ความรู้เบื้องต้นเกี่ยวกับไวรัส

วิธีแก้ไวรัสต่างๆ บทแรก ว่าด้วยอาการของเครื่องที่ติดไวรัสวิธีดูคือ1.รู้สึกว่าเครื่องช้าลงไหม2.เปิด TaskManager ได้ไหม (วิธีดูคือ กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)3.เปิด Regedit ได้ไหม (วิธีเข้าคือ เข้า Start ไปที่ Run แล้วพิมพ์ regedit ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)4.Folder Option ยังอยู่ไหม (วิธีดูคือ เข้า MyComputer ไปที่ Tools(อยู่ข้างล่าง Title Bar) ดูว่ามี Folder Option ไหม)5.มี Process แปลกๆในเครื่องไหม (ดูใน TaskManager ส่วนรายละเอียดจะอธิบายในบทต่อไป)6.เปิด Drive ได้ไหม(หมายถึงปกติคือ Double Click เข้าไปได้ไหม)7.เมื่อเปิด Folder แล้วเปิด Folder นั้นในหน้าต่างใหม่8.ใน Folder มี Folder ที่ชื่อเหมือน Folder ขึ้นมาโดยเราไม่ได้สร้าง9.มี PopUp ข้อความ หรือ หน้าต่างของ InternetExplorer(หรือ InternetBrowser อื่นๆ) ขึ้นมาเอง10.หน้าแรกถูกตั้งเป็นหน้าอื่น เปลี่ยนกี่ทีก็ไม่ได้11.มี File แปลกๆอยู่ในเครื่องรึเปล่า12.อื่นๆ ถ้านึกออกจะเอามาลงอีกหมายเหตุ Process คือโปรแกรมที่ถูกเปิดอยู่ทุกตัวซึ่งบ้างตัวจะทำงานในเบื้องหลัง(มองไม่เห็น)บทที่สอง ว่าด้วยวิธีดู Process แปลกๆวิธีเปิด TaskManager เพื่อดู Process1.กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือว่ามีโอกาศเกือบ 100% ว่าติดไวรัส2.ไปที่ Processวิธีดู Process แปลกๆ1.ถ้ามี wscript.exe ขึ้นมา (อันนี้ 90% เป็นไวรัส)2.มีตัวที่มีรายชื่อดังต่อไปนี้มากกว่า 1 ตัวหรือชื่อใกล้เคียงalg.exectfmon.exe (อันนี้ไม่แน่ใจว่ามีทุกเครืองไหม แต่เป็นของ Windows คงมีทุกเครื่อง)lsass.exeservices.exesmss.exespoolsv.exewinlogon.exe(ในกรณีที่เป็น server อาจจะมีมากกว่า 1 ตัวมั้ง ไม่แน่ใจแต่ถ้ามี 2 ตัวให้ดูที่ User Name ถ้าเป็น System คือปกติ)3.มีตัวที่ชื่อใกล้เคียงกับ svchost.exe หรือเป็นชื่อนี้แต่ User Name ไม่ใช่ NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEMวิธีปิด Process1.เลือก Process ที่ต้องการปิด2.กดที่ End Process3.แล้วกดที่ Yesคำเตือน การปิด Process ที่มี User Name เป็น NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM ไม่ใช่ความคิดที่ดีอาจจะทำให้เครื่องรวนได้ ในบางกรณีอาจจะ Restart เองเลย หมายเหตุ บาง Process อาจจะปิดไม่ได้เนื่องจากถูกป้องกันไว้ ส่วนมากจะเป็น AntiVirus เช่น NOD32,NetOP School Student เป็นต้นบทที่สาม ว่าด้วยเรื่องของ Autorun.infAutorun.inf คืออะไร Autorun.inf คือ File ที่ไวรัสใช้ในการรันโปรแกรมไวรัส(บางตัวอาจจะไม่ใช่ไวรัสนะครับ อาจจะใช้ในประโยชน์อื่น เช่นการเปิดตัวลงโปรแกรมทันทีที่ใสแผ่น CD,เปลี่ยน Icon ของไดรว์ต่างๆ เป็นต้นวิธีเปิด Autorun.infในกรณีที่มองเห็นให้ Double Click เปิดได้เลยในกรณีที่มองไม่เห็นให้เปิด NotePad แล้วไปที่ File > Open แล้วพิมพ์ลงในช่อง File Name ว่า ชื่อไดรว์ตามด้วย Autorun.inf เช่นCode:F:\Autorun.infข้อความใน Autorun.inf ใช้ทำอะไรCode:[Autorun]ตัวนี้คือตัวที่บ่งบอกว่าตัวนี้คือ Autorun.inf ตัว Autorun.inf ทุดตัวต้องมีCode:icon=ตัวนี้เป็นตัวที่ใช้เปลี่ยน Icon ของ ไดรว์ ส่วนมากไวรัสจะไม่ใช้ ตัวอย่างวิธีใช้Code:icon=Sakura.icoโดย Sakura.ico คือชื่อไฟล์ Iconหมายเหตุ File Icon ต้องเป็น File ที่มีนามสกุล .ico เท่านั้นCode:shellexecute=อันนี้ส่วนมากเป็นไวรัสชนิดที่เป็น VBScript หรือ Script ต่างๆส่วนมากมักเป็นCode:shellexecute=wscript.exe test.vbsการทำงานของคำสั่งนี้คือบอกให้รัน Script ที่ชื่อว่า test.vbs ปกติไวรัสแบบนี้แก้ไม่ยากCode:Open=อันนี้ส่วนมากจะใช้กับไวรัสที่เป็น EXE โดยมักเป็นดังนี้Code:Open=1.exeหรือCode:Open=1.comโดยที่ 1.exe หรือ 1.com นั้นเป็นชื่อไวรัส ส่วนมากไวรัสพวกนี้มักแก้ยากเพราะเราไม่รู้ว่ามันทำอะไรกับเครื่องเราบ้างCode:Shell\auto\command=Shell=autoอันนี้คล้ายกับ Open ผมจะอธิบายทีละบรรทัดนะครับCode:Shell\auto\command=บรรทัดนี้จะเป็นตัวชี้ File ว่าให้เปิดอะไร ส่วนตรง auto นั้นสามารถเปลี่ยนได้ เช่นCode:Shell\test\command=จะเหมือนกับอันบน คำสั่งนี้เมื่อคลิกขวาที่ Drive จะมีคำสั่งเพิ่มขึ้นมา เช่นถ้าเป็นของอันบนจะมีคำสั่ง auto เพิ่มขึ้นมา แต่ถ้าของอันล่างจะมี test เพิ่มขึ้นมาCode:Shell=autoส่วนอันนี้เป็นตัวที่บอกว่าถ้า Double Click จะไปเปิดตัวไหน เช่นอันนี้คือถ้า Double Click จะคล้ายคลิกขวาที่ Drive แล้วเลือก auto ก็คือรันไวรัสนั่นเอง บางตัวอาจจะใช้วิธีนี้แต่ผมจำโครงสร้างไม่ได้เป็นตัว music.exe มันจะทำให้มี Open หลายตัวทำให้งง ถ้าในกรณีนี้ให้เลือกตัวล่าง ส่วนมากตัวล่างมักจะปลอดภัยที่สุดCode:label=อันนี้คือตั้งชื่อ Drive อ่ะครับ เช่นCode:label=MIX THE WIZARDอันนี้คือให้ชื่อ Drive เป็น MIX THE WIZARD มันไม่ต่างอะไรกับคลิกขวา Properties แล้วเปลี่ยนชื่อไดรว์เท่าไหร่ แต่ถ้ามี autorun.inf อยู่มันจะเอาคำสั่งนี้เป็นหลักที่สำคัญคงมีแค่นี้ทริกเพิ่มเติม1.เราควรสร้าง Autorun.inf เก็บไว้ใน FlashDrive แล้วใส่คำสั่ง Icon เข้าไป ประมาณนี้Code:[Autorun]icon=Sakura.icoเพื่อที่เวลาเราเอา FlashDrive ไปเสียบเครื่องอื่นถ้ามาเสียบที่บ้าน แล้วไม่ขึ้นรูป ก็มีโอกาศว่า autorun.inf โดนเขียนทับ เราจะได้คลิกขวา ดูว่ามีไวรัสไหม ระวังตัวมากขึ้นหน่อย2.เวลาเสียบ FlashDrive ควร กด Shift ไว้ด้วยไม่ให้มัน Autorun(ส่วนมากมักจะเปิดไวรัสแบบอัตโนมัติที่เสียบ FlashDrive เข้าไป)หมายเหตุ1.ต้องมี File Icon และต้องตั้งค่าให้เรียบร้อยด้วย2.เมื่อเสียบกับเครื่องที่มี AntiAutorun ตัว Autorun.inf ของเราก็จะหายไปนะครับ เพราะมันโง่แยกไม่ออก ดังน้นระวังหน่อยนะครับ ----------------------------------------------------------------------------------------------------แหล่งที่อ้าง:http://anonym.to/?http%3A%2F%2Fwebcomthai.com%2Fflashdrive.html