สวัสดีครับ วันนี้มาพบกับทิปดีๆ อีกเช่นเคยกับ N4G เป็นประจำ กับช่วงอากาศที่แสนสบายเช่นนี้ แดดไม่ร้อน แต่ฝนตก (คงต้องเดาใจกับสภาพอากาศกันละครับ) ซึ่งวันนี้มีทิปแนะนำวิธีการแก้ปัญหาไวรัส รวมทั้งลักษณะอาการของปัญหาที่พบเจอบ่อยๆ มาฝากกัน นับได้ว่าปัญาของไวรัสนั้นเป็นปัญหาที่สะสมมาช้านาน พบเจอได้ทั่วไปทั้งคอมพิวเตอร์พีซีและโน้ตบุ๊ก ทุกครั้งเมื่อคุณเชื่อมต่ออินเตอร์เน็ต หรือถ้าไม่แล้วก็อาจติดมาจากแฟลชไดร์ฟก็เป็นได้ครับ เพื่อเป็นการไม่เสียเวลาเราไปทำความรู้จักไวรัสแต่ละประเภทกัน และลักษณะอาการที่พบ รวมทั้งวิธีการแก้ไขด้วยครับ
ลักษณะอาการ
วิธีแก้ไข
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode (กด F8 รัวๆ ตอนรีบู๊ดเครื่อง) เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start up ยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก http://securityresponse.symantec.com…UnHookExec.inf
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer ลบค่า “NoFolderOptions” = “1
8. ไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%Start MenuProgramsStartup ลบ File Empty.pif
10.ไปที่ %UserProfile%Templates ลบ File A.kotnorB.com
11.ไปที่ %Windir%inf ลบ file norBtok.exe
12. ไปที่ %System% ลบ file 3D Animation.scr
เป็นไวรัสที่ไม่ได้สร้างความเสียหายร้ายแรงแก่ระบบเท่าใดแต่สร้างความ รำคาญให้แก่ผู้ใช้ที่ติดไวรัสชนิดนี้มา โดยไวรัสชนิดนี้จะมีรูปร่างเหมือน Folder ที่อยู่ใน Windows ทั่วๆ ไป แต่จะมีนามสกุลเป็น .exe ทำให้เมื่อคลิกมันก็จะทำการฝังตัวไว้ใน C:WINDOWSsystem32 โดยจะทำการรันตัวมันเองขึ้นมาเรื่อยๆ และสร้างไฟล์ คลิปVDO.exe ขึ้นมาใหม่เรื่อยๆ แม้ว่าจะทำการลบไฟล์ คลิป VDO.exe แล้วก็ตาม
วิธีแก้ไขไวรัส คลิปVDO.exe
1. เข้า windows task manager โดยกด Ctrl+Alt+Del ไปที่แทบ processes หาไฟล์ที่ชื่อ soundmsg.exe จากนั้นก็จัดการ end progress โดยการคลิ้กขวาเลือก end process หรือ กด delete แล้วตอบ yesไป
2. ลบไฟล์ คลิป VDO.exe
3. ไปที่ C:windowssystem32 แล้วหาไฟล์ soundmsg.exe หรือ search หาไฟล์ soundmsg.exe
4. ไปที่ Start menu->Run พิมพ์เข้า RegEdit เลือกที่ HK_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRun ลบค่า Registry ที่ชื่อ Virus test
5. ถ้าไวรัสติดที่ Handy drive ให้เข้า Save Mode ของ Windows แล้วเข้าไปลบไฟล์คลิป VDO.exe
เป็น Worm ชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการ Window ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host process ใช้รันกับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem, Netman, NtmsSvc, RasMan โดยที่สามารถรันได้หลายๆ instance พร้อมกัน อีกชื่อหนึ่งที่ใช้คือ W32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฎิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS
ขั้นตอนการทำงานของ W32.CodeBlue
1. เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:Inetpub/wwwroot/scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:Svchost.exe และเรียกใช้งาน
4. C:Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบ
W32.CodeBlue จะสร้างและแก้ไข
1. ทำการสร้างไฟล์ C:Svchost.exe และแก้ไข registry ดังนี้ HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
2. สร้างไฟล์ชั่วคราวที่ C:d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:WINNTsystem32Wscript.exe
3. ไฟล์ d.vbs จะทำการลบไฟล์ .ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
4. ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน
วิธีตรวจสอบ
ใน Drive C หรือ D จะมี Folder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมี Folder ต่างๆ เช่น c , cpu , n , w และอื่นๆ ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือ C:WINDOWSSvchost.exe
วิธีแก้ไข
1. ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่ HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3. ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs
ลักษณะอาการ
วิธีแก้ไข
1. ให้ใส่รหัสผ่าน คือ hacked
2. เข้าไปที่ Task Manager เลือก Processes หาชื่อ Flashy.exe และ systemID.pif เลือก End Process
3. เนื่องจาก ไม่สามารถเข้าไปแก้ไขค่า Registry ใน Run> regedit ได้ จึงต้องสร้างไฟล์เพื่อปลดล็อค regedit โดยการสร้าง Notepad แล้วพิมพ์ดังนี้ โดย File สามารถใช้ปลดล็อค ได้กับทุกกรณีที่มีการล็อค regedit ที่เกิดจากไวรัสตัวอื่นๆ เมื่อพิมพ์เสร็จก็ให้ save เป็นนามสกุล .inf หรือสามารถ Download โดยคลิ๊กที่ Link
http://securityresponse.symantec.com…UnHookExec.inf เมื่อสร้าง หรือ Download เสร็จ ให้คลิกขวาแล้วเลือก install
4. ไปที่ Run พิมพ์ regedit แล้วให้ลบไฟล์ใน regedit ดังนี้
5. ไปที่ Start MenuProgramsStartup ลบ systemID.pif
6. ไปที่ Run พิมพ์ msconfig เลือก start up เอาเช็คถูกหน้า systemID ออก
7. ไปที่ Run พิมพ์ regedit แล้วไปที่HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon โดยแก้ค่า Registry ดังนี้ (ถ้าไม่มีก็คลิกขาวเลือก New เลือก String value) “AutoAdminLogon”=”1″ “DefaultUserName”=“ชื่อผู้ใช้” “DefaultPassword”hacked”
8. เปิด Show hidden File แล้วไปที่ C:WINDOWSsystem32 ลบ File ชื่อ Flashy.exe
9. หาแผ่น Hirens BootCD 8.1 โดยการโหลดจาก http://files.9down.com:8080/HBCD81%5…own.com%5D.rar Write ลงแผ่น CD แล้วทำการ Boot เครื่องด้วย CD ให้เลือกหัวข้อ Password ข้อ 1. แล้วเลือก patition เลือก Account ที่จะล้าง Password และ ออกจากโปรแกรม
ลักษณะอาการ
1. เมื่อเปิดเครื่องขึ้นมาหน้า Desktop จะมีภาษาจีนและ ภาษาอังกฤษขึ้นมา
2. ไม่สามารถเข้า Local Disk ต่างๆ ได้ตามปกติรวมถึง Flash Drive ด้วยโดยจะดับเบิ้ลคลิ๊กเข้า Drive ต่างๆ โดยตรงไม่ได้ ต้องคลิ๊กขวาแล้ว Open หรือ Explore เท่านั้น
วิธีแก้ไข
1. เข้าไปที่ C:/Document and Setting ชื่อ User Start Menu Program Startup และ C:/WINDOWS/SYSTEM32 ลบ File ที่ชื่อ mslogon
2. ทำการ Restart เครื่อง
เนื่องจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP Pro ผิดลิขสิทธิ์ทั่วโลกกว่าครึ่งกำลังถูก Microsoft ตรวจสอบลิขสิทธิ์ทำให้ต้อง Format Harddisk ใหม่ทั้งหมด ผ่านทาง Windows Update ปัญหานี้เกิดจากตัวอัพเดตที่มีรหัส KB890859 โดยจะทำให้ user mode ของ Windows เกิดปัญหา จะเริ่มจาก Microsoft จะเข้ามาเตือนว่า Update พร้อมสำหรับโหลดแล้ว (สำหรับผู้ที่ตั้งเป็น Notify me but don’t download) เมื่อการอัพเดตเสร็จสมบูรณ์ Product Key จะถูกส่งไปยัง Microsoft Server เพื่อดูว่าผิดลิขสิทธิ์หรือไม่ หากผิด เมื่อเครื่องคุณ Restart แล้วก็จะไม่สามารถ Logon ได้ เครื่องจะมีหน้าจอสีฟ้า เกิดจากการแก้ไขไฟล์ในระดับ kernel ทำให้เกิด c000021a fatal error
วิธีแก้ไข 1
วิธีที่ 1 เข้า recovery console ของวินโดว์
1. Set Bios ให้เครื่องบูตจากซีดีรอม โดยใส่แผ่น setup ของวินโดว์ xp เอาไว้
2. เมื่อเครื่องบูตเข้าตัวเซ็ตอัพวินโดว์จนถึงหน้าที่ ให้เลือกเซ็ตอัพให้กด r เพื่อเข้าสู่ recovery console
3. เมื่อเข้าสู่ recovery console จะเป็นจอสีดำคล้าย DOS แล้วจะถามว่าต้องการทำงานกับไดรฟ์ไหน โดยจะมีรายการขึ้นมาให้กดตัวเลขเลือก เช่น [1]C:\WINDOWS ถ้าจะทำงานกับไดรฟ์นี้ก็กด 1 แล้วกด enter
4. ให้ใส่ Password ลงไป ถ้าไม่มีก็กด enter ผ่านไปเลย แล้วก็จะขึ้น C:\WINDOWS>
5. ให้เข้าไปในโฟลเดอร์ชื่อ $NtUninstallKB890859$ โดยพิมพ์ cd$NtUninstallKB890859$ แล้วกด enter ที่หน้าจอจะขึ้น C:\WINDOWS$NtUninstallKB890859$>
6. พิมพ์ dir แล้วกด enter จะมีรายชื่อไฟล์ขึ้นมาให้ดู ให้ copy ไฟล์ authz.dll, user32.dll, winsrv.dll, ntkrnlpa.exe, ntoskrnl.exe และ win32k.sys ไปไว้ที่ C:\WINDOWS\SYSTEM32
7. พิมพ์ copy authz.dll c:\windows\system32 แล้วกด enter จะถามว่าจะให้ overwrite ทับไฟล์ที่มีอยู่แล้วหรือไม่ ให้ตอบ yes โดยกด y ทำแบบนี้จนครบทุกไฟล์ คือ พิมพ์ copy ชื่อไฟล์ c:\windows\system32 เมื่อทำครบหมดทุกไฟล์แล้วให้พิมพ์ exit แล้วกด enter เครื่องจะรีสตาร์ตเอง
วิธีแก้ไข 2 (ผมใช้วิธีนี้ครับได้ผลค่อนข้างดีแต่ไม่แน่ใจว่าจะกลับมาอีกหรือเปล่า ต้องรอดู)
1. เปิด Windows Task Manager
2. กด End process wgatray.exe ใน Task Manager
3. Restart Windows XP แล้วเข้า Safe Mode
4. ลบFile WgaTray.exe จาก c:\Windows\System32
5. ลบFile WgaTray.exe จาก c:\Windows\System32\dllcache
6. ไปที่ Run พิมพ์ RegEdit
7. ไปที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
8. ลบ folder ‘WgaLogon’ และทุก File
9. Reboot Windows XP
ลักษณะอาการ
1. เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆ ได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือ Explore
2. มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1. Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools –> Folder Options
2. ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
3. กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4. ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
5. เปิดไดร์ฟ (โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive ด้วย
6. เปิดโฟลเดอร์ C:WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete)
7. ไปที่ปุ่ม Start–>Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK ปรากฏไดอะล็อกบ็อก Registry Edit
8. คลิกเลือก HKEY_LOCAL_MACHINE –> Software –> microsoft–>windows–>Current Version –> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
9. คลิกเลือก HKEY_CURRENT_USER –> Software –> Microsoft –> Internet Explorer –> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10. คลิกปุ่ม Start –> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK ปรากฏไดอะล็อกบ็อก Group Policy
11. คลิกเลือก User Configuration –> Administrative Templates –> System –> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซี ดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได้ง่ายขึ้น
12. Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools –> Folder Options
13. ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
แล้วลองรีสตาร์ทเครื่องดูครับว่ายังเป็นอยู่ไหมครับ
วิธีกำจัด
ไวรัสตัวนี้ผมยังไม่เป็นมีใครเขียนวิธีแก้อย่างละเอียดครับ ผมก็เลยช่วยเขียนแจกทุกที่โดนไวรัสตัวนี้ครับ ไวรัสตัวนี้เท่าผมเคยเจอเนี่ยติดจากแฮนดี้ไดว์ฟครับ ก่อนจะบอกวิธีแก้บอกวิธีป้องกันก่อนละกันนะครับ เราควรปิดไม่ให้แฮนดี้ไดว์ฟเปิดเองอัตโนมัติเวลาเสียบ เพราะปกติเสียบแฮนดี้ไดว์ฟปุ๊บ ก็จะเด้งขึ้นขึ้นมาถามเราว่าจะเปิดแฮนดี้ไดว์ฟด้วยโปรแกรมอะไรซึ่งหากว่าใน แฮนดี้ไดว์ฟนั้นมีไฟล์ Autorun.inf อยู่ๆ มันก็จะเปิดตามคำสั่งที่อยู่ในไฟล์ Autorun.inf โดยอัตโนมัติ ซึ่งแล้วแต่ไวรัสว่ามันจะเขียนคำสั่งให้รันตัวไหนขึ้นมาไฟล์อAutorun.inf สามารถเปิดอ่านได้โดยดับเบิ้ลคลิก ได้เลยไม่เป็นอันตรายครับ
วิธีปิดไม่ให้แฮนดี้ไดว์ฟเปิดเองอัตโนมัติ
เอาละครับ สำหรับทิปวันนี้ ขอให้เพื่อนๆ ทุกคนโชคดีในการกำจัดไวรัสนะครับ ไว้คราวหน้าฟ้าใหม่ จะนำทิปดีๆ มาแนะนำให้ทราบกันเช่นเคย สวัสดีครับ
โดย : laptopcomputer