrive ของเรา แค่เสียบในเครื่อง พอมันrun โชว์ ขึ้นมาก็ติดทันที และพวก usb guard ก็ช่วยไม่ได้ซะด้วย
2. หา Antivirus ดีๆ อัพเดทสม่ำเสมอ มาใส่เครื่อง
3. อันดับสุดท้าย สิ่งที่ต้องทำคือ แสกนไวรัส Flash drive ทุกครั้ง โดยเฉพาะ โฟเดอร์ RECYCLER (สามารถหาเจอ ถ้าเข้าไปเปิด Show ใน Folder option)
*สำหรับการฆ่าไวรัส ใน Harddisk EX *
ต้องใช้ Antivirus ที่อัพเดทล่าสุดและสามารถฆ่าได้ ผมทดลองแล้ว Bitdefender ฆ่าได้  ตัวอื่นๆไม่มีให้ลองคับ หาดูเอาเองคับ  วิธีเร็วที่สุดก็คือ Show Hidden files ก่อนแล้ว คลิกขวาที่ RECYCLER  แล้วเลือกให้ Scan virus เลย  เพราะถ้าแสกนทั้งหมด คงนานมาก ( HDD นะ ไม่ใช่ FlashDrive)

ไวรัสแอบแฝงที่เจออีกตัว มันชื่อว่า jwgkvsq.vmx ซึ่งไม่รู้ว่ามันมีความเกี่ยวข้องยังไงกับไวรัสตัวนี้  แต่ที่แน่ๆ มันสร้าง Autorun.inf  บวกกับทำให้ไม่สามารถ โชว์ ไฟล์ที่ซ่อนได้  แต่ Antivirus ส่วนใหญ่น่าจะฆ่าได้  (*แต่ถ้าไม่มี Antivirus จะลบไม่ได้เลย  เดาว่าเป็นอีกตัวหนึ่ง)







สุดท้ายนี้ คาดว่าผู้ที่เจอปัญหาเดียวกับผมน่าจะแก้ไขได้(แต่ไวรัสอยู่ในเครื่องอีกหรือไม่ ผมไม่รู้นะ)  แต่ก็คิดว่าไวรัสแบบนี้น่าจะมีหลายสายพันธุ์ และมีการพัฒนาอยู่ ซึ่งในอนาคตอันใกล้นี้ อาจจะไม่สามารถฆ่าไวรัสได้ด้วยวิธีด้านบน(เด๊ะๆ) แต่สามารถนำวิธีการไปประยุกต์ใช้เพื่อฆ่าไวรัสตัวนี้(ที่กลายพันธุ์) หรือตัวอื่นๆ ได้ในระดับหนึ่งครับ และสำหรับแนวทางกว้างๆ หลักการกำจัดไวรัส Shortcut และไวรัสตัวอื่นๆแนวนี้ ลองเข้าไปอ่านต่อดูนะครับ

**บทความนี้ไม่รับประกันความสำเร็จ แต่เป็นอีกทางหนึ่งที่ให้ทุกท่านได้ ลองดูคับ **
จาก  Jchay  Webmaster   (http://sasukrongkwang.com  และ http://rkphc.ronghosp.org

1 ความคิดเห็น:

ไม่ระบุชื่อ กล่าวว่า...

ขอบคุณค่ะ :D