หากมีคำถาม ขอให้ไปโพสต์ลง เว็บบอร์ดจีทูจีเน็ตดอตคอม ตัวใหม่แทนน่ะครับ

หรือติดต่อเข้ามาทาง Inbox ที่ เฟซบุ๊ค ผมครับ

หน้าหลัก
ข่าวสาร - บทความ ทั้งหมด
VB 6/VB.Net
ASP/ASP.Net
จับฉ่ายคอมพิวเตอร์
เรียนรู้ผ่าน Flash Movie
บทความที่มีผู้ตอบล่าสุด  
 RSS Feeds
 ดาวน์โหลดโปรแกรม RSS Reader ได้ที่นี่ ...   Download โปรแกรม RSS Reader

Forum - www.g2gnet.com
Webmaster - www.g2gnet.com
Visitors - Session views
 5 2 6 1 1 3 4

7 ธันวาคม พ.ศ.2549
1241 Users On-Line.
Visitors - Page views
 8 5 8 7 7 9 6
1 กุมภาพันธ์ พ.ศ.2551

Google   
เว็บ g2gnet.com
ขนาดตัวอักษร:  

วิธีกำจัด (จุดอ่อน) ไวรัสที่สร้าง Autorun.inf แบบโบราณๆ ที่ใครๆก็มองข้ามไป

Category »  จับฉ่ายคอมพิวเตอร์
โดย : Webmaster เมื่อ 26/1/2550 20:24:00
(อ่าน : 247327) 

พอเครื่องมัน Boot ขึ้นมา ก็ฟ้องว่าไม่เจอไฟล์ Temp2.exe อันนี้ล่ะรู้เลยเจออีกแล้ว ซึ่งมันหลอกเรา (ผมนี่แหละครับ) ให้มัวแต่หลงทางพุ่งประเด็นไปหาเจ้าไฟล์ตัวนี้ ... ยอดมากโอฬาร ผมก็ลองเอา Win Anti virus 2006 ตรวจดูมันไม่พบเลย (ผมกำลังทดสอบการใช้งานโปรแกรม Anti Virus อยู่น่ะครับ ว่าตัวไหนมันแจ่มๆจริงๆ) จากนั้นก็ลองหันมาใช้ Kaspersky แบบไม่ต้องใส่ Key อะไรทั้งนั้น เพื่อให้เกิด Black List หรอกครับ เอามันเป็นแบบ Trial นั่นแหละ พอ Scan ปั๊บก็เจอแล้ว ก็สั่งให้มัน Delete ทิ้งไปซ่ะก็น่าจะสิ้นเรื่อง แต่มันไม่ได้ง่ายอย่างนั้นน่ะซิพี่น้อง ... บทความนี้จะนำทางท่านไปสู่การ Clean Virus แบบโบราณๆ พร้อมกับชี้แนะแนวทางให้ท่านได้นำไปแก้ปัญหากับไวรัสตัวอื่นๆ ผมทำแบบนี้มาตลอดตั้งแต่ใช้งานกับ Windows 95 แล้วครับ ...

    รายละเอียดเรื่องของการกำจัดไวรัสเพิ่มเติม
  1. วิธีกำจัดไวรัส Autorun.inf ภาคใหม่ ... Resycled\boot.com
  2. เมื่อกดปุ่ม Ctrl+Alt+Del พิชิตมารไม่ได้ ... การเปิด/ปิดการใช้งาน Task Manager
  3. เมื่อกดปุ่ม Ctrl+Alt+Del พิชิตมารไม่ได้ ... ก็เลยไม่รู้จะ Kill Process มันได้ยังไง (Flash Movie)
  4. การกำจัดไวรัสที่สร้างไฟล์ Music.exe
Scan เจอทุกๆ Drive ที่มีอยู่
Scan เจอทุกๆ Drive ที่มีอยู่
ไวรัสเหล่านี้มาจากโปรแกรม Chat หรือ eMail ครับผม
จ๊ะเอ๋เจอแล้วน่ะจ๊ะ ... ตัวเอง
จ๊ะเอ๋เจอแล้วน่ะจ๊ะ ... ตัวเอง

แหมไอ้เราก็ Reboot ระบบใหม่ ก็นึกว่าคงไม่มีปัญหาอะไรแล้วมั้ง ประทานโทษครับ กลับหนักกว่าเก่า เพราะไม่สามารถเข้าไป Drive ต่างๆได้เลย จะเกิดการฟ้องขึ้นมาว่าหาไฟล์ copy.exe ไม่เจอ ก็ลองคลิ๊กเมาส์ขวาดู (บริเวณ Hard Disk Drive) ก็มีคำว่า AutoPlay ขึ้นมา ซึ่งปกติจะไม่ปรากฏให้เห็นหรอกครับ อันนี้คาดการณ์ต่อว่าเราลบไฟล์มันออกแล้ว แต่คงยังไม่เคลียร์ Registry มั้ง
Delete ไฟล์ Copy.exe และ Host.exe ไปแล้ว
Delete ไฟล์ Copy.exe และ Host.exe ออกไปแล้ว ทำให้หาไฟล์ไม่เจอ

ต่อไปก็ไปที่ Start --> Run --> พิมพ์คำสั่ง RegEdit และเลือกเมนู Edit --> Find แล้วลองใส่คำในการค้นหา นั่นคือ copy.exe เพื่อให้ค้นหาคำๆนี้มันอยู่แห่งหนใดบ้างครับพี่น้อง

การค้นหา
การค้นหาก็เริ่มจาก My Computer นั่นแหละครับ ... ง่ายดี
การค้นหา
การค้นหา Find what ... copy.exe
เมื่อค้นหาแล้วพบว่ามันอยู่ที่ใด ก็จัดการมันซ่ะด้วยการเลือกตำแหน่งที่ๆมีคำๆนี้ปรากฏอยู่ แล้วให้กดเมาส์ขวาที่คำสั่ง Delete เพื่อลบมันทิ้งไปให้หมดซ่ะดีๆ ... คุณก็สามารถกด F3 เพื่อให้ค้นหาต่อไปเรื่อยๆได้เลยน่ะครับ
ผลของการค้นหาคำว่า copy.exe ใน Registry Edit
ผลของการค้นหาคำว่า copy.exe ใน Registry Edit
ผลของการค้นหาคำว่า copy.exe ใน Registry Edit
ผลของการค้นหาคำว่า copy.exe ใน Registry Edit

ประจานให้เห็นถึงความบกพร่องของเล็กนิ่ม - Microsoft
ประจานให้เห็นถึงความบกพร่องของเล็กนิ่ม - Microsoft
จากนั้นก็ทำการ Reboot เครื่องใหม่ซ่ะ ... โอ้ ... นึกว่ามันจะหายไปแล้ว มันก็ออกอาการเดิมนั่นแหละครับ ... พี่น้อง เฮ้อ ... เศร้า ... เลยลองเข้าไปดูคำแนะนำตามเว็บไซต์ (ภาษาอังกฤษ) ต่างๆ ก็พอจะสรุปได้อยู่ 2 ประการ คือ
  • ต้องแก้ Registry
  • ต้องหาไฟล์ Autorun.inf แล้วลบมันออกไปซ่ะ
    อย่างแรกน่ะ ในเว็บไซต์ต่างๆเขาบอกค่าใน Registry ไม่ตรงกันเลยสักที่ (หากตรงกันก็คือ Copy กันมาล่ะครับ 55555) อันนี้ผมก็ได้ทำไปแล้วครับ ส่วนข้อที่สอง เมื่อเปิด (Open) เข้าไปใน Drive แต่ละตัวไม่ได้ ก็เลยลองคลิ๊กเมาส์ขวาไปหา Explorer ล่ะกัน เออ ... น่ะเปิดได้ แต่ลองส่ายตาหาไฟล์ Autorun.inf มันก็ไม่เจอน่ะซิ แต่เอ๊ะ ... ลองดู Folder option... ซิ มันชอบหายไปซ่ะเหลือเกินนี่นา ก็เข้าไปคลิ๊กดู ... แน่ะ ปกติ ... ไฟล์เปิดหมดหรือเปล่า ก็เข้าไปดูอีก View ทุกไฟล์ทั้งที่ถูกซ่อนด้วย ... เฮ้อ อันที่จริงแล้วมันก็มีอยู่หลายๆวิธีในการที่จะทำให้มองเห็นไฟล์ Autorun.inf (หรือไฟล์ที่ถูกซ่อนเอาไว้) ซึ่งแทบจะทั้งนั้น ส่วนใหญ่ก็จะบอกให้ไปแก้ใน RegEdit (อีกแล้ว) เพื่อแก้ไขค่าของการแสดงผล แต่สำหรับผม ... ไม่ เพราะผมชอบใช้วิธีการดังด้านล่างนี้แก้ปัญหามาโดยตลอด กับไวรัสหลายๆตัวแล้วครับ ... พี่น้อง

     

    เริ่มกระบวนการแก้ปัญหา ตัวกระผมโชคดีอยู่อย่างที่เกิดมาใช้งานคอมพิวเตอร์ในยุค DOS ครับ ที่อื่นเขาใช้ MS-DOS 3.3 ส่วนบริษัทฯแห่งแรกที่ผมทำงานอยู่ใช้ MS-DOS 4.01 Intel 8088 มี RAM 1 MB. เชียวน่ะพี่น้อง จ๊าบมากในสมัยนั้น 55555 (ตอนเรียน ปวส. ใช้ Apple 6502) การแก้ปัญหาหลายๆเรื่องผมก็ยังถนัดการใช้คำสั่ง DOS มาตราบจนถึงทุกวันนี้ล่ะครับ เอาที่นี้ ... ลองเข้าไป Dos Prompt ดูซิ จากนั้นสั่งตามคำสั่งด้านล่างนี้

    Start --> Run
    Start --> Run

    ขออภัยครับ บางคนเข้า Dos Prompt ยังไม่เป็น
    ขออภัยครับ บางคนเข้า Dos Prompt ยังไม่เป็นเลย

    จากหมายเลข 1 เมื่อค้นหาโดยไม่ใส่ Option ใดๆ เราจะหาไฟล์ตัวนี้ไม่เจอเลยครับ หากท่านต้องการอยากทราบ Option ต่างๆ ของคำสั่งต่างๆ ให้ใช้คำสั่งนั้น ตามด้วย /? เช่น DIR /?
    /s (Sub Directory) ค้นหาทุกๆ Sub directory ส่วน /a (Attribute) คือ แสดงไฟล์ที่ถูกซ่อนออกมาให้หมด
    /s (Sub Directory) ค้นหาทุกๆ Sub Directory ส่วน /a (Attribute) คือ แสดงไฟล์ที่ถูกซ่อนออกมาให้หมด
    Directory ก็คือ Folder ในปัจจุบันครับ อย่าทำหน้างงเลย

    เอาล่ะครับ ตอนนี้เราเจอตัวมันแล้ว จะช้าอยู่ทำไมเล่า ก็เข้าไปลบมันทันทีเลยซิครับ
    การลบไฟล์ที่ถูกซ่อนเอาไว้
    การลบไฟล์ที่ถูกซ่อนเอาไว้

    เป็นไงล่ะครับ เมื่อสั่งลบไฟล์ด้วยคำสั่ง Del ปรากฏว่าเราไม่สามารถลบมันออกไปได้ ก็เนื่องมาจากมันถูกตั้งค่า Attribute ให้กับไฟล์ เป็น
  • S คือ System ไฟล์ระบบ
  • H คือ Hidden ซ่อนไฟล์เอาไว้
  • R คือ Read Only อ่านอย่างเดียว
    การแก้ปัญหาในเรื่องนี้ก็ด้วยการใช้คำสั่ง Attrib ตามด้วยชื่อไฟล์ (ดังภาพด้านบน) โดยการใส่ Option เครื่องหมายลบนำหน้า เช่น -H คือ ไม่ให้ซ่อนไฟล์ แต่ถ้าเป็น +H คือ ต้องการซ่อนไฟล์ครับผม ดังนั้นเราต้องการปลดไฟล์ตัวนี้ให้สามารถลบออกได้ ก็ใช้คำสั่ง
    attrib -s -h - r autorun.inf
    สุดท้ายแต่ไม่ท้ายสุด เราก็ต้องไปลบไฟล์อันน่าขยะแขยงตัวนี้ทิ้งออกไปให้หมดทุก Drive ที่คุณมีด้วย (CD-ROM ไม่ต้องน่ะครับ) ... และสุดท้าย (จริงๆ) คุณต้อง Reboot ระบบขึ้นมาใหม่ก่อนน่ะครับ ทุกๆอย่างจึงจะเป็นปกติ
    เป็นอย่างไรบ้างล่ะครับ ... พี่น้อง วิธีการแบบนี้ ผมน่ะใช้มาตั้งนานแล้วครับ ยิ่งในระยะนี้มีไวรัสที่สร้างไฟล์ลักษณะ Autorun.inf อยู่เพียบเลย มาเจอวิธีการโบราณ บ้านนอก ท้องถิ่น แบบผมนี่ ไวรัสพวกนี้มันอยู่ไม่ไหวหรอกครับ 55555 ... และการที่มีผู้สร้างตัวฆ่า (Kill) ไฟล์ Autorun.inf ได้ แท้ที่จริงแล้วก็อาศัยหลักการนี้นี่เองแหละครับ ที่นำไปเขียนโปรแกรมทั้งบน DOS และทั้ง GUI แบบ Windows
    เพิ่มเติม
    ไม่ใช่ต้องไปลบไฟล์ Autorun.inf ทุกตัว
    ไม่ใช่ต้องไปลบไฟล์ Autorun.inf ทุกตัวน่ะครับ ต้องสังเกตุขนาดของไฟล์ด้วย
    ปกติไวรัสประเภทนี้จะอยู่ที่ Root Directory เช่น C:\ หรือที่ C:\WINDOWS\ หรือ C:\WINDOWS\SYSTEM32

    พึ่งได้มาอีกตัวครับ ... พี่น้อง
    พึ่งได้มาอีกตัวครับ ... พี่น้อง

    นี่ก็อีกตัวอย่างหนึ่ง ซึ่งจะใช้วิธีการเดียวกันเลย
    นี่ก็อีกตัวอย่างหนึ่ง ซึ่งจะใช้วิธีการเดียวกันเลย

    หมายเหตุ: ผมต้องขออภัยร้านซ่อมคอมฯทั้งหลายด้วยจริงๆครับ 55555+

  • จี ทู จี เน็ต ดอต คอม - g2gNet Dot Com
    เลขทะเบียนพาณิชย์อิเล็กทรอนิกส์ 0407314800231
    CopyLeft © 2004 - 2099 g2gNet.Com All rights reserved.
    Email: [email protected] หรือ โทร. 08-6862-6560