วิธีกำจัดไวรัส Autorun.inf ภาคใหม่ ... Resycled\boot.com
บทความชิ้นนี้ ผมเองก็รอคอยมานาน กว่าจะได้ประสพพบรัก เอ๊ย ได้เจอมันอีกทีก็เป็นปีเลยแหละครับพี่น้อง ... เมื่อผมกับมันได้มาพบกันแล้ว ด้วยอารมณ์ของศิลปิน จึงค่อยๆใจเย็นๆเนิบนาบ เก็บภาพมันไว้เป็นที่ระลึก เพื่อที่จะได้นำมาบรรยายให้กับทุกท่านๆได้รับชมกัน และ เพื่อชี้ให้เห็นกันอย่างถ่องแท้ แม้ว่าเราจะมีซอฟท์แวร์ที่คอยกำจัดไวรัสออกไปก็มากมาย แต่เราเชื่อว่า (เล่นตามโคตรโฆษณาทั้งหลาย ... มักอ้างแต่คำๆนี้กันจัง) กว่าจะมี Update ให้กำจัดผลพวงที่ไวรัสรุ่นใหม่ๆทำไว้ออกไปได้หมดจดจริงๆ ก็ต้อง (มีใครหลายคน) ฟอร์แมตฮาร์ดดิสต์ทิ้งไปหลายรอบแล้ว ... 55555+ ...
อนึ่ง ...มีพี่น้องหลายท่านบอกว่า Spyware Doctor มันกินทรัพยากรเพียบมากไป ทำให้เครื่องช้าลงมาก ... ขอแนะนำดังนี้คือ ปิดการใช้งาน (Shut down) โปรแกรม Spyware เอาไว้ก่อน สัก 2 - 3 วัน หรือ เมื่อไม่แน่ใจก็ค่อย Start ขึ้นมาใช้งานใหม่ เมื่อใช้งานเรียบร้อยแล้วก็ปิดการใช้งานลงไปก่อนครับ ที่เหลือก็ให้ Kaspersky ทำหน้าที่ไปพลางๆก่อน
เริ่มต้นการแกะรอย ...
ขณะนี้ผมได้เปิดโปรแกรม Kaspersky Internet Security และ Spyware Doctor ขึ้นมาทำงานพร้อมกันแล้วน่ะครับ
- ดังนั้นบทความจะมีใช้งานหลักๆ 3 ส่วน ดังนี้คือ
- โปรแกรม Kaspersky Inetrnet Security 7.0 (รุ่นไม่หมดอายุ ... อิอิอิอิอิ)
- โปรแกรม Spyware Doctor 5.1.0.272 (ใช้ V6 ไม่ได้ ไม่รับภาษาไทย Update ไม่ได้ ใช้งานก็ไม่ได้ มันค้นหาแต่ Engine)
- คำสั่ง DOS ... หรือ การสั่งงานแบบอัตโนมือ
อนึ่ง ...มีพี่น้องหลายท่านบอกว่า Spyware Doctor มันกินทรัพยากรเพียบมากไป ทำให้เครื่องช้าลงมาก ... ขอแนะนำดังนี้คือ ปิดการใช้งาน (Shut down) โปรแกรม Spyware เอาไว้ก่อน สัก 2 - 3 วัน หรือ เมื่อไม่แน่ใจก็ค่อย Start ขึ้นมาใช้งานใหม่ เมื่อใช้งานเรียบร้อยแล้วก็ปิดการใช้งานลงไปก่อนครับ ที่เหลือก็ให้ Kaspersky ทำหน้าที่ไปพลางๆก่อน
เริ่มต้นการแกะรอย ...
- การตรวจจับของ Kaspersky Internet Security 7.0 เจอ Worm.Win32.Autorun.nuu และแน่นอนว่า Autorun.inf มันได้กระจายไปตาม Drive ต่างๆเป็นที่เรียบร้อยแล้ว
- แจ้งเตือนว่าพบแล้วน่ะ แต่ยังคงฝังไว้ในเครื่อง (still infected) อย่างนั้นแหละ ... จนกว่าจะสั่ง Restart เครื่อง
- ตรวจจับ และ แยกแยะไวรัสที่พบเจอ ... ซึ่งเราจะใช้ข้อมูลเหล่านี้เป็นตัวนำทางไปกำจัดมันนั่นแหละครับ ... พี่น้อง
- โปรดสังเกตว่าหมายเลข 1 จะมีโฟลเดอร์ (หรือ Directory) ที่ชื่อว่า resycled ซึ่งมันลอกเลียนชื่อโฟลเดอร์ของ MS Windows ที่ชื่อว่า recycled
- ส่วน Trojan.Win32.Small.yon ... KIS มันจะโซ้ย (Solve ... 55555+) อัตโนมัติต่อแทนเราเองเลยครับ
- ลองไปที่ My Computer ... คลิ๊กเมาส์ขวา ก็จะเห็นได้ชัดเจนเลยว่ามี Autoplay ขึ้นมา นี่แหละรู้ไว้เลยว่าโดน Autorun.inf ทำพิษเกาะ Drive ทุกตัวหมดแล้วล่ะครับ ... พี่น้อง
- ผลจากการติดไวรัสที่สร้าง Autorun.inf ขึ้นมา ... คุณก็ไม่สามารถเปิดโฟลเดอร์ได้ตามปกติ
- เกิดการสร้างไฟล์ชั่วคราว (Temporary) ... แหมแต่มันเล่นติดหนึบในเครื่องตลอดเวลาเลยแหละครับ ไปลบออก มันก็สร้างขึ้นมาใหม่
- สิ่งหนึ่งที่ผมสังเกตเห็นได้อีกอย่างว่า โปรแกรม KIS ไม่สามารถ Update ได้ตามปกติ ... ทีแรกก็คิดว่ามีปัญหาที่ Server ของ Kaspersky เอง ... แต่เพื่อความแน่ใจ ดังนั้นผมก็เลยลองใช้เครื่องคอมฯอีกตัวที่ไม่ติดไวรัสลอง Update ดู ... ปรากฏว่าเครื่องสามารถ Update ได้ตามปกติ
- นั่นแสดงว่าเกิดปัญหาขึ้นกับ ระบบ Network ของเราเองเป็นแน่แท้ ... ผมก็เลยคลิ๊กดู Detail ของการ์ดแลน ... แหง่มๆๆๆๆ ... แม่นอีหลีเด้อ มันถูกกำหนด DNS ใหม่ให้ชี้ไปที่ IP 85.255.112.213 ... ฮึ่มๆๆๆๆ ไอ้ฟักฝรั่ง มังคุด ละมุด ลำใย จริงๆ มันวิ่งไปที่ยูเครน (อันนี้นึกได้เลยทันทีว่าเมื่อคืนไปท่องเว็บภาษารัสเซีย ... เพื่อจะหาโปรแกรม MyBusiness Catalog) ... ก็เลยลองแก้ไขค่า DNS แต่ก็ไม่หายหรอกครับ (ตามคาดแหละ)
DNS - Domain Name System เป็นบริการอินเทอร์เน็ตที่ทำหน้าที่แปลงชื่อคอมพิวเตอร์ให้เป็น IP Address เพราะชื่อของคอมพิวเตอร์มันเป็นตัวอักษรที่ง่ายต่อการจดจำ เช่น www.g2gnet.com แต่ระบบคอมพิวเตอร์จะใช้ และ เข้าใจเฉพาะหมายเลข IP Address เช่น 222.123.123.111
- ลองแก้ให้ DNS ชี้ไปที่โมเด็ม 192.168.0.1 ... มันไม่หายหรอกครับ นอกจากเราเข้าไปแก้ไขใน RegEdit.exe ... แต่ไม่เป็นไรหรอกครับปล่อยไว้ก่อนก็ได้ ...
- การหยุดระบบเครือข่ายมี 2 ทางง่ายๆครับ คือ อันแรกก็ถอดสาย LAN ออกจากเครื่องไปก่อน หรือ คลิ๊กเมาส์ขวาที่ไอคอน Lan Card ที่ใช้งาน และ Disable (หรือ ปิดการทำงานของเน็ตเวิร์คเอาไว้ก่อน)
- ลองทดสอบการกดปุ่ม Ctrl+Alt+Del (พิชิตมาร) ... เพื่อเรียก Task Manager มาใช้งาน แต่หากเครื่องไม่สามารถใช้งาน Task Manager ได้ ลองเข้าไปอ่านและดาวน์โหลดโปรแกรมมาเปิดบริการได้ที่นี่ ... จากภาพด้านล่างจะเห็นได้ว่ามันเพี้ยนไปหมดเลยครับ ชื่อเจ้าของ Process (User Name) ก็หายเรียบ ... ที่เรียก Task Manager มาดูนี่ก็เผื่อไว้หา Process หรือ Job หรือ งานที่มันประหลาดๆโผล่ขึ้นมา จะได้จัดการ End Process ให้เรียบก่อน
ขณะนี้ผมได้เปิดโปรแกรม Kaspersky Internet Security และ Spyware Doctor ขึ้นมาทำงานพร้อมกันแล้วน่ะครับ
- ลอง Start --> Run --> พิมพ์คำว่า msconfig ... เพื่อลองตรวจสอบดูว่ามีโปรแกรมประหลาดๆตัวไหนบ้างที่โผล่ขึ้นมา ... ... จากภาพด้านล่างจะเจอไฟล์ตัวหนึ่งชื่อว่า kdetb.exe ให้คลิ๊กเครื่องหมายถูกออกไป แล้วก็ OK ... สั่ง Restart ขึ้นมาใหม่ก่อนจะเป็นการดีที่สุด ... แต่สำหรับผม ผมเดินหน้าลุยต่อไปเลยครับ ... แหะๆๆๆๆ
- เมื่อเจอ Autorun.inf อยู่ที่ Drive C ... Drive อื่นๆก็ไม่ต้องสแกนหาแล้วครับ ... เพราะมันติดกันไปทั่วหมดทุกๆ Drive แล้ว
- ก็ทำตามสูตรเดิมแหละครับ
เมนู Start --> Run --> พิมพ์คำว่า cmd
attrib -s -h -r autorun.inf
del autorun.inf
และต้องทำทุกๆ Drive ที่มีอยู่ทันทีเลย (ไม่ต้องไปรอการสแกนหาหรอกครับ ... ดังภาพที่เห็นๆนั่นแหละ)
- ข้อมูลประกอบเพื่อแสดงให้เห็นถึงกระบวนการตามล่าหาความจริง ...
- การลบโฟลเดอร์ออกแบบยกพวง เราใช้คำสั่งดั้งเดิมของ DOS ครับ นั่นคือ RD หรือ Remove Directory แต่ก่อนที่จะสั่งลบยกพวงออกไปได้ โฟลเดอร์นี้มันถูกซ่อนเอาไว้ ดังนั้นก็ใช้สไตล์บ้านๆเหมือนเคย ด้วยคำสั่ง attrib (ย่อมาจาก Attribute)
- attrib -s -h -r resycled
- rd /s resycled หรือ rd /s /q resycled
- /s คือ สั่งให้ลบยกพวง ลบแหลกทุกไฟล์ ทุกโฟลเดอร์ ที่อยู่ข้างในชื่อโฟลเดอร์ที่เราระบุ
- /q สั่งลบแหลกทันที ไม่ต้องมาถามยืนยันการลบอะไรทั้งสิ้น (รำคาญ ... 55555+)
- สั่งแบบ rd /s /q resycled ไม่ต้องการคำยืนยันในการลบ
- KIS ก็ทำงานของมันไป เมื่อเจอมันก็จัดการลบออกให้ไปเลย ดังภาพข้างล่างที่มันเจอ Trojan.Win32.Small.yon
- ระหว่างที่ KIS ทำการสแกนและตรวจพบไวรัสก็จะแจ้งข้อมูลให้ทราบ
- ส่งข้อความมาแจ้งว่า ... ไอ้หนอนน้อยเอ๊ย แกตายเสียเหอะ ... เอิ๊กๆๆๆๆ
- สำหรับ Spyware Doctor มันตรวจจับลงลึกถึงระบบลงทะเบียน (Registry) กรณีนี้มันจัดการเรื่องของค่า DNS ให้เรียบร้อยเสร็จสรรพแล้วครับ ... พี่น้อง ... สุดยอดสำหรับ 2 ประสาน
- อันนี้เพื่อความแน่ใจเฉยๆครับ ไม่ต้องทำก็ได้ เพราะไฟล์ kdetb.exe ถูกสอยร่วงไปก่อนหน้านี้แล้ว ... แหง่มๆๆๆๆ