ด้วย พวกที่ไม่ได้ร้ายแรงอะไรเช่นพวก Hacked By ทั้งหลายเนี่ย จะไม่มีการทำลายไฟล์หรือทำอะไรที่ซับซ้อนมากนัก แต่บางตัวนี่รุนแรงครับเล่นกันถึงขั้น ลบไฟล์ในเครื่องจนต้องลง Windows ใหม่กันเลยทีเดียวครับ เอาเป็นว่าเรามาดูขั้นตอนคร่าวๆกันดีกว่านะครับว่าจะทำอะไรกับมั้นได้บ้าง ไอ้ไวรัสตัวร้ายเนี่ย ถึงแม้อาจจะ ไม่สามารถแก้ไขได้ทุกตัวแต่ก็น่าจะพอเป็นแนวทางได้บ้างครับ
อย่างที่บอกว่าสำหรับขั้นตอนการทำงานของไวรัสนั้นมีอะไรบ้าง คราวนี้เรามาไล่ย้อนขั้นตอนมันกลับไปเพื่อ ที่จะจัดการ มันครับ ตามที่บอกครับว่าไวรัส นั้นเมื่อมันติดมาแล้วมันจะต้องไปแอบอยู่ในหน่วยความจำ เครื่องเราเพื่อทำหน้าที่ของมัน และตรวจสอบการทำงานของตัวเองด้วย เช่นถ้ามันสั่งปิด Show All File แล้วเราไปเปิด มันก็จะปิดอีกครับ ดังนั้นถ้าเราเอามัน ออกไปจากตรงนี้ได้ อย่างน้อยๆตอนนี้มันก็จะไม่สามารถทำอะไรได้แล้วล่ะครับ แล้วเราค่อย ตามล่าเอาตัวจริงของมันออก จากเครื่องไปซะให้สิ้นซาก
ในการตรวจสอบตัวไวรัสที่อยู่ในหน่วยความจำ(Process) ส่วนใหญ่ก็อาศัยตัว Task Manager ของตัว Windows นั่นล่ะครับ แต่มันมักจะมีปัญหาตรงที่ว่า ไอ้ไวรัสตัวหลังๆนี่มันรู้ทันเราซะแล้วครับ เลยอาศัยคุณสมบัติของ Windows ที่สามารถปิดการใช้ตัว Task Manger มาปิดกั้นการใช้ของเราซะงั้น พอจะเรียกใช้ก็ดันขึ้นเป็นสีเทาไม่ให้เรียกอีก ไม่เป็นไรครับผมแนะนำว่าไปใช้ตัวนี้แทนก็ได้ครับ ฟรีเหมือนกัน โหลดมาติดเครื่องไว้ก็ดีครับ เผื่อเจอปัญหาโดน Lock Task Manager ก็ใช้ตัวนี้แทนซะเลย หรือถ้าใครติดใจจะกำหนดให้มันมาแทน Task Manager ของ Windows เลยก็ได้ครับ เจ้าตัวที่กล่าวถึงนี่คือโปรแกรม 
Precess Viewer แนะนำนิดนึงครับว่า เมื่อโหลดมามันจะเป็น Zip ไฟล์ ให้เราเอาออกมาแค่ PrcView.exe ตัวเดียวก็พอครับ
Precess Viewer แนะนำนิดนึงครับว่า เมื่อโหลดมามันจะเป็น Zip ไฟล์ ให้เราเอาออกมาแค่ PrcView.exe ตัวเดียวก็พอครับถ้าให้ดีก็ Copy ตัวนี้ใส่ Thumb Drive ไว้เลยครับ เผื่อไปเจอเครื่องที่มีปัญหาเรียก Task Manager ไม่ได้เราจะได้ใช้ตัวนี้ได้เลยสะดวกดีครับไม่ต้อง Install
หมายเหตุนิดนึงว่าหลังจากเรียกใช้โปรแกรมนี้แล้วถ้าเราเปิด Show All File ไว้จะเห็นไฟล์ชื่อ PRCVIEW.GID เป็น Icon ใสๆ ก็ไม่ต้องตกใจนะครับ เป็นไฟล์ที่โปรแกรมสร้างขึ้นมาเก็บค่า Config ของมันน่ะครับไม่ใช่ไวรัส แต่ประการใด ที่เห็นใสๆ เพราะเป็นไฟล์ที่ Hidden ไว้แต่เราเปิด Show All เลยมองเห็นเท่านั้นเองครับ เอาล่ะครับเมื่อเราเรียกมันขึ้นมาแล้วก็จะเห็น Process เหมือนๆ Task Manger นั่นล่ะครับ การเชิญตัวไวรัสซึ่งเราไม่ได้ชวนมาให้ออกไปจากหน่วยความจำนี่ก็ใช้การ Click ที่ชื่อ Process ที่เป็นไวรัสแล้วเลือก Kill(เครื่องหมาย X) มันเลยครับ เหมือนกับการ End Process ใน Task Manager นั่นล่ะครับ แค่นี้มันก็โดนเนรเทศ ออกไปจากหน่วยความจำเครื่องเราเรียบร้อยแล้วล่ะครับ
คำถามคือแล้วเราจะรู้ได้ไงล่ะว่าตัวไหนเป็น Process ของไวรัส ตามรูปนี่ผมขอยกตัวอย่างเจ้าตระกูล Hack By รวมถึงพวกตระกูลที่ใช้ VB Script เหมือนกัน ซึ่งสังเกตุง่ายๆเจ้าพวกนี้ชอบเปลี่ยนหัวของ IE เพื่อประกาศศักดานะครับ เนื่องจากเจ้าพวก VB Script(.VBS ) นี่ไม่สามารถจะทำการ Execute ด้วยตัวเองได้จึงต้องอาศัยตัว โปรแกรมของ Windows มาแปลคำสั่งแล้วทำตามที่กำหนดไว้ เจ้าตัวช่วยแปลที่กล่าวถึงคือ Wscript.exe ซึ่งเป็นของ Windows เองนี่ล่ะครับ ซึ่งโดยตัวมันเองไม่ใช่ไวรัสนะครับ เพียงแค่โดนไวรัสใช้เป็นเครื่องมือในการทำงานเท่านั้นเอง อย่าไปลบมันทิ้งซะล่ะ ถ้าใครอยากรู้จักมันมากกว่านี้ว่าเอาไว้ทำอะไรได้บ้างก็ลองดูที่นี่นะครับ
เมื่อเปิดโปรแกรมขึ้นมาแล้วให้มองหาตรงช่อง Name นะครับ หาตัวที่ชื่อว่า WScrip.exe ให้เจอแล้ว Kill มันเลยครับ ลองหาดูให้ดีนะครับมันอาจจะมีอยู่หลายตัวให้จัดการ Kill มันให้หมดทุกตัวเลยนะครับอย่าเหลือไว้ทำพันธุ์ วิธีป้องกันการตกหล่นคือให้ Click ตรงคำว่า Name นะครับมันจะได้จัดเรียงตามชื่อ คราวนี้มีกี่ตัวมันก็จะเข้า แถวมาให้เรา Kill แล้วล่ะครับ ไม่ตกหล่นแน่นอน เท่านี้เจ้าไวรัสตระกูลที่ใช้ .VBS ก็หมดฤทธิ์แล้วล่ะครับ เพราะไม่มีตัวกลางในการรันมันแล้ว เดี่ยวเราค่อยตามกวาดล้างมันในขั้นตอนต่อไป
สำหรับไวรัสตัวอื่นๆก็เช่นเดียวกันล่ะครับ ขอแค่เรารู้ชื่อ Process มันแล้ว Kill มันทิ้งซะ คือไล่มันออกไปจากหน่วยความจำได้ก็ถือว่าสำเร็จไปขั้นนึงแล้วล่ะครับ
ขั้นตอนต่อมาเมื่อเราเชิญมันออกไปจากหน่วยความจำได้แล้วก็ต้องตามล่าตามล้างมันออกไปจากเครื่องด้วยครับ ไม่งั้นพอ Boot เครื่องใหม่มันก็จะกลับมาอีก จำที่กล่าวข้างต้นได้ใช่มั้ยครับว่ามันมักจะโหลดขึ้นมาพร้อม Windows เราจะต้องทำการสกัดกั้นไม่ให้มันขึ้นมาพร้อม Windows ได้ ซึ่งโดยทั่วไป(อีกแล้ว) เรามักจะใช้การเอาออกจากตัว Msconfig ของ Windows ซึ่งก็เช่นเดิมครับ เจ้าไวรัสรู้มากก็ไป Block ตัว Msconfig อีกแล้วครับท่าน แต่ช้าก่อนเราใช้ตัว Process Viewer ตัวเดิมนั่นล่ะครับแทน Msconfig ได้เหมือนกัน(โหลดมาทีนึงใช้ให้คุ้มเลย) โดยการเลือกที่เมนู Tools => Auto Runs มันก็จะแสดงรายชื่อโปรแกรมที่มีการโหลดขึ้นมาพร้อม Windows ซึ่งแน่นอนเจ้าไวรัสตัวร้ายก็ขออาศัยโหลด ขึ้นมา กับเค้าด้วยเหมือนกัน เราก็ต้องเชิญมันออกไปเหมือนเดิมครับคือเลือกตรงชื่อที่ต้องการเชิญออกไป แล้วกด Remove(เครื่องหมาย X) ครับ เท่านี้มันก็ไม่โหลดขึ้นมาพร้อม Windows เราอีกแล้วล่ะครับ
มาถึงขั้นสุดท้ายแล้วล่ะครับ ขั้นกำจัดกวาดล้างให้หมด คือถึงแม้ว่าเราจะไม่ให้มันโหลดขึ้นมาพร้อมๆกับ Windows แล้วแต่มันยังอาศัยอยู่ใน Harddisk ครับ เราก็ต้องทำการกำจัดมันออกไปให้พ้น ซึ่งไม่มีอะไรซับซ้อนครับ ปุ่ม Delete นี่ล่ะครับทุกเครื่องมีแน่นอนอยู่แล้ว ถ้าให้ดีกด Shift+Delete ไปเลยครับจะได้ไม่ต้องมารกในถังขยะเราอีกส่วนจะต้องลบตัวไหนบ้างนี่ก็แล้วแต่ตัวไวรัสแต่ละตัวล่ะครับ ว่ามันแอบไว้ตรงไหนบ้าง
ในขั้นต้นผมแนะนำว่าในแต่ละ Drive นั้นที่ลบได้แน่ๆไม่ผิดพลาดคือไฟล์ Autorun.inf (Icon จะเป็นรูปกระดาษ +เฟือง)และอีกตัวที่ลบได้เลยไม่ต้องคิดคือพวกไฟล์นามสกุล .VBS โดย Icon จะเป็นรูปคล้ายๆกระดาษม้วนสีฟ้าๆ ตามรูปน่ะครับลบได้เลยครับ ส่วนตัวอื่นๆแอบอยู่ที่ไหนบ้างก็ขออ้างอิงจากด้านบนนะครับ คือตอนที่เราใช้ Process Viewer ดูว่ามันโหลดอะไรขึ้นมาพ้อมกับ Windows บ้างนั้น ให้เราดูตรงช่อง Command Line แล้วจดไว้นะครับว่าไฟล์ที่มันเรียกขึ้นมาน่ะอยู่ตรงไหน ตามไปลบมันตรงนั้นเลยครับ
แต่เดี๋ยวก่อน เจ้าไวรัสบางตัว(หลังๆนี่เกือบทุกตัว)ใช้การป้องกันไม่ให้เราดูไฟล์ที่โดนซ่อนไว้ได้ ตามที่บอกไว้ในตอนต้นๆโน่นเลยว่ามันจะไม่ยอมให้เราเปิด Show All Files ได้ บางตัวเล่นกันถึงแอบ Folder Options เลย เอาไว้ผมจะเขียนเรื่องการแก้ปัญหานี้อีกทีนะครับ ตอนนี้เราแก้ปัญหาด้วยเครื่องมือตัวนี้ก่อนครับ เจ้าตัวที่ว่านี้ชื่อว่า Explorer XP ความสามารถของมันคือมองเห็นไฟล์ได้ทั้งหมดไม่ว่าจะโดนแอบยังไง เราก็ใช้เจ้าตัวนี้ล่ะครับเข้าไปหาไฟล์ที่ต้องการลบ เหมือนกับเข้าทาง My Computer นั่นล่ะครับ แต่มันสามารถมองเห็นไฟล์ที่แอบไว้ได้ครับ สำหรับเจ้าตัวที่โหลดมานี่จะเป็นไฟล์แบบ Install ก่อน แต่ผมลองดูแล้วมันเป็น Portable ด้วยนะครับ คือหลังจาก Install เสร็จแล้วให้เราเข้าไปใน Folder ที่มัน Install ไว้ ซึ่งโดยทั่วไปจะเป็น "C:\Program Files\ ExplorerXP\" แล้วเราสามารถ Copy เฉพาะไฟล์ ExplorerXP.exe ใส่ไว้ใน Thumb Driveเพื่อนำไปใช้ ที่เครื่องอื่นๆโดยไม่ต้อง Install อีกได้เลยครับ แต่แนะนำว่าให้สร้าง Folder ใน Thumb Drive ให้มันอยู่นิดนะครับ เพราะในการเรียกใช้งานมันจะสร้างไฟล์ เก็บค่าของมันประมาณ 3 ไฟล์ขึ้นมาด้วย ถ้าไม่ใส่ไว้ใน Folder เดี๋ยวจะงงได้ครับว่าไฟล์มาจากไหน
Explorer XP ความสามารถของมันคือมองเห็นไฟล์ได้ทั้งหมดไม่ว่าจะโดนแอบยังไง เราก็ใช้เจ้าตัวนี้ล่ะครับเข้าไปหาไฟล์ที่ต้องการลบ เหมือนกับเข้าทาง My Computer นั่นล่ะครับ แต่มันสามารถมองเห็นไฟล์ที่แอบไว้ได้ครับ สำหรับเจ้าตัวที่โหลดมานี่จะเป็นไฟล์แบบ Install ก่อน แต่ผมลองดูแล้วมันเป็น Portable ด้วยนะครับ คือหลังจาก Install เสร็จแล้วให้เราเข้าไปใน Folder ที่มัน Install ไว้ ซึ่งโดยทั่วไปจะเป็น "C:\Program Files\ ExplorerXP\" แล้วเราสามารถ Copy เฉพาะไฟล์ ExplorerXP.exe ใส่ไว้ใน Thumb Driveเพื่อนำไปใช้ ที่เครื่องอื่นๆโดยไม่ต้อง Install อีกได้เลยครับ แต่แนะนำว่าให้สร้าง Folder ใน Thumb Drive ให้มันอยู่นิดนะครับ เพราะในการเรียกใช้งานมันจะสร้างไฟล์ เก็บค่าของมันประมาณ 3 ไฟล์ขึ้นมาด้วย ถ้าไม่ใส่ไว้ใน Folder เดี๋ยวจะงงได้ครับว่าไฟล์มาจากไหน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น