วันจันทร์ที่ 26 กรกฎาคม พ.ศ. 2553

วิธีแก้ไวรัส .scr

ไวรัสชนิดนี้จะซ่อนโฟลเดอร์งานของเราทั้งหมด และไฟล์หลอกที่มีชื่อเดียวกับโฟลเดอร์ของเราที่โดยซ่อน พร้อมทั้งยังปิดการทำงานของ Show hidden files and folders ไว้ด้วยทำให้เราไม่สามารถเปิดดูโฟลเดอร์ที่ถูกซ่อนไว้ได้ ถ้าเราไปเผลอคลิ๊กที่ไฟล์ของไวรัสจะทำไวรัสขยายไปเข้าไปในระบบมากยิ่งขึ้น



วิธีเช็ค ดูว่าเราติดไวรัสตัวนี้รึเปล่า ตามรูปด้านบนจะเห็นโฟลเดอร์งานของเราลางๆ และมีไฟล์ไวรัสชื่อเหมือนโฟลเดอร์งานแต่จะมีนามสกุล .scr ไวรัสตัวนี้จะมาพร้อมกับไฟล์ autorun.inf จะมีคำสั่งที่ทำให้ไวรัสทำงานและกระจายไวรัสไปในส่วนต่างๆ

วิธีกำจัด

1.ปิดการทำงานของไวรัสก่อน โดยการคลิ๊กที่เมนู Start->Run->msconfig (พิมพ์ในช่องของRun) แล้วกดปุ่ม Run จะปรากฏหน้าต่างดังรูปข้างล่าง





2.เลือกแท็ป Startup->Disable Allเปิดการทำงานฉะเพราะ

- ctfmon คือ ตัวเลือกสลับภาษา

- udaterui กับ SHSTAT คือ ส่วนการทำงานของโปรแกรม Anti Virus

- USBGuard คือ การทำงานของโปรแกรมป้องกันไวรัส autorun

3.เสร็จแล้วกดปุ่ม OK แล้ว รีสตาร์ทเครื่องใหม่ 1 รอบ

4.Update Anti Virus แล้ว Scan Virun รอจนกว่าจะเสร็จ

วันศุกร์ที่ 16 กรกฎาคม พ.ศ. 2553

autorun.inf ลบไม่ออก

ก่อนที่เราจะมองเห็นไฟล์ autorun.inf เราต้องเปิดการทำงาน Show hidden files and folders ก่อน ถ้ายังไม่รู้ก็ กลับไปดูที่

วิธีตรวจสอบไวรัส autorun.inf ที่ซ่อนตัวอยู่ใน Drive

ไฟล์ autorun.inf ที่กล่าวถึงนี้เป็น ไฟล์ autorun.inf ที่ไม่สามารถ ลบได้โดยการกด Delete หรือ การกด Rename เนื่องจากว่า ไฟล์นี้ได้ถูงเขียนมาให้ดูเหมือนว่ามันเป็นไฟล์ที่สำคัญ ของระบบ จึงไม่สามารถลบหรือแก้ไขได้ เมื่อเราจะลบหรือแก้ไข มันก็จะแสดงข้อความดังรูปข้างล่าง

หลายคนอาจจะให้วิธีการ Format Drive ใหม่ ถ้าเครื่องเรามีมากกว่า 2 Drive (ยกตัวอย่างอาจจะมี แค่ Drive C กับ Drive D) โดยการย้ายข้อมูลที่สำคัญ จากอีก Drive D ไปไว้ที่ Drive C ก่อน โดยการสร้างโฟลเดอร์ แล้ว Copy ทุกอย่างไป ยกเว้นไฟล์ autorun.inf ซึ่งวิธีนี้จะไม่ได้ผลหาก ที่ Drive C ก็มีไฟล์ autorun.inf ด้วย หรือที่เครื่องของเรามีแค่ Drive เดียวคือ Drive C

แต่วิธีที่ง่ายกว่านั้นและหลายคนมองข้ามหรืออาจจะคิดไม่ถึง คือการใช้โปรแกรม Unlocker ถ้ายังไม่มีก็หามาติดตั้งในเครื่องของเราก่อน วิธีใช้ก็มีแค่ คลิ๊กขวาที่ไฟล์ autorun.inf แล้วเลือกไปที่ Unlocker

จะมีหน้าต่างเด้งขึ้มมาดังรูปข้างล่าง คลิ๊กที่ลูกศรลง เลือก Delete แล้วกด OK แล้วกด OK อีกครั้ง

แค่นี้ไฟล์ autorun.inf ก็จะหายไป

กรณีทำตามข้างบนแล้วลบไม่ได้ แปลว่าไฟล์ autorun.inf นี้มีการทำงานอยู่จึงไม่ยอมให้ลบให้ลองไปดูที่บทความ

วิธีแก้ไวรัส autorun.inf ชนิดที่ฝังตัวอยู่ที่ explorer.exe

วันพฤหัสบดีที่ 15 กรกฎาคม พ.ศ. 2553

วิธีแก้ไวรัส autorun.inf ชนิดที่ฝังตัวอยู่ที่ explorer.exe

ไวรัสชนิดนี้ จะเกาะติดอยู่กับการทำงานของ explorer.exe

เรามารู้จักกับ explorer.exe คร่าวๆก่อน explorer.exe จะมีหน้าที่คอยจัดการและค้นหา ไฟล์ โฟลเดอร์ และ Drive ต่างๆ รวมทั้งเป้นตัวแสดง เมนู Start , Desktop และ taskbar

อาการของไวรัส ถ้าเกิดติดแล้ว

1.จะ Format Flash Drive ไม่ได้
2.ถ้าเปิด Show hidden files and folders จะเห็นไฟล์ autorun.inf (ไม่สามารถลบได้) กับ ไฟล์ webguard (สามารถลบได้) แต่ถ้าถอดแล้วเสียบเข้าใหม่ก็จะเข้ามาอีก

วิธีแก้
ก่อนอื่นต้องติดตั้งโปรแกรมที่มีหน้าที่ตรวจสอบ ค้นหา และสามารถลบไฟล์ autorun.inf ได้ ก็มีอยู่หลายโปรแกรม เช่น USB Disk Security, CPE17 Autorun Killer หรือโปรแกรมอื่นก็ได้ เป็นประเภทที่ป้องกัน อุปกรณ์ USB ในที่นี้จะยกตัวอย่าง โปรแกรม USB Disk Security

1. ถอด Flash Drive ออกให้หมด แล้วกดปุ่ม Ctrl+Alt+Delete เพื่อเรียก Windows Task Manager เลือกที่ Procasses
หาไฟล์ชื่อ explorer.exe แล้วกด End Process แล้วตอบ Yes ไอคอนที่หน้า Desktop ทั้งหมดจะหายไป ณ ตอนนี้ไวรัสที่เกาะอยู่กับ explorer.exe จะถูกหยุดการทำงานไปด้วย


Mem Usage ที่ถูกใช้เยอะผิดปกติ บ่งบอกถึงอาการติดไวรัส

2. เมื่อปิกการทำงานของ explorer.exe แล้วก็คลิ๊กที่ ShutDown แล้วเลือก Restart

3. เมื่อเปิดเครื่องขึ้มมาใหม่ ให้เสียบ Flash Drive เข้าไป แล้วโปรแกรม USB Disk Security จะทำงานไวรัส จะโชว์ขึ้มมาดังรูป แสดงว่ามี 1 ตัว ให้เรากด ที่กากบาทสีแดงคำว่า Delete all


วิธีป้องกันไวรัส autorun.inf

1.ติดตั้งโปรแกรม Anti Virus ในที่นี้จะยกตัวอย่าง Anti Virus ของค่าย Mcafee คือ McAfee VirusScan Enterprise v8.7i พร้อมทั้งทำการ Updete ให้ใหม่ที่สุด



2.ติดตั้งโปรแกรม Scan อุปกรณ์ USB เช่น USB Disk Security เมื่อเสียบ Flash Drive ที่มีไวรัส จะโชว์ขึ้มมาดังรูป แสดงว่ามี 1 ตัว ให้เรากด ที่กากบาทสีแดงคำว่า Delete all



บทความนี้ยังไม่สมบูรณ์ โปรดติดตามตอนต่อไป

วิธีตรวจสอบไวรัส autorun.inf ที่ซ่อนตัวอยู่ใน Drive

เราจะรู้ได้อย่างไรว่าเราติดไวรัส มีข้อสังเกต ง่ายๆ คือ


1. เมื่อเราคลิ๊กที่ Drive ไม่ว่าจะเป็น C:\ , D:\ , E:\ หรือ คลิ๊กที่ Flash Drive จะมีหน้าต่างเปิดซ้อนขึ้นมาอีกหนึ่งหน้าต่าง (โดยปกติแล้ว จะต้องเปิดเข้าไปได้เลย)

2. เข้าไปที่ My Computer คลิ๊กที่เมนู Tools แล้วคลิ๊กที่ Folder Options



รูปที่ 1

จะมีหน้าต่างเด้งขึ้นมาดังรูปที่ 2 ให้คลิ๊กที่ View--> Show hidden files and folders รวมทั้งเอาเครื่องหมาย ถูก ที่หน้า Hide extension และ Hide protected ออกด้วย แล้วกด OK


เมื่อเราทำตามดังรูปแล้ว ลองทำซ้ำทั้งหมดอีกรอบเพื่อเช็คดูว่า ที่เราเปิด Show hidden ไว้นั้นทำงาน เพราะถ้าเกิด จุดที่เลือกไว้ ย้ายกลับมาอยู่ที่หน้าหัวข้อ Do not show hidden files and folders แสดงว่าเครื่องของเรานั้นติดไวรัส

3. ไวรัส autorun.inf ใหม่ๆ บางตัวจะสามารถเปิด Show hidden file and folder ทำให้เราสามารถมองเห็นไวรัสได้ง่ายยิ่งขึ้น ในกรณีนี้ เมื่อเราได้เปิด Show hidden file and folder แล้วเข้าไปใน Drive จะเห็นไฟล์ autorun.inf มักจะมาคู่กับไฟล์ไวรัส ที่มีนามสกุล .com, .bat, .exe, .cmd เป็นต้น ถ้าเป็นประเภท โฟลเดอร์ ก็อย่างเช่น Recycle, webguard โดยรวมแล้วไวรัสทุกชนิดจะมีวิธีแก้ไม่ต่างกันมาก

บทความต่อไปจะมาบอกถึงวิธีการแก้ ไวรัส ชนิดนี้กัน โปรดติดตามตอนต่อไป