วิธีกำจัดไวรัส Autorun.inf ภาคใหม่ ... Resycled\boot.com

-
บทความชิ้นนี้ ผมเองก็รอคอยมานาน กว่าจะได้ประสพพบรัก เอ๊ย ได้เจอมันอีกทีก็เป็นปีเลยแหละครับพี่น้อง ... เมื่อผมกับมันได้มาพบกันแล้ว ด้วยอารมณ์ของศิลปิน จึงค่อยๆใจเย็นๆเนิบนาบ เก็บภาพมันไว้เป็นที่ระลึก เพื่อที่จะได้นำมาบรรยายให้กับทุกท่านๆได้รับชมกัน และ เพื่อชี้ให้เห็นกันอย่างถ่องแท้ แม้ว่าเราจะมีซอฟท์แวร์ที่คอยกำจัดไวรัสออกไปก็มากมาย แต่เราเชื่อว่า (เล่นตามโคตรโฆษณาทั้งหลาย ... มักอ้างแต่คำๆนี้กันจัง) กว่าจะมี Update ให้กำจัดผลพวงที่ไวรัสรุ่นใหม่ๆทำไว้ออกไปได้หมดจดจริงๆ ก็ต้อง (มีใครหลายคน) ฟอร์แมตฮาร์ดดิสต์ทิ้งไปหลายรอบแล้ว ... 55555+ ...
    ดังนั้นบทความจะมีใช้งานหลักๆ 3 ส่วน ดังนี้คือ
  1. โปรแกรม Kaspersky Inetrnet Security 7.0 (รุ่นไม่หมดอายุ ... อิอิอิอิอิ)
  2. โปรแกรม Spyware Doctor 5.1.0.272 (ใช้ V6 ไม่ได้ ไม่รับภาษาไทย Update ไม่ได้ ใช้งานก็ไม่ได้ มันค้นหาแต่ Engine)
  3. คำสั่ง DOS ... หรือ การสั่งงานแบบอัตโนมือ
พี่น้องครับ ... บทความนี้ผมเองก็พยายามที่จะถ่ายทอดให้เห็นถึงแนวทางหลักๆ ในการไล่ล่าตามราวี Autorun.inf ให้เบ็ดเสร็จเด็ดขาด และ แม้ว่ามันจะออกรุ่นใหม่ๆมาก็ตาม เราก็ยังคงใช้หลักการเดิมๆ บ้านๆ แบบนี้นำไปใช้ประโยชน์ได้น่ะครับผม
อนึ่ง ...มีพี่น้องหลายท่านบอกว่า Spyware Doctor มันกินทรัพยากรเพียบมากไป ทำให้เครื่องช้าลงมาก ... ขอแนะนำดังนี้คือ ปิดการใช้งาน (Shut down) โปรแกรม Spyware เอาไว้ก่อน สัก 2 - 3 วัน หรือ เมื่อไม่แน่ใจก็ค่อย Start ขึ้นมาใช้งานใหม่ เมื่อใช้งานเรียบร้อยแล้วก็ปิดการใช้งานลงไปก่อนครับ ที่เหลือก็ให้ Kaspersky ทำหน้าที่ไปพลางๆก่อน
เริ่มต้นการแกะรอย ...
  1. การตรวจจับของ Kaspersky Internet Security 7.0 เจอ Worm.Win32.Autorun.nuu และแน่นอนว่า Autorun.inf มันได้กระจายไปตาม Drive ต่างๆเป็นที่เรียบร้อยแล้ว
  2. แจ้งเตือนว่าพบแล้วน่ะ แต่ยังคงฝังไว้ในเครื่อง (still infected) อย่างนั้นแหละ ... จนกว่าจะสั่ง Restart เครื่อง
  1. ตรวจจับ และ แยกแยะไวรัสที่พบเจอ ... ซึ่งเราจะใช้ข้อมูลเหล่านี้เป็นตัวนำทางไปกำจัดมันนั่นแหละครับ ... พี่น้อง
    • โปรดสังเกตว่าหมายเลข 1 จะมีโฟลเดอร์ (หรือ Directory) ที่ชื่อว่า resycled ซึ่งมันลอกเลียนชื่อโฟลเดอร์ของ MS Windows ที่ชื่อว่า recycled
    • ส่วน Trojan.Win32.Small.yon ... KIS มันจะโซ้ย (Solve ... 55555+) อัตโนมัติต่อแทนเราเองเลยครับ
  1. ลองไปที่ My Computer ... คลิ๊กเมาส์ขวา ก็จะเห็นได้ชัดเจนเลยว่ามี Autoplay ขึ้นมา นี่แหละรู้ไว้เลยว่าโดน Autorun.inf ทำพิษเกาะ Drive ทุกตัวหมดแล้วล่ะครับ ... พี่น้อง
  1. ผลจากการติดไวรัสที่สร้าง Autorun.inf ขึ้นมา ... คุณก็ไม่สามารถเปิดโฟลเดอร์ได้ตามปกติ
  2. เกิดการสร้างไฟล์ชั่วคราว (Temporary) ... แหมแต่มันเล่นติดหนึบในเครื่องตลอดเวลาเลยแหละครับ ไปลบออก มันก็สร้างขึ้นมาใหม่
  1. สิ่งหนึ่งที่ผมสังเกตเห็นได้อีกอย่างว่า โปรแกรม KIS ไม่สามารถ Update ได้ตามปกติ ... ทีแรกก็คิดว่ามีปัญหาที่ Server ของ Kaspersky เอง ... แต่เพื่อความแน่ใจ ดังนั้นผมก็เลยลองใช้เครื่องคอมฯอีกตัวที่ไม่ติดไวรัสลอง Update ดู ... ปรากฏว่าเครื่องสามารถ Update ได้ตามปกติ
  1. นั่นแสดงว่าเกิดปัญหาขึ้นกับ ระบบ Network ของเราเองเป็นแน่แท้ ... ผมก็เลยคลิ๊กดู Detail ของการ์ดแลน ... แหง่มๆๆๆๆ ... แม่นอีหลีเด้อ มันถูกกำหนด DNS ใหม่ให้ชี้ไปที่ IP 85.255.112.213 ... ฮึ่มๆๆๆๆ ไอ้ฟักฝรั่ง มังคุด ละมุด ลำใย จริงๆ มันวิ่งไปที่ยูเครน (อันนี้นึกได้เลยทันทีว่าเมื่อคืนไปท่องเว็บภาษารัสเซีย ... เพื่อจะหาโปรแกรม MyBusiness Catalog) ... ก็เลยลองแก้ไขค่า DNS แต่ก็ไม่หายหรอกครับ (ตามคาดแหละ)
    DNS - Domain Name System เป็นบริการอินเทอร์เน็ตที่ทำหน้าที่แปลงชื่อคอมพิวเตอร์ให้เป็น IP Address เพราะชื่อของคอมพิวเตอร์มันเป็นตัวอักษรที่ง่ายต่อการจดจำ เช่น www.g2gnet.com แต่ระบบคอมพิวเตอร์จะใช้ และ เข้าใจเฉพาะหมายเลข IP Address เช่น 222.123.123.111
  1. ลองแก้ให้ DNS ชี้ไปที่โมเด็ม 192.168.0.1 ... มันไม่หายหรอกครับ นอกจากเราเข้าไปแก้ไขใน RegEdit.exe ... แต่ไม่เป็นไรหรอกครับปล่อยไว้ก่อนก็ได้ ...
  1. การหยุดระบบเครือข่ายมี 2 ทางง่ายๆครับ คือ อันแรกก็ถอดสาย LAN ออกจากเครื่องไปก่อน หรือ คลิ๊กเมาส์ขวาที่ไอคอน Lan Card ที่ใช้งาน และ Disable (หรือ ปิดการทำงานของเน็ตเวิร์คเอาไว้ก่อน)
  1. ลองทดสอบการกดปุ่ม Ctrl+Alt+Del (พิชิตมาร) ... เพื่อเรียก Task Manager มาใช้งาน แต่หากเครื่องไม่สามารถใช้งาน Task Manager ได้ ลองเข้าไปอ่านและดาวน์โหลดโปรแกรมมาเปิดบริการได้ที่นี่ ... จากภาพด้านล่างจะเห็นได้ว่ามันเพี้ยนไปหมดเลยครับ ชื่อเจ้าของ Process (User Name) ก็หายเรียบ ... ที่เรียก Task Manager มาดูนี่ก็เผื่อไว้หา Process หรือ Job หรือ งานที่มันประหลาดๆโผล่ขึ้นมา จะได้จัดการ End Process ให้เรียบก่อน
เริ่มต้นกระบวนการแก้ปัญหา
ขณะนี้ผมได้เปิดโปรแกรม Kaspersky Internet Security และ Spyware Doctor ขึ้นมาทำงานพร้อมกันแล้วน่ะครับ
  1. ลอง Start --> Run --> พิมพ์คำว่า msconfig ... เพื่อลองตรวจสอบดูว่ามีโปรแกรมประหลาดๆตัวไหนบ้างที่โผล่ขึ้นมา ... ... จากภาพด้านล่างจะเจอไฟล์ตัวหนึ่งชื่อว่า kdetb.exe ให้คลิ๊กเครื่องหมายถูกออกไป แล้วก็ OK ... สั่ง Restart ขึ้นมาใหม่ก่อนจะเป็นการดีที่สุด ... แต่สำหรับผม ผมเดินหน้าลุยต่อไปเลยครับ ... แหะๆๆๆๆ
  1. เมื่อเจอ Autorun.inf อยู่ที่ Drive C ... Drive อื่นๆก็ไม่ต้องสแกนหาแล้วครับ ... เพราะมันติดกันไปทั่วหมดทุกๆ Drive แล้ว
  1. ก็ทำตามสูตรเดิมแหละครับ
    เมนู Start --> Run --> พิมพ์คำว่า cmd
    attrib -s -h -r autorun.inf
    del autorun.inf
    และต้องทำทุกๆ Drive ที่มีอยู่ทันทีเลย     (ไม่ต้องไปรอการสแกนหาหรอกครับ ... ดังภาพที่เห็นๆนั่นแหละ)
autorun.inf เวอร์ชั่นใหม่ ... มันฝังโฟลเดอร์ (หรือ Directory) มาเลยครับ ในนามของ resycled ภายในมีไฟล์ๆหนึ่งชื่อว่า boot.com
  1. ข้อมูลประกอบเพื่อแสดงให้เห็นถึงกระบวนการตามล่าหาความจริง ...
  1. การลบโฟลเดอร์ออกแบบยกพวง เราใช้คำสั่งดั้งเดิมของ DOS ครับ นั่นคือ RD หรือ Remove Directory แต่ก่อนที่จะสั่งลบยกพวงออกไปได้ โฟลเดอร์นี้มันถูกซ่อนเอาไว้ ดังนั้นก็ใช้สไตล์บ้านๆเหมือนเคย ด้วยคำสั่ง attrib (ย่อมาจาก Attribute)
    • attrib -s -h -r resycled
    • rd /s resycled หรือ rd /s /q resycled
      • /s คือ สั่งให้ลบยกพวง ลบแหลกทุกไฟล์ ทุกโฟลเดอร์ ที่อยู่ข้างในชื่อโฟลเดอร์ที่เราระบุ
      • /q สั่งลบแหลกทันที ไม่ต้องมาถามยืนยันการลบอะไรทั้งสิ้น (รำคาญ ... 55555+)
  1. สั่งแบบ rd /s /q resycled ไม่ต้องการคำยืนยันในการลบ
  1. KIS ก็ทำงานของมันไป เมื่อเจอมันก็จัดการลบออกให้ไปเลย ดังภาพข้างล่างที่มันเจอ Trojan.Win32.Small.yon
  1. ระหว่างที่ KIS ทำการสแกนและตรวจพบไวรัสก็จะแจ้งข้อมูลให้ทราบ
  1. ส่งข้อความมาแจ้งว่า ... ไอ้หนอนน้อยเอ๊ย แกตายเสียเหอะ ... เอิ๊กๆๆๆๆ
  1. สำหรับ Spyware Doctor มันตรวจจับลงลึกถึงระบบลงทะเบียน (Registry) กรณีนี้มันจัดการเรื่องของค่า DNS ให้เรียบร้อยเสร็จสรรพแล้วครับ ... พี่น้อง ... สุดยอดสำหรับ 2 ประสาน
  1. อันนี้เพื่อความแน่ใจเฉยๆครับ ไม่ต้องทำก็ได้ เพราะไฟล์ kdetb.exe ถูกสอยร่วงไปก่อนหน้านี้แล้ว ... แหง่มๆๆๆๆ
ท้ายสุด ... รีสตาร์ทเครื่องขึ้นใหม่ครับ ... ก็จบกระบวนการขั้นตอนในการสอย Autorun.inf

โพสต์ยอดนิยมจากบล็อกนี้

I miss you all กับ I miss all of you ต่างกันอย่างไร

-
สวัสดีค่ะคุณแอนดรูว์ หนูอยากทราบความแตกต่างระหว่าง I miss you all. กับ I miss all of you. ขอบคุณที่ตอบด้วยค่ะ จาก Kittiorns ดีใจ จังที่คุณ Kittiorns ได้เติม s ลงท้ายชื่อเพราะเรื่องที่คุณถาม เป็นเรื่องเกี่ยวกับคำพหูพจน์ เราคงทราบดีแล้วว่าภาษาอังกฤษมีคำว่า you ในความหมายว่า คุณ ไม่ว่าคุณคนเดียวหรือพวกคุณที่นับเป็นพันคน ใช้ you ในทุกกรณี ไม่มี yous ในภาษาอังกฤษ (ยก เว้นประเทศออสเตรเลียซึ่งมีบางคนที่ใช้คำว่า youse ในความหมายว่า คุณทั้งหลาย แต่ถือว่าผิดอย่างมหันต์ ห้ามเลียนแบบโดยเด็ดขาด … ฟังแล้วน่าเกลียดมาก) แต่ในบางกรณีเราอยากจะระบุว่า มีมากกว่าหนึ่งคนที่พูดถึงก็เลยใช้ you all แทน you ในความหมายว่า คุณทั้งหลาย เช่น I miss you all. (ผมคิดถึงพวกคุณทั้งหลาย) หรือ I love you all! (ผมรักคุณทุกคน) เรา มีอีกวิธีหนึ่งที่จะพูดหรือเขียนว่า you all คือ all of you เช่น I miss all of you. หรือ I love all of you! ซึ่งความหมายไม่เปลี่ยนไป นี่คือเสน่ห์ของภาษาอังกฤษครับ เราสามารถพูดประโยคหนึ่งได้หลายวิธี สนุกมากคุณว่าไหม
bannk

ปัญหาและเฉลยวิชาธรรม นักธรรมชั้นตรี สอบในสนามหลวง วันอังคาร ที่ ๒๙ กันยายน พ.ศ.๒๕๕๒

-
๑ .      บุพพการีและกตัญญูกตเวที ได้แก่บุคคลเช่นไร ? จงยกตัวอย่างมาสัก ๒ คู่ ๑ .       บุพพการี   ได้แก่บุคคลผู้ทำอุปการะก่อน กตัญญูกตเวที   ได้แก่บุคคลผู้รู้อุปการะที่ท่านทำแล้ว   และตอบแทน ( ตอบเพียง ๒ คู่ ) คู่ที่ ๑    มารดาบิดากับบุตรธิดา คู่ที่ ๒   ครูอาจารย์กับศิษย์ คู่ที่ ๓    พระราชากับราษฎร คู่ที่ ๔    พระพุทธเจ้ากับพุทธบริษัท ฯ ๒ .      อาการที่พระพุทธเจ้าทรงสั่งสอนมีกี่อย่าง ?    ข้อที่ว่า “ ทรงสั่งสอนเป็นอัศจรรย์ ” นั้นคืออย่างไร ? ๒ .       มี ๓ อย่าง ฯ คือ ผู้ปฏิบัติตามย่อมได้ประโยชน์โดยสมควรแก่ความปฏิบัติ ฯ ๓ .      มูลเหตุที่ทำให้บุคคลทำความชั่ว เรียกว่าอะไร ?   มีอะไรบ้าง ?            เมื่อเกิดขึ้นแล้วควรปฏิบัติอย่างไร ? ๓ .       เรียกว่า อกุศลมูล ฯ           มี      ๑ . โลภะ อยากได้                  ๒ . โทสะ คิดประทุษร้ายเขา                  ๓ . โมหะ หลงไม่รู้จริง ฯ           เมื่อเกิดขึ้นแล้วควรละเสีย   ด้วยทาน ศีล ภาวนา ฯ ๔ .      ปัญญาอันเห็นชอบอย่างไร จึงชื่อว่ามรรคในอริยสัจ ๔ ? เพราะเหตุไร ? ๔ .       ปัญญาอันเห็นชอบว่าสิ่งนี้ทุกข์   สิ่งนี้เหตุให้ทุกข์เกิด  
bannk

ปัญหาและเฉลยวิชาอนุพุทธประวัติ นักธรรมชั้นโท สอบในสนามหลวง วันอาทิตย์ ที่ ๒๐ พฤศจิกายน พ.ศ. ๒๕๔๘

-
   ๑ .   ประวัติอนุพุทธบุคคลมีความสำคัญต่อผู้ศึกษาอย่างไร ?   ๑ .   ทำให้ผู้ศึกษาได้รับความรู้ในจริยาวัตรและคุณความดีที่ท่านได้บำเพ็ญมา ตลอด        จนถึงผลงานในการช่วยเผยแผ่พระพุทธศาสนาอันทำให้เจริญสืบมาถึงทุกวันนี้        นำให้เกิดความเลื่อมใสและความนับถือ เป็นทิฏฐานุคติอันดี สามารถน้อมนำมา        ปฏิบัติตามได้ ฯ ๒ .   คำที่มีอยู่ในธัมมจักกัปปวัตตนสูตรต่อไปนี้ ได้แก่อะไร ?            ก. ส่วนสุด ๒ อย่าง            ข. มัชฌิมาปฏิปทา   ๒.        ก. ส่วนสุด ๒ อย่าง คือ                 ๑. กามสุขัลลิกานุโยค ความหมกมุ่นอยู่ในกาม                 ๒. อัตตกิลมถานุโยค ความทำตนให้ลำบาก            ข. มัชฌิมาปฏิปทา ได้แก่ข้อปฏิบัติสายกลาง   คือ มรรคมีองค์ ๘ ฯ   ๓.   ความเป็นผู้สำรวมกิริยาอาการให้เรียบร้อยดีงามสมความเป็นสมณะ เป็นการ        เผยแผ่พระพุทธศาสนาได้ทางหนึ่ง ในข้อนี้มีปฏิปทาของพระสาวกองค์ใดเป็น        ตัวอย่าง ?   จงเล่าประวัติโดยสังเขปมาประกอบ   ๓.   พระอรหันตสาวกทุกรูปล้วนเป็นผู้สำรวมกิริยาอาการเรียบร้อยดีงามทั้งสิ้น แต่ที่        ได้รับยกย่องเป็นพิเศษคือพระอัสสชิเถระ ท่านมีกิริยาอ
bannk