หากมีคำถาม ขอให้ไปโพสต์ลง เว็บบอร์ดจีทูจีเน็ตดอตคอม ตัวใหม่แทนน่ะครับ

หรือติดต่อเข้ามาทาง Inbox ที่ เฟซบุ๊ค ผมครับ

หน้าหลัก
ข่าวสาร - บทความ ทั้งหมด
VB 6/VB.Net
ASP/ASP.Net
จับฉ่ายคอมพิวเตอร์
เรียนรู้ผ่าน Flash Movie
บทความที่มีผู้ตอบล่าสุด  
 RSS Feeds
 ดาวน์โหลดโปรแกรม RSS Reader ได้ที่นี่ ...   Download โปรแกรม RSS Reader

Forum - www.g2gnet.com
Webmaster - www.g2gnet.com
Visitors - Session views
 5 1 1 0 1 2 1

7 ธันวาคม พ.ศ.2549
9 Users On-Line.
Visitors - Page views
 8 4 0 3 2 9 8
1 กุมภาพันธ์ พ.ศ.2551

Google   
เว็บ g2gnet.com
ขนาดตัวอักษร:  

วิธีกำจัดไวรัส Autorun.inf ภาคใหม่ ... Resycled\boot.com

Category »  จับฉ่ายคอมพิวเตอร์
โดย : Webmaster เมื่อ 23/11/2551 2:02:00
(อ่าน : 200973) 
บทความชิ้นนี้ ผมเองก็รอคอยมานาน กว่าจะได้ประสพพบรัก เอ๊ย ได้เจอมันอีกทีก็เป็นปีเลยแหละครับพี่น้อง ... เมื่อผมกับมันได้มาพบกันแล้ว ด้วยอารมณ์ของศิลปิน จึงค่อยๆใจเย็นๆเนิบนาบ เก็บภาพมันไว้เป็นที่ระลึก เพื่อที่จะได้นำมาบรรยายให้กับทุกท่านๆได้รับชมกัน และ เพื่อชี้ให้เห็นกันอย่างถ่องแท้ แม้ว่าเราจะมีซอฟท์แวร์ที่คอยกำจัดไวรัสออกไปก็มากมาย แต่เราเชื่อว่า (เล่นตามโคตรโฆษณาทั้งหลาย ... มักอ้างแต่คำๆนี้กันจัง) กว่าจะมี Update ให้กำจัดผลพวงที่ไวรัสรุ่นใหม่ๆทำไว้ออกไปได้หมดจดจริงๆ ก็ต้อง (มีใครหลายคน) ฟอร์แมตฮาร์ดดิสต์ทิ้งไปหลายรอบแล้ว ... 55555+ ...
    ดังนั้นบทความจะมีใช้งานหลักๆ 3 ส่วน ดังนี้คือ
  1. โปรแกรม Kaspersky Inetrnet Security 7.0 (รุ่นไม่หมดอายุ ... อิอิอิอิอิ)
  2. โปรแกรม Spyware Doctor 5.1.0.272 (ใช้ V6 ไม่ได้ ไม่รับภาษาไทย Update ไม่ได้ ใช้งานก็ไม่ได้ มันค้นหาแต่ Engine)
  3. คำสั่ง DOS ... หรือ การสั่งงานแบบอัตโนมือ
พี่น้องครับ ... บทความนี้ผมเองก็พยายามที่จะถ่ายทอดให้เห็นถึงแนวทางหลักๆ ในการไล่ล่าตามราวี Autorun.inf ให้เบ็ดเสร็จเด็ดขาด และ แม้ว่ามันจะออกรุ่นใหม่ๆมาก็ตาม เราก็ยังคงใช้หลักการเดิมๆ บ้านๆ แบบนี้นำไปใช้ประโยชน์ได้น่ะครับผม

อนึ่ง ...มีพี่น้องหลายท่านบอกว่า Spyware Doctor มันกินทรัพยากรเพียบมากไป ทำให้เครื่องช้าลงมาก ... ขอแนะนำดังนี้คือ ปิดการใช้งาน (Shut down) โปรแกรม Spyware เอาไว้ก่อน สัก 2 - 3 วัน หรือ เมื่อไม่แน่ใจก็ค่อย Start ขึ้นมาใช้งานใหม่ เมื่อใช้งานเรียบร้อยแล้วก็ปิดการใช้งานลงไปก่อนครับ ที่เหลือก็ให้ Kaspersky ทำหน้าที่ไปพลางๆก่อน

เริ่มต้นการแกะรอย ...
  1. การตรวจจับของ Kaspersky Internet Security 7.0 เจอ Worm.Win32.Autorun.nuu และแน่นอนว่า Autorun.inf มันได้กระจายไปตาม Drive ต่างๆเป็นที่เรียบร้อยแล้ว
  2. แจ้งเตือนว่าพบแล้วน่ะ แต่ยังคงฝังไว้ในเครื่อง (still infected) อย่างนั้นแหละ ... จนกว่าจะสั่ง Restart เครื่อง
  1. ตรวจจับ และ แยกแยะไวรัสที่พบเจอ ... ซึ่งเราจะใช้ข้อมูลเหล่านี้เป็นตัวนำทางไปกำจัดมันนั่นแหละครับ ... พี่น้อง
    • โปรดสังเกตว่าหมายเลข 1 จะมีโฟลเดอร์ (หรือ Directory) ที่ชื่อว่า resycled ซึ่งมันลอกเลียนชื่อโฟลเดอร์ของ MS Windows ที่ชื่อว่า recycled
    • ส่วน Trojan.Win32.Small.yon ... KIS มันจะโซ้ย (Solve ... 55555+) อัตโนมัติต่อแทนเราเองเลยครับ
  1. ลองไปที่ My Computer ... คลิ๊กเมาส์ขวา ก็จะเห็นได้ชัดเจนเลยว่ามี Autoplay ขึ้นมา นี่แหละรู้ไว้เลยว่าโดน Autorun.inf ทำพิษเกาะ Drive ทุกตัวหมดแล้วล่ะครับ ... พี่น้อง
  1. ผลจากการติดไวรัสที่สร้าง Autorun.inf ขึ้นมา ... คุณก็ไม่สามารถเปิดโฟลเดอร์ได้ตามปกติ
  2. เกิดการสร้างไฟล์ชั่วคราว (Temporary) ... แหมแต่มันเล่นติดหนึบในเครื่องตลอดเวลาเลยแหละครับ ไปลบออก มันก็สร้างขึ้นมาใหม่
  1. สิ่งหนึ่งที่ผมสังเกตเห็นได้อีกอย่างว่า โปรแกรม KIS ไม่สามารถ Update ได้ตามปกติ ... ทีแรกก็คิดว่ามีปัญหาที่ Server ของ Kaspersky เอง ... แต่เพื่อความแน่ใจ ดังนั้นผมก็เลยลองใช้เครื่องคอมฯอีกตัวที่ไม่ติดไวรัสลอง Update ดู ... ปรากฏว่าเครื่องสามารถ Update ได้ตามปกติ
  1. นั่นแสดงว่าเกิดปัญหาขึ้นกับ ระบบ Network ของเราเองเป็นแน่แท้ ... ผมก็เลยคลิ๊กดู Detail ของการ์ดแลน ... แหง่มๆๆๆๆ ... แม่นอีหลีเด้อ มันถูกกำหนด DNS ใหม่ให้ชี้ไปที่ IP 85.255.112.213 ... ฮึ่มๆๆๆๆ ไอ้ฟักฝรั่ง มังคุด ละมุด ลำใย จริงๆ มันวิ่งไปที่ยูเครน (อันนี้นึกได้เลยทันทีว่าเมื่อคืนไปท่องเว็บภาษารัสเซีย ... เพื่อจะหาโปรแกรม MyBusiness Catalog) ... ก็เลยลองแก้ไขค่า DNS แต่ก็ไม่หายหรอกครับ (ตามคาดแหละ)
    DNS - Domain Name System เป็นบริการอินเทอร์เน็ตที่ทำหน้าที่แปลงชื่อคอมพิวเตอร์ให้เป็น IP Address เพราะชื่อของคอมพิวเตอร์มันเป็นตัวอักษรที่ง่ายต่อการจดจำ เช่น www.g2gnet.com แต่ระบบคอมพิวเตอร์จะใช้ และ เข้าใจเฉพาะหมายเลข IP Address เช่น 222.123.123.111
  1. ลองแก้ให้ DNS ชี้ไปที่โมเด็ม 192.168.0.1 ... มันไม่หายหรอกครับ นอกจากเราเข้าไปแก้ไขใน RegEdit.exe ... แต่ไม่เป็นไรหรอกครับปล่อยไว้ก่อนก็ได้ ...
  1. การหยุดระบบเครือข่ายมี 2 ทางง่ายๆครับ คือ อันแรกก็ถอดสาย LAN ออกจากเครื่องไปก่อน หรือ คลิ๊กเมาส์ขวาที่ไอคอน Lan Card ที่ใช้งาน และ Disable (หรือ ปิดการทำงานของเน็ตเวิร์คเอาไว้ก่อน)
  1. ลองทดสอบการกดปุ่ม Ctrl+Alt+Del (พิชิตมาร) ... เพื่อเรียก Task Manager มาใช้งาน แต่หากเครื่องไม่สามารถใช้งาน Task Manager ได้ ลองเข้าไปอ่านและดาวน์โหลดโปรแกรมมาเปิดบริการได้ที่นี่ ... จากภาพด้านล่างจะเห็นได้ว่ามันเพี้ยนไปหมดเลยครับ ชื่อเจ้าของ Process (User Name) ก็หายเรียบ ... ที่เรียก Task Manager มาดูนี่ก็เผื่อไว้หา Process หรือ Job หรือ งานที่มันประหลาดๆโผล่ขึ้นมา จะได้จัดการ End Process ให้เรียบก่อน
เริ่มต้นกระบวนการแก้ปัญหา
ขณะนี้ผมได้เปิดโปรแกรม Kaspersky Internet Security และ Spyware Doctor ขึ้นมาทำงานพร้อมกันแล้วน่ะครับ

  1. ลอง Start --> Run --> พิมพ์คำว่า msconfig ... เพื่อลองตรวจสอบดูว่ามีโปรแกรมประหลาดๆตัวไหนบ้างที่โผล่ขึ้นมา ... ... จากภาพด้านล่างจะเจอไฟล์ตัวหนึ่งชื่อว่า kdetb.exe ให้คลิ๊กเครื่องหมายถูกออกไป แล้วก็ OK ... สั่ง Restart ขึ้นมาใหม่ก่อนจะเป็นการดีที่สุด ... แต่สำหรับผม ผมเดินหน้าลุยต่อไปเลยครับ ... แหะๆๆๆๆ
  1. เมื่อเจอ Autorun.inf อยู่ที่ Drive C ... Drive อื่นๆก็ไม่ต้องสแกนหาแล้วครับ ... เพราะมันติดกันไปทั่วหมดทุกๆ Drive แล้ว

  1. ก็ทำตามสูตรเดิมแหละครับ
    เมนู Start --> Run --> พิมพ์คำว่า cmd

    attrib -s -h -r autorun.inf
    del autorun.inf
    และต้องทำทุกๆ Drive ที่มีอยู่ทันทีเลย
    (ไม่ต้องไปรอการสแกนหาหรอกครับ ... ดังภาพที่เห็นๆนั่นแหละ)
autorun.inf เวอร์ชั่นใหม่ ... มันฝังโฟลเดอร์ (หรือ Directory) มาเลยครับ ในนามของ resycled ภายในมีไฟล์ๆหนึ่งชื่อว่า boot.com
  1. ข้อมูลประกอบเพื่อแสดงให้เห็นถึงกระบวนการตามล่าหาความจริง ...

  1. การลบโฟลเดอร์ออกแบบยกพวง เราใช้คำสั่งดั้งเดิมของ DOS ครับ นั่นคือ RD หรือ Remove Directory แต่ก่อนที่จะสั่งลบยกพวงออกไปได้ โฟลเดอร์นี้มันถูกซ่อนเอาไว้ ดังนั้นก็ใช้สไตล์บ้านๆเหมือนเคย ด้วยคำสั่ง attrib (ย่อมาจาก Attribute)
    • attrib -s -h -r resycled
    • rd /s resycled หรือ rd /s /q resycled
      • /s คือ สั่งให้ลบยกพวง ลบแหลกทุกไฟล์ ทุกโฟลเดอร์ ที่อยู่ข้างในชื่อโฟลเดอร์ที่เราระบุ
      • /q สั่งลบแหลกทันที ไม่ต้องมาถามยืนยันการลบอะไรทั้งสิ้น (รำคาญ ... 55555+)


  1. สั่งแบบ rd /s /q resycled ไม่ต้องการคำยืนยันในการลบ
  1. KIS ก็ทำงานของมันไป เมื่อเจอมันก็จัดการลบออกให้ไปเลย ดังภาพข้างล่างที่มันเจอ Trojan.Win32.Small.yon
  1. ระหว่างที่ KIS ทำการสแกนและตรวจพบไวรัสก็จะแจ้งข้อมูลให้ทราบ
  1. ส่งข้อความมาแจ้งว่า ... ไอ้หนอนน้อยเอ๊ย แกตายเสียเหอะ ... เอิ๊กๆๆๆๆ
  1. สำหรับ Spyware Doctor มันตรวจจับลงลึกถึงระบบลงทะเบียน (Registry) กรณีนี้มันจัดการเรื่องของค่า DNS ให้เรียบร้อยเสร็จสรรพแล้วครับ ... พี่น้อง ... สุดยอดสำหรับ 2 ประสาน
  1. อันนี้เพื่อความแน่ใจเฉยๆครับ ไม่ต้องทำก็ได้ เพราะไฟล์ kdetb.exe ถูกสอยร่วงไปก่อนหน้านี้แล้ว ... แหง่มๆๆๆๆ
ท้ายสุด ... รีสตาร์ทเครื่องขึ้นใหม่ครับ ... ก็จบกระบวนการขั้นตอนในการสอย Autorun.inf
จี ทู จี เน็ต ดอต คอม - g2gNet Dot Com
เลขทะเบียนพาณิชย์อิเล็กทรอนิกส์ 0407314800231
CopyLeft © 2004 - 2099 g2gNet.Com All rights reserved.
Email: [email protected] หรือ โทร. 08-6862-6560