# Notification.
Notification

Author Topic: เรื่องของหนอนไวรัส WORM_SILLY.JRWN กับ NOD32  (Read 4783 times)

0 Members and 1 Guest are viewing this topic.

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
พอดีท่าน yoodza1234 เจอปัญหานี้เข้าน่ะครับ ก็เลยอยากขอเปิดกระทู้ใหม่ซ้ำอีกสักหน่อย ให้แยกออกมาจากกระทู้ของ NOD เลย

ถ้าหากท่านใดโดน และใช้ NOD32 หรือ ESET อาจจะเจอกับไดอะล็อกบ็อกส์นี้แจ้งเตือนขึ้นมาบ่อย ส่วน Antivirus ตัวอื่นๆผมไม่ทราบ



เท่าที่ผมลองหาข้อมูลจาก

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SILLY.JRWN&VSect=Sn

มันจะทำงานแบบสุ่มเปลี่ยนชื่อไปเรื่อยๆ และจะซ่อนตัวเองไว้ในโฟลเดอร์ Temp

•%System%\{Random1}
•%System%\{Random2}
•%System%\{Random3}
•%System%\{Random4}
•%User Temp%\E_4


และจะสร้างไฟล์ Autorun.inf และ Recycle.exe ไว้ในเครื่องของเรา โดยในไฟล์ Autorun.inf จะมีคำสั่งดังนี้

[AutoRun]
open=Recycle.exe
shell\1=´o?a(&O)
shell\1\Command=Recycle.exe
shell\2\=a ̄AA(&B)
shell\2\Command=Recycle.exe
shellexecute=Recycle.exe


วิธีการแก้ไขเบื้องต้น

ปิดการใช้งาน System Restore ของวินโดวส์ไว้ก่อน

และหนอนตัวนี้จะเข้าไปปิดการทำงานในส่วนของ Windows Task Manager จะทำให้การทำงานในส่วนนี้ไม่สามารถเรียกขึ้นมาใช้งานดูไฟล์หรือโปรเซสแปลกปลอมที่ทำงานพร้อมกับวินโดวส์ได้

ดังนั้นถ้าอยากหาตัวหนอน WORM_SILLY.JRWN จะต้องใช้เครื่องมืออย่าง Process Explorer ขึ้นมาใช้งานแทน โดยท่านสามารถดาวน์โหลดได้ที่

http://technet.microsoft.com/th-th/sysinternals/bb896653(en-us).aspx

แล้วหยุดการทำงานของโปรเซสแปลกปลอม โดยคลิกขวาที่โปรเซสแปลกปลอมแล้วคลิกขวาเลือก End Process

สำหรับการลบไฟล์เหล่านี้ในโฟลเดอร์ Temp

คลิก Start -> Run -> พิมพ์ %temp% -> Enter

แล้วกด Ctrl + A สำหรับเลือกไฟล์ทั้งหมด แล้วกด Shift + Del เพื่อลบไฟล์แบบไม่ให้ค้างไว้ใน Recycle Bin

ส่วนวิธีค้นหาไฟล์และตามลบ

คลิก Start -> Search -> ใส่คีย์เวิร์ดเป็น autorun.inf + ตั้งค่าตามรูปอีกนิดหน่อย แล้วกด Search เพื่อค้นหา

และ

ใส่คีย์เวิร์ดเป็น Recycle.exe + ตั้งค่าตามรูปอีกนิดหน่อย แล้วกด Search เพื่อค้นหาเช่นเดียวกันครับ



ถ้าเจอไฟล์ Autorun.inf หรือ Recycle.exe ให้กด Ctrl + A สำหรับเลือกไฟล์ทั้งหมด แล้วกด Shift + Del เพื่อลบไฟล์แบบไม่ให้ค้างไว้ใน Recycle Bin

แล้วสั่งสแกนด้วยโปรแกรม Antivirus อีกครั้งครับผม

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
เสียดายไม่มีตัวไวรัสนะครับ ไม่รู้เลยว่าโปรเซสแปลกปลอมชื่ออะไรที่รันอยู่ใน Process Explorer

ผมลองเปิดเข้าไปตามลิงค์ http://w-66.cn//u5.htm เพื่อหวังจะให้ติดไวรัส ก็ไม่มี เป็นแผนลวงซะงั้น

 [emo10]  [emo09]

Offline chaiwut

  • Webmaster
  • *****
  • Posts: 1599
    • MSN Messenger - chaiwut38@hotmail.com
    • View Profile
เสียดายไม่มีตัวไวรัสนะครับ ไม่รู้เลยว่าโปรเซสแปลกปลอมชื่ออะไรที่รันอยู่ใน Process Explorer

ผมลองเปิดเข้าไปตามลิงค์ http://w-66.cn//u5.htm เพื่อหวังจะให้ติดไวรัส ก็ไม่มี เป็นแผนลวงซะงั้น

 [emo10]  [emo09]
WoW....ท่านช่างกล้าจังนี่
แต่นี่แหละ เพื่อศึกษาท่าน microsoft ของเราถึงกับยอมติดเชื้อเลยนะนี่

Offline yoodza1234

  • VPC Member
  • **
  • Posts: 24
    • View Profile
    • Email
พี่ครับถ้าผมล้างเครื่องแล้วจะหายไหม (แค่ลองถามถ้าแก้ไม่หายจริงๆๆ) ตอบด้วยนะครับ

Offline yoodza1234

  • VPC Member
  • **
  • Posts: 24
    • View Profile
    • Email
แล้วไอ่ HKEY_LOCAL_MACHINE มันอยู่ใน ฮาร์ดดิสเปล่าครับ ช่วยหน่อยนะครับ  [emo17]

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
แล้วไอ่ HKEY_LOCAL_MACHINE มันอยู่ใน ฮาร์ดดิสเปล่าครับ ช่วยหน่อยนะครับ  [emo17]

เป็นส่วนประกอบสำคัญของระบบวินโดวส์น่ะครับ

พี่ครับถ้าผมล้างเครื่องแล้วจะหายไหม (แค่ลองถามถ้าแก้ไม่หายจริงๆๆ) ตอบด้วยนะครับ

ถ้าล้างเครื่องใหม่แล้วจะหายไหม ผมไม่แน่ใจว่าไวรัสตัวนี้ท่านโดนมาได้ยังไง โดนจากการดาวน์โหลดหรือจากแฟลชไดรว์ซึ่งติดมาจากเครื่องอื่น แต่ถ้ามีไฟล์ autorun.inf เพิ่มมาด้วยก็คงจะมาจากแฟลชไดรว์แน่

ส่วนเรื่องลงวินโดวส์ใหม่ ผมว่าหายนะ แต่ถ้าลงใหม่แล้ว อยากให้ป้องกันในเรื่องของการใช้อินเตอร์เน็ตหรือใช้แฟลชไดรว์ เพราะเท่าที่พบไวรัสจะมาจาก 2 ช่องทางนี้

ถ้าลงวินโดวส์ใหม่แล้วอยากจะขอแนะนำ 4 วิธีป้องกันไวรัสได้ดีเลย

1. ปิดฟังก์ชัน Autorun ของวินโดวส์ (กรณีที่เป็น Windows XP)

2. ติดตั้งโปรแกรม AntiAutorun Killer ต่างๆ แล้วแต่จะเลือกใช้งานเช่น CPE17, USB Disk Security, ฯลฯ

3. ติดตั้งโปรแกรม Antivirus และอัพเดต Virus Signature อยู่เป็นประจำ

4. ถ้าต้องการเปิดเข้าไดรว์ต่างๆใน My Computer แนะนำให้คลิกขวาที่ไอคอน My Computer แล้วคลิกเข้าไดรว์ต่างๆจากเมนูทางด้านซ้ายแทน

เพราะส่วนใหญ่จะนิยมดับเบิลคลิกไอคอน My Computer -> ดับเบิลคลิกเข้าไดรว์ต่างๆ หรือเปิดโฟลเดอร์ของแฟลชไดรว์ผ่านหน้าต่าง Autorun ทำให้ไวรัสที่ถูกออกแบบให้ทำงานผ่านคำสั่ง Autorun ที่แฝงตัวมากับแฟลชไดรว์วิ่งเข้าเครื่องของเราได้ง่ายๆครับ

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
สำหรับไวรัสถ้าหากท่านไม่เคยหรือไม่คุ้นเคยกับการทำงานของไวรัสเหล่านี้มาก่อน โอกาสที่จะกำจัดหรือหาตัวหาต้นตอแหล่งหลบซ่อนตัวจะทำได้ยากนะครับ ไวรัสแต่ละตัวทำงานไม่เหมือนกัน ตรงนี้แล้วแต่คนเขียนว่าอยากให้มันทำงานยังไง หลบซ่อนตัวไว้ที่ไหน ซึ่งคนใช้งานทั่วไป สำหรับการลงวินโดวส์ใหม่จะทำได้ง่ายและเร็วกว่าการงมเข็มในคลองแสนแสบเลย เพราะเวลาที่เสียไปกับการลงวินโดวส์ใหม่+โปรแกรมใช้เวลาประมาณ 2-3 ชม.เท่านั้นเอง (ถ้ามีโปรแกรมใช้งานพร้อม)

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
เสียดายไม่มีตัวไวรัสนะครับ ไม่รู้เลยว่าโปรเซสแปลกปลอมชื่ออะไรที่รันอยู่ใน Process Explorer

ผมลองเปิดเข้าไปตามลิงค์ http://w-66.cn//u5.htm เพื่อหวังจะให้ติดไวรัส ก็ไม่มี เป็นแผนลวงซะงั้น

 [emo10]  [emo09]
WoW....ท่านช่างกล้าจังนี่
แต่นี่แหละ เพื่อศึกษาท่าน microsoft ของเราถึงกับยอมติดเชื้อเลยนะนี่

ทดสอบกับอีกเครื่องนึงน่ะครับท่าน ถ้าโดนจริง แล้วแก้ไม่ได้ ก็แค่โคลนอิมเมจโกสต์กลับ  [emo05]  [emo06]

Offline yoodza1234

  • VPC Member
  • **
  • Posts: 24
    • View Profile
    • Email
สรุปว่าล้างเครื่องคอมกับลงวินโดวใหม่หายใช่ไหมครับ  [emo17]

Offline yoodza1234

  • VPC Member
  • **
  • Posts: 24
    • View Profile
    • Email

Offline microsoft

  • Administrator
  • *****
  • Posts: 8651
    • View Profile
    • VarietyPC.Net
โพสต์ถามต่อแค่ครั้งเดียวก็น่าจะพอแล้วนะครับท่าน ไม่จำเป็นต้องโพสต์ซ้ำ เพราะช่วงกลางวันผมต้องทำงานหลัก และไม่มีอินเตอร์เน็ทให้ใช้ หรือถึงมีเน็ตให้ใช้ก็ไม่เข้า จะทำให้เสียงาน เสียนิสัยในการทำงาน ส่วนเว็บทำเป็นงานอดิเรกหลังกลับจากที่ทำงาน ถ้าอยากให้ผมคอยตอบคำถามท่านทันทีเลยที่ท่านถาม ให้ผมเอางานเว็บเป็นงานหลักก็ได้นะ แต่ขอเงินเดือนสัก 2 หมื่น เดี๋ยวจะลาออกจากงานหลักมาเฝ้าเว็บตลอด 24 ชม.และคอยตอบคำถามท่านให้อย่างเดียวเลยครับ

ส่วนเรื่องลงวินโดวส์แล้วหายไหม หายแน่นอน 100% แต่อยู่ที่นิสัยของผู้ใช้งานด้วย คำตอบก็เหมือนด้านบนที่ผมโพสต์ไปแล้วครับ

ถ้าเสียบแฟลชไดรว์แล้วให้ Autorun ของวินโดวส์ทำงาน แล้วเปิดแฟลชไดรว์จากหน้าต่าง Autorun ไวรัสก็กลับมาอีก (ในกรณีที่มีไวรัสอยู่ในแฟลชไดรว์ด้วย) หรือถ้าดับเบิลคลิกเข้า My Computer และดับเบิลคลิกเข้าไดรว์หรือแฟลชไดรว์ไวรัสก็จะกลับมาเหมือนกัน ส่วนคำแนะนำไม่ให้ไวรัสวิ่งเข้าเครื่องอยู่ข้างบนครับ

หรือที่ผมโพสต์ไป ยังอธิบายไม่กระจ่าง  [emo22]  [emo22]


 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27