?
DCIM.exe = Win32/Autoit.BZ worm
?
นอกจากไวรัส Autorun ที่กำลังระบาดหนักอยู่ ณ เวลานี้ และมีมาในชื่อต่างๆเช่น MS32DLL.dll.vbs, RavMonE.exe, RRR.vbs, KillVBS.vbs, PRT (People’s Republic of Thailand) และอีกหลายๆชื่อ แล้วเวลานี้มีอีก 2 ตัวเท่าที่เห็นอยู่ มันกำลังระบาดและสร้างความรำคาญให้กับเครื่องของผู้ใช้งานคอมพิวเตอร์ส่วนบุคคลเยอะพอสมควร นั่นก็คือ DCIM.exe และ Limit.exe (วันนี้เอา DCIM.exe มาทำเป็นหนูลองยาให้ตัวเดียวก่อน)
?
ไวรัส DCIM.exe ส่วนใหญ่มันจะแฝงตัวเองมากับกล้องถ่ายรูประบบดิจิตอล เท่าที่ผมลองสอบถามจากเครื่องของท่านที่โดน มันจะติดมาจากเครื่องอื่นโดยการเชื่อมต่อผ่านทางพอร์ต USB เมื่อเอามาเสียบกับเครื่องของผู้ใช้นั้นๆ มันก็จะวิ่งเข้าเครื่องของพวกเขาทันทีหรืออาจจะติดจากการดับเบิลคลิกที่ไฟล์ DCIM.exe โดยตรงก็ได้ ถ้าหากโปรแกรม Antivirus ในเครื่องนั้นๆไม่มีประสิทธิภาพมากพอหรือไม่ได้ทำการอัพเดตโปรแกรมให้รู้จักกับไวรัสตัวใหม่ๆที่ถูกสร้างขึ้นมาทุกวัน
?
Note. การกำจัดไวรัสตัวนี้ด้วยวิธีการต่อไปนี้เหมาะมากสำหรับเครื่องของท่านที่ไม่ได้ต่อเน็ต, โปรแกรม Antivirus ไม่ได้ทำการอัพเดต, ไฟล์งานเอกสารต่างๆมีเก็บไว้เยอะจนแทบไม่อยากจะลงวินโดวส์ใหม่เพราะกลัวข้อมูลต่างๆหาย เป็นต้น
?
อาการของเครื่องที่โดนไวรัสตัวนี้เล่นงาน
?
1.ไม่สามารถเรียกใช้งานเมนู Folder Options ได้ (เมนู Folder Options หาย)
?
?
2.ไม่สามารถเรียกใช้งาน Windows Task Manager ได้ (เมื่อกด Ctrl + Alt + Del) หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที
?
?
3.ไม่สามารถเรียกใช้งานโปรแกรม Registry Editor ได้ หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที
?
?
4.ไม่สามารถเรียกใช้งาน System Configuration Utility ผ่านคำสั่ง msconfig ได้ หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที
?
?
5.ไม่สามารถกดหรือเรียกใช้งานปุ่ม Search ได้ และที่ Start Menu ปุ่มคำสั่ง Search จะหายไป
?
?
?
6.และเมื่อดับเบิลคลิกเปิด My Computer แล้วดับเบิลคลิกเพื่อเปิดเข้าไปยังไดร์ฟที่ต่อ Card Reader อยู่ด้วย จะไม่สามารถเปิดได้
?
?
แต่ระบบจะเปิดหน้าต่างนี้ขึ้นมาแทน
?
?
แต่ถ้าเปิดด้วย Windows Explorer และเลือกไดร์ฟจากเมนูด้านซ้ายก็จะเจอกับไฟล์ซึ่งเป็นไวรัสดังรูป
?
?
วิธีการกำจัดไวรัส DCIM.exe
?
1.ทำการดาวน์โหลดโปรแกรมต่อไปนี้มาเก็บไว้ที่เครื่องของท่านก่อนครับ
?
+ Process Explorer จะทำหน้าที่แทน Windows Task Manager ที่โดนล็อคไว้ เพื่อทำการเปิดโปรเซสที่เกี่ยวข้องกับไวรัส DCIM.exe แทน -> Download
?
+ NOD32 Registry Recovery Tool จะทำหน้าที่ในส่วนของการเปิดใช้ฟังก์ชันที่ไวรัสตัวนี้ปิดการทำงานเอาไว้เช่น เรียกคืนเมนู Folder Options, โชว์ไฟล์ที่ถูกซ่อน, แสดงนามสกุลของไฟล์, เปิดการใช้งาน Registry Editor, เปิดการใช้งาน Windows Task Manager เป็นต้น -> Download
?
2.เมื่อดาวน์โหลดโปรแกรมทั้ง 2 ตัวมาเรียบร้อยแล้ว ให้เปิดโปรแกรม Process Explorer ขึ้นมาก่อน จะเห็นได้ว่ามีโปรเซสแปลกปลอมที่ชื่อ msmsgs.exe กำลังรันตัวเองอยู่ โปรเซสตัวนี้นี่แหละที่คอยสอดส่องดูแลการใช้งานต่างๆเช่น หากเราฝืนใช้คำสั่งเพื่อเปิด Windows Task Manager หรือ Registry Editor มันก็จะรีสตาร์ทเครื่องทันที (ถ้ารู้ว่าเครื่องตัวเองติดไวรัสตัวนี้ในครั้งแรก หากใช้ Process Explorer เปิดขึ้นมาจะพบว่ามีโปรเซสอีกชื่อหนึ่งรันอยู่นั่นก็คือ DCIM.exe) ดังนั้นให้คลิกขวาที่โปรเซสตัวนี้ แล้วเลือก Kill Process ดังรูป
?
?
3.เปิดโปรแกรม NOD32 Registry Recovery Tool ขึ้นมา เพื่อให้โปรแกรมเปิดฟังก์ชันต่างๆที่ไวรัสตัวนี้ได้ปิดการทำงานทุกอย่างในเครื่องเอาไว้ ให้กลับมาเหมือนเดิม
?
Note1. ที่หัวข้อ Scan and Clean with NOD32 ถ้าหากเครื่องของท่านมีโปรแกรม NOD32 อยู่แล้วให้กดปุ่ม Do it now ได้เลย แต่ถ้าไม่มี NOD32 ให้เอาเครื่องหมายถูกหน้าข้อนี้ออกด้วย
?
?
Note2. ในขณะที่โปรแกรมกำลังทำงาน โปรแกรมจะโชว์ไดอะล็อกบ็อกซ์ฟ้องขึ้นมา 2 ครั้ง ให้กด OK ผ่านไปได้เลย แล้วจะพบกับหน้านี้ ให้เลือกที่โฟลเดอร์ WINDOWS แล้วกด OK เพื่อให้โปรแกรมลบไฟล์ Autorun.inf ที่อยู่ข้างในออกไปด้วย (เพราะมันจะเป็นตัวสั่งให้ไฟล์ System.exe ซึ่งเกี่ยวข้องกับไวรัสทำงาน) เสร็จแล้วกด Close เพื่อปิดหน้าต่าง
?
?
4.ทดลองเปิดโปรแกรม Registry Editor ผ่านคำสั่ง Regedit และ System Configuration Utility ผ่านคำสั่ง msconfig ที่เมนู Run, เปิด Windows Task Manager ด้วยการกด Ctrl + Alt + Del จะสามารถเปิดใช้งานได้แล้ว
?
5.เปิดโปรแกรม System Configuration Utility ผ่านคำสั่ง msconfig ที่เมนู Run แล้วเลือกที่แท็ป Startup ให้เอาเครื่องหมายถูกหน้าหัวข้อต่อไปนี้ออกได้แก่ system, bad1, bad2, bad3, Msmsgs แล้วกด Apply > OK รีสตาร์ทเครื่องใหม่
?
?
6.กด Start > Run พิมพ์คำสั่ง Gpedit.msc แล้วกด OK เพื่อเปิดเข้าใช้งานโปรแกรม Group Policy
?
+ ที่พาเนลด้านซ้ายให้เลือกหัวข้อย่อย User Configuration > Administrative Templates > Start Menu and Taskbar
?
+ ที่พาเนลด้านขวาให้ดับเบิลคลิกที่หัวข้อ Remove Search menu from Start Menu
?
?
+ กำหนดคุณสมบัติในหัวข้อนี้ให้เป็น Disabled แล้วกด Apply > OK
?
?
+ จะพบว่าปุ่ม Search ที่ Start Menu และ My Computer ได้กลับมาและใช้งานได้ตามปกติแล้วครับ
?
?
?
มาต่อกันที่การฆ่าซ้ำ เอาแบบให้ DCIM.exe สิ้นซากกันไปเลย
?
1.เปิด Control Panel แล้วดับเบิลคลิกเลือกไอคอน Folder Options > ที่หัวข้อ View ตั้งค่าตามรูป
?
?
2.เปิด Windows Explorer แล้วสำรวจในทุกๆไดร์ฟรวมถึงอุปกรณ์ที่เชื่อมต่อผ่านพอร์ต USB ต่างๆเช่น Card Reader, แฟลชไดร์ฟ, กล้องถ่ายรูป เป็นต้น (คลิกเลือกไดร์ฟจากเมนูด้านซ้าย) ว่ามีไฟล์ที่ชื่อ Autorun.inf, DCIM.exe อยู่บ้างหรือไม่ ถ้ามีให้ลบออกทันที โดยกดปุ่ม Shift + Delete
?
?
3.กด Start > Run พิมพ์ Regedit แล้วกด OK (เพื่อเรียกใช้งานโปรแกรม Registry Editor)
?
4.เลือกเมนู Edit > Find… พิมพ์ system.exe แล้วกด Find Next (เพื่อค้นหาที่อยู่ของไวรัสทุกตัวที่ซ่อนตัวเองไว้ในรีจิสตรี)
?
Note3. ขอย้ำว่าต้องเป็นคีย์ system.exe เท่านั้นนะครับ เพราะคีย์บางตัวชื่อมันคล้ายๆกัน ถ้าลบผิดไปละก็ คราวนี้ได้ลงวินโดวส์ใหม่แน่ๆ
?
?
5.จะพบว่าเจอทั้ง 2 ตัวเลย Msmsgs.exe และ system.exe ให้คลิกขวาที่โฟลเดอร์คีย์ตัวนี้แล้วเลือก Delete
?
?
6.และนี่อยู่กันพร้อมหน้าพร้อมตาเลย โดยในโฟลเดอร์คีย์ startupreg จะประกอบไปด้วย Msmsgs (Msmsgs.exe), SYS1 (system.exe), SYS2 (bad1.exe), SYS3 (bad2.exe), SYS4 (bad3.exe) ให้ลบโฟลเดอร์คีย์ทั้ง 5 ตัวนี้ออกไปทันทีครับ
?
?
7.ทำการค้นหาคีย์ที่ชื่อ bad1.exe, bad2.exe, bad3.exe และ Msmsgs.exe ต่อไป โดยกดปุ่ม F3 (Find Next) เมื่อเจอแล้วให้ลบออกด้วย
?
?
8.เปิด Windows Explorer ขึ้นมาอีกครั้ง แล้วเข้าไปที่โฟลเดอร์ WINDOWS ค้นหาไฟล์ที่ชื่อ Autorun.inf ให้ลบด้วยการกด Shift + Delete
?
?
9.และเข้าไปที่โฟลเดอร์ C:>WINDOWS > system32 แล้วลบไฟล์ bad1.exe, bad2.exe, bad3.exe และ msmsgs.exe ออกไปด้วยโดยกดปุ่ม Shift + Delete ไฟล์ที่ลบจะได้ไม่ไปค้างอยู่ใน Recycle Bin ครับ
?
?
?
เพิ่มเติม สำหรับบางเครื่องที่โดนอาจจะมีไวรัสมากกว่า 1 ตัวด้วยนะครับ แต่อยากให้ลองแก้ที่ไวรัสตัวนี้ก่อน ที่ผมเจอกับเครื่องนึงเมื่อไม่กี่วันที่ผ่านมาในเครื่องนั้นจะมีเจ้าไวรัส DCIM.exe และ PRT รันอยู่ด้วย สำหรับเครื่องของผมก่อนที่ผมจะเริ่มทำการแตกไฟล์และสั่งให้ไวรัสตัวนี้ทำงาน ผมได้แบ็คอัพข้อมูลทั้งหมดในไดร์ฟ C ด้วย Symantec Ghost ไว้ก่อนแล้ว (กันพลาด) และเมื่อสั่งให้ไวรัสเริ่มทำงาน ตามด้วยวิธีการกำจัดตั้งแต่ต้นจนจบถึงตอนนี้ ผมได้ลบไฟล์อิมเมจโกสต์ที่เคยแบ็คอัพไว้ทั้งหมดออกแล้วครับ ไม่จำเป็นอีกต่อไป มายืนยันให้อีกครั้ง
?
อัพเดตเพิ่มเติม เพิ่มภาพประกอบในส่วนของ อาการของเครื่องที่โดนไวรัสตัวนี้เล่นงาน ในข้อ 6 ให้ครับ เพราะส่วนใหญ่ไวรัสตัวนี้จะแพร่เชื้อด้วยการแฝงตัวเองมากับเมมโมรีการ์ด เป็นต้น (24-04-2551)
