วันนี้มาด้วยวิธีแก้ไวรัสชนิดทำลายล้างตัวหนึ่งหากไม่แก้ด้วยวิธีที่ถูกต้อง ซึ่งก็คือ Win32/Virut.NBP อาการโดยทั่วไปคือ เครื่องทำงานช้าลง มีการแทรกตัวเองลงในไฟล์ .exe ทุกไฟล์ แต่ว่าโปรแกรมนั้นยังสามารถใช้งานได้ปกตินะครับ ลบยังไงก็ไม่หมด อีกอาการคือเน็ตหลุดเข้าบางเว้บไม่ได้
สำหรับเครื่องที่เพิ่งติดและอาการยังไม่หนักมาก ก็ยังพอแก้ได้อย่างเครื่องของผมที่ติดไวรัสตัวนี้จาก การโหลดโปรแกรม CyberLink.PowerDVD.Deluxe.v9.0.1501.0 07 จึงขอเตือนนะครับ ใครคิดจะโหลดโปรแกรมนี้ ซึ่งผมไม่แน่ใจว่าเวอร์ชั่นอื่นๆจะมีหรือเปล่า ขอเตือนให้เปิดระบบ Antivirus ของคุณอย่างเต็มที่ เพราะมันจะมาทันทีที่คุณแตกไฟล์ครับ (นึกแล้วยังแค้นอยู่เลย)
แต่ถ้าเครื่องคุณอาการหนักเนื่องจากติดตัว reader_s.exe ก็ขอให้ทำใจไว้เลยว่า Windows อาจจะเดี้ยงไปแล้วครึ่งตัว ขอให้เตรียมทำการ format ได้เลยครับ ซึ่งตัว reader_s.exe ก็คือตัวหลักของไวรัสตัวนี้ครับ
มาดูรายละเอียดกันก่อนครับ
แจ้งเตือน ขณะนี้มีการระบาดของไวรัสคอมพิวเตอร์ สายพันธ์ใหม่ ซึ่งมีความยุ่งยากในการแก้ไขเป็นอย่างมาก โดยรู้จักกันในนาม reader_s.exe (ยังไม่มีชื่ออย่างเป็นทางการ) ไวรัสคอมพิวเตอร์ตัวนี้ (reader_s.exe)มีอาการดังนี้
1. เครื่องที่ติดไวรัสจะสร้างไฟล์ autorun.inf ทันที่ที่นำ usb มาเสียบแต่ไฟล์ที่ติดไปใน usb ชื่อไฟล์จะเปลี่ยนไปเรื่อยๆ
2. เครื่องที่ติดไวรัสจะสร้างรายการตัวเองใน startup อย่างเปิดเผย อย่างน้อย 2 ไฟล์ ได้แก่ reader_s.exe (จะอยู่ใน profile ของ user ที่ทำการ login โดยแสดงอย่างเปิดเผยและไม่มีการ hidden) และ servises.exe (จะอยู่ใน c:windowssystem32)
3. เครื่องที่ติดไวรัสจะมี process ใน task manager อย่างเห็นได้ชัดเจนและจะ run ตัว svchost.exe หรือ cmd แตกออกหลายตัว ซ้ำๆ กัน(ถ้าคุณลบ จะเหลืออยู่ตัวหนึ่งที่ลบไม่ได้ ถึงแม้ลบออกได้มันก้ยังกลับคืนมาได้)
4. เครื่องที่ติดไวรัสจะมีการสร้างการเรียกตัวเองใน registry หลายๆ ที่ (ถ้าท่านลบมันออกหมด มันสามารถกลับคืนมาได้เหมือนเดิม)
5. ในกรณีที่เราทำการแก้ไข ข้อ 2,3,4 จนเป็นปกติแล้ว boot เครื่องกลับคืนมาใหม่ตรวจดูอีกครั้ง ถ้าไม่พบสิ่งผิดปกติใน ข้อ 2,3,4 ก้ตามไม่ได้หมายความว่าแก้ได้ โดยสังเกตุได้จาก เมื่อสั่ง run โปรแกรมติดตั้งใดๆ จะเกิดอาการแช่แข็ง(ในกรณีที่ตัวมันสงสัยว่า จะ run โปรแกรม anti-virus เพื่อกำจัดมันๆ จะไม่ให้ run ซึ่งไม่ทุกครั้ง)ในหน้าต่างนั้น (บางครั้งจะ switch กลับมาได้แต่น้อยครั้ง ถ้ามีหลายๆ หน้าต่างตัว system tray เองจะค้าง ถูกแช่เข้งไปด้วย) และถ้าเรา restart อีกครั้งมันจะกลับคืนมาเหมือนเดิม
ข่าวร้าย antivirus หรือ anti-spyware หลายๆ ตัวเห็นและรู้จักมันว่าเป็นไวรัส แต่ไม่สามารถกำจัดมันได้อย่างถาวร ได้ค้นหาจากอินเตอร์เน็ทแล้วยังไม่มีวิธีแก้ไขเลยในช่วงนี้ มีการกล่าวถึงไวรัสตัวนี้ว่า เป็น worm ที่อ่านไฟล์ พวกเว็ป(html,php,e-mail )เพื่อดึงรหัสผ่านส่งไปยังอินเตอร์เน็ท
หน้าตาของเครื่องที่โดนเข้าไปแล้ว และที่เครื่องก็ได้ติดตั้ง NOD32 เอาไว้จะมีอาการคือ รันตัวเองตลอดเหมือนจะฆ่าได้ ซึ่งจริงๆแล้วฆ่าไม่ได้ครับ
จากการทดลองส่วนตัวพบว่าโปรแกรม NOD32 v3 และ v4 ใช้ฆ่าไวรัสตัวนี้ไม่ได้ครับ
มีแต่จะสร้างความรำคาญจากการเปิดๆปิดๆ แบบในรูปเท่านั้นครับ
โปรแกรม Antivir Antivirus จะแจ้งเตือนเหมือนกันครับ แต่ก็ใช้ฆ่าไม่ได้เหมือนกัน และถ้าใช้ scan ก็จะไปลบไฟล์ที่ติดไวรัสออกจนหมด อันนี้ลองมาแล้วจริงๆครับ สุดท้ายก็ต้องลง Windows ใหม่ โชคดีที่เครื่องเป้นเครื่องใหม่ ไม่มีไฟล์อะไรมาก เลยขอล้างเครื่องทีเดียวไปเลย
โปรแกรมที่จะใช้จัดการไวรัสตัวนี้คือ Kaspersky Antivirus ครับ (เห็นหลายๆที่ใช้กันและแนะนำมา)
สำหรับขั้นตอนในการล้างไวรัสตัวนี้ของผมคือ
1. ดึงสายเน็ตออก หรือตัดการเชื่อมต่ออินเตอร์เน็ต ,Lan ทั้งหมด
2. เข้า SafeMode โดยการกด F8 รัวๆก่อนเข้า Windows
3. ใช้ HijackThis (ชื่อไฟล์ HJTInstall.exe)
แล้วสังเกตหาบรรทัดพวกนี้
O4 – HKCU..Run: [servises] C:WINDOWSsystem32servises.exe
O4 – HKCU..PoliciesExplorerRun: [servises] C:WINDOWSsystem32servises.exe
4. ดับเบิ้ลคลิ๊กที่ไฟล์ fix.bat แล้วกดปุ่มอะไรก็ได้จากนั้นรอจนเสร็จ
ไฟล์นี้คือโค้ดที่ใช้แก้ไวรัส โดยจะปิดการทำงานของไวรัสครับ เป็นโค้ดที่มาจากคุณ Carlzei$$ แห่ง beartai.com ครับ
5. ใช้ rmvirut.exe ซึ่งเป็นตัวแก้ไวรัสตัวนี้โดยตรงครับ มาจาก AVG โปรแกรมจะสแกนไฟล์ทั้งหมดในเครื่องและทำการ clean ไฟล์ที่ติดไวรัสทั้งหมด
6. หลังจากขั้นตอนนี้แล้วให้ทำการ restart เครื่องแล้วติดตั้ง Kaspersky Antivirus หรือ Internet Security เพื่อความแน่ใจก็ให้อัพเดตแล้วสั่งสแกนแบบ Full ไปเลยครับ
ทั้งหมดก็เป็นขั้นตอนคร่าวๆของการกำจัดไวรัส Virut.NBP
สำหรับเครื่องผมซึ่งติดได้ไม่นานและอาการไม่หนักมาก ใช้แค่ตัว rmvirut.exe ก็หายแล้วครับ Windows ก็กลับมาใช้งานได้ตามปกติ
โปรแกรมและรายละเอียดอื่นๆ สามารถดูได้จากที่นี่เลยครับ ครบทุกขั้นตอน โปรแกรมต่างๆก็สามารถดาวน์โหลดได้จากที่นี่เช่นกัน
http://www.zone-it.com/99037
หรือจะดาวน์โหลดจากของผมก็ได้ครับ รวบรวมไว้หมดแล้ว(ยกเว้น Kaspersky)
http://www.mediafire.com/?zjzwojn0jwm
สรุปส่งท้าย
ไวรัสตัวนี้สอนให้ผมรู้ว่า
– Avira Free มันดีแค่ไหน เจอไวรัส Delete ทิ้งอย่างเดียว ไม่มี clean
– NOD32 มันช่วยแก้ได้มั๊ย (ไม่เลย)
– Kaspersky ยิ่งเวอร์ชั่นใหม่เท่าไหร่ยิ่งทำให้เครื่องอืด ปัจจุบันลงเวอร์ชั่น 6 ก็โอเคดี
และสุดท้าย อย่าไว้ใจไฟล์ที่ดาวน์โหลดมา โดยเฉพาะโปรแกรมเถื่อน
สวัสดีครับ
No comments: