ฮอตเหลือเกินนะครับช่วงนี้กับไวรัสที่มีมาในรูปแบบต่างๆ (คนเขียนไวรัสมันขยันเขียนซะจริงๆ) ไม่ว่าจะเป็นไวรัส Autorun, Virus MSN พอดีเห็นมีหลายๆท่านโดนกันเยอะ กับไวรัส MSN ตัวใหม่ แต่ก็ถือว่าไม่ใหม่มากครับ แต่ก็อยากจะลอง จะได้เอามาทำเป็นบทความที่คิดว่าเป็นประโยชน์อย่างมาก ให้สำหรับท่านที่โดนได้แก้ไขกันครับ
Note. เท่าที่ลองใช้โปรแกรมกำจัดไวรัส MSN ที่มีให้ดาวน์โหลดจะไม่สามารถกำจัดพวกมันได้เลยครับ
การทำงานของไวรัส MSN foto http://xxx (Win32/Injector.FB)
+ เมื่อไวรัสส่งตัวเองมาจากเครื่องของเพื่อนเรา แล้วเรากดที่ลิงค์จะมีหน้าต่างเปิดขึ้นมาให้ดาวน์โหลดลงเครื่อง โดยไฟล์นี้จะเป็นไฟล์ซิป และเมื่อแตกไฟล์ออก พร้อมกับดับเบิลคลิกเพื่อเปิดไฟล์ จะมีหน้าต่าง Windows Microsoft Viewer เปิดขึ้นมา
+ จากรูปด้านล่าง ผมได้จับภาพการทำงานด้วยโปรแกรม ProcessExplorer มันจะเปลี่ยนชื่อตัวเองเป็น burimi.exe
+ เมื่อกดปุ่ม OK ปุ๊บ มันจะเปลี่ยนชื่อตัวเองอีกครั้งเป็น fxstaller.exe
อาการเครื่องของท่านที่โดนไวรัสตัวนี้เล่นงาน เท่าที่ผมลองให้มันมาเดินเล่นอยู่ในเครื่องอยู่พักใหญ่ และสังเกตดูอาการก็พอจะสรุปได้คร่าวๆดังนี้ครับ
+ เมื่อเรียกใช้งานโปรแกรมต่างๆ จะเปิดโปรแกรมได้ช้ากว่าปกติ
+ เครื่องที่โดนไวรัสตัวนี้เล่นงาน ไวรัสจะส่งตัวเองไปยังทุกรายชื่อที่ออนไลน์ MSN และขณะที่ส่งข้อความหน้าจอจะค้างไปพักใหญ่และจะค้างเป็นระยะๆ จะไม่สามารถเลื่อนเม้าส์หรือเรียกใช้งานโปรแกรมอะไรได้เลย ต้องกดปุ่ม Ctrl + Alt + Delete 1 ครั้งเพื่อเรียกใช้งาน Windows Task Manager ระบบจึงจะกลับมาใช้งานได้
+ เมื่อเปิดเข้าหน้าเว็บไซต์ จะมีหน้าต่าง Google Search ถูกเปิดขึ้นมาเองโดยอัตโนมัติ
+ หัวข้อ Home page ในหน้าต่าง Internet Options ก็จะเปลี่ยนเป็นชื่อเว็บแปลกๆโดยที่เราไม่ได้สร้างขึ้นเอง
+ และเมื่อเปิดหน้าต่าง Internet Explorer ขึ้นมา โปรแกรมจะเรียกเข้าหน้าเว็บดังกล่าวทันที
+ ตัวไวรัสจะเปลี่ยนชื่อลิงค์เว็บไซต์ไปเรื่อยๆไม่ซ้ำกัน อาจจะเพื่อป้องกันไม่ให้ผู้รับเห็นข้อความซ้ำและจับตัวได้
+ ขณะใช้งานโปรแกรมต่างๆหรือเข้าเว็บไซต์จะพบกับหน้าต่าง Command Prompt และเมื่อปิดหน้าต่างนี้ไป ตัวไวรัส MSN ก็จะสร้างไฟล์ขึ้นมาใหม่ลงไปที่ไดร์ว C เพิ่มอีก
+ และขณะใช้งานโปรแกรมต่างๆก็จะพบกับไดอะล็อกบ็อกซ์ดังรูปขึ้นมา
โดยไม่ว่าท่านจะกดปุ่ม OK หรือ Cancel โปรแกรม Internet Explorer ก็จะเปิดหน้าต่างขึ้นมาใหม่ เพื่อให้เราดาวน์โหลดไวรัสมาเพิ่มเติม
ดูการทำงานและอาการที่เกิดมาเยอะแล้วนะครับ ต่อไปนี้เราก็มาเริ่มการกำจัดพวกมันกันเลยดีกว่า
โปรแกรมที่ต้องใช้
+ ProcessExplorer สำหรับปิดการทำงานของไวรัสที่รันตัวเองอยู่ -> Download
+ HijackThis v2.0.2 สำหรับกำจัดค่ารีจิสตรีแอบแฝงต่างๆที่ถูกสร้างขึ้นโดยไวรัส -> Download
1.เปิดโปรแกรม ProcessExplorer ขึ้นมา คลิกขวาโปรเซสที่ชื่อ fxstaller.exe เลือก Kill Process หรือจะกดปุ่ม Delete เพื่อหยุดการทำงานของไวรัสตัวนี้ก็ได้ แล้วปิดโปรแกรม
2.เรียกใช้งานโปรแกรม HijackThis เพื่อลบรีจิสตรีคีย์แปลกปลอมที่ไวรัสได้เขียนขึ้น โดยหาหรือใส่เครื่องหมายถูกหน้าข้อดังตัวอย่าง แล้วกด Fix Checked เพื่อลบ
3.ขณะนี้ไวรัสได้หยุดทำงานแล้ว เราก็มาเริ่มค้นหาไฟล์ตัวเป็นๆของพวกมันกันครับ โดยเปิด Folder Options ขึ้นมาก่อน แล้วตั้งค่าตามรูป
4.คลิกขวาที่ My Computer -> เลือก Explore -> คลิกเข้าไดร์ว C จากเมนูด้านซ้าย และที่เมนูด้านขวาจะพบว่ามี 2 ไฟล์ได้นอนแน่นิ่งอยู่คือ ous.exe และ rrrreet.exe ให้เลือกไฟล์ทั้ง 2 แล้วกด Shift+Delete เพื่อลบทิ้งทันทีโดยไม่ต้องให้ไปค้างอยู่ในถังขยะ Recycle Bin (2 ไฟล์นี้ห้ามดับเบิลคลิกเด็ดขาด เพราะไวรัสมันจะกลับมาทำงานใหม่อีกครั้ง)
5.คลิก Start -> Run -> พิมพ์ %temp% แล้ว Enter หน้าต่างโฟลเดอร์ Temp จะถูกเปิดขึ้นมา ให้กดปุ่ม Ctrl+A เพื่อเลือกไฟล์ทั้งหมด แล้วกดปุ่ม Shift+Delete เพื่อลบไฟล์ทั้งหมด โดยไม่ให้ไปค้างอยู่ในถังขยะ Recycle Bin
6.เข้าไปที่โฟลเดอร์ WINDOWS เพื่อหาไฟล์ที่ชื่อ fxstaller.exe แล้วลบทิ้งทันที
หลังจากนี้ให้ท่านทำการอัพเดตโปรแกรม Antivirus ให้ใหม่ล่าสุด แล้วสั่งสแกนไดร์ว C ทั้งไดร์วอีกครั้งครับ
