ตามล่า.. ฆ่าโคตรยาก ไวรัสกล้องถ่ายรูป (DCIM.exe) ให้สิ้นซาก!!

โดย
varietypc
-
0
4577

70701

DCIM.exe = Win32/Autoit.BZ worm

นอกจากไวรัส Autorun ที่กำลังระบาดหนักอยู่ ณ เวลานี้ และมีมาในชื่อต่างๆเช่น MS32DLL.dll.vbs, RavMonE.exe, RRR.vbs, KillVBS.vbs, PRT (People’s Republic of Thailand) และอีกหลายๆชื่อ แล้วเวลานี้มีอีก 2 ตัวเท่าที่เห็นอยู่ มันกำลังระบาดและสร้างความรำคาญให้กับเครื่องของผู้ใช้งานคอมพิวเตอร์ส่วนบุคคลเยอะพอสมควร นั่นก็คือ DCIM.exe และ Limit.exe (วันนี้เอา DCIM.exe มาทำเป็นหนูลองยาให้ตัวเดียวก่อน)

ไวรัส DCIM.exe ส่วนใหญ่มันจะแฝงตัวเองมากับกล้องถ่ายรูประบบดิจิตอล เท่าที่ผมลองสอบถามจากเครื่องของท่านที่โดน มันจะติดมาจากเครื่องอื่นโดยการเชื่อมต่อผ่านทางพอร์ต USB เมื่อเอามาเสียบกับเครื่องของผู้ใช้นั้นๆ มันก็จะวิ่งเข้าเครื่องของพวกเขาทันทีหรืออาจจะติดจากการดับเบิลคลิกที่ไฟล์ DCIM.exe โดยตรงก็ได้ ถ้าหากโปรแกรม Antivirus ในเครื่องนั้นๆไม่มีประสิทธิภาพมากพอหรือไม่ได้ทำการอัพเดตโปรแกรมให้รู้จักกับไวรัสตัวใหม่ๆที่ถูกสร้างขึ้นมาทุกวัน

Note. การกำจัดไวรัสตัวนี้ด้วยวิธีการต่อไปนี้เหมาะมากสำหรับเครื่องของท่านที่ไม่ได้ต่อเน็ต, โปรแกรม Antivirus ไม่ได้ทำการอัพเดต, ไฟล์งานเอกสารต่างๆมีเก็บไว้เยอะจนแทบไม่อยากจะลงวินโดวส์ใหม่เพราะกลัวข้อมูลต่างๆหาย เป็นต้น

อาการของเครื่องที่โดนไวรัสตัวนี้เล่นงาน

1.ไม่สามารถเรียกใช้งานเมนู Folder Options ได้ (เมนู Folder Options หาย)

70702

2.ไม่สามารถเรียกใช้งาน Windows Task Manager ได้ (เมื่อกด Ctrl + Alt + Del) หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที

70703

3.ไม่สามารถเรียกใช้งานโปรแกรม Registry Editor ได้ หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที

70704

4.ไม่สามารถเรียกใช้งาน System Configuration Utility ผ่านคำสั่ง msconfig ได้ หากฝ่าฝืนเครื่องจะรีสตาร์ทตัวเองทันที

70705

5.ไม่สามารถกดหรือเรียกใช้งานปุ่ม Search ได้ และที่ Start Menu ปุ่มคำสั่ง Search จะหายไป

70706

70707

6.และเมื่อดับเบิลคลิกเปิด My Computer แล้วดับเบิลคลิกเพื่อเปิดเข้าไปยังไดร์ฟที่ต่อ Card Reader อยู่ด้วย จะไม่สามารถเปิดได้

70708

แต่ระบบจะเปิดหน้าต่างนี้ขึ้นมาแทน

70709

แต่ถ้าเปิดด้วย Windows Explorer และเลือกไดร์ฟจากเมนูด้านซ้ายก็จะเจอกับไฟล์ซึ่งเป็นไวรัสดังรูป

70710

วิธีการกำจัดไวรัส DCIM.exe

1.ทำการดาวน์โหลดโปรแกรมต่อไปนี้มาเก็บไว้ที่เครื่องของท่านก่อนครับ

+ Process Explorer จะทำหน้าที่แทน Windows Task Manager ที่โดนล็อคไว้ เพื่อทำการเปิดโปรเซสที่เกี่ยวข้องกับไวรัส DCIM.exe แทน -> Download

+ NOD32 Registry Recovery Tool จะทำหน้าที่ในส่วนของการเปิดใช้ฟังก์ชันที่ไวรัสตัวนี้ปิดการทำงานเอาไว้เช่น เรียกคืนเมนู Folder Options, โชว์ไฟล์ที่ถูกซ่อน, แสดงนามสกุลของไฟล์, เปิดการใช้งาน Registry Editor, เปิดการใช้งาน Windows Task Manager เป็นต้น -> Download

2.เมื่อดาวน์โหลดโปรแกรมทั้ง 2 ตัวมาเรียบร้อยแล้ว ให้เปิดโปรแกรม Process Explorer ขึ้นมาก่อน จะเห็นได้ว่ามีโปรเซสแปลกปลอมที่ชื่อ msmsgs.exe กำลังรันตัวเองอยู่ โปรเซสตัวนี้นี่แหละที่คอยสอดส่องดูแลการใช้งานต่างๆเช่น หากเราฝืนใช้คำสั่งเพื่อเปิด Windows Task Manager หรือ Registry Editor มันก็จะรีสตาร์ทเครื่องทันที (ถ้ารู้ว่าเครื่องตัวเองติดไวรัสตัวนี้ในครั้งแรก หากใช้ Process Explorer เปิดขึ้นมาจะพบว่ามีโปรเซสอีกชื่อหนึ่งรันอยู่นั่นก็คือ DCIM.exe) ดังนั้นให้คลิกขวาที่โปรเซสตัวนี้ แล้วเลือก Kill Process ดังรูป

70711

3.เปิดโปรแกรม NOD32 Registry Recovery Tool ขึ้นมา เพื่อให้โปรแกรมเปิดฟังก์ชันต่างๆที่ไวรัสตัวนี้ได้ปิดการทำงานทุกอย่างในเครื่องเอาไว้ ให้กลับมาเหมือนเดิม

Note1. ที่หัวข้อ Scan and Clean with NOD32 ถ้าหากเครื่องของท่านมีโปรแกรม NOD32 อยู่แล้วให้กดปุ่ม Do it now ได้เลย แต่ถ้าไม่มี NOD32 ให้เอาเครื่องหมายถูกหน้าข้อนี้ออกด้วย

70712

Note2. ในขณะที่โปรแกรมกำลังทำงาน โปรแกรมจะโชว์ไดอะล็อกบ็อกซ์ฟ้องขึ้นมา 2 ครั้ง ให้กด OK ผ่านไปได้เลย แล้วจะพบกับหน้านี้ ให้เลือกที่โฟลเดอร์ WINDOWS แล้วกด OK เพื่อให้โปรแกรมลบไฟล์ Autorun.inf ที่อยู่ข้างในออกไปด้วย (เพราะมันจะเป็นตัวสั่งให้ไฟล์ System.exe ซึ่งเกี่ยวข้องกับไวรัสทำงาน) เสร็จแล้วกด Close เพื่อปิดหน้าต่าง

70713

4.ทดลองเปิดโปรแกรม Registry Editor ผ่านคำสั่ง Regedit และ System Configuration Utility ผ่านคำสั่ง msconfig ที่เมนู Run, เปิด Windows Task Manager ด้วยการกด Ctrl + Alt + Del จะสามารถเปิดใช้งานได้แล้ว

5.เปิดโปรแกรม System Configuration Utility ผ่านคำสั่ง msconfig ที่เมนู Run แล้วเลือกที่แท็ป Startup ให้เอาเครื่องหมายถูกหน้าหัวข้อต่อไปนี้ออกได้แก่ system, bad1, bad2, bad3, Msmsgs แล้วกด Apply > OK รีสตาร์ทเครื่องใหม่

70714

6.กด Start > Run พิมพ์คำสั่ง Gpedit.msc แล้วกด OK เพื่อเปิดเข้าใช้งานโปรแกรม Group Policy

+ ที่พาเนลด้านซ้ายให้เลือกหัวข้อย่อย User Configuration > Administrative Templates > Start Menu and Taskbar

+ ที่พาเนลด้านขวาให้ดับเบิลคลิกที่หัวข้อ Remove Search menu from Start Menu

70715

+ กำหนดคุณสมบัติในหัวข้อนี้ให้เป็น Disabled แล้วกด Apply > OK

70716

+ จะพบว่าปุ่ม Search ที่ Start Menu และ My Computer ได้กลับมาและใช้งานได้ตามปกติแล้วครับ

70717

70718

มาต่อกันที่การฆ่าซ้ำ เอาแบบให้ DCIM.exe สิ้นซากกันไปเลย

1.เปิด Control Panel แล้วดับเบิลคลิกเลือกไอคอน Folder Options > ที่หัวข้อ View ตั้งค่าตามรูป

70719

2.เปิด Windows Explorer แล้วสำรวจในทุกๆไดร์ฟรวมถึงอุปกรณ์ที่เชื่อมต่อผ่านพอร์ต USB ต่างๆเช่น Card Reader, แฟลชไดร์ฟ, กล้องถ่ายรูป เป็นต้น (คลิกเลือกไดร์ฟจากเมนูด้านซ้าย) ว่ามีไฟล์ที่ชื่อ Autorun.inf, DCIM.exe อยู่บ้างหรือไม่ ถ้ามีให้ลบออกทันที โดยกดปุ่ม Shift + Delete

70720

3.กด Start > Run พิมพ์ Regedit แล้วกด OK (เพื่อเรียกใช้งานโปรแกรม Registry Editor)

4.เลือกเมนู Edit > Find… พิมพ์ system.exe แล้วกด Find Next (เพื่อค้นหาที่อยู่ของไวรัสทุกตัวที่ซ่อนตัวเองไว้ในรีจิสตรี)

Note3. ขอย้ำว่าต้องเป็นคีย์ system.exe เท่านั้นนะครับ เพราะคีย์บางตัวชื่อมันคล้ายๆกัน ถ้าลบผิดไปละก็ คราวนี้ได้ลงวินโดวส์ใหม่แน่ๆ

70721

5.จะพบว่าเจอทั้ง 2 ตัวเลย Msmsgs.exe และ system.exe ให้คลิกขวาที่โฟลเดอร์คีย์ตัวนี้แล้วเลือก Delete

6.และนี่อยู่กันพร้อมหน้าพร้อมตาเลย โดยในโฟลเดอร์คีย์ startupreg จะประกอบไปด้วย Msmsgs (Msmsgs.exe), SYS1 (system.exe), SYS2 (bad1.exe), SYS3 (bad2.exe), SYS4 (bad3.exe) ให้ลบโฟลเดอร์คีย์ทั้ง 5 ตัวนี้ออกไปทันทีครับ

70723

7.ทำการค้นหาคีย์ที่ชื่อ bad1.exe, bad2.exe, bad3.exe และ Msmsgs.exe ต่อไป โดยกดปุ่ม F3 (Find Next) เมื่อเจอแล้วให้ลบออกด้วย

70724

8.เปิด Windows Explorer ขึ้นมาอีกครั้ง แล้วเข้าไปที่โฟลเดอร์ WINDOWS ค้นหาไฟล์ที่ชื่อ Autorun.inf ให้ลบด้วยการกด Shift + Delete

70725

9.และเข้าไปที่โฟลเดอร์ C:>WINDOWS > system32 แล้วลบไฟล์ bad1.exe, bad2.exe, bad3.exe และ msmsgs.exe ออกไปด้วยโดยกดปุ่ม Shift + Delete ไฟล์ที่ลบจะได้ไม่ไปค้างอยู่ใน Recycle Bin ครับ

70726

70727

เพิ่มเติม สำหรับบางเครื่องที่โดนอาจจะมีไวรัสมากกว่า 1 ตัวด้วยนะครับ แต่อยากให้ลองแก้ที่ไวรัสตัวนี้ก่อน ที่ผมเจอกับเครื่องนึงเมื่อไม่กี่วันที่ผ่านมาในเครื่องนั้นจะมีเจ้าไวรัส DCIM.exe และ PRT รันอยู่ด้วย สำหรับเครื่องของผมก่อนที่ผมจะเริ่มทำการแตกไฟล์และสั่งให้ไวรัสตัวนี้ทำงาน ผมได้แบ็คอัพข้อมูลทั้งหมดในไดร์ฟ C ด้วย Symantec Ghost ไว้ก่อนแล้ว (กันพลาด) และเมื่อสั่งให้ไวรัสเริ่มทำงาน ตามด้วยวิธีการกำจัดตั้งแต่ต้นจนจบถึงตอนนี้ ผมได้ลบไฟล์อิมเมจโกสต์ที่เคยแบ็คอัพไว้ทั้งหมดออกแล้วครับ ไม่จำเป็นอีกต่อไป มายืนยันให้อีกครั้ง

อัพเดตเพิ่มเติม เพิ่มภาพประกอบในส่วนของ อาการของเครื่องที่โดนไวรัสตัวนี้เล่นงาน ในข้อ 6 ให้ครับ เพราะส่วนใหญ่ไวรัสตัวนี้จะแพร่เชื้อด้วยการแฝงตัวเองมากับเมมโมรีการ์ด เป็นต้น (24-04-2551)



บทความก่อนหน้านี้การแชร์ไฟล์และโฟลเดอร์บนระบบเน็ตเวิร์คอย่างง่าย
บทความถัดไปตามแกะรอยและวิธีกำจัดไวรัส KillVBS.vbs!!
varietypc
varietypc
https://www.www.varietypc.net
ส่วนตัวชื่นชอบการเขียน, พัฒนาซอร์สโค้ดเว็บไซต์เป็นชีวิตจิตใจ ตลอดจนถึงอัพเดตเนื้อหาทริค, เทคนิคคอมพิวเตอร์ และข่าวสารเทคโนโลยีทุกอย่าง นอกเหนือจากการเคลียร์งานหลักเสร็จเรียบร้อย ก็จะมาทิ้งชีวิตให้กับ VarietyPC.net กันต่อแทบทุกวัน แต่บางครั้งอาจจะไม่ได้อัพเดตเนื้อหา เพราะต้องพัฒนาระบบการจัดการ Backend หลังบ้านไปด้วยและมีคนทำเพียงคนเดียว แม้จะไม่ได้รับผลตอบแทนจากแหล่งใดๆก็ตาม ตอนนี้เว็บไซต์เล็กๆแห่งนี้ก็ใกล้ย่างเข้าปีที่ 13 แล้วครับ และจะยังคงอยู่แชร์ความรู้กับพี่น้อง เพื่อนๆคนไทย และทั่วโลกตลอดไปครับ
Facebook Instagram Paypal Twitter Youtube

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน

คุณคิดเห็นอย่างไรกับข่าว/บทความนี้

กรุณาใส่ความคิดเห็นของคุณ!
กรุณาใส่ชื่อของคุณที่นี่