บทแรก ว่าด้วยอาการของเครื่องที่ติดไวรัส
วิธีดูคือ
1.รู้สึกว่าเครื่องช้าลงไหม
2.เปิด TaskManager ได้ไหม (วิธีดูคือ กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
3.เปิด Regedit ได้ไหม (วิธีเข้าคือ เข้า Start ไปที่ Run แล้วพิมพ์ regedit ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
4.Folder Option ยังอยู่ไหม (วิธีดูคือ เข้า MyComputer ไปที่ Tools(อยู่ข้างล่าง Title Bar) ดูว่ามี Folder Option ไหม)
5.มี Process แปลกๆในเครื่องไหม (ดูใน TaskManager ส่วนรายละเอียดจะอธิบายในบทต่อไป)
6.เปิด Drive ได้ไหม(หมายถึงปกติคือ Double Click เข้าไปได้ไหม)
7.เมื่อเปิด Folder แล้วเปิด Folder นั้นในหน้าต่างใหม่
8.ใน Folder มี Folder ที่ชื่อเหมือน Folder ขึ้นมาโดยเราไม่ได้สร้าง
9.มี PopUp ข้อความ หรือ หน้าต่างของ InternetExplorer(หรือ InternetBrowser อื่นๆ) ขึ้นมาเอง
10.หน้าแรกถูกตั้งเป็นหน้าอื่น เปลี่ยนกี่ทีก็ไม่ได้
11.มี File แปลกๆอยู่ในเครื่องรึเปล่า
12.อื่นๆ ถ้านึกออกจะเอามาลงอีก

หมายเหตุ Process คือโปรแกรมที่ถูกเปิดอยู่ทุกตัวซึ่งบ้างตัวจะทำงานในเบื้องหลัง(มองไม่เห็น)

บทที่สอง ว่าด้วยวิธีดู Process แปลกๆ
วิธีเปิด TaskManager เพื่อดู Process
1.กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือว่ามีโอกาศเกือบ 100% ว่าติดไวรัส
2.ไปที่ Process

วิธีดู Process แปลกๆ
1.ถ้ามี wscript.exe ขึ้นมา (อันนี้ 90% เป็นไวรัส)
2.มีตัวที่มีรายชื่อดังต่อไปนี้มากกว่า 1 ตัวหรือชื่อใกล้เคียง
alg.exe
ctfmon.exe (อันนี้ไม่แน่ใจว่ามีทุกเครืองไหม แต่เป็นของ Windows คงมีทุกเครื่อง)
lsass.exe
services.exe
smss.exe
spoolsv.exe
winlogon.exe(ในกรณีที่เป็น server อาจจะมีมากกว่า 1 ตัวมั้ง ไม่แน่ใจแต่ถ้ามี 2 ตัวให้ดูที่ User Name ถ้าเป็น System คือปกติ)
3.มีตัวที่ชื่อใกล้เคียงกับ svchost.exe หรือเป็นชื่อนี้แต่ User Name ไม่ใช่ NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM

วิธีปิด Process
1.เลือก Process ที่ต้องการปิด
2.กดที่ End Process
3.แล้วกดที่ Yes

คำเตือน การปิด Process ที่มี User Name เป็น NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM ไม่ใช่ความคิดที่ดีอาจจะทำให้เครื่องรวนได้ ในบางกรณีอาจจะ Restart เองเลย
หมายเหตุ บาง Process อาจจะปิดไม่ได้เนื่องจากถูกป้องกันไว้ ส่วนมากจะเป็น AntiVirus เช่น NOD32,NetOP School Student เป็นต้น

บทที่สาม ว่าด้วยเรื่องของ Autorun.inf
Autorun.inf คืออะไร
Autorun.inf คือ File ที่ไวรัสใช้ในการรันโปรแกรมไวรัส(บางตัวอาจจะไม่ใช่ไวรัสนะครับ อาจจะใช้ในประโยชน์อื่น เช่นการเปิดตัวลงโปรแกรมทันทีที่ใสแผ่น CD,เปลี่ยน Icon ของไดรว์ต่างๆ เป็นต้น

วิธีเปิด Autorun.inf
ในกรณีที่มองเห็นให้ Double Click เปิดได้เลย
ในกรณีที่มองไม่เห็นให้เปิด NotePad แล้วไปที่ File > Open แล้วพิมพ์ลงในช่อง File Name ว่า ชื่อไดรว์ตามด้วย Autorun.inf เช่น

F:\Autorun.inf
หมายเหตุ ในที่นี้เราจะดู Autorun ที่ Drive F:


ข้อความใน Autorun.inf ใช้ทำอะไร

[Autorun]

ตัวนี้คือตัวที่บ่งบอกว่าตัวนี้คือ Autorun.inf ตัว Autorun.inf ทุดตัวต้องมี

icon=

ตัวนี้เป็นตัวที่ใช้เปลี่ยน Icon ของ ไดรว์ ส่วนมากไวรัสจะไม่ใช้
ตัวอย่างวิธีใช้

icon=Sakura.ico

โดย Sakura.ico คือชื่อไฟล์ Icon
หมายเหตุ File Icon ต้องเป็น File ที่มีนามสกุล .ico เท่านั้น และมีขนาด 32 * 32 pixel เท่านั้น(บางอันอาจจะได้ถึง 64*64
pixel)

shellexecute=

อันนี้ส่วนมากเป็นไวรัสชนิดที่เป็น VBScript หรือ Script ต่างๆ
ส่วนมากมักเป็น

shellexecute=wscript.exe test.vbs

การทำงานของคำสั่งนี้คือบอกให้รัน Script ที่ชื่อว่า test.vbs ปกติไวรัสแบบนี้แก้ไม่ยาก

Open=

อันนี้ส่วนมากจะใช้กับไวรัสที่เป็น EXE
โดยมักเป็นดังนี้

Open=1.exe

หรือ

Open=1.com

โดยที่ 1.exe หรือ 1.com นั้นเป็นชื่อไวรัส ส่วนมากไวรัสพวกนี้มักแก้ยากเพราะเราไม่รู้ว่ามันทำอะไรกับเครื่องเราบ้าง

Shell\auto\command=
Shell=auto

อันนี้คล้ายกับ Open ผมจะอธิบายทีละบรรทัดนะครับ

Shell\auto\command=

บรรทัดนี้จะเป็นตัวชี้ File ว่าให้เปิดอะไร ส่วนตรง auto นั้นสามารถเปลี่ยนได้ เช่น

Shell\test\command=

จะเหมือนกับอันบน คำสั่งนี้เมื่อคลิกขวาที่ Drive จะมีคำสั่งเพิ่มขึ้นมา เช่นถ้าเป็นของอันบนจะมีคำสั่ง auto เพิ่มขึ้นมา แต่ถ้าของอันล่างจะมี test เพิ่มขึ้นมา

Shell=auto

ส่วนอันนี้เป็นตัวที่บอกว่าถ้า Double Click จะไปเปิดตัวไหน เช่นอันนี้คือถ้า Double Click จะคล้ายคลิกขวาที่ Drive แล้วเลือก auto ก็คือรันไวรัสนั่นเอง บางตัวอาจจะใช้วิธีนี้แต่ผมจำโครงสร้างไม่ได้เป็นตัว music.exe มันจะทำให้มี Open หลายตัวทำให้งง ถ้าในกรณีนี้ให้เลือกตัวล่าง ส่วนมากตัวล่างมักจะปลอดภัยที่สุด

label=

อันนี้คือตั้งชื่อ Drive อ่ะครับ เช่น

label=MIX THE WIZARD

อันนี้คือให้ชื่อ Drive เป็น MIX THE WIZARD มันไม่ต่างอะไรกับคลิกขวา Properties แล้วเปลี่ยนชื่อไดรว์เท่าไหร่ แต่ถ้ามี autorun.inf อยู่มันจะเอาคำสั่งนี้เป็นหลัก
ที่สำคัญคงมีแค่นี้

ทริกเพิ่มเติม
1.เราควรสร้าง Autorun.inf เก็บไว้ใน FlashDrive แล้วใส่คำสั่ง Icon เข้าไป ประมาณนี้

[Autorun]
icon=Sakura.ico
label=No Virus

เพื่อที่เวลาเราเอา FlashDrive ไปเสียบเครื่องอื่นถ้ามาเสียบที่บ้าน แล้วไม่ขึ้นรูป ก็มีโอกาศว่า autorun.inf โดนเขียนทับ เราจะได้คลิกขวา ดูว่ามีไวรัสไหม ระวังตัวมากขึ้นหน่อย
2.เวลาเสียบ FlashDrive ควร กด Shift ไว้ด้วยไม่ให้มัน Autorun(ส่วนมากมักจะเปิดไวรัสแบบอัตโนมัติที่เสียบ FlashDrive เข้าไป)
หมายเหตุ
1.ต้องมี File Icon และต้องตั้งค่าให้เรียบร้อยด้วย
2.เมื่อเสียบกับเครื่องที่มี AntiAutorun ตัว Autorun.inf ของเราก็จะหายไปนะครับ เพราะมันโง่แยกไม่ออก ดังน้นระวังหน่อยนะครับ

บทที่สี่ การแก้ไวรัสที่เป็น VBScript
เราจะรู้ได้ยังไงว่้าว่าไวรัสชนิดที่เราติดเป็น VBScript รึเปล่า

ดูใน Autorun.inf ถ้าเป็นรูปแบบ

shellexecute=wscript.exe test.vbs

คือตัวไวรัสในที่นี้คือ test.vbs(อาจจเป็นชื่ออื่น) ซึ่งถ้าเป็น .vbs คือ ไวรัสที่เป็น VBScript
ให้เราเปิด Code ขึ้นมาดูโดยใช้ NotePad เปิดคือเปิด NotePad แล้ว แล้วไปที่ File>Open แล้วไปที่ไดรว์ที่พบ Autorun.inf แล้วพิมพ์ชื่อ File ลงในช่อง File Name
คำสั่งต่างๆใน VBScript

On Error Resume Next

อันนี้จะบอกว่าถ้าเกิด Error ไม่ต้องสนใจให้ทำงานต่อไป

Set dirwin = fso.GetSpecialFolder(0)

อันนี้เป็นคำสั่งที่ให้ dirwin เก็บ Path ของ Windows ทั่วไปคือ C:\Windows

Set dirsystem = fso.GetSpecialFolder(1)

อันนี้เป็นคำสั่งที่ให้ dirsystem เก็บ Path ของ System32 ทั่วไปคือ C:\Windows\System32

Set dirtemp = fso.GetSpecialFolder(2)

อันนี้เป็นคำสั่งที่ให้ dirtemp เก็บ Path ของ Temp ทั่วไปคือ C:\Documents and Settings\ชื่อ Username\Local Settings\Temp

Set c = fso.GetFile(dirsystem & "\wscript.exe")
c.copy

ปกติข้างหน้าจุดจะมีชื่อตัวแปรอยู่(ในที่นี้คือ c) เป็นคำสั่ง copy file โดยมีรูปแบบคำสั่งดังนี้

Set c = fso.GetFile("C:\so.exe")
c.copy("C:\test.exe")

โดยบรรทัดแรกคือFile ต้นฉบับ บรรทัดล่างคือ File ที่ถูกวาง เวลาดูต้องดูด้วยว่าชื่อตัวแปรตรงกันไหม โดยตัวแปรสามารถตั้งชื่อให้แตกต่างกันได้ในที่นี้มีตัวแปร 2 ตัวคือ c และ fso ในที่นี้เป็นการคัดลอก File ที่ชื่อ so.exe จาก C:\ ไปที่ C:\ แต่เปลี่ยนชื่อเป็น test.exe

wscr.RegWrite

อันนี้คือคำสั่งเขียนค่าใน registry โดยมีรูปแบบดังนี้

wscr.RegWrite "ที่อยู่ของค่า regetry",ค่าของ regetry,"ชนิดของ regetry"

โดย wscr เป็นชื่อตัวแปร อาจเปลี่ยนแปลงได้

set tf=fs.createtextfile("C:\flash.vbs",2,true)
tf.write "test"
tf.close

อันนี้เป็นคำสั่งที่ใช้สร้าง Text File โดยมีรูปแบบังนี้

set tf=fs.createtextfile("ที่อยู่+ชื่อ File พร้อมนามสกุล File(ไม่จำเป็นต้องเป็น .txt)",อนุญาติให้เขียนทับหรือไม่,อันนี้ให้เขียนเป็น Unicode หรือไม่(ปกติเป็น ASCII))
tf.write "ข้อความที่ต้องการเขียน(ถ้าเก็บไว้ในตัวแปรให้ลบฟันหนูออกแล้วใส่ชื่อตัวแปร)"
tf.close

หมดแล้วมั้ง ต่อไปนี้เป็นการเชื่อม String

a = "456"
b = "123" & a

อันนี้กำหนดให้ a มีคำว่า 456 อยู่ b มีค่าเป็น 123 และมีค่า a ต่อท้าย โดยเครื่องหมาย & เป็นตัวเชื่อมข้อความกับตัวแปร และชื่อตัวแปรจะไม่มีเครือ่งหมาย " ในที่นี้ b จะมีค่า 123456
อันนี้คงหมดแล้วแหละ

บททีห้าี่ การกู้ค่าRegistry ที่ควรรู้จัก
ในกรณทั่วไป

ให้ใช้ NOD32 Registry Recovery-V1.1.exe(โหลดได้ข้างล่าง) แล้วกด Next ไปเรื่อยๆจนจบ ถ้ามีขึ้นถาม Yes No ก็ตอบ Yes
แล้วเปิด CloseSystemWinXPRestore.reg กด Yes แล้วกด OK

ค่า Registry ที่ไวรัสบางตัวแก้ อันตรายและลบไม่ได้

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

ค่านี้จะลบไม่ได้
ปกติจะเป็น

C:\WINDOWS\system32\userinit.exe,

เปลี่ยนตามที่อยู่ของ Windows ห้ามลบเด็ดขาดแก้ให้เหลืออันนี้อันเดียวพอ ยกเว้น Windows ที่เป็น server พวก 2003 หรือ 2000 เนี่ยไม่แน่ใจ

การแก้ค่า Registry เอง
ให้ลองไปอ่าน ScriptRegistry.pdf ที่อยู่ใน File Rar ข้างล่างดูครับ

บทสุดท้าย การแก้ไวรัสแบบง่ายๆ
วิธีแก้ที่เป็น vbs

อันนี้ไม่ยากนั่งแกะ VBS แล้วก็ดูว่ามันกอปไปไว้ไหนบ้าง แก้ค่า Registry อะไรบ้างเราก็ไปแก้คืนซะส่วนมากก็ทำเป็นค่าตรงข้ามซะ มี 0 กับ 1 ยกเว้น

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

อันนี้ลบไปได้เลย
ไวรัสที่ไม่ใช่ vbs
อันนี้กู้คืนยาก ให้เราเปิด CPE17AntiAutorun1310.exe คลิกขวาที่ Icon ของมันตรง System Tray ไปที่ Windows Command เลือก Call Task Manager ไปที่ Process แล้วให้เรียงตาม Username ให้ End Task ออก จนเหลือ explorer.exe และ ctfmon.exe เท่านั้น(ถ้า End Task บางตัวไม่ได้ก็ไม่เป็นไรปล่อยมันไป) แล้วก็ดูใน Autorun.inf ว่าชื่ออะไรแล้วก็ไปลบ แล้วก็กู้ค่า Registry แล้วคลิกขวาที่ Icon ของAntiAutorunตรง System Tray ไปที่ Windows Command เลือก Call MS Config ไปที่ Start up แล้วเอาตัวที่เรียกจาก Temp และ Windows ออก ยกเว้น
ctfmon
.exe
TINTESTP.exe
IMJPMIG.exe
แล้วก็โปรแกรมที่คุณรู้จักเช่น NeroCheck
พื้นฐานแค่นี้แหละ ถ้าคิดว่าไม่แน่ใจก็ใช้ Hijackthis จัดการเก็บ Log Files แล้วไป ตรวจที่ www.hijackthis.de หรือโพสถามที่บอร์ดคอมเช่น Thaiware เป็นต้น

หมายเหตุ การทำคำสั่ง ชื่อ Process หรือ ชื่อ Files ต่างๆ ตัวพิมพ์ใหญ่พิมพ์เล็ก ไม่สำคัญเพราะงั้นไม่ต้องไปสน ดูว่าตัวเดียวกันรึเปล่าก็พอ


ลิงค์ที่เกี่ยวข้อง
CPE17AntiAutorun
http://cpe17.com/yabb/Attachment/cpe17antiautorun1405.exe
NOD32 Recovery Tools
http://community.thaiware.com/thai/index.php?showtopic=301357&st=0&start=0

วิธีใช้ Hijackthis
http://community.thaiware.com/thai/index.php?showtopic=290250&st=0&start=0
ScriptRegistry.pdf
http://v3.gushare.com/file.php?file=0240fcca568bcfc2f5ca6d0b3c214666

Comment

Comment:

Tweet

great work.

#11 By Proposal Dissertation (116.71.63.162) on 2011-10-07 01:16

it's good to see this information in your post, i was looking the same but there was not any proper resource, thanx now i have the link which i was looking for my research.

#10 By uk dissertation (116.71.6.253) on 2011-02-09 23:40

ข้อมูลดี งิ

#9 By แอล (210.148.57.5) on 2011-02-07 14:47

article great for me, its so beautiful tips given to me,

#8 By Phd Dissertation Proposal (182.178.111.138) on 2010-12-14 13:58

โดนเต็มๆ

อยากเอาปืนลูกซองไปยิงไช่งซ้ายของคนสร้าง

เลวจิงๆไม่น่าเกิดมาเลยwink

#7 By 666 (124.120.44.97) on 2010-12-06 18:28

รักนะ

#6 By (203.148.190.11) on 2010-06-22 14:14

วงangry smile tongue tongue tongue

#5 By (203.148.190.11) on 2010-06-22 14:10

วงangry smile tongue tongue tongue

#4 By (203.148.190.11) on 2010-06-22 14:10

#3 By (58.147.17.180) on 2010-05-20 18:57

เป็นไวรัส ที่โดนแล้วปัญหา มาบาน

- - วิธีแก้ก็ซับซ้อน

อยากเห็นหน้าคนสร้างจัง

เห็นแล้วจะพาพวกไปตีหัวแม่งไห้ตายๆ

ไปซะอยู่แล้วรกโลก ดีไม่ทำยังเลวกลับอิก

คนอย่างนี้น่าส่งกลับบ้านเก่า

#2 By ไปร์ท (124.120.36.135) on 2010-03-02 16:56

ยังไม่ค่อยละเอียด

#1 By poo (119.31.48.114) on 2009-06-01 19:34