กำจัดไวรัสที่ซ่อนตัวใน Drive ให้สิ้นซาก ด้วยคำสั่ง DOS
อาจารย์บอย ค๊าบบ!….. อาจารย์ บอย ค๊าบ!….. เสียงคุ้น ๆ ตะโกนเรียกมาจากหน้าบ้านพร้อมเสียงสุนัขที่เลี้ยงไว้ 1 ฝูงเห่ากันให้เกรียว ผมชะงักมือกับการเงื้อดาบซามูไรเล่มยาวที่กำลังจะฟันลงไปยังต้นกล้วยที่ออก ผลสุกงอมเหลืองอร่าม “แหม่ใครนะมาเรียก อาจารย์อีก เลิกสอนไปเป็นปีแล้ว” ผมคิดในใจพลางเดินถือดาบซามูไรตรงไปยังเสียงเรียก.
“เหวออออ! อาจารย์ถึงกับต้องถืออีดาบมาฟันผมเขียวเหรอ” เจ้าของเสียงเรียกร้องแบแอ๊บตกใจเมื่อเห็นผมเดินมา
“อ๋อ นึกว่าใคร สมชัยนั่นเอง มีอะไรเหรอ?” ผมถามเมื่อเห็นหน้าลูกศิษย์ที่สนิทมากคนหนึ่ง พลางมองในมือถือกระเป๋า Note book ติดมาด้วย
“คืองี้ครับอาจารย์….ลูกค้าผมเอา Note book มาซ่อมครับมันติดไวรัส ผมก็สแกนไปหมดแล้วครับแต่พอซักพักมันก็กลับมาอีก..ทำยังไงก็ไม่หายผมเลย ตัดสินใจ Format แล้วลง windows ใหม่ครับพอลงใหม่เสร็จยังไม่ทันทำอะไรเลยติดไวรัสตัวเดิมอีกแล้ว ทั้ง ๆ ที่ก่อนหน้าformat ผม scan d: แล้วนะครับว่ามันตายไปหมดแล้ว” ลูกศิษย์ที่มาเรียนซ่อมคอมกับผมจนได้ดิบได้ดีไปเปิดร้านของตัวเองเล่าอาการ เครื่องของลูกค้าให้ฟัง ซึ่งก็ไม่น่าแปลกใจนักเพราะไวรัสเดี๋ยวนี้มันฉลาด
“แล้วสมชัยลองเปิด hiden file ดูหรือยังหล่ะว่ามันมีไฟล์อะไรแปลก ๆ อยู่ใน D: หรือเปล่าก่อนจะ format” ผมถามไปตามที่เคยสอนไว้
“ก็ดูนะครับ แต่ไม่มีอะไรเลย”
ผมเริ่มเหงื่อตก เพราะไม่ได้ซ่อมคอมมาปีกว่าแล้วหลังจากที่เลิกสอนมาเพราะปัญหาสุขภาพ แต่กลัวจะเสียหน้าต่อหน้าลูกศิษย์เลยให้สมชัยเข้ามาในบ้านเพื่อขอดูอาการ ก่อน.
หลังจากปาดเหงื่อเพราะไล่จับฝูงน้องหมาที่จ้องจะแทะน่องของศิษย์รักเข้ากรง อยู่นาน ผมก็มาเริ่มตรวจเช็ค Notebook เจ้าปัญหาทันทีเริ่มแรกก็ต้องทำการเช็ค D: ซะก่อนเพราะไวรัสประเภทที่ฝังตัวอยู่ใน Drive นี้สามารถที่จะทำงานได้ตลอดเวลาโดยอาศัยไฟล์ที่มีชื่อว่า Autorun.inf ที่จะไปแฝงและแอบซ่อนไว้ในทุก ๆ partition ของเเครื่องนั้น ผมก็ Double click ที่ my computer แล้วคลิ๊กขวาที่ d: เลือก Explore เพื่อให้เปิดข้อมูลใน D: ขึ้นมาโดยหลีกเลี่ยงไฟล์ Autorun.inf ไปที่คำสั่ง Tools>Folder options>view แล้วไปติ๊กที่ show hiden file….. ตามภาพที่ 1 แล้วกด apply แล้วกด OK เพื่อให้ windows แสดงไฟล์ที่ถูกซ่อนไว้
ภาพที่ 1 เปิดดู ไฟล์ที่ถูกซ่อนอยู่
แล้วผมก็กลับไปดูที่ d: อีกครั้งก็ ไม่ปรากฏไฟล์ซ่อนใด ๆ ตามที่ลูกศิษย์ได้ระบุไว้ แต่ก็ค่อนข้างแปลกใจที่ไม่เห็น folder “System volumn information” และ “Recycler” ที่ Windows จะต้งสร้างขึ้น อัตโนมัติหลังจากที่ลง windows เสร็จแล้ว ผมจึงกลับไปดูที่ View อีกครั้งปรากฏว่า ตัวเลือกไปมันไปอยู่ที่ “Do not show hiden files…and folders ON” ซึ่งหมายความว่าไม่ให้แสดงไฟล์ซ่อน ผมก็ตกใจนึกว่าคลิ๊กผิดหน้าแตกต่อหน้าลูกศิษย์แน่ ๆ เลยรีบติ๊กที่ Show hiden… ใหม่แล้วกด apply แล้วกด OK อีกครั้งอย่างตั้งใจ ผลปรากฏว่าเหมือนเดิมครับที่ D: ไม่มีการแสดงไฟล์ซ่อนใด ๆ และที่ View ก็เป็น Do not show… เหมือนเดิม
เอาหล่ะสิครับผมโดนไวรัสเล่นของเข้าให้แล้วและพยายามนึกวิธีการกำจัดไวรัส ตัวนี้ออกไปให้ได้ และบอกให้สมชัยกลับไปก่อนโดยผมขอเวลาหาวิธีคิดก่อน…..
หลังจากนั่งตรึกตองอยู่นาน เพราะสแกนก็ไม่เจอ เปิดไฟล์ซ่อนก็ไม่ได้ แล้วทำอย่างไรผมถึงจะเห็นตัวตนของเจ้าไวรัสตัวนี้ได้ ฉับพลันก็นึกถึงคำสั่ง Dos คำสั่งนึงขึ้นมาได้เป็นคำสั่งที่ไม่ว่าไฟล์นั้นจะถูกซ่อนแบบลึกลับซับซ้อน แค่ไหน ก็ไม่มีวันรอดพ้นสายตาไปได้ คำสั่งนั้นคือ
ATTRIB ! (แอดทริป)
Attrib เป็นคำสั่งที่ใช้ในการ ซ่อนหรือยกเว้นการซ่อนไฟล์ที่ค่อนข้างสำคัญ เช่นไฟล์ระบบ ไฟล์บูต ไฟล์ของ OS และโดยส่วนใหญ่ไวรัสที่แฝงตัวอยู่ใน partition พวกนี้จะจำลองตัวเองเป็นไฟล์ระบบและไฟล์อ่านอย่างเดียวจึงทำให้ Anti-virus ทั่วไปไม่สามารถตรวจสอบได้ ผม Restart เข้า Save mode (กด F8 ตอน บูต) แล้วเปิด command prompt ใน save mode ออกมาแล้วเปลี่ยนไปที่ D: พิมพ์ Dir/ah (ดูไฟล์ที่ซ่อนทั้งหมด) ก็ได้ตามภาพที 2 ครับ
ภาพที่ 2 ใช้คำสั่ง DIR/AH เพื่อดูไฟล์ที่ถูกซ่อนอยู่ทั้งหมดของ partition นั้น ๆ
ดังคาดผมเจอไฟล์ผิดปกติ 3 ไฟล์นั่น คือ Autorun.inf จำเลยที่ 1 และ 1ogf.exe,fbak.exe จำเลยที่ 2 และ 3 ตามลำดับ ที่นี้เราจะต้องนำเจ้า Autorun.inf มาสืบสวนครับว่ามันทำงานให้ใครโดยการใช้คำสั่ง Dos อีกตัวที่ชื่อ ว่า TYPE (ไทป์) Type เป็นคำสั่งที่ใช้ในการแสดงข้อมูลในฟล์ประเภท TXT ครับ โดยรูปแบบการใช้คำสั่งคือ พิมพ์ Type autorun.inf (ภาพ3)
ถาพที่ 3 คำสั่ง type
แล้วเจ้า Autorun.inf ก็จะสารภาพออกมาว่ามันทำงานให้กับไฟล์ที่มีชื่อ ว่า Fbak.exe (ซึ่งจริงๆแล้วเจ้า 1ogf.exe ก็อาจมีไฟล์ Autorun.inf แต่คลถูกเขียนทับ ด้วย Autorun.inf ของ fbak.exe
เอาหล่ะครับเมื่อทราบถึงแหล่งที่มาของตัวโปรแกรมร้ายแล้วเราก็มากำจัดด้วยพระเอกของเรา Attrib ครับ
ขั้นแรกให้คุณกำจัดไวรัสที่ไม่มีไฟล์ Autorun ก่อนเพราะมันจะไม่สามารถแพร่พันธุ์กลับมาได้ไวเหมือนตัวที่มี autorun ให้คุณพิมพ์ดังนี้ครับ
ATTRIB -H -R -S 1OGF.EXE แล้วกด enter แล้วกด enter แล้วก็ทำอย่างเดียวกันกับไฟล์ตัวร้ายที่เหลือ
ภาพที่4 Attrib -h(ยกเลิก hiden) -R (ยกเลิก Read only) -S (ยกเลิกการระบุว่าเป็นไฟล์ System)
หลังจากเรายกเลิกคุณสมับติการซ่อนไฟล์ของเจ้าตัวร้ายทั้ง 3 แล้ว ก็ให้เราทำการกำจัดทิ้งด้วยการใช้คำสั่ง DEL ครับ รูปแบบการใช้คำสั่งคือ
del autorun.inf แล้วกด enter
del 10gf.exe แล้วกด enter
del fbak.exe แล้วกด enter
หลังจากนั้นให้รีบทำการ Restart เครื่องแล้วFormat c: ลงwindows ใหม่ทันทีโดยห้ามไม่ให้มีการ boot windows ที่ติดไวรัสขึ้นมาอีก ไม่อย่างนั้น D: ของคุณก็จะโดนไวรัสอีกเพราะ เจ้าตัวร้ายที่แท้จริงตอนนี้มันฝังตัวอยู่ใน Windows เรียบร้อยแล้วและพร้อมที่จะสร้างไฟล์ autorun.inf และเจ้า EXE ทั้ง 2 ไฟล์กลับขึ้นมาอีกได้เสมอ
และหลังจากที่ลง windows เสร็จแล้วมาตรวจเช็ค D: ก็ปรากฏว่าไม่มีไวรัสใด ๆ หลงเหลืออยู่ใน ทั้ง C: และ D: แล้วครับ
เป็นอย่างไรบ้างครับไม่ยากเลยใช่ไหมกับการกำจัดไวรัสตัวร้าย ที่ใคร ๆ ก็พากันเข็ดขยาดด้วย Dos โปรแกรมพื้น ๆ ที่หลาย ๆ คนลืมเลือนไปแล้ว แล้วพบกันใหม่คราวหน้านะครับ
***หมายเหตุ Virus อาจมีชื่อและนามสกุลอื่น ต่าง ๆ กันไปเช่น v1.dll.vbs,readme.txt.exe ให้สังเกตุไฟล์ที่มีนามสกุลซ้อนกัน หรือไฟล์ .VBS แต่พวกไฟล์ระบบอย่าง
Boot.ini
IO.sys
Msdos.sys
Ntdetect.com
NTLDR
พวกนี้อย่าไปเผลอลบเข้าเขียวนะครับ เดี๋ยวจะเข้า windows ไม่ได้ไม่รู้นะครับ ****