กำจัดไวรัสที่ซ่อนตัวใน Drive ให้สิ้นซาก ด้วยคำสั่ง DOS

June 10, 2009 by: admin
 
 
 

อาจารย์บอย ค๊าบบ!….. อาจารย์ บอย ค๊าบ!….. เสียงคุ้น ๆ ตะโกนเรียกมาจากหน้าบ้านพร้อมเสียงสุนัขที่เลี้ยงไว้ 1 ฝูงเห่ากันให้เกรียว   ผมชะงักมือกับการเงื้อดาบซามูไรเล่มยาวที่กำลังจะฟันลงไปยังต้นกล้วยที่ออกผลสุกงอมเหลืองอร่าม  “แหม่ใครนะมาเรียก อาจารย์อีก เลิกสอนไปเป็นปีแล้ว” ผมคิดในใจพลางเดินถือดาบซามูไรตรงไปยังเสียงเรียก.

“เหวออออ! อาจารย์ถึงกับต้องถืออีดาบมาฟันผมเขียวเหรอ”  เจ้าของเสียงเรียกร้องแบแอ๊บตกใจเมื่อเห็นผมเดินมา

“อ๋อ นึกว่าใคร สมชัยนั่นเอง มีอะไรเหรอ?” ผมถามเมื่อเห็นหน้าลูกศิษย์ที่สนิทมากคนหนึ่ง พลางมองในมือถือกระเป๋า Note book ติดมาด้วย

“คืองี้ครับอาจารย์….ลูกค้าผมเอา Note book มาซ่อมครับมันติดไวรัส ผมก็สแกนไปหมดแล้วครับแต่พอซักพักมันก็กลับมาอีก..ทำยังไงก็ไม่หายผมเลยตัดสินใจ Format แล้วลง windows ใหม่ครับพอลงใหม่เสร็จยังไม่ทันทำอะไรเลยติดไวรัสตัวเดิมอีกแล้ว ทั้ง ๆ ที่ก่อนหน้าformat ผม scan d: แล้วนะครับว่ามันตายไปหมดแล้ว”  ลูกศิษย์ที่มาเรียนซ่อมคอมกับผมจนได้ดิบได้ดีไปเปิดร้านของตัวเองเล่าอาการเครื่องของลูกค้าให้ฟัง ซึ่งก็ไม่น่าแปลกใจนักเพราะไวรัสเดี๋ยวนี้มันฉลาด
“แล้วสมชัยลองเปิด hiden file ดูหรือยังหล่ะว่ามันมีไฟล์อะไรแปลก ๆ อยู่ใน D: หรือเปล่าก่อนจะ format” ผมถามไปตามที่เคยสอนไว้

“ก็ดูนะครับ แต่ไม่มีอะไรเลย”
ผมเริ่มเหงื่อตก เพราะไม่ได้ซ่อมคอมมาปีกว่าแล้วหลังจากที่เลิกสอนมาเพราะปัญหาสุขภาพ แต่กลัวจะเสียหน้าต่อหน้าลูกศิษย์เลยให้สมชัยเข้ามาในบ้านเพื่อขอดูอาการก่อน.
   หลังจากปาดเหงื่อเพราะไล่จับฝูงน้องหมาที่จ้องจะแทะน่องของศิษย์รักเข้ากรงอยู่นาน ผมก็มาเริ่มตรวจเช็ค Notebook  เจ้าปัญหาทันทีเริ่มแรกก็ต้องทำการเช็ค D: ซะก่อนเพราะไวรัสประเภทที่ฝังตัวอยู่ใน Drive นี้สามารถที่จะทำงานได้ตลอดเวลาโดยอาศัยไฟล์ที่มีชื่อว่า Autorun.inf ที่จะไปแฝงและแอบซ่อนไว้ในทุก ๆ partition ของเเครื่องนั้น ผมก็ Double click ที่ my computer แล้วคลิ๊กขวาที่ d: เลือก Explore เพื่อให้เปิดข้อมูลใน D: ขึ้นมาโดยหลีกเลี่ยงไฟล์ Autorun.inf ไปที่คำสั่ง  Tools>Folder options>view แล้วไปติ๊กที่ show hiden file….. ตามภาพที่ 1 แล้วกด apply แล้วกด OK เพื่อให้ windows แสดงไฟล์ที่ถูกซ่อนไว้

ภาพที่ 1 เปิดดู ไฟล์ที่ถูกซ่อนอยู่

 

แล้วผมก็กลับไปดูที่  d: อีกครั้งก็ ไม่ปรากฏไฟล์ซ่อนใด ๆ ตามที่ลูกศิษย์ได้ระบุไว้ แต่ก็ค่อนข้างแปลกใจที่ไม่เห็น folder  “System volumn information” และ “Recycler” ที่ Windows จะต้งสร้างขึ้น อัตโนมัติหลังจากที่ลง windows เสร็จแล้ว ผมจึงกลับไปดูที่ View อีกครั้งปรากฏว่า ตัวเลือกไปมันไปอยู่ที่  “Do not show hiden files…and folders ON” ซึ่งหมายความว่าไม่ให้แสดงไฟล์ซ่อน ผมก็ตกใจนึกว่าคลิ๊กผิดหน้าแตกต่อหน้าลูกศิษย์แน่ ๆ เลยรีบติ๊กที่ Show hiden… ใหม่แล้วกด apply แล้วกด OK อีกครั้งอย่างตั้งใจ  ผลปรากฏว่าเหมือนเดิมครับที่ D: ไม่มีการแสดงไฟล์ซ่อนใด ๆ และที่ View ก็เป็น  Do not show… เหมือนเดิม

   เอาหล่ะสิครับผมโดนไวรัสเล่นของเข้าให้แล้วและพยายามนึกวิธีการกำจัดไวรัสตัวนี้ออกไปให้ได้ และบอกให้สมชัยกลับไปก่อนโดยผมขอเวลาหาวิธีคิดก่อน…..
หลังจากนั่งตรึกตองอยู่นาน เพราะสแกนก็ไม่เจอ เปิดไฟล์ซ่อนก็ไม่ได้ แล้วทำอย่างไรผมถึงจะเห็นตัวตนของเจ้าไวรัสตัวนี้ได้ ฉับพลันก็นึกถึงคำสั่ง Dos คำสั่งนึงขึ้นมาได้เป็นคำสั่งที่ไม่ว่าไฟล์นั้นจะถูกซ่อนแบบลึกลับซับซ้อนแค่ไหน ก็ไม่มีวันรอดพ้นสายตาไปได้ คำสั่งนั้นคือ

ATTRIB !    (แอดทริป)
     Attrib เป็นคำสั่งที่ใช้ในการ ซ่อนหรือยกเว้นการซ่อนไฟล์ที่ค่อนข้างสำคัญ เช่นไฟล์ระบบ ไฟล์บูต ไฟล์ของ OS และโดยส่วนใหญ่ไวรัสที่แฝงตัวอยู่ใน partition พวกนี้จะจำลองตัวเองเป็นไฟล์ระบบและไฟล์อ่านอย่างเดียวจึงทำให้ Anti-virus ทั่วไปไม่สามารถตรวจสอบได้ ผม Restart เข้า Save mode (กด F8 ตอน บูต)  แล้วเปิด command prompt ใน save mode  ออกมาแล้วเปลี่ยนไปที่ D: พิมพ์ Dir/ah (ดูไฟล์ที่ซ่อนทั้งหมด) ก็ได้ตามภาพที 2 ครับ

 ภาพที่ 2  ใช้คำสั่ง DIR/AH เพื่อดูไฟล์ที่ถูกซ่อนอยู่ทั้งหมดของ partition นั้น ๆ

ดังคาดผมเจอไฟล์ผิดปกติ 3 ไฟล์นั่น คือ Autorun.inf จำเลยที่ 1 และ 1ogf.exe,fbak.exe จำเลยที่ 2 และ 3 ตามลำดับ ที่นี้เราจะต้องนำเจ้า Autorun.inf มาสืบสวนครับว่ามันทำงานให้ใครโดยการใช้คำสั่ง Dos อีกตัวที่ชื่อ ว่า TYPE (ไทป์)  Type เป็นคำสั่งที่ใช้ในการแสดงข้อมูลในฟล์ประเภท TXT ครับ โดยรูปแบบการใช้คำสั่งคือ พิมพ์ Type autorun.inf (ภาพ3)

ถาพที่ 3 คำสั่ง type 

แล้วเจ้า Autorun.inf ก็จะสารภาพออกมาว่ามันทำงานให้กับไฟล์ที่มีชื่อ ว่า Fbak.exe (ซึ่งจริงๆแล้วเจ้า 1ogf.exe ก็อาจมีไฟล์ Autorun.inf แต่คลถูกเขียนทับ ด้วย Autorun.inf ของ fbak.exe

เอาหล่ะครับเมื่อทราบถึงแหล่งที่มาของตัวโปรแกรมร้ายแล้วเราก็มากำจัดด้วยพระเอกของเรา Attrib ครับ
ขั้นแรกให้คุณกำจัดไวรัสที่ไม่มีไฟล์ Autorun ก่อนเพราะมันจะไม่สามารถแพร่พันธุ์กลับมาได้ไวเหมือนตัวที่มี autorun ให้คุณพิมพ์ดังนี้ครับ
ATTRIB -H -R -S 1OGF.EXE  แล้วกด enter แล้วกด enter แล้วก็ทำอย่างเดียวกันกับไฟล์ตัวร้ายที่เหลือ

 

ภาพที่4 Attrib -h(ยกเลิก hiden) -R (ยกเลิก Read only) -S (ยกเลิกการระบุว่าเป็นไฟล์ System)

หลังจากเรายกเลิกคุณสมับติการซ่อนไฟล์ของเจ้าตัวร้ายทั้ง 3 แล้ว ก็ให้เราทำการกำจัดทิ้งด้วยการใช้คำสั่ง DEL ครับ รูปแบบการใช้คำสั่งคือ
del autorun.inf แล้วกด enter
del 10gf.exe แล้วกด enter
del fbak.exe แล้วกด enter
หลังจากนั้นให้รีบทำการ Restart เครื่องแล้วFormat c: ลงwindows ใหม่ทันทีโดยห้ามไม่ให้มีการ boot  windows ที่ติดไวรัสขึ้นมาอีก ไม่อย่างนั้น D: ของคุณก็จะโดนไวรัสอีกเพราะ เจ้าตัวร้ายที่แท้จริงตอนนี้มันฝังตัวอยู่ใน Windows  เรียบร้อยแล้วและพร้อมที่จะสร้างไฟล์ autorun.inf และเจ้า EXE ทั้ง 2 ไฟล์กลับขึ้นมาอีกได้เสมอ
   และหลังจากที่ลง windows เสร็จแล้วมาตรวจเช็ค D: ก็ปรากฏว่าไม่มีไวรัสใด ๆ หลงเหลืออยู่ใน ทั้ง C: และ D: แล้วครับ
  เป็นอย่างไรบ้างครับไม่ยากเลยใช่ไหมกับการกำจัดไวรัสตัวร้าย ที่ใคร ๆ ก็พากันเข็ดขยาดด้วย Dos โปรแกรมพื้น ๆ ที่หลาย ๆ คนลืมเลือนไปแล้ว แล้วพบกันใหม่คราวหน้านะครับ

***หมายเหตุ Virus อาจมีชื่อและนามสกุลอื่น ต่าง ๆ กันไปเช่น v1.dll.vbs,readme.txt.exe ให้สังเกตุไฟล์ที่มีนามสกุลซ้อนกัน หรือไฟล์ .VBS  แต่พวกไฟล์ระบบอย่าง

Boot.ini
IO.sys
Msdos.sys
Ntdetect.com
NTLDR
พวกนี้อย่าไปเผลอลบเข้าเขียวนะครับ เดี๋ยวจะเข้า windows ไม่ได้ไม่รู้นะครับ ****

 

หน้าแรก freewarelands   หน้าแรกบทความ IT  หน้าแรกข่าว IT  หน้า..บทความนี้….ต้องแนะนำ

 
 
 

Comments

6 Responses to “กำจัดไวรัสที่ซ่อนตัวใน Drive ให้สิ้นซาก ด้วยคำสั่ง DOS”
  1. ตามมาจาก ไทย เสียว ขอบคุณครับ อ่านแล้วพอเข้าใจครับ แต่หัวยังไม่ถึง เอิ๊กกกกก

  2. ple jung says:

    dee mark mark thankyou ja

  3. cyber says:

    ดีคะมีประโยชน์มั๊กๆ เลย
    หุหุ

  4. glosgu says:

    ขอบคุณครับ

    ตามมาอ่านจากทั้ง thaiseo และ thaihosttalk

  5. commix says:

    ขอบคุณครับ เป็น Tip ที่ดีมากๆเลย

  6. ochin says:

    ขอบคุณมากครับผม

:::ลิงค์ผู้สนับสนุนใจดีแวะชมกันหน่อยนะจ๊ะ::: แบตเตอรี่รถยนต์ :: สินเชื่อ