tDsigns
ยินดีต้อนรับท่านเข้าสู่ tDsigns.com

ท่านกำลังเข้าใช้งานเว็บบอร์ดในสถานะ "ผู้มาเยือน" ซึ่งไม่สามารถที่จะตั้งคำถามหรือแสดงความคิดเห็นใดๆได้

ใช้เวลาเพียงเล็กน้อยสำหรับการสมัครสมาชิกเพื่อเข้าใช้งานที่ tDsigns แล้วท่านจะได้รับสิ่งดีดีกลับไป

tDsigns - Design by T ที่นี่เรามอบสิ่งดีดีให้คุณ..ด้วยใจ

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา

Go down

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Empty Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา

ตั้งหัวข้อ by TonyWins on Mon 01 Mar 2010, 23:11

หลายวันก่อนได้เข้าไปตรวจเช็คระบบคอมพิวเตอร์ประจำเดือนให้กับบริษัทแห่งหนึ่ง ซึ่งในการตรวจเช็คเครื่องคอมพิวเตอร์แต่ละเครื่องผมจะเข้าไปดูในส่วนต่างๆซึ่งจะเข้าไปตรวจเช็คระบบในส่วนของโฟลเดอร์ที่ถูกซ่อนเอาไว้เป็นประจำ ทำให้ต้องเข้าไปกำหนดค่า Folder Options เพื่อกำหนดค่าให้ระบบแสดงไฟล์และโฟลเดอร์ที่ถูกซ่อนไว้ออกมา

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Fopt01
เมนู Folder Options ใน Windows Explorer

แต่แล้วงานก็เข้าเมื่อเข้าไปเลือกเมนู Folder Options แต่...มันกลับได้อันตรธานหายไปอย่างไร้ร่องรอยซึ่งทำให้คาดเดาได้ทันทีว่าเครื่องนี้โดนไวรัสเล่นงานเข้าแล้ว

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Fopt02

ก็เลยพยายามที่จะเปิด Task Manager ซึ่งก็ไม่สามารถเปิดได้จึงเข้าไปที่ Run และพิมพ์ regedit เพื่อเปิดดู Registry Editor ขึ้นมาแต่ก็ไม่สามารถเปิดได้เช่นกัน

หันกลับมามองดูโปรแกรมแอนตี้ไวรัสที่เครื่องนี้ใช้งานอยู่เป็นเจ้า EAV Antivirus Suite Free Edition ซึ่งติดอันดับโปรแกรมแอนตี้ไวรัสฟรีที่อยู่ในอันดับต้นๆ แต่ก็ดันพลาดท่าเสียทีจนได้ สิ่งที่ผมต้องการตอนนี้คือชื่อของเจ้าไวรัสที่ลงมาฝังอยู่ในเครื่องนี้ จึงใช้ไม้ตายคือการหยิบ Flash Drive ขึ้นมาเสียบเข้าไปในเครื่องเจ้าปัญหาหวังว่าจะให้ไวรัสตัวร้ายวิ่งเข้า Flash Drive จากนั้นจึงนำ Flash Drive มาเสียบกับ Laptop ส่วนตัวที่พกติดตัวไปด้วย ผลปรากฎว่าไม่มีการติดเชื้อของไวรัสจาก Flash Drive ซึ่งพอจะสรุปได้ว่าโปรแกรมแอนตี้ไวรัสน่าจะกำจัดไวรัสตัวนี้ออกจากเครื่องไปได้แล้ว เพียงแต่ไม่ได้แก้อาการที่เจ้าไวรัสวายร้ายตัวนี้ทิ้งเอาไว้ให้เป็นที่ระลึก จึงเหลือหนทางสุดท้ายที่จะทำได้ก็คือการเข้าไป Restore Windows ให้ย้อนกลับไปก่อนหน้าที่ไวรัสตัวร้ายจะเข้ามาแก้ไขระบบ สรุปว่าทุกอย่างกลับคืนสู่สภาวะปกติ

อ้าว...แล้วไหนละ เจ้า Win32/Autoit.BA worm อยู่ไหน???
ใจเย็นๆครับท่าน มันกำลังจะมาโดยไม่รู้ตัว...

หลังจากแก้ปัญหาเครื่องแรกเสร็จก็เข้าไปตรวจเช็คเครื่องถัดไปปรากฎว่าเจออาการเดียวกัน แต่หนักกว่าเนื่องจากเครื่องนี้ไม่ได้มีการติดตั้งโปรแกรมแอนตี้ไวรัสเอาไว้ และเมื่อพยายามเข้าไป Restore ผลปรากฎว่าเครื่องทำการรีสตาร์ทตัวเอง งานเข้ารอบสองละทีนี้

สิ่งที่ผมต้องการจากเครื่องนี้ก็คือชื่อของเจ้าไวรัสตัวร้ายเช่นเคย วิธีง่ายๆในการตรวจเช็คของผมก็คือการเอา USB Flash Drive ของผมเข้าไปเสียบกับเครื่องที่ติดไวรัสและใช้เวลาสัก 30 วินาทีเพื่อให้เชื่อไวรัสวิ่งเข้าสู่ Flash Drive จากนั้นผมจึงนำ Flash Drive มาเสียบใน Laptop ของตัวเองโดยผมให้ความไว้วางใจกับ Nod32 Antivirus ที่ติดตั้งอยู่ในเครื่องเนื่องจากมีการอัพเดตฐานข้อมูลของไวรัสเป็นประจำ

หลังจากเสียบ Flash Drive เข้ามาที่ Laptop ตัวโปรดจึงทำให้ได้รู้ถึงชื่อของไวรัสที่มันพยายามคัดลอกตัวเองลงในเครื่องของผม แต่ก็โดนจับได้จึงทำให้เห็นถึงไฟล์แปลกปลอม 2 ตัวจากไวรัสตัวนี้ที่แฝงตัวมากับ Flash Drive นั้นก็คือไฟล์ Autorun.inf ซึ่ง Nod32 แจ้งว่าเป็น Win32/AutoRun.Agent.FC worm และอีกตัวหนึ่งคือไฟล์ system.exe ซึ่ง Nod32 แจ้งว่าเป็น Win32/Autoit.BA worm

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Autoit01

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Autoit02

จากการสังเกตพฤติกรรมของเจ้าไวรัสตัวนี้ (ผมจะเรียก Trojan, Virus, Worm เหล่านี้รวมๆเป็นไวรัสนะครับ) ทำให้ได้รู้ว่านิสัยเบื้องต้นของมันดังนี้

1. เข้าไปปิดเมนูการเรียกใช้คำสั่ง Folder Options ใน Windows Explorer

2. ปิดการเรียกใช้งาน Task Manager

3. ปิดการเรียกใช้งาน Registry Editor

4. จะทำการ Restart เครื่องเมื่อมีการเรียกใช้ System Restore

5. ทำการซ่อนโฟลเดอร์บางโฟลเดอร์แล้วสร้างไฟล์ .exe ด้วยชื่อโฟลเดอร์นั้นและแสดงไอคอนเป็นรูปโฟลเดอร์ (เดี๋ยวจะให้สังเกตความแตกต่างระหว่างโฟลเดอร์จริงกับโฟลเดอร์ปลอม) ซึ่งไฟล์ .exe ที่ถูกสร้างขึ้นใหม่จะเป็นตัวรันการทำงานของไวรัสให้แพร่กระจาย

6. สร้างไฟล์ Autorun.inf และ xxx.exe ลงใน USB Drive ที่ถูกเสียบเข้ากับเครื่องเพื่อไปแพร่กระจายลงในเครื่องอื่นๆ

7. ปิดการทำงานและลบไฟล์ของโปรแกรมแอนตี้ไวรัส

8. เมนู Search หายไป

วิธีแก้ไข:

เอาละร่ายมาซะยาว ทีนี้มาดูขั้นตอนการแก้ไขกันบ้างโดยมีขั้นตอนดังต่อไปนี้

1. ก่อนอื่นเราจะปิดการทำงานของเจ้าไวรัสตัวนี้ซะก่อน เนื่องจากเราไม่สามารถเข้า Task Manager ได้จึงจำเป็นต้องใช้ผู้ช่วยนั่นก็คือ Process Explorer << คลิกเพื่อดาวน์โหลด

2. แตกไฟล์แล้วดับเบิ้ลคลิกที่ไฟล์ procexp.exe เพื่อรันโปรแกรม การรันโปรแกรมในครั้งแรกให้คลิกปุ่ม Agree เพื่อยอมรับข้อตกลงการใช้งานแล้วจะพบกับหน้าตาของโปรแกรมดังรูป

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Fopt03

3. เลื่อนลงไปดูด้านล่างจะเห็น Process ชื่อ msmsgs.exe และ system.exe หรืออาจจะมีชื่อแปลกๆเช่น New Folder.exe ซึ่งจะถูกไฮไลท์เอาไว้ด้วยสีม่วง ให้คลิกขวาแล้วเลือกคำสั่ง Kill process เพื่อหยุดการทำงานของไวรัส (ภาพด้านล่างเป็นภาพที่สร้างขึ้นครับโดยนำโปรแกรมอื่นมาเปลี่ยนชื่อแล้วรันขึ้นมา แล้วจึงมาแก้ไขสีทีหลังซึ่งสีอาจจะผิดเพี้ยนไปจากการใช้งานจริง เนื่องจากในเหตุการณ์จริงผมไม่ทันได้บันทึกภาพเอาไว้)

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Fopt04

4. คืนค่าการทำงานของ Registry เพิ่มเปิดการทำงานของ Task Manager, Registry Editor และอื่นๆที่ไวรัสทำการปิดเอาไว้ด้วย NOD32 Registry Recovery v1.1 << คลิกเพื่อดาวน์โหลด

ในการรันไฟล์ NOD32 Registry Recovery ถ้าในเครื่องของท่านไม่มีโปรแกรม NOD32 ติดตั้งอยู่ในเครื่อง ในหน้า Choose Components ให้เลื่อนลงมาด้านล่างสุดแล้วคลิกเช็คเอาเครื่องหมายออกจาก Scan&Clean with NOD32 จากนั้นคลิกปุ่ม Fix now

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Nod32fixreg

5. ดาวน์โหลดและรันไฟล์ NOD32 Bad1,2,3[Autoit.AC]-Fix เพื่อกำจัดไวรัสและเคลียค่าใน Registry (ทดสอบแล้วใช้ได้กับ Autoit.BA)

6. รันโปรแกรมแอนตี้ไวรัสและอัพเดตฐานข้อมูลล่าสุด เสร็จแล้วรีสตาร์ทเครื่องแล้วตรวจเช็คดูความเรียบร้อยอีกครั้ง ถ้ายังไม่หายหรือติดขัดตรงไหนก็ลองสอบถามดูได้นะครับ

__________________________________________________________________________________________________________________
ไม่จำเป็นต้องโพสต์ขอบคุณทุกครั้งไป เพราะ "คำขอบคุณ" ที่เกิดขึ้นแม้เพียงภายในจิตใจ นั่นคือคำขอบคุณที่แท้จริง
TonyWins
TonyWins
User
User

Male กุมภ์ ชวด
จำนวนข้อความ : 2832
คะแนนความดี : 12840
ชื่อเสียง : 97
วันที่เข้าร่วม : 18/07/2009
อายุ : 46
ที่อยู่ : กรุงเทพฯ

https://www.tdsigns.com

ขึ้นไปข้างบน Go down

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Empty การสังเกตโฟลเดอร์แท้และโฟลเดอร์เทียม

ตั้งหัวข้อ by TonyWins on Tue 02 Mar 2010, 02:30

อย่างที่ได้กล่าวไว้แล้วว่าไวรัสตัวนี้จะทำการซ่อนโฟลเดอร์ที่มันสุ่มพบและทำการสร้างไฟล์นามสกุล .exe ด้วยชื่อโฟลเดอร์นั้นขึ้นมาแทนที่และใช้ไอคอนเป็นรูปโฟลเดอร์เพื่อลวงตาผู้ใช้งานให้เปิดโฟลเดอร์นั้นขึ้นมา แต่ก็ต้องยอมรับอยู่ว่าพวกนี้ขยันสร้างไวรัสแต่ไม่ขยันในเรื่องของ Graphic จึงทำให้มีข้อแตกต่างระหว่างของแท้กับของเทียมเกิดขึ้นดังรูปตัวอย่าง

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Newfolder

จากรูปจะเห็นได้ว่าถ้ามีการสร้างไฟล์ขึ้นมาบนหน้า Desktop โฟลเดอร์แท้จะมีขอบเรียบเนียนผิดกับโฟลเดอร์เทียมที่จะติดขอบขาวเนื่องจากการไดคัทภาพที่ห่วยแตกของนักเขียนไวรัส (ภาพด้านบนเป็นภาพที่สร้างขึ้นเลียนแบบเพื่อให้เห็นข้อแตกต่าง ลืมไปว่าการสร้างโฟลเดอร์บนหน้า Desktop หรือที่ใดๆจะไม่มี Arrow Shortcut นอกจากการสร้าง Shortcut ให้กับโฟลเดอร์นั้นๆ) แต่ถ้าไฟล์ .exe เหล่านี้ไปอยู่ใน Windows Explorer ซึ่งพื้นหลังเป็นสีขาว นั่นจะทำให้เราไม่สามารถแยกออกได้ว่ามันเป็นของแท้หรือของเทียมจนเมื่อเราดับเบิ้ลคลิกเพื่อเปิดโฟลเดอร์ไปแล้วนั่นละครับ ถึงได้รู้ว่ามันเป็นไฟล์ไวรัส เพราะฉะนั้นก็ต้องระวังกันนิด ถ้าไม่มั่นใจให้คลิกขวาแล้วเลือก Properties ดูรายละเอียดของมันก็จะพอช่วยได้บ้างไม่มากก็น้อยครับ

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Filepro

ลืมไป...หลังจากฆ่าไวรัสเรียบร้อยแล้วก็เข้าไปที่ Folder Options เลือกแถบ View เลือก Show hidden file, folders, or drives เพื่อแสดงไฟล์ที่ซ่อนอยู่ เพื่อไปกู้เอาโฟลเดอร์ที่ไวรัสซ่อนไว้กลับคืนมาด้วยละครับ ไม่งั้นเดี๋ยวไฟล์สำคัญที่ทำไว้อาจจะหายไปโดยไม่รู้ตัว

__________________________________________________________________________________________________________________
ไม่จำเป็นต้องโพสต์ขอบคุณทุกครั้งไป เพราะ "คำขอบคุณ" ที่เกิดขึ้นแม้เพียงภายในจิตใจ นั่นคือคำขอบคุณที่แท้จริง
TonyWins
TonyWins
User
User

Male กุมภ์ ชวด
จำนวนข้อความ : 2832
คะแนนความดี : 12840
ชื่อเสียง : 97
วันที่เข้าร่วม : 18/07/2009
อายุ : 46
ที่อยู่ : กรุงเทพฯ

https://www.tdsigns.com

ขึ้นไปข้างบน Go down

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Empty Re: Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา

ตั้งหัวข้อ by arter772 on Wed 23 Jun 2010, 22:09

เมื่อก่อนเคยใช้ Nod32 เจอปัญหาแบบนี้แก้ไม่ได้ เลยไปใช้Avira ตัวFreeแทน
arter772
arter772
Core I3
Core I3

Male กรกฎ มะเส็ง
จำนวนข้อความ : 101
คะแนนความดี : 638
ชื่อเสียง : 19
วันที่เข้าร่วม : 05/01/2010
อายุ : 30

ขึ้นไปข้างบน Go down

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Empty Re: Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา

ตั้งหัวข้อ by TonyWins on Wed 23 Jun 2010, 22:27

@arter772 พิมพ์ว่า:เมื่อก่อนเคยใช้ Nod32 เจอปัญหาแบบนี้แก้ไม่ได้ เลยไปใช้Avira ตัวFreeแทน

ผมใช้ Nod32 มาหลายปีนะครับ ไม่เคยมีปัญหาเลย แต่ไวรัสเนี่ยะผมเจอมาเยอะ แต่เป็นเครื่องของคนอื่นทั้งหมด หาวิธีแก้ให้ได้เกือบทุกเครื่อง แต่ไม่ได้บันทึกขั้นตอนไว้ มาถึงตอนนี้มีปัญหาทีก็ Google อย่างเดียวเลยครับ :D

__________________________________________________________________________________________________________________
ไม่จำเป็นต้องโพสต์ขอบคุณทุกครั้งไป เพราะ "คำขอบคุณ" ที่เกิดขึ้นแม้เพียงภายในจิตใจ นั่นคือคำขอบคุณที่แท้จริง
TonyWins
TonyWins
User
User

Male กุมภ์ ชวด
จำนวนข้อความ : 2832
คะแนนความดี : 12840
ชื่อเสียง : 97
วันที่เข้าร่วม : 18/07/2009
อายุ : 46
ที่อยู่ : กรุงเทพฯ

https://www.tdsigns.com

ขึ้นไปข้างบน Go down

Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา Empty Re: Win32/Autoit.BA worm ลงเครื่อง แก้ได้ไม่มีปัญหา

ตั้งหัวข้อ by ชจอมแก่น on Mon 08 Aug 2011, 15:58

Avira(ร่มแดง) ผมไม่แนะนำครับ มัน ป้องกัน ไวรัส ตระกูลโทจันไม่ใด้ ครับ ทำใด้แค่เตือนเท่านั้น ผมแนะนำ avas nod แคสเปอร์ ครับแต่ .. ถ้าเมื่อใหร่ที่ติดไวรัส ยิ่งในตระกูลโทจัน มีแอนตี้ไวรัสไปก็เท่านั้นครับ เอาไม่อยุ่หรอกครับ อย่างดี ก็แค่ ฆ่าตัวลูกๆของใวรัสที่สร้างมาหน่วงเครื่องครับ
วิธีป้องกันการติดไวรัส ลองใช้CPE17 เสียบแฟตไดร์ถ้าแดงๆก็อย่าเสี่ยงเอาข้อมูลลงเครื่องครับ
พยายามอับเดชแอนตี้ที่ใช้อยู่บ่อยๆครับอย่ากดไฟร์แอบพิเคชั่นที่ลงท้ายด้วย.EXEโดยที่ไม่รู้จักไฟร์นั้นๆนะครับ
วิธีแก้เมื่อติดไวรัส
ลองสแกนดูก่อนครั้งนึ่งครับ แล้วลองดูว่าโดนไวรัสชนิดใด้ (โปรแกรมแอนตี้จะบอก)
อย่าพยายามแก้เองโดยไม่รุ้เพราะยิ่งแก้ ไวรัสจะยิ่งเข้าไปฝังตัวลึก สุดท้ายไฟร์วินโดว์จะโดนทำลายแทนที่จะลบออกใด้อาจจะลงเอยด้วยการลงวินโดว์ใหม่นะครับ
ถ้าพอรุ้เรื่องสิ่งแรกที่ทำคือ หยุดการทำงานของตัวmasterของไวรัสแล้วหาโปรแกรมมานั่งลบทั้งตัวmasterและตัวลูกๆที่ใวรัสใด้สร้างขึ้นมา(ไวรัสตระกูลโทจันจะวิ่ง/ติดต่อกันใด้ทางการแชร์networkนะครับ)
แค่นี้ก่อนนะครับน้ำแข็งละลายหมดแล้ว เดวดื่มไม่อร่อย

ชจอมแก่น
CRT Monitor
CRT Monitor

Male กรกฎ วอก
จำนวนข้อความ : 29
คะแนนความดี : 45
ชื่อเสียง : 2
วันที่เข้าร่วม : 05/04/2011
อายุ : 39

ขึ้นไปข้างบน Go down

ขึ้นไปข้างบน


 
Permissions in this forum:
คุณไม่สามารถพิมพ์ตอบ