รู้ทัน ป้องกันไวรัส (#28/10/50)



เกริ่นนำ

          สำหรับหน้านี้ผมตั้งใจเขียนขึ้นมาเพื่อแนะนำอาการ วิธีการของไวรัส รวมทั้งวิธีแก้ไขปัญหาขั้นต้น เท่าที่ผมพอจะทราบ และได้พบเจอมา ดังนั้นการนำเสนออาจจะวกวนหรือสับสนไปบ้างก็ต้องขออภัยจริงๆครับ คือเนื้อหาอาจจะไม่ได้มีการเรียบเรียงที่ดีนัก พูดง่ายๆคือผมเจอหรือรู้อะไรที่คิดว่าน่าสนใจ ก็จะเอามาระบายใส่ไว้ในหน้านี้ ดังนั้นเนื้อหาอาจจะดูกระโดดไปกระโดดมาบ้าง ไว้มีโอกาสผมจะจัดการเรียบเรียงใหม่อีกทีครับ ในขั้นต้นผมจะพยายามแยกเป็นหัวข้อไว้แล้วกันเผื่อใครไม่อยากอ่านทั้งหมดจะได้ข้ามๆไปได้ เพราะรู้สึกว่ามันจะยาวขึ้นเรื่อยๆ 

สารบัญ

สายพันธุ์ไวรัส
       - สายพันธุ์ Autorun

       - สายพันธุ์ Folder(ปลอม)

       - สายพันธุ์วุ่นวายกับ File ระบบ

ไวรัสทำงานอย่างไร

ขั้นตอนการตรวจสอบไวรัสเบื้องต้น

การกำจัดไวรัสขั้นพื้นฐาน



สายพันธุ์ Autorun


          ช่วงนี้ไวรัสที่อาศัยช่องทาง Autorun ของ Windows ระบาดกันเหลือเกิน ออกกันมาไม่ซ้ำเลยจากช่วงแรกๆจะเป็นพวก Hacked By อะไรต่ออะไรเยอะแยะไปหมด แต่ดูแล้วช่วงหลังๆแม้กระทั่งไวรัสตัวอื่นๆที่ไม่ได้แก้ Title ของ IE ก็อาศัยช่องทางนี้กับเค้าด้วย
คงเพราะสามารถแพร่ได้รวดเร็ว เพียงอาศัยการเกาะติดไปใน Thumb Drive โดยฝังไฟล์ที่ชื่อ Autorun.inf ไว้ใน Thumb Drive นั้นๆ เมื่อนำไปเสียบที่เครื่อง Windows ก็จะมาอ่านคำสั่งที่อยู่ในไฟล์นี้ว่าจะให้ดำเนินการอะไรต่อไป ซึ่งหลักๆแล้วก็คือการเรียกตัว Virus(ตัวจริง) ให้ทำงานขึ้นมาเท่านั้นเอง และจะมีการสร้างตัวไวรัสพร้อมทั้งตัว Autorun.inf ไว้ในทุกๆ Drive ซึ่งจะทำให้ไม่สามารถที่จะ Double Click เข้าที่ Drive ตรงๆได้ ต้องใช้การ Click ขวาแล้วเลือก Open เอา เพราะการ Double Click นั้นเป็นการเรียกคำสั่ง AutoPlay ซึ่งก็คือการเรียกให้ตัวไวรัสทำงานขึ้นมานั่นเองครับ


          ในตัว Kill_Autorun ตัวก่อนๆที่ผมสร้างนั้นผมจึงทำการปิด AutoRun ของทุก Drive เพื่อแก้ปัญหาในส่วนนี้ แต่เท่าที่ใช้ในที่ทำงาน มักมีผู้ใช้แจ้งมาว่าไม่สะดวก เนื่องจากบางครั้งใส่แผ่น CD ที่ต้องการใช้ Autorun แล้วมันไม่ขึ้นเมนูมาให้ต้องเข้าไปเรียกเอาเอง และอยากที่จะเสียบ Thumb Drive แล้วอยากที่จะให้มัน Popup ขึ้นมาเลยจะได้ไม่ต้องเข้าไปผ่านทาง My Computer อีก

          ผมจึงได้ทำการแก้ไขในส่วนนี้ โดยตัวล่าสุดที่สร้าง ซึ่งเปลี่ยนชื่อเป็น Ultra_Clean ได้ทำการยกเลิกในการปิด AutoRun ไปแล้วครับ และเพื่อเป็นการพบกันครึ่งทาง คือยังคง AutoRun ไว้แต่ป้องกันการติดไวรัสด้วย จึงลองหาข้อมูลดู พอดีไปได้แนวคิดมาจาก Web ของต่างประเทศ ต้องขออภัยเจ้าของ Web ด้วยครับที่ผมจำชื่อไม่ได้

           ผมจึงแก้ปัญหานี้ด้วยการสร้าง Folder ชื่อ Autorun.inf ไว้ในทุกๆ Drive รวมถึง Thumb Drive ด้วย ทำให้ไวรัสไม่สามารถที่จะสร้างไฟล์ Autorun.inf ขึ้นมาได้ เพราะโดยธรรมชาติของ Windows แล้วจะไม่ยอมให้มีชื่อซ้ำกัน โดยไม่ได้แยกแยะว่าเป็น Folder หรือ File ส่วนสาเหตุที่ใช้การสร้าง Folder แทนที่จะสร้าง File นั้นเพราะถ้าเราสร้างไฟล์ที่ชื่อ Autorun.inf นั้น ตัวไวรัสสามารถที่จะทำการสร้างไฟล์ Autorun.inf ของตัวมันเองทับไฟล์ของเราได้ครับ แต่ถ้าเราสร้างเป็น Folder เท่าที่ลองทดสอบดูมันไม่สามารถทับได้ครับ


     แต่ไม่ได้หมายความว่าเมื่อทำแบบนี้แล้วเครื่องเราจะไม่ติดไวรัสแล้วนะครับ มันเป็นเพียงการป้องกันการเรียกไวรัสซ้ำขึ้นมา และเป็นการป้องกันอาการ Double Click เรียก Drive ไม่ได้เท่านั้นเอง และที่สำคัญสำหรับตัว Thumb Drive เองนั้นก็จะเป็นการป้องกันการเป็นพาหะนำไวรัสไปยังเครื่องอื่นๆครับ คือเมื่อนำ Thumb Drive ที่ติดไวรัสไปเสียบเครื่องอื่นๆก็จะไม่มีการเรียกตัวไวรัสใน Thumb Drive เพื่อขยายพันธุ์ลงไปในเครื่องนั้นๆครับ แต่ตัวไวรัสยังอยู่ใน Thumb Drive นะครับ เพื่อความปลอดภัยผมแนะนำว่าควรที่จะเปิด Show All File รวมทั้ง File System ด้วยแล้วสังเกตุดูว่ามีไฟล์แปลกๆอยุ่ใน Thumb Drive เราหรือไม่ โดยเฉพาะไฟล์ .VBS และ .Exe ถ้าเจอก็ลบทิ้งไปเลยครับ ไวรัสแน่นอนครับ

เพิ่มเติม:
     ตอนนี้ผมได้ทำตัวป้องกันไวรัสตระกูลที่ใช้ Autorun.inf แล้วถ้าสนใจลองดู  
Ultra_Protect  นะครับ

หมายเหตุ

            สำหรับ Folder Autorun.inf ที่ผมพูดถึงด้านบนนั้น เพื่อเป็นการหลีกเลี่ยงความสับสนที่อาจจะเกิดขึ้นกับไวรัสบางตัวที่ใช้ Icon เป็นรูป Folder เหมือนกัน ผมจึงได้ทำให้เป็นรูป Ultraman ไว้นะครับ ถ้าเปิดดูใน Drive แล้วเจอ Autorun.inf ที่เป็นรูป Ultraman ก็ไม่ต้องตกใจนะครับ ไม่ใช่ไวรัสครับ เป็น Folder ที่ผมกล่าวถึงในด้านบนนั่นเอง ซึ่งภายในจะประกอบด้วยไฟล์ 2 ไฟล์ คือไฟล์ Ultra.ico ซึ่งก็คือรูปที่แสดงนั่นเอง กับอีกไฟล์ชื่อ Desktop.ini เป็นไฟล์ที่กำหนดให้ Folder แสดงรูปครับ ไม่ใช่ไวรัสแต่อย่างใดครับ ไม่ต้องลบทิ้งครับผม





สายพันธุ์ Folder(ปลอม)


          พอดีวันนี้ได้เข้าไปอ่านกระทู้ใน Pantip.com ซึ่งมีคนถามถึงวิธีปิดการแสดงนามสกุลไฟล์ เลยเกิดนึกขึ้นมาได้ว่าน่าจะเป็นประเด็นนำมาปรับปรุงบทความซะหน่อย เพราะเป็นแนวทางหนึ่งในการป้องกันไวรัสเหมือนกัน
     เพื่อไม่ให้เป็นการเสียเวลาผู้อ่านมากผมขอเข้าเรื่องเลยละกันครับ เรื่องของเรื่องก็คือช่วงหลังๆนี่เห็นไวรัสหลายตัวที่ใช้ Option ของ Windows ที่สามารถปิดการแสดงนามสกุลไฟล์ที่ตัว Windows เองรู้จักโดยการแสดงเพียงชื่อเท่านั้น ซึ่งแน่นอนครับว่าหนึ่งในนั้นมีไฟล์ .Exe รวมอยู่ด้วยแน่นอนเพราะเป็นไฟล์พื้นฐานอยู่แล้ว  เจ้าไวรัสใช้ Option นี้ล่ะครับเป็นโอกาสในการหลอกล่อเราให้ตกหลุมพราง วิธีการก็ไม่ยุ่งยากซับซ้อนอะไรมากมายเกินความเข้าใจครับ คือเจ้าคนเขียนไวรัสเนี่ยจะใช้วิธีการกำหนดให้ Icon ของตัวไวรัส(เฉพาะไวรัสที่เป็น .exe นะครับ) เป็นรูป Folder ครับ แต่ปัญหาของมันก็คือถึงแม้ Icon จะเป็นรูป Folder แต่ตัวมันจริงๆเป็นไฟล์ครับ ไม่ใช่ Folder จึงมีนามสกุล .exe ห้อยท้ายมาด้วย แอบไม่มิดครับ นอกจากผู้ใช้งานมองแบบไม่ละเอียด คือมองผ่านๆแค่ Icon
          คำถามคือแล้วจะทำไงให้มันแอบมิดชิดล่ะครับ คำตอบก็คือใช้ Option ที่ผมกล่าวถึงในขั้นต้นนั่นล่ะครับ ปิดการแสดงนามสกุลมันซะเลย ซึ่งอย่างที่บอกว่า .exe นั้น ตัว Windows รู้จักอยู่แล้วก็ไม่ต้องแสดงนามสกุล .exe ต่อท้ายชื่อไฟล์ เท่านี้เองก็แยกแยะไม่ออกแล้วล่ะว่าอันไหนเป็นไฟล์(ไวรัส) อันไหนเป็น Folder เพราะ Icon เหมือนกันนี่ครับ ลองดูรูปประกอบนะครับ



Click ที่รูปเพื่อดูขนาดใหญ่



          เมื่อปิดการแสดงนามสกุลแล้วทำไงต่อล่ะครับให้ผู้ใช้หลวมตัวไป Double Click เรียกมันขึ้นมาได้ เท่าที่เจอมี 2 วิธีครับ คือตั้งชื่อไวรัส(ซึ่ง Icon เป็นรูป Folder) ให้น่าสนใจ เช่น Sex.exe Games.exe ฯลฯ ซึ่งเมื่อผู้ใช้เห็นก็จะเผลอตัวเปิดเข้าไปดูเพราะคิดว่าเป็นแค่ Folder ซึ่งผู้ใช้หลายคนค่อนข้างมั่นใจว่าเปิดได้โดยไม่มีผลเสียอะไร เพราะไม่ใช่ไฟล์ ยังไงซะก็อันตรายแน่นอน ถ้ามีไฟล์แปลกๆด้านในค่อยว่ากันอีกที ซึ่งหารู้ไม่ว่าที่คุณ Double Click เข้าไปนั้นนั่นล่ะครับ ไฟล์ .exe เต็มๆตัวเลย

          กับอีกพวกหนึ่ง พวกนี้เจ้าคนเขียนไวรัสนี่คิดแบบลึกซึ้งหน่อย(ช่างคิดจริงๆพ่อคุณ) ว่าถ้าเกิดผู้ใช้งานบางคนซึ่งรอบคอบล่ะ ไม่เปิดแน่ แม้จะเป็นแค่ Folder แต่ถ้าเป็น Folder ที่ชื่อไม่คุ้น คือมั่นใจว่าตนเองไม่ได้สร้างหรือ Copy มาเองแน่นอน แผนแรกก็ใช้ไม่ได้ครับ แล้วทำไงล่ะ เจ้าพวกนี้ก็ใช้วิธีอ่านชื่อ Folder ใน Drive ที่มันติดเข้าไปนั่นครับ แล้วเอาชื่อพวกนี้ล่ะมาตั้งชื่อให้ไวรัสตัวเอง ซึ่งแน่นอนครับมี .exe ต่อท้าย หลังจากนั้นก็ใช้วิธีเดิมล่ะครับปิดการแสดงนามสกุลไฟล์ซะ แต่ก็ยังไม่เนียนมากพอ เพราะจะกลายเป็นมองเหมือนมี Folder ชื่อเดียวกันอยู่ 2 Folder เจ้าไวรัสก็ใช้มุขยอดนิยมล่ะครับคือทำการ Set Attribute ของ Folder ตัวจริงให้เป็น Hidden ซะแล้วปิดการ Show Hidden File ซะ เท่านี้เราก็มองไม่เห็น Folder จริงๆของเราแล้ว มองเห็นแต่เจ้าตัวไวรัส ซึ่งไม่แสดงนามสกุล และเป็นชื่อเดียวกับ Folder เรา แน่นอนครับมองผ่านๆเราก็คิดว่านั่นเป็น Folder ของเรา เมื่อเราไป Double Click เรียกก็ตกหลุมพรางเจ้าไวรัสไปเรียบร้อยครับ


Click ที่รูปเพื่อดูขนาดใหญ่


          เอาล่ะครับเมื่อทราบที่มาที่ไปของเจ้าไวรัสรูปแบบนี้กันแล้วมาดูวิธีป้องกัน กันดีกว่า วิธีการก็ไม่ยากอะไรครับ ผมแนะนำว่าให้ไปปิดเจ้าตัว Option ในการซ่อนนามสกุลไฟล์ซะ ต้องขออภัยจริงๆครับที่ผมจำไม่ได้ว่าโดย Default ของ Windows แล้วเจ้าตัวนี้เปิดหรือปิดอยู่ เอาเป็นว่าถ้ามันเปิดใช้อยู่ก็ไปปิดมันซะ จะได้แยกแยะได้ว่าอันไหน Folder อันไหน File ถ้าเกิดมีโอกาสไปเจอเจ้าไวรัสพวกนี้เข้า เท่านี้เราก็ปลอดภัยจากการตกหลุมพรางเจ้าไวรัสไปอีกขั้นล่ะครับ ถ้าเป็นไปได้ผมอยากแนะนำให้เปิด Show Hidden Files ซะด้วยเลย จะได้ตรวจสอบได้ง่ายๆเมื่อมีไฟล์แปลกปลอมโผล่เข้ามา แต่บางคนอาจจะรุ้สึกรำคาญที่เห็นไฟล์ Hidden ซึ่งเป็นสีจางๆ ยังไงเปิดแค่แสดงนามสกุลไฟล์ก็ยังดีครับ



Click ที่รูปเพื่อดูขนาดใหญ่





สายพันธุ์วุ่นวายกับ File ระบบ


         วันเสาร์ที่แล้วได้มีโอกาสคุย MSN กับเพื่อนๆที่ติดไวรัสมา ผมเห็นว่าตัวนี้อาการน่าสนใจดีแปลกกว่าตัวอื่นๆเลยเอามาเล่าสู่กันฟังครับ สำหรับไวรัสช่วงหลังๆที่เราเจอกัน มักจะใช้การป้องกันตัวเองด้วยการห้ามเราใช้พวก Tool ของ Windows ในการไปกำจัดมันไม่ว่าจะเป็น Task Manager,Msconfig,CMD,Regedit ซึ่งโดยส่วนมากที่เจอคือมันจะ Lock ไว้ไม่ให้เราใช้งานเครื่องมือพวกนี้ ไม่ได้ไปวุ่นวายกับตัวไฟล์โดยตรง แต่เจ้าตัวที่ผมเจอเมื่อวันเสาร์มันมาแปลกครับคือไม่ Lock สิทธิ์ เราสามารถเรียกคำสั่งจาก Start =>Run ได้เลยโดยไม่มี Error แจ้งอะไรทั้งสิ้น แต่เมื่อเรียกแล้วแทนที่มันจะขึ้นเป็นโปรแกรมที่เราเรียกมันกลับขึ้นเป็น Folder ว่างๆขึ้นมาแทนครับ

          มาดูกันว่าเจ้า Folder ที่ว่ามาได้ยังไง เจ้าไวรัสพวกนี้มันก็ใช้วิธีเดียวกับที่ผมสร้าง Folder ชื่อ Autorun.inf ไว้ในทุก Drive น่ะครับ คือมันจะไปลบไฟล์ตัวจริงออกทั้ง Taskmgr.exe,Msconfig.exe,CMD.exe และ Regedit .exe แล้วสร้าง Folder ที่ชื่อเดียวกันนี้ขึ้นมาแทน เมื่อเราเรียกโปรแกรมเช่น Regedit แทนที่ Windows มันจะเปิดโปรแกรม Regedit ขึ้นมาให้ มันกลับเปิด Folder ขึ้นมาแทนครับ เพราะ Regedit.exe เป็นชื่อของ Folder นี่ครับไฟล์ตัวจริงน่ะโดนลบไปแล้ว ดังนั้นไม่ว่าเราจะเรียกโปรแกรมอะไรตามที่บอกไว้ข้างต้น Windows ก็จะทำการเปิด Folder ว่างๆขึ้นมาให้ครับเพราะชื่อตรงกับที่เราเรียกนี่ Windows มันแยกแยะไม่ออกหรอกครับว่าเราเรียกไฟล์หรือ Folder เห็นชื่อเหมือนกันก็เปิดให้เลย

     ลองดูตามรูปตัวอย่างนะครับจะเห็นว่า Regedit.exe เป็นรูป Folder และถ้าเราดูในส่วนของ Type จะเห็นว่าเป็นประเภท Folder ไม่ใช่ไฟล์ครับ จะต่างกับตัวไวรัส Folder(ปลอม) ซึ่งเจ้าตัวนั้นตรง Type จะเป็น Application เพราะมันเป็นตัวโปแกรมแต่ใช้ Icon เป็นรูป Folder แต่สำหรับตัวนี้เป็น Folder แท้ๆครับแต่ใส่นามสกุล .Exe ต่อท้ายชื่อเท่านั้นเอง ไม่งงนะครับ



Click ที่รูปเพื่อดูขนาดใหญ่


          และถ้าถามว่าทำไมเจ้าไวรัสมันไม่ลบทิ้งอย่างเดียวเลยล่ะ จะสร้าง Folder ชื่อเหมือนกันขึ้นมาทำไม อันนี้ผมเดาเอานะครับ คือใน Windows ตั้งแต่ ME เป็นต้นมาจะมีระบบป้องกันไฟล์สำคัญๆของระบบ ซึ่งเท่าที่ลองศึกษาข้อมูลเบื้องต้นใน Windows ME จะเรียกว่าระบบนี้ว่า SFP(System File Protection) แต่ใน Windows 2000 เป็นต้นไปจะเรียกว่า WFP(Windows File Protection) ซึ่งโดยชื่อน่าจะสื่อความหมายว่าดูแลไฟล์มากขึ้นกว่า Windows ME โดยการทำงานย่อๆของมันก็คือจะมีการสร้าง Process ไว้จับตาดูการเปลี่ยนแปลงของไฟล์สำคัญๆที่ Windows ได้ทำการกำหนดเอาไว้ เมื่อมีการเปลี่ยนแปลงไม่ว่าจะเป็นการโดนลบ โดนทับหรือโดนแก้ไขเจ้าไฟล์พวกนี้ ตัว Windows จะทำการนำเอาไฟล์ต้นฉบับกลับมาทับไฟล์ที่เสียหายหรือโดนลบไปทันทีครับ

          โดย Windows เก็บไฟล์ต้นฉบับพวกนี้ไว้ใน Folder ที่ชื่อว่า C:\WINDOWS\system32\dllcache ครับ และจากที่ผมทดลองดูกับ Regedit.exe ซึ่งอยู่ใน Folder Windows ด้วยการลบทิ้งแม้กระทั่งการเอาไฟล์อื่นๆมาแก้ชื่อเป็น Regedit.exe แล้วเอาทับลงไป Windows จะทำการนำเอาไฟล์ต้นฉบับกลับมาทันทีภายในไม่เกิน 3 วินาทีครับ ทำงานแข็งขันดีจริงๆ
     แต่เท่าที่ลองดู ถ้าเราลบหรือแก้ใน C:\WINDOWS\system32\dllcache โดยตรงมันจะไม่รู้ครับ ไม่มีการเตือนหรือทำการแก้คืนใดๆทั้งสิ้น เพราะตัวมันเองเป็นต้นฉบับอยู่แล้วนี่จะไปเอาจากไหนกลับมาล่ะ จนกว่าเราจะไปแก้หรือลบใน Windows หรือ Windows\System32 นั่นล่ะครับมันถึงเริ่มรู้ตัว และแจ้งว่าไฟล์ระบบมีปัญหาให้เราเอาแผ่น Windows ใส่ให้หน่อย เพราะใน dllcache ไม่มีต้นฉบับแล้ว ซึ่งถ้าเรา Cancel ไปมันก็จะเงียบไม่เตือนอีกเลยครับ เพราะโดย default ตัว Windows ไม่ได้ตั้งไว้ให้ตรวจสอบตอน Boot เพราะอาจจะกลัวช้าครับ
เข้าใจว่าเจ้าไวรัสก็คงใช้ช่องทางนี้ล่ะครับ เพราะ Folder ที่ชื่อเหมือนไฟล์ระบบที่ผมกล่าวถึงข้างต้นนั้นมีอยู่ทั้งใน Windows หรือ System32 และรวมไปถึงใน dllcache ด้วย

          มาเข้าเรื่องขั้นตอนการแก้ปัญหากันดีกว่าครับจะได้ไม่งง เพราะผมอาจจะอธิบายงงๆ ด้วยเหตุผลว่ายังรู้ไม่ลึกซึ้งมากนัก ไว้ศึกษาข้อมูลได้ลึกซึ้งกว่านี้จะมาเล่าเรื่องนี้โดยละเอียดอีกทีหนึ่งแล้วกันครับ
          วิธีแก้ปัญหากรณีนี้ก็ตรงไปตรงมาล่ะครับ ไฟล์ไหนโดนทับหรือลบไปก็เอากลับไปใส่คืนมันซะ แต่ก่อนอื่นต้องลบเจ้า Folder ที่ชื่อเดียวกับไฟล์นั้นๆทิ้งก่อนนะครับ ไม่งั้น Windows ก็ไม่ยอมให้ทับ เพราะชื่อเหมือนกัน หรือจะลองโหลดน้องนุชคนสุดท้องเจ้า Ultra_Repair (Click ขวา Save As) ไปใช้ก็ได้ครับ หรืออีกวิธีหนึ่งซึ่งใช้เวลาพอสมควร แต่ถ้าไม่แน่ใจว่ามีไฟล์อื่นๆที่โดนทับหรือแก้ไขอีกนอกเหนือจากที่ผมกล่าวมาและต้องการความมั่นใจ ก็ใช้วิธีการไปที่ Start => Run แล้วพิมพ์  SFC /ScanNow  นะครับ Windows จะทำการตรวจสอบไฟล์ระบบซึ่งโดนแก้ไขหรือขาดหายไป แล้วจะให้เราใส่แผ่นติดตั้ง Windows เพื่อทำการ Copy ไฟล์ดังกล่าวกลับคืนมาให้ครับ แต่วิธีนี้อาจจะใช้เวลานานหน่อย เพราะมันจะตรวจสอบทีละไฟล์ซึ่งมีอยุ่ประมาณ 3415 ไฟล์ครับ



ไวรัสทำงานอย่างไร


            สำหรับขั้นตอนการทำงานของไวรัสนั้นโดยคร่าวๆไม่มีอะไรซับซ้อนมากมายครับ ขั้นต้นคือจะมีการเรียก Process ตัวเองขึ้นมารันอยู่ในหน่วยความจำก่อน หลังจากนั้นก็ทำงานเงียบๆตามที่มีการ Code สั่งงานไว้ ไม่ว่าจะเป็นการลบไฟล์ แก้ไขไฟล์ Copy ตัวเอง ฯลฯ
          ประเด็นก็คือทำยังไงถึงจะเรียกตัวเองขึ้นมาเพื่อไปอยู่ในหน่วยความจำให้ได้ก่อน เท่าที่เจอคือจะใช้การเพิ่มคำสั่งเข้าไปใน Registry เพื่อ Run ตัวเองขึ้นมาพร้อมๆกับ Windows นั่นเองครับ และสำหรับพวก Worm ที่สามารถแพร่ตัวเองโดยติดไปกับ Thumb Drive นั้นก็จะอาศัยสร้างตัวไฟล์ Autorun.inf ไว้ใน Thumb Drive เพื่อที่จะให้มีการเรียกตัวไวรัสขึ้นมาทำงานทันทีที่เสียบ Thumb Drive เข้ากับเครื่องนั้นๆ ซึ่งโดยมากเมื่อรันแล้วก็จะทำการ Copy ตัวไวรัสพร้อมทั้งไฟล์ Autorun.inf ลงไปในเครื่องนั้นด้วย ซึ่งโดยส่วนใหญ่(อีกแล้ว) จะใส่ตัว Autorun.inf ใน Root ของ Drive เพื่อสร้างความมั่นใจว่าถ้ามีความผิดพลาดไวรัสไม่ได้โหลดขึ้นมาพร้อม Windows จะด้วยเหตุผลอะไรก็แล้วแต่ ยังไงซะเมื่อผู้ใช้เปิด Drive ด้วยการ Double Click ก็จะเป็นการเรียกไฟล์ Autorun.inf ให้ทำงานเป็นอันดับแรก(ตามนโยบายของ Windows) ซึ่งในไฟล์ Autorun.inf นี่ล่ะครับที่จะไปเรียกไฟล์ไวรัส(ตัวจริง)ให้ทำงานขึ้นมา ดังนั้นถึงจะพลาดแผนแรกที่โหลดพร้อม Windows ก็ยังมีแผน 2 รองรับ เพราะยังไงซะผู้ใช้ก็ต้องมีการ Double Click เรียก Drive บ้างล่ะ แค่นี้ก็เรียบร้อยโรงเรียนไวรัสไปแล้วครับ มันเข้ามาแอบอยู่ในหน่วยความจำเครื่องเราและพร้อมปฏิบัติหน้าที่ของมันตามที่ได้รับการ Coding ไว้แล้ว



ขั้นตอนการตรวจสอบไวรัสเบื้องต้น


          ต่อเนื่องจากที่ได้อธิบายขั้นตอนการทำงานของไวรัสไว้ข้างต้นครับ คราวนี้มาดูกันว่าเราสามารถที่จะตรวจสอบคร่าวๆได้ยังไงบ้างว่าเครื่องเรามีไวรัสเข้ามาเยี่ยมเยียนแล้ว ช่วงหลังๆนี่เท่าที่เห็นมันมักจะออกอาการเหมือนๆกันอยู่หลายอย่าง ซึ่งน่าจะมีเหตุผลมาจากหลายสาเหตุ เช่นพวกตระกูล Hacked By ทั้งหลายนี่เท่าที่รู้ก็คือมีการสร้างมาจาก Tools ตัวเดียวกันซึ่งมีให้โหลดตาม Internet นี่ล่ะ เรียกว่าอยากได้ไวรัสอาการแบบไหนก็แค่ติ๊กเลือกเอาได้เลยครับ อยากได้ชื่ออะไรตั้งกันเอา จะประกาศศักดาว่า Hacked โดยใครก็ตามสบายเลยครับ ซึ่งอาการที่มีให้เลือกก็เดิมๆล่ะครับ มีไม่กี่แบบ อาการหลักๆของพวก Hacked By นี่คือการประกาศศักดาประมาณพวกพ่นสีตามผนังน่ะครับ เพียงแค่เปลี่ยนทำเลจากฝาผนัง มาเป็นหัวของ IE เท่านั้นเองครับ

        เจ้าตัวนี้ก็อาศัยช่องทางของตัว Autorun.inf นี่ล่ะครับในการเรียกเจ้าตัวไวรัสขึ้นมาทำงาน ซึ่งพวกตระกูล Hacked By พวกนี้เจ้าตัวไวรัสตัวจริงของมันจะมีนามสกุล .VBS ครับ ซึ่งเป็นไฟล์ VBScript ครับ ซึ่งเราสามารถที่จะเปิดดู Code มันได้โดยใช้ Notepad นี่ล่ะครับ ถ้าใครพอจะมีพื้นฐานด้านเขียนโปรแกรมหน่อยก็สามารถอ่านดูได้เลยครับว่ามันสั่งให้ทำอะไรกับเครื่องเราบ้าง ซึ่งนี่อาจจะเป็นสาเหตุหนึ่งที่ทำให้มันแตกสายเป็น Hacked By โน่น By นี่ เพราะแค่ใช้ Notepad เข้าไปแก้เป็นชื่อที่เราต้องการ ก็จะได้ตัว Hacked By ชื่อนั้นๆแล้วล่ะครับ แต่ไม่แนะนำให้ทำนะครับ เพียงแค่เล่าให้ฟังว่ามันไม่ยาก คิดถึงใจเขาใจเราเวลาติดไวรัส มันไม่ดีครับ
          สำหรับการตรวจสอบพวก Hacked By ทั้งหลายนี่ อย่างที่บอกข้างต้นครับ มันมักจะประกาศศักดา สิ่งแรกที่เห็นชัดๆคือมันเปลี่ยนหัวของ IE เรา และเนื่องจากมันเป็นตัวที่ไม่ได้ร้ายแรงอะไรมากมาย จึงต้องใช้การอำพรางตัว โดย Set Attribute ของตัวเองและลูกน้อง(Autorun.inf) ให้เป็น Hidden และเพื่อป้องกันผู้ใช้เปิดมาแล้วเห็นมันก็เลยไปแก้ Registry ให้ไม่สามารถเปิด Show All Files ได้ โดยการปิด Folder Options มันซะเลย บางตัวนี่ซ่อนไฟล์ของเราใน Thumb Drive ด้วยทำให้เราตกใจเล่นๆว่าไฟล์โดนลบไปแล้ว แต่จริงๆมันยังอยู่ครับ สำหรับเครื่องมือที่จะใช้ในการหาไฟล์ที่โดนแอบผมขอรวบยอดไปแนะนำในหัวข้อต่อไปนะครับ
สำหรับไวรัสตัวอื่นๆนี่ก็แล้วแต่เค้าจะเขียนกันมาล่ะครับ จริงๆมันก็ไม่ยากที่เราจะรู้ว่าติดไวรัสแล้ว เพราะจะรู้สึกว่าเครื่องมันช้าๆ ทำงานแปลกๆ สำหรับการตรวจสอบแบบละเอียดขึ้นอีกนิด เดี๋ยวผมจะอธิบายในหัวข้อต่อไปแล้วกันนะครับ




การกำจัดไวรัสขั้นพื้นฐาน


           หลังจากอธิบายมายืดยาวในขั้นต้น ซึ่งอาจจะรู้เรื่องบ้าง งงบ้าง อาจจะเพราะผมถ่ายทอดออกมาเป็นคำพูดไม่ค่อยเก่ง หรือผมมั่วเองก็ไม่รู้ คราวนี้เรามาดูว่าถ้าเราสงสัยว่าเครื่องติดไวรัสแน่นอนแล้ว เราจะจัดการกับมันอย่างไรดี ตามที่บอกไว้ด้านบนๆนั่นล่ะครับว่าไอ้ตัวไวรัสนี่มันมีหลายอาการ มีหลายระดับด้วย พวกที่ไม่ได้ร้ายแรงอะไรเช่นพวก Hacked By ทั้งหลายเนี่ยจะไม่มีการทำลายไฟล์หรือทำอะไรที่ซับซ้อนมากนัก แต่บางตัวนี่รุนแรงครับเล่นกันถึงขั้นลบไฟล์ในเครื่องจนต้องลง Windows ใหม่กันเลยที่เดียว
            เอาเป็นว่าเรามาดูขั้นตอนคร่าวๆกันดีกว่านะครับว่าจะทำอะไรกับมั้นได้บ้าง ไอ้ไวรัสตัวร้ายเนี่ย ถึงแม้อาจจะไม่สามารถแก้ไขได้ทุกตัวแต่ก็น่าจะพอเป็นแนวทางได้บ้างครับ

                 อย่างที่บอกว่าสำหรับขั้นตอนการทำงานของไวรัสนั้นมีอะไรบ้าง คราวนี้เรามาไล่ย้อนขั้นตอนมันกลับไปเพื่อที่จะจัดการมันครับ ตามที่บอกครับว่าไวรัสนั้นเมื่อมันติดมาแล้วมันจะต้องไปแอบอยู่ในหน่วยความจำเครื่องเราเพื่อทำหน้าที่ของมัน และตรวจสอบการทำงานของตัวเองด้วย เช่นถ้ามันสั่งปิด Show All File แล้วเราไปเปิด มันก็จะปิดอีกครับ ดังนั้นถ้าเราเอามันออกไปจากตรงนี้ได้ อย่างน้อยๆตอนนี้มันก็จะไม่สามารถทำอะไรได้แล้วล่ะครับ แล้วเราค่อยตามล่าเอาตัวจริงของมันออกจากเครื่องไปซะให้สิ้นซาก

          ในการตรวจสอบตัวไวรัสที่อยู่ในหน่วยความจำ(Process) ส่วนใหญ่ก็อาศัยตัว Task Manager ของตัว Windows นั่นล่ะครับ แต่มันมักจะมีปัญหาตรงที่ว่า ไอ้ไวรัสตัวหลังๆนี่มันรู้ทันเราซะแล้วครับ เลยอาศัยคุณสมบัติของ Windows ที่สามารถปิดการใช้ตัว Task Manger มาปิดกั้นการใช้ของเราซะงั้น พอจะเรียกใช้ก็ดันขึ้นเป็นสีเทาไม่ให้เรียกอีก ไม่เป็นไรครับผมแนะนำว่าไปใช้ตัวนี้แทนก็ได้ครับ ฟรีเหมือนกัน โหลดมาติดเครื่องไว้ก็ดีครับเผื่อเจอปัญหาโดน Lock Task Manager ก็ใช้ตัวนี้แทนซะเลย หรือถ้าใครติดใจจะกำหนดให้มันมาแทน Task Manager ของ Windows เลยก็ได้ครับ เอาไว้ผมค่อยทำบทความโฆษณารายละเอียดมันอีกทีแล้วกัน เดี่ยวออกนอกเรื่องไปใหญ่
          เจ้าตัวที่กล่าวถึงนี่คือโปรแกรม Process Viewer ครับ โหลดได้ฟรีที่นี่เลยครับ
ตัวตรวจสอบ Process แนะนำนิดนึงครับว่าเมื่อโหลดมามันจะเป็น Zip ไฟล์ ให้เราเอาออกมาแค่ PrcView.exe ตัวเดียวก็พอครับ ตัวอื่นๆเป็นแบบ Command Line เราไม่ได้ใช้ครับ หรือใครอยากลองเล่นดูจะเอาทั้งหมดก็ไม่มีปัญหาครับ เพียงแต่แนะนำว่าใช้ตัวเดียวก็ได้แล้ว ถ้าให้ดีก็ Copy ตัวนี้ใส่ Thumb Drive ไว้เลยครับ เผื่อไปเจอเครื่องที่มีปัญหาเรียก Task Manager ไม่ได้เราจะได้ใช้ตัวนี้ได้เลยสะดวกดีครับไม่ต้อง Install
     หมายเหตุนิดนึงว่าหลังจากเรียกใช้โปรแกรมนี้แล้วถ้าเราเปิด Show All File ไว้จะเห็นไฟล์ชื่อ PRCVIEW.GID เป็น Icon ใสๆ ก็ไม่ต้องตกใจนะครับ เป็นไฟล์ที่โปรแกรมสร้างขึ้นมาเก็บค่า Config ของมันน่ะครับไม่ใช่ไวรัสแต่ประการใด ที่เห็นใสๆเพราะเป็นไฟล์ที่ Hidden ไว้แต่เราเปิด Show All เลยมองเห็นเท่านั้นเองครับ

          เอาล่ะครับเมื่อเราเรียกมันขึ้นมาแล้วก็จะเห็น Process เหมือนๆ Task Manger นั่นล่ะครับ แถมรูปมันสวยกว่าด้วยซ้ำ การเชิญตัวไวรัสซึ่งเราไม่ได้ชวนมาให้ออกไปจากหน่วยความจำนี่ก็ใช้การ Click ที่ชื่อ Process ที่เป็นไวรัสแล้วเลือก Kill(เครื่องหมาย X) มันเลยครับ เหมือนกับการ End Process ใน Task Manager นั่นล่ะครับ แค่นี้มันก็โดนเนรเทศ ออกไปจากหน่วยความจำเครื่องเราเรียบร้อยแล้วล่ะครับ
          คำถามคือแล้วเราจะรู้ได้ไงล่ะว่าตัวไหนเป็น Process ของไวรัส ตามรูปนี่ผมขอยกตัวอย่างเจ้าตระกูล Hack By รวมถึงพวกตระกูลที่ใช้ VB Script เหมือนกัน ซึ่งสังเกตุง่ายๆเจ้าพวกนี้ชอบเปลี่ยนหัวของ IE เพื่อประกาศศักดานะครับ เนื่องจากเจ้าพวก VB Script(.VBS ) นี่ไม่สามารถจะทำการ Execute ด้วยตัวเองได้จึงต้องอาศัยตัวโปรแกรมของ Windows มาแปลคำสั่งแล้วทำตามที่กำหนดไว้ เจ้าตัวช่วยแปลที่กล่าวถึงคือ Wscript.exe ซึ่งเป็นของ Windows เองนี่ล่ะครับ ซึ่งโดยตัวมันเองไม่ใช่ไวรัสนะครับ เพียงแค่โดนไวรัสใช้เป็นเครื่องมือในการทำงานเท่านั้นเอง อย่าไปลบมันทิ้งซะล่ะ ถ้าใครอยากรู้จักมันมากกว่านี้ว่าเอาไว้ทำอะไรได้บ้างก็ลองดูที่นี่นะครับ
//msdn2.microsoft.com/en-us/library/ms950396.aspx





          เมื่อเปิดโปรแกรมขึ้นมาแล้วให้มองหาตรงช่อง Name นะครับ หาตัวที่ชื่อว่า WScrip.exe ให้เจอแล้ว Kill มันเลยครับ ลองหาดูให้ดีนะครับมันอาจจะมีอยู่หลายตัวให้จัดการ Kill มันให้หมดทุกตัวเลยนะครับอย่าเหลือไว้ทำพันธุ์ วิธีป้องกันการตกหล่นคือให้ Click ตรงคำว่า Name นะครับมันจะได้จัดเรียงตามชื่อ คราวนี้มีกี่ตัวมันก็จะเข้าแถวมาให้เรา Kill แล้วล่ะครับ ไม่ตกหล่นแน่นอน เท่านี้เจ้าไวรัสตระกูลที่ใช้ .VBS ก็หมดฤทธิ์แล้วล่ะครับ เพราะไม่มีตัวกลางในการรันมันแล้ว เดี่ยวเราค่อยตามกวาดล้างมันในขั้นตอนต่อไป
             สำหรับไวรัสตัวอื่นๆก็เช่นเดียวกันล่ะครับ ขอแค่เรารู้ชื่อ Process มันแล้ว Kill มันทิ้งซะ คือไล่มันออกไปจากหน่วยความจำได้ก็ถือว่าสำเร็จไปขั้นนึงแล้วล่ะครับ

          ขั้นตอนต่อมาเมื่อเราเชิญมันออกไปจากหน่วยความจำได้แล้วก็ต้องตามล่าตามล้างมันออกไปจากเครื่องด้วยครับ ไม่งั้นพอ Boot เครื่องใหม่มันก็จะกลับมาอีก จำที่กล่าวข้างต้นได้ใช่มั้ยครับว่ามันมักจะโหลดขึ้นมาพร้อม Windows เราจะต้องทำการสกัดกั้นไม่ให้มันขึ้นมาพร้อม Windows ได้ ซึ่งโดยทั่วไป(อีกแล้ว) เรามักจะใช้การเอาออกจากตัว Msconfig ของ Windows ซึ่งก็เช่นเดิมครับ เจ้าไวรัสรู้มากก็ไป Block ตัว Msconfig อีกแล้วครับท่าน แต่ช้าก่อนเราใช้ตัว Process Viewer ตัวเดิมนั่นล่ะครับแทน Msconfig ได้เหมือนกัน(โหลดมาทีนึงใช้ให้คุ้มเลย) โดยการเลือกที่เมนู Tools => Auto Runs มันก็จะแสดงรายชื่อโปรแกรมที่มีการโหลดขึ้นมาพร้อม Windows ซึ่งแน่นอนเจ้าไวรัสตัวร้ายก็ขออาศัยโหลดขึ้นมากับเค้าด้วยเหมือนกัน เราก็ต้องเชิญมันออกไปเหมือนเดิมครับคือเลือกตรงชื่อที่ต้องการเชิญออกไป แล้วกด Remove(เครื่องหมาย X)ครับ เท่านี้มันก็ไม่โหลดขึ้นมาพร้อม Windows เราอีกแล้วล่ะครับ




          มาถึงขั้นสุดท้ายแล้วล่ะครับ ขั้นกำจัดกวาดล้างให้หมด คือถึงแม้ว่าเราจะไม่ให้มันโหลดขึ้นมาพร้อมๆกับ Windows แล้วแต่มันยังอาศัยอยู่ใน Harddisk ครับ เราก็ต้องทำการกำจัดมันออกไปให้พ้น ซึ่งไม่มีอะไรซับซ้อนครับ ปุ่ม Delete นี่ล่ะครับทุกเครื่องมีแน่นอนอยู่แล้ว ถ้าให้ดีกด Shift+Delete ไปเลยครับจะได้ไม่ต้องมารกในถังขยะเราอีก ส่วนจะต้องลบตัวไหนบ้างนี่ก็แล้วแต่ตัวไวรัสแต่ละตัวล่ะครับ ว่ามันแอบไว้ตรงไหนบ้าง
     ในขั้นต้นผมแนะนำว่าในแต่ละ Drive นั้นที่ลบได้แน่ๆไม่ผิดพลาดคือไฟล์ Autorun.inf (Icon จะเป็นรูปกระดาษ+เฟือง)ตามรูปตัวอย่างรูปด้านล่างน่ะครับ แต่ถ้าเป็น Folder ชื่อนี้แล้วเป็นรูป Ultraman ไม่ต้องลบนะครับอันนั้นผมสร้างไว้กันไวรัส และอีกตัวที่ลบได้เลยไม่ต้องคิดคือพวกไฟล์นามสกุล .VBS โดย Icon จะเป็นรูปคล้ายๆกระดาษม้วนสีฟ้าๆ ตามรูปน่ะครับลบได้เลยครับ ส่วนตัวอื่นๆแอบอยู่ที่ไหนบ้างก็ขออ้างอิงจากด้านบนนะครับ คือตอนที่เราใช้ Process Viewer ดูว่ามันโหลดอะไรขึ้นมาพ้อมกับ Windows บ้างนั้น ให้เราดูตรงช่อง Command Line แล้วจดไว้นะครับว่าไฟล์ที่มันเรียกขึ้นมาน่ะอยู่ตรงไหน ตามไปลบมันตรงนั้นเลยครับ



          แต่เดี๋ยวก่อน เจ้าไวรัสบางตัว(หลังๆนี่เกือบทุกตัว)ใช้การป้องกันไม่ให้เราดูไฟล์ที่โดนซ่อนไว้ได้ ตามที่บอกไว้ในตอนต้นๆโน่นเลยว่ามันจะไม่ยอมให้เราเปิด Show All Files ได้ บางตัวเล่นกันถึงแอบ Folder Options เลย เอาไว้ผมจะเขียนเรื่องการแก้ปัญหานี้อีกทีนะครับ ตอนนี้เราแก้ปัญหาด้วยเครื่องมือตัวนี้ก่อนครับ เจ้าตัวที่ว่านี้ชื่อว่า ExplorerXP ครับ ความสามารถของมันคือมองเห็นไฟล์ได้ทั้งหมดไม่ว่าจะโดนแอบยังไง เราก็ใช้เจ้าตัวนี้ล่ะครับเข้าไปหาไฟล์ที่ต้องการลบ เหมือนกับเข้าทาง My Computer นั่นล่ะครับ แต่มันสามารถมองเห็นไฟล์ที่แอบไว้ได้ครับ
     สำหรับเจ้าตัวที่ว่านี้โหลดได้ที่ ตัวดูไฟล์ที่โดนซ่อน ครับ จะเป็นไฟล์แบบ Install ก่อน แต่ผมลองดูแล้วมันเป็น Portable ด้วยนะครับ คือหลังจาก Install เสร็จแล้วให้เราเข้าไปใน Folder ที่มัน Install ไว้ ซึ่งโดยทั่วไปจะเป็น "C:\Program Files\ExplorerXP\" แล้วเราสามารถ Copy เฉพาะไฟล์ ExplorerXP.exe ใส่ไว้ใน Thumb Drive เพื่อนำไปใช้ที่เครื่องอื่นๆโดยไม่ต้อง Install อีกได้เลยครับ แต่แนะนำว่าให้สร้าง Folder ใน Thumb Drive ให้มันอยู่นิดนะครับ เพราะในการเรียกใช้งานมันจะสร้างไฟล์เก็บค่าของมันประมาณ 3 ไฟล์ขึ้นมาด้วย ถ้าไม่ใส่ไว้ใน Folder เดี๋ยวจะงงได้ครับว่าไฟล์มาจากไหน




       หมายเหตุ  สำหรับช่อง Comment หน้านี้ผมขอให้เป็นเรื่องเกี่ยวกับการแนะนำหรือแสดงความเห็นเรื่องบทความอย่างเดียวนะครับ เพราะผมจะเข้ามาไม่บ่อย
     ถ้าเป็นเรื่องของการแสดงความคิดเห็น+แจ้งปัญหาการใช้งานโปรแกรมขอเชิญไปรวมกันที่หน้ากำจัดไวรัส Hacked By + อื่นๆ เลยนะครับ ผมจะได้ตอบโดยไม่ตกหล่นและล่าช้า
       ต้องขออภัยในความไม่สะดวกอย่างสูงครับ




 

Create Date : 22 กันยายน 2550
38 comments
Last Update : 8 ธันวาคม 2550 10:27:18 น.
Counter : 726 Pageviews.

 

ขอบคุณมากๆเลยคับ สุดยอดจิงๆ

 

โดย: poy213 IP: 202.28.64.1 24 กันยายน 2550 13:41:34 น.  

 

ขอบคุณมากครับที่ช่วยผมไว้ได้

 

โดย: tee_hingaw@hotmail.com IP: 202.12.97.115 26 กันยายน 2550 13:56:30 น.  

 

ผมอยากได้ไอคอนข้างล่างนี้ทำไงครับ
แบบว่าอยากได้แหม

 

โดย: tee_hingaw@hotmail.com IP: 202.12.97.115 26 กันยายน 2550 13:58:53 น.  

 

คุณ tee_hingaw@hotmail.com ครับ ไอคอนข้างล่างนี้หมายถึงยังไงครับ ต้องขออภัยในความไม่สะดวกครับ

 

โดย: DKDC(Tarpae_Mit@Hotmail.com) 26 กันยายน 2550 14:38:10 น.  

 

เยี่ยมจริงๆ

 

โดย: Helios IP: 203.113.17.156 27 กันยายน 2550 18:58:42 น.  

 

แวะมาเยี่ยม ได้ความรู้มั่กๆ

สงสัยคุณตาแป๊ะจาชอบอุนตร้แมน

จิงๆนะเนี้ยะ

 

โดย: KuKKiK IP: 202.28.181.9 27 กันยายน 2550 22:13:59 น.  

 

ขอบคุณมากเลยครับกับความรู้ที่เอื้อเฟื้อ

 

โดย: k_chinagot IP: 58.136.161.48 27 กันยายน 2550 23:45:11 น.  

 

เจ๋งมากครับ

 

โดย: bubBLE IP: 58.8.127.206 28 กันยายน 2550 1:52:47 น.  

 

Thanks a lot. I appreciate u mak mak.

 

โดย: Kenji IP: 58.9.6.122 28 กันยายน 2550 12:49:53 น.  

 

ขอบคุณสำหรับความมีน้ำใจครับผม

 

โดย: แม็ก IP: 203.151.243.116 28 กันยายน 2550 16:47:43 น.  

 

ขอบคุณมากๆ เลยครับ

 

โดย: deakbike@hotmail.com IP: 222.123.233.37 29 กันยายน 2550 7:53:38 น.  

 

Thank you kub

 

โดย: panyoy IP: 58.8.112.143 29 กันยายน 2550 12:34:28 น.  

 

ขอบคุณที่ให้ความรู้ครับ..เยี่ยมจริงๆ

 

โดย: bonzai_s 30 กันยายน 2550 10:36:50 น.  

 

ตัวเข็มฉีดยาไปไหนแล้วครับ
หาไม่เจอเลยครับ

 

โดย: ประสงค์ IP: 125.24.32.55 1 ตุลาคม 2550 19:05:53 น.  

 

คุณประสงค์ครับ ต้องขออภัยที่ตอบล่าช้าครับ พอดีผมไม่ค่อยได้เข้ามาหน้านี้ ยังไงถ้ามีข้อแนะนำหรือแจ้งปัญหาเกี่ยวกับโปรแกรมรบกวนไปหน้ากำจัดไวรัส Hacked By อื่นๆดีกว่านะครับ เพราะผมจะเข้าหน้านั้นเป็นหลัก หน้านี้ขอสงวนไว้เป็นเรื่องของบทความซึ่งไม่รีบร้อนในการตอบ นานๆผมจะเข้ามาทีครับ
สำหรับตัวเข็มฉีดยาเข้าใจว่าหมายถึงตัว Kill_Autorun(Junior) ซึ่งผมหยุดพัฒนาแล้วครับเลยเอาออกไป อยู่ในความเห็นที่ 187 หน้าโน้นล่ะครับ ต้องขออภัยในความไม่สะดวกครับ

 

โดย: DKDC(Tarpae_Mit@Hotmail.com) 1 ตุลาคม 2550 22:09:29 น.  

 

ขอบคุณมาก ..มากคะ
จะลองทำดูนะคะ

 

โดย: เจี๊ยบ IP: 222.123.43.36 2 ตุลาคม 2550 13:10:56 น.  

 

ขอบคุณครับ สำหรับความรู้ท่แบ่งปัน

 

โดย: nok IP: 125.24.135.203 17 ตุลาคม 2550 23:05:47 น.  

 

เก่งมาก ๆๆๆๆ ครับ นับถือ จริง ๆๆ เป็นกำลังใจไห้ครับ vv0657

 

โดย: vv0657 IP: 58.9.202.198 20 ตุลาคม 2550 23:44:00 น.  

 

ขอบคุณนะครับจะเป็นกำลังใจให้นะ

 

โดย: สร IP: 125.24.128.179 21 ตุลาคม 2550 13:17:05 น.  

 

ได้ความรู้เยอะมากๆเลยค่ะ

ขอบคุณนะคะ

 

โดย: kokilla IP: 203.131.217.33 27 ตุลาคม 2550 17:05:13 น.  

 

ขอบคุณมากนะคะ ได้รับความรู้มากมายเลยค่ะ

 

โดย: JupJip IP: 124.157.205.128 28 ตุลาคม 2550 22:56:38 น.  

 

ขอบคุณมากค่ะ ได้ความรู้เยอะมาก ศรัทธา จริงๆค่ะ^_^

 

โดย: JadE_G IP: 58.8.124.61 30 ตุลาคม 2550 14:52:51 น.  

 

ขอบคุณมากๆเลยค่ะ ดีมากๆ เลยค่ะ แอบกลุ้มใจอยู่นาน เดี๋ยวไว้มาอ่านใหม่

 

โดย: rainwindy IP: 202.28.62.245 31 ตุลาคม 2550 19:58:01 น.  

 

ขอบคุณมากในความเอื้อเฟื้อแบ่งปันความรู้ ผมได้รับประโยชน์มากจากสิ่งที่คุณมีน้ำใจ ขอบคุณด้วยความจริงใจครับขอบคุณด้วยความจริงใจครับ

 

โดย: nakorntip IP: 125.24.20.41 3 พฤศจิกายน 2550 10:59:29 น.  

 

ได้ความรู้เยอะเลยคับ..ขอบคุณครับ(ผมก็ชอบ Ultraman อิอิ)

 

โดย: PONG IP: 202.57.144.210 6 พฤศจิกายน 2550 10:31:35 น.  

 

ขอบคุณมากๆที่เอื้อเฟื้อความรู้ให้ครับ

 

โดย: HAL IP: 125.26.238.225 22 พฤศจิกายน 2550 15:40:42 น.  

 

ขอบคุณมากครับถ้าไม่ได้คุณมาช่วยผม
ผมคงจะต้องลงโปรแกรมใหม่แน่
ขอขอบคุณเป็นอย่างสูงคับ
แล้วผมจะติดตามผลงานของคุณคับ

 

โดย: top IP: 124.121.13.56 24 พฤศจิกายน 2550 20:33:55 น.  

 

ขอบคุณ คุณ DKDC(Tarpae_Mit@Hotmail.com) มากเลยนะคับ เป็นบลอกที่ดีมากๆๆ ขอชมเลย

 

โดย: MahiN (kitti_aom@hotmail.com) IP: 203.155.227.52 25 พฤศจิกายน 2550 19:47:42 น.  

 

ขอขอบคุณมากคับ สำหรับการเสียสละและการแบ่งปันคับขอเป็นกำลังใจในการพัฒนาต่อไปนะคับ

 

โดย: topcomza&ning IP: 222.123.40.112 27 พฤศจิกายน 2550 3:39:13 น.  

 

บอกได้คำเดียวว่า สุดยอด.....

 

โดย: DotA IP: 203.113.0.199 28 พฤศจิกายน 2550 13:23:25 น.  

 

มีความรู้อย่างมากครับ ขอบคุณครับ

 

โดย: yindee IP: 124.120.1.170 28 พฤศจิกายน 2550 14:01:18 น.  

 

ไม่สามารถโหลดไฟล์Ultra_Love หรือ Ultra_Repair ได้ ต้องใส่ user&password ต้องทำยังไงครับ

 

โดย: aeiou IP: 58.8.102.59 2 ธันวาคม 2550 10:56:45 น.  

 

คุณaeiouครับ ลองปิดโปรแกรมช่วย Download ก่อนนะครับ แล้วใช้ Click ขวา Save As เอา เพราะเคยมีคนแจ้งว่าใช้โปรแกรมช่วย Download แล้วมันจะให้ใส่ Password ต้องขออภัยในความไม่สะดวกอย่างสูงครับ

 

โดย: DKDC(Tarpae_Mit@Hotmail.com) 2 ธันวาคม 2550 11:08:40 น.  

 

ขอบคุณนะครับ คุณเป็นคนดีจริง ๆ

 

โดย: แมว99 IP: 203.113.17.150 4 ธันวาคม 2550 16:36:40 น.  

 

คุณเก่งมากๆเลยครับ และเป็นคนดีมากเลยที่นำความรู้ของคุณมาบอกต่อแก่ผู้ที่ไม่รู้ เยี่ยมครับ

 

โดย: thefu IP: 202.91.19.206 5 ธันวาคม 2550 22:11:57 น.  

 

แล้วถ้าผมเกิดจะเอาโปรแกรมพวกExplorerXP - PrcView
ไปไว้ใน แฮนดีไดร์ ใส่ไว้ในโฟลเดอร์น่ะคับ
แต่ถ้าเราเอาไปเสียบ กับเครื่องที่ติดไวรัส มันก็จะโดนซ่อน เข้าไม่ได้
จะมีวิธีไหน ป้องกันโพลเดอร์ไม่ให้โดนซ่อน หรือโดนไวรัสเปลี่ยนแปลงได้มั่งคับ
ผมเคยสังเกตเห็นว่าบาง โฟลเดอร์ในแฮนดี้ไดร์ (ส่วนน้อย) บางโฟลเดอร์ไว้รัสมันไม่ซ่อน เป็นเพราะอะไรเหรอคับ ขอบคุณที่ช่วยให้คำตอบนะคับ

 

โดย: Indy IP: 125.27.198.183 11 ธันวาคม 2550 1:36:39 น.  

 

คุณIndyครับ สำหรับบาง Folder ที่ไม่โดนไวรัสซ่อนนั้นผมไม่แน่ใจเหมือนกันครับว่าเพราะอะไร ไว้ผมจะลองหาข้อมูลเพิ่มเติมดูอีกทีนะครับ สำหรับในขั้นต้นผมแนะนำให้ลองเอาใส่ไว้ใน Folder ที่ชื่อ Autorun.inf ที่สร้างโดยตัว Ultra ดูนะครับ หรืออาจจะสรางขึ้นมาเองก็ได้ครับ ผมเข้าใจว่าอาจจะพอได้ผลครับ เพราะเข้าใจว่าไวรัสพยายามที่จะเขียนทับ Folder นี้โดยเข้าใจว่าเป็นไฟล์ Autorun.inf ซึ่งอาจจะทำให้รอดพ้นจากการโดนซ่อนได้น่ะครับ แต่ผมก็ยังไม่เคยลองเหมือนกัน เป็นการคาดเดานะครับ ยังไงรบกวนทดลองดูก่อนก็ได้ครับ ต้องขออภัยในความไม่สะดวกจริงๆครับ

 

โดย: DKDC(Tarpae_Mit@Hotmail.com) 11 ธันวาคม 2550 6:10:13 น.  

 

ขอบคุณครับ ได้ประโยชน์ ดีมากๆ

 

โดย: MaDieO 11 ธันวาคม 2550 15:16:24 น.  

ชื่อ :
Comment :
  *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 


DKDC
Location :
กรุงเทพฯ Thailand

[ดู Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed

ผู้ติดตามบล็อก : 1 คน [?]




     ส่วนบริการและฝึกอบรม
ฝ่ายวิศวกรรมเทคโนโลยีสารสนเทศ
            SME Bank
Group Blog
 
<<
กันยายน 2550
 1
2345678
9101112131415
16171819202122
23242526272829
30 
 
22 กันยายน 2550
 
All Blogs
 
Friends' blogs
[Add DKDC's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.