วิธีกำจัด (จุดอ่อน) ไวรัสที่สร้าง Autorun.inf แบบโบราณๆ ที่ใครๆก็มองข้ามไป

พอเครื่องมัน Boot ขึ้นมา ก็ฟ้องว่าไม่เจอไฟล์ Temp2.exe อันนี้ล่ะรู้เลยเจออีกแล้ว ซึ่งมันหลอกเรา (ผมนี่แหละครับ) ให้มัวแต่หลงทางพุ่งประเด็นไปหาเจ้าไฟล์ตัวนี้ ... ยอดมากโอฬาร ผมก็ลองเอา Win Anti virus 2006 ตรวจดูมันไม่พบเลย (ผมกำลังทดสอบการใช้งานโปรแกรม Anti Virus อยู่น่ะครับ ว่าตัวไหนมันแจ่มๆจริงๆ) จากนั้นก็ลองหันมาใช้ Kaspersky แบบไม่ต้องใส่ Key อะไรทั้งนั้น เพื่อให้เกิด Black List หรอกครับ เอามันเป็นแบบ Trial นั่นแหละ พอ Scan ปั๊บก็เจอแล้ว ก็สั่งให้มัน Delete ทิ้งไปซ่ะก็น่าจะสิ้นเรื่อง แต่มันไม่ได้ง่ายอย่างนั้นน่ะซิพี่น้อง ... บทความนี้จะนำทางท่านไปสู่การ Clean Virus แบบโบราณๆ พร้อมกับชี้แนะแนวทางให้ท่านได้นำไปแก้ปัญหากับไวรัสตัวอื่นๆ ผมทำแบบนี้มาตลอดตั้งแต่ใช้งานกับ Windows 95 แล้วครับ ...

Scan เจอทุกๆ Drive ที่มีอยู่
ไวรัสเหล่านี้มาจากโปรแกรม Chat หรือ eMail ครับผม

จ๊ะเอ๋เจอแล้วน่ะจ๊ะ ... ตัวเอง

แหมไอ้เราก็ Reboot ระบบใหม่ ก็นึกว่าคงไม่มีปัญหาอะไรแล้วมั้ง ประทานโทษครับ กลับหนักกว่าเก่า เพราะไม่สามารถเข้าไป Drive ต่างๆได้เลย จะเกิดการฟ้องขึ้นมาว่าหาไฟล์ copy.exe ไม่เจอ ก็ลองคลิ๊กเมาส์ขวาดู (บริเวณ Hard Disk Drive) ก็มีคำว่า AutoPlay ขึ้นมา ซึ่งปกติจะไม่ปรากฏให้เห็นหรอกครับ อันนี้คาดการณ์ต่อว่าเราลบไฟล์มันออกแล้ว แต่คงยังไม่เคลียร์ Registry มั้ง

Delete ไฟล์ Copy.exe และ Host.exe ออกไปแล้ว ทำให้หาไฟล์ไม่เจอ

ต่อไปก็ไปที่ Start --> Run --> พิมพ์คำสั่ง RegEdit และเลือกเมนู Edit --> Find แล้วลองใส่คำในการค้นหา นั่นคือ copy.exe เพื่อให้ค้นหาคำๆนี้มันอยู่แห่งหนใดบ้างครับพี่น้อง

การค้นหาก็เริ่มจาก My Computer นั่นแหละครับ ... ง่ายดี

การค้นหา Find what ... copy.exe

เมื่อค้นหาแล้วพบว่ามันอยู่ที่ใด ก็จัดการมันซ่ะด้วยการเลือกตำแหน่งที่ๆมีคำๆนี้ปรากฏอยู่ แล้วให้กดเมาส์ขวาที่คำสั่ง Delete เพื่อลบมันทิ้งไปให้หมดซ่ะดีๆ ... คุณก็สามารถกด F3 เพื่อให้ค้นหาต่อไปเรื่อยๆได้เลยน่ะครับ

ผลของการค้นหาคำว่า copy.exe ใน Registry Edit

ผลของการค้นหาคำว่า copy.exe ใน Registry Edit

ประจานให้เห็นถึงความบกพร่องของเล็กนิ่ม - Microsoft

จากนั้นก็ทำการ Reboot เครื่องใหม่ซ่ะ ... โอ้ ... นึกว่ามันจะหายไปแล้ว มันก็ออกอาการเดิมนั่นแหละครับ ... พี่น้อง เฮ้อ ... เศร้า ... เลยลองเข้าไปดูคำแนะนำตามเว็บไซต์ (ภาษาอังกฤษ) ต่างๆ ก็พอจะสรุปได้อยู่ 2 ประการ คือ

ต้องแก้ Registry ต้องหาไฟล์ Autorun.inf แล้วลบมันออกไปซ่ะ อย่าง แรกน่ะ ในเว็บไซต์ต่างๆเขาบอกค่าใน Registry ไม่ตรงกันเลยสักที่ (หากตรงกันก็คือ Copy กันมาล่ะครับ 55555) อันนี้ผมก็ได้ทำไปแล้วครับ ส่วนข้อที่สอง เมื่อเปิด (Open) เข้าไปใน Drive แต่ละตัวไม่ได้ ก็เลยลองคลิ๊กเมาส์ขวาไปหา Explorer ล่ะกัน เออ ... น่ะเปิดได้ แต่ลองส่ายตาหาไฟล์ Autorun.inf มันก็ไม่เจอน่ะซิ แต่เอ๊ะ ... ลองดู Folder option... ซิ มันชอบหายไปซ่ะเหลือเกินนี่นา ก็เข้าไปคลิ๊กดู ... แน่ะ ปกติ ... ไฟล์เปิดหมดหรือเปล่า ก็เข้าไปดูอีก View ทุกไฟล์ทั้งที่ถูกซ่อนด้วย ... เฮ้อ อัน ที่จริงแล้วมันก็มีอยู่หลายๆวิธีในการที่จะทำให้มองเห็นไฟล์ Autorun.inf (หรือไฟล์ที่ถูกซ่อนเอาไว้) ซึ่งแทบจะทั้งนั้น ส่วนใหญ่ก็จะบอกให้ไปแก้ใน RegEdit (อีกแล้ว) เพื่อแก้ไขค่าของการแสดงผล แต่สำหรับผม ... ไม่ เพราะผมชอบใช้วิธีการดังด้านล่างนี้แก้ปัญหามาโดยตลอด กับไวรัสหลายๆตัวแล้วครับ ... พี่น้อง เริ่มกระบวนการแก้ปัญหา ตัวกระผมโชคดีอยู่อย่างที่เกิดมาใช้งานคอมพิวเตอร์ในยุค DOS ครับ ที่อื่นเขาใช้ MS-DOS 3.3 ส่วนบริษัทฯแห่งแรกที่ผมทำงานอยู่ใช้ MS-DOS 4.01 Intel 8088 มี RAM 1 MB. เชียวน่ะพี่น้อง จ๊าบมากในสมัยนั้น 55555 (ตอนเรียน ปวส. ใช้ Apple 6502) การแก้ปัญหาหลายๆเรื่องผมก็ยังถนัดการใช้คำสั่ง DOS มาตราบจนถึงทุกวันนี้ล่ะครับ เอาที่นี้ ... ลองเข้าไป Dos Prompt ดูซิ จากนั้นสั่งตามคำสั่งด้านล่างนี้ Run" src="http://www.g2gnet.com/News/Virus/Start-Run.gif" height="127" width="249"> Start --> Run ขออภัยครับ บางคนเข้า Dos Prompt ยังไม่เป็นเลย จากหมายเลข 1 เมื่อค้นหาโดยไม่ใส่ Option ใดๆ เราจะหาไฟล์ตัวนี้ไม่เจอเลยครับ หากท่านต้องการอยากทราบ Option ต่างๆ ของคำสั่งต่างๆ ให้ใช้คำสั่งนั้น ตามด้วย /? เช่น DIR /? /s (Sub Directory) ค้นหาทุกๆ Sub Directory ส่วน /a (Attribute) คือ แสดงไฟล์ที่ถูกซ่อนออกมาให้หมด Directory ก็คือ Folder ในปัจจุบันครับ อย่าทำหน้างงเลย เอาล่ะครับ ตอนนี้เราเจอตัวมันแล้ว จะช้าอยู่ทำไมเล่า ก็เข้าไปลบมันทันทีเลยซิครับ การลบไฟล์ที่ถูกซ่อนเอาไว้ เป็นไงล่ะครับ เมื่อสั่งลบไฟล์ด้วยคำสั่ง Del ปรากฏว่าเราไม่สามารถลบมันออกไปได้ ก็เนื่องมาจากมันถูกตั้งค่า Attribute ให้กับไฟล์ เป็น S คือ System ไฟล์ระบบ H คือ Hidden ซ่อนไฟล์เอาไว้ R คือ Read Only อ่านอย่างเดียว การแก้ปัญหาในเรื่องนี้ก็ด้วยการใช้คำสั่ง Attrib ตามด้วยชื่อไฟล์ (ดังภาพด้านบน) โดยการใส่ Option เครื่องหมายลบนำหน้า เช่น -H คือ ไม่ให้ซ่อนไฟล์ แต่ถ้าเป็น +H คือ ต้องการซ่อนไฟล์ครับผม ดังนั้นเราต้องการปลดไฟล์ตัวนี้ให้สามารถลบออกได้ ก็ใช้คำสั่ง attrib -s -h - r autorun.inf สุดท้าย แต่ไม่ท้ายสุด เราก็ต้องไปลบไฟล์อันน่าขยะแขยงตัวนี้ทิ้งออกไปให้หมดทุก Drive ที่คุณมีด้วย (CD-ROM ไม่ต้องน่ะครับ) ... และสุดท้าย (จริงๆ) คุณต้อง Reboot ระบบขึ้นมาใหม่ก่อนน่ะครับ ทุกๆอย่างจึงจะเป็นปกติ เป็น อย่างไรบ้างล่ะครับ ... พี่น้อง วิธีการแบบนี้ ผมน่ะใช้มาตั้งนานแล้วครับ ยิ่งในระยะนี้มีไวรัสที่สร้างไฟล์ลักษณะ Autorun.inf อยู่เพียบเลย มาเจอวิธีการโบราณ บ้านนอก ท้องถิ่น แบบผมนี่ ไวรัสพวกนี้มันอยู่ไม่ไหวหรอกครับ 55555 ... และการที่มีผู้สร้างตัวฆ่า (Kill) ไฟล์ Autorun.inf ได้ แท้ที่จริงแล้วก็อาศัยหลักการนี้นี่เองแหละครับ ที่นำไปเขียนโปรแกรมทั้งบน DOS และทั้ง GUI แบบ Windows เพิ่มเติม ไม่ใช่ต้องไปลบไฟล์ Autorun.inf ทุกตัวน่ะครับ ต้องสังเกตุขนาดของไฟล์ด้วย ปกติไวรัสประเภทนี้จะอยู่ที่ Root Directory เช่น C:\ หรือที่ C:\WINDOWS\ หรือ C:\WINDOWS\SYSTEM32 พึ่งได้มาอีกตัวครับ ... พี่น้อง นี่ก็อีกตัวอย่างหนึ่ง ซึ่งจะใช้วิธีการเดียวกันเลย หมายเหตุ: ผมต้องขออภัยร้านซ่อมคอมฯทั้งหลายด้วยจริงๆครับ 55555+