ในคราวก่อนผมเคยโดน WIn32/Virut เล่นงานไปครั้งนึง แต่ก้สามารถรอดมาได้เพราะตัวแก้จาก AVG รายละเอียดดูได้จากที่นี่ครับ วิธีแก้ไวรัส Virut.NBP และ reader_s.exe
แต่ในคราวนี้เจอของที่แรงกว่าคือ Win32/Vitro ที่ว่าแรงกว่าเพราะ
– แทรกตัวเองเข้าไปในไฟล์ exe และไฟล์ต่างของระบบ รวมทั้งโปรแกรมต่างๆ
– แทรกโค้ด Iframe เข้าไปในไฟล์ html,php
อาการเริ่มต้นที่เจอคือ NOD32 v3 ที่ใช้อยู่แจ้งว่ามีไวรัส Iframe ซึ่งผมเองก็เอะใจว่าไฟล์ html ทำไมอยู่ดีๆถึงกลายเป็นไวรัสไปได้ เลยเข้าไปหาข้อมูล และก็พบว่าเจ้าไวรัสตัวนี้แรงมาก ทำลายไฟล์ exe ไฟล์ระบบและ html,php ทั้งหมด บางคนถึงกับต้อง Format ล้างเครื่องใหม่ ซึ่งผมยังโชคดีอยู่หน่อยที่ว่า โดนแค่ไดรฟ์ C เพียงที่เดียว
สำหรับการแก้ปัญหาของผมก็จะมีขั้นตอนตามนี้ครับ (ลองเองกับมือ)
1. ลอง update Nod32 v3 ที่ใช้งานอยู่แล้วสั่ง scan ดู ผลคือ ลบไฟล์ html ที่ติดไวรัสไปจนหมด แต่ไม่เจอต้นตอ พอเข้า safe mode (กด F8 รัวๆก่อนเข้า Windows จากนั้นเลือก Safe mode ที่อยู่บนสุด)โปรแกรมก้บอกว่าติดต่อ kernell ไม่ได้ สรุปคือ nod32 สั่ง scan ใน safe mode ไม่ได้
2. ลองใช้ Malwarebyte และ Superantispyware แต่ก็ไม่เจอ Vitro นอกจาก cookie
3. เปลี่ยนไปลง AVG แทน NOD32 พอ scan เสร็จก็ไม่เจออะไรอีก
4. เปลี่ยนไปใช้อีก windows (เครื่องผมลง Windows ไว้ 2 ตัว ไว้ใช้ในกรณีที่ windows ตัวแรกเสีย ซึ่งก็เกดิขึ้นจริงๆ)
5. เห็นท่าทางจะไม่ได เลยลง Avast ที่ Windows ตัวนี้แล้วสั่ง scan ทุกไดรฟ์(ก่อน scan ควร Update ฐานข้อมุลไวรัสก่อน) ผลคือ เจอเพียบ ส่วนมากจะไปอยู่ใน windows/system32 ทุก exe เลยเห็นว่า windows ตัวนี้คงไม่รอด ประกอบกับไม่สามารถ clean หรือ repair ไวรัสตัวนี้ได้เลยสั่ง delete ให้หมด
6. เข้าไป Backup ข้อมูลใน drive C เก็บไว้ใน Drive อื่น เช่น D หรือ E
7. Format ไดรฟ์ C ที่เคยติดไวรัส(คิดว่าน่าจะลบออกหมดแล้ว) แล้วลง Windows ใหม่
8. หลังจากลง Driver เสร็จ โปรแกรมแรกที่ลงคือ Avast Home เพราะยังฝังใจเรื่องไวรัสอยู่ ตามด้วย ZoneAlarm Free Firewall เอาไว้กันการโจมตีภายใน network ซึ่งโดนบ่อยมาก แล้วก้ลงโปรแกรมอื่นๆจนเสร็จ
สรุป
ไวรัสตัวนี้มีความร้ายแรงมาก หากติดไปแล้ว ขอให้ทำใจไว้เลยว่าต้องได้ลง Windows ใหม่แน่นอน ส่วนข้อมุลก็ต้องลุ้นเอาครับ ว่าจะรอดหรือเปล่า ถ้าหากเครื่องลง Windows ไว้ 1 ตัวก็ลองถอด HDD ไปเสียบกับเครื่องอื่นที่ลง Antivirus ไว้ ผมแนะนำว่าควรเป็น Avast หรือ Kaspersky ครับ แล้วสั่ง scan ให้หมด
**มีบางที่บอกให้ใช้ตัวแก้เดียวกับ WIn32/Virut ที่เป็นของ AVG แต่จากการทดลองของผมเอง พบว่าได้ผลครับ
ข้อมูลเพิ่มเติม
– ระวังครับพื่น้อง GEO Virus ตัวใหม่
– โดนไวรัส W32.Vitro เข้าให้ อาการคล้าย Virut.CF เด๊ะๆ
No comments: