ผมค่อนข้างเห็นใจคนที่ใช้ระบบปฏิบัติการวินโดว์มากครับ เพราะมันมีไวรัสคอมพิวเตอร์ชุกชุมเหลือเกิน และยิ่งเห็นใจมากขึ้น เมื่อเด็กรุ่นใหม่ ๆ ที่ไม่เคยได้สัมผัสกับ MS-DOS มาก่อน ไม่รู้ว่าจะแก้ไขคอมพิวเตอร์ของตนที่ติดไวรัสได้ยังไงดี
ปรกติแล้วไวรัสคอมพิวเตอร์ก็คือไฟล์คอมพิวเตอร์ธรรมดาเนี่ยแหล่ะครับ เพียงแต่ว่ามันจะถูกวางไว้ในสถานที่ที่ถูกกระตุ้นได้ และเมื่อมันถูกกระตุ้นแล้ว มันก็จะออกลูกออกหลานสร้างความวิบัติต่อไป
ดังนั้น เคล็ดลับง่าย ๆ ในการจัดการกับมันก็คือ “อย่าให้มันถูกกระตุ้นได้” งั้นเรามาดูขั้นตอนกันดีกว่าว่าต้องทำยังไงบ้าง
1. เปิดระบบ Safe Mode
ระบบปฏิบัติการ Microsoft Windows สามารถเข้าเป็น Safe mode ได้ครับ โดยการกดปุ่ม F8 ก่อนที่โลโก้ของ Windows จะปรากฎขึ้นมา (พยายามกดให้แม่น ๆ นะ เพราะไม่งั้นมันจะเข้าไม่ได้) จากนั้นจะมีเมนูขึ้นมาให้เราเลือกครับ เราก็เลือกว่าเราจะเข้า Safe mode
ผมขี้เกียจเอามะพร้าวห้าวมาขายสวน ดังนั้นจึงขอบอกแค่ว่า Safe mode คือสภาวะของ Windows ที่ไม่ได้โหลดส่วนเพิ่มเติมอะไรขึ้นมาเลย ยกเว้นกลไกอันแสนจะธรรมดาของตัว Windows เอง ซึ่งถ้าบอกอย่างนี้ก็หมายความว่า แม้แต่ตัวไฟล์ไวรัสที่อาจจะซ่อนตัวอยู่ในกลไกการ Startup ก็จะไม่ถูกกระตุ้นด้วยเช่นกัน มันจึงทำให้เราสามารถค้นหาและทำลายไฟล์ไวรัสได้อย่างมีประสิทธิภาพยิ่งขึ้น
2. ค้นหาใน Registry
ระบบวินโดว์ไม่ว่าจะกี่รุ่นต่อกี่รุ่น ก็อนุญาตให้เราเข้าถึง Registry ได้ด้วยคำสั่ง Regedit.exe โดยสามารถเรียกได้ที่เมนู Start -> Run
เมื่อเรียกขึ้นมาได้แล้ว ก็เข้าไปค้นหาในส่วนของการ Startup ของวินโดว์ครับ เพราะไวรัสคอมพิวเตอร์ชื่นชอบมากที่จะไปฝังตัวอยู่ีที่นั่น เนื่องจากมันเป็นบริเวณที่จะถูกกระตุ้นเป็นอันดับแรก ๆ เลย
โดยเราสามารถที่จะเข้าไปหาได้ตาม key ดังต่อไปนี้
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
ในคีย์ Registry เหล่านี้ล้วนฝังโปรแกรมที่ถูกกระตุ้นตอน Startup ระบบทั้งนั้นครับ ดังนั้นถ้าเราพบว่ามันมีโปรแกรมแปลก ๆ ที่เราไม่รู้จักถูกบรรจุอยู่ในนั้น ก็ขอให้เดาไว้ก่อนเลยว่า(สงสัย)มันเป็นไวรัสคอมพิวเตอร์แหง ๆ
3. ค้นหาใน Path ของระบบ
ไวรัสคอมพิวเตอร์นิยมชมชอบที่จะฝังตัวอยู่ในพื้นที่ของระบบครับ ซึ่งที่ ๆ มันชอบมาก ๆ ก็คือโฟลเดอร์ C:\WINDOWS และ C:\WINDOWS\System32 …
แต่ถึงเราจะรู้ว่ามีความเป็นไปได้ที่จะมันจะอยู่ที่นั่น เราก็หามันเจอไม่ได้ง่าย ๆ หรอกครับ เพราะมันจะซ่อนตัวอยู่ด้วยคุณสมบัติของไฟล์บางอย่าง ถึงเราจะสั่งให้เปิดให้แสดงไฟล์แบบอล่างฉ่าง มันก็ไม่ยอมโผล่ออกมาหรอก!!!
ดังนั้นเราก็ต้องใช้ความรู้ในการเรียกคำสั่งแบบ MS-DOS เข้ามาช่วยครับ โดยการเรียกคำสั่ง cmd.exe ซึ่งสามารถเรียกได้ที่เมนู Start -> Run
จากนั้นเราก็ใช้คำสั่ง cd เพื่อเข้าไปยังโฟลเดอร์ของระบบ โดยการพิมพ์ …
C:\>cd c:\windows หรือ C:\>cd c:\windows\system32
เมื่อเข้าไปในโฟลเดอร์ใดโฟลเดอร์นึงแล้ว เราก็ใช้คำสั่ง dir เพื่อค้นหาไฟล์ไวรัสที่ซ่อนตัวอยู่ครับ โดยการพิมพ์ …
C:\WINDOWS>dir /ah หรือ C:\WINDOWS\system32>dir /ah
รับรองได้ว่าเราจะพบไฟล์แปลก ๆ ซึ่งถูกสร้างขึ้นมาเมื่อไม่นานมานี้เอง ให้สงสัยไว้ก่อนครับว่ามันเป็นไวรัสคอมพิวเตอร์แล้วจึงลบมันซะ … แต่ช้าก่อนครับ เพราะไฟล์พวกนี้มันดื้อ มันไม่ยอมให้ลบง่าย ๆ หรอก เนื่องจากมันพรางตัวมั่วนิ่มว่าเป็นไฟล์ระบบ ดังนั้นเราจึงลบมันไม่ได้ง่าย ๆ
ดังนั้นเราก็ต้องใช้คำสั่ง attrib เพื่อตรวจคุณสมบัติของไฟล์ก่อนว่าไฟล์ดังกล่าวเป็นไฟล์อะไร ยกตัวอย่างเช่น เราสงสัยว่าไฟล์ baidu.exe นั้น มันน่าจะเป็นไฟล์ไวรัสแน่ ๆ เราก็พิมพ์คำสั่งดังนี้
C:\WINDOWS\system32>attrib baidu.exe
ถ้ามันแสดงผลออกมาว่ามันเป็นไฟล์แบบ R (Read Only) หรือ S (System) หรือ H (Hidden) ก็ให้เราใช้คำสั่ง attrib เพื่อถอดคุณสมบัติมันออกครับ ยกตัวอย่างเช่นถ้ามันเป็น System และ Hidden เราก็พิมพ์คำสั่ง attrib ดังนี้
C:\WINDOWS\system32>attrib -s -h baidu.exe
เมื่อเราเคาะปุ่ม Enter เป้ง คุณสมบัติของมันก็จะเปลี่ยนไปกลายเป็นไฟล์ธรรมดาที่สามารถโดนลบได้ เราก็ใช้คำสั่ง del ลบมันทิ้งซะแบบนี้ครับ
C:\WINDOWS\system32>del baidu.exe
แค่นี้มันก็หายสาปสูญไปจากระบบแล้ว!!!
…
โดยสรุปแล้วไวรัสคอมพิวเตอร์ก็เหมือนผีนั่นแหล่ะครับ มันมีปัญญาจะเข้าสิงเรา, บังตาเรา และอำเราได้ ดังนั้นเลิกคิดซะเถอะครับว่าหมอผีอย่าง Symantec Antivirus, McAfee, Nod32 หรือ Hijackthis จะมีปัญญามาช่วยปราบผีให้เราได้
ดังนั้นจงถือคติตนเป็นที่พึ่งแห่งตนครับ โดยการที่เราต้องรู้จักบทสวดมนต์เพื่อเอาไว้สวดไล่ผีด้วยตัวเองนั่นเอง 😛
[tags]ไวรัส,คอมพิวเตอร์,เคล็ดลับ,ค้นหา,วินโดว์[/tags]
ไม่ได้ใช้งานในคำสั่งบน dos แบบนี้นานแล้วครับ
อารมณ์คนแก่อีกแล้วเรา
พี่ไท้ครับ ลูกค้ากลุ่มองค์กรที่มีเรื่องเป็นร้อยๆ เค้าดูแลกันยังไงครับ
ติดไวรัสที ไอทีไม่ปวดหัวแย่เหรอ?
ติดไวรัสที ปวดกาบาล มากๆครับ – -‘
หน่วยงานผม พนักงานเป็นพัน – – เวลาติดไวรัส มันไม่ใช่แค่ที่เครื่อง มันมาจาก FlashDrive มั่งล่ะ มาผ่าน Notebook โดยผ่าน LAN บ้างล่ะ
คนเยอะ ก็วุ่นวายเยอะน่ะครับ
มาแก่ด้วยกันเถอะครับคุณ copywriter T-T
เขาก็ใช้โปรแกรมป้องกันไวรัสระดับ Enterprise ไงครับคุณ Johnny แบบว่ามันจะทำงานแบบ Broadcasting เลย
คนเยอะเรื่องแยะครับคุณ Mr. Stamp งั้นใช้หุ่นยนต์ทำงานแทนดีกว่า 😛
เหอะๆ ระวังลบผิดไปลบไฟล์ระบบนะท่าน ไฟล์ระบบไม่น้อยเช่นกันที่มันสั่งซ่อน – -”
เด๋วนี้ที่แพร่ระบาดหนัก คือ rootkit กับ worm เวิร์มเองนะไม่เท่าไรหรอก แต่ rootkit นี่ดิ
วันก่อนเจอตัวนึง มัน infect กับ explorer.exe และ patch ไฟล์สำคัญระบบต่างๆ เช่น cmd taskmanager regedit ทำให้เราตามตัวมันไม่เจอ ซึ่งนับว่าโชคดีที่ผม check SHA1 เก็บเอาไว้พอลอง เช๊กดู SHA1 เปลี่ยนไปจริงๆ ก็จัดการก็อบไฟล์ต้นฉบับมาทับ มันก็มลายหายไปเลย เอิ้กๆ หาตั้งนาน แต่จนบัดนี้ ผมก็ยังไม่รู้ว่ามันมาได้ไง และตอนไหน
ตัวนี้น้องชายผมได้เจอแล้วครับคุณเพนซิล ผมต้องไปช่วยแก้ไขให้ตั้งนานแน่ะ เพราะมันแสบมาก ปิดไม่ให้ผมใช้ regedit.exe และ taskmanager.exe เลย
สวัสดีค่ะ
เราเข้ามาขอบคุณค่ะ เราเจอ baidu และทำตามที่คุณแนะนำ คุณอธิบายเป็นลำดับขั้นตอนดีจัง แต่เรา key คำสั่งใน dos ไม่เป็นเลยกดมั่วมาก เราเข้า safe modeแต่คลิก delete ใน windows ที่มีพื้นหลังเป็น safe mode ก็ delete ได้น่ะค่ะ เราดูใน program file และใน tool bar มันหายไปแล้ว หายไปจริงป่าวไม่รู้ แต่เราขอดีใจไว้ก่อน เรากล้า(จากที่ไม่เคยกล้าเพราะกลัวเครื่องพัง) ก็เพราะประโยคนี้ของคุณ “ตนเป็นที่พึ่งแห่งตน จงรู้จักบทสวดมนต์และหัดไล่ผีด้วยตนเอง”
ขอบคุณมากๆอีกทีนะคะ เราจะพยายามหัดแก้ปัญหาด้วยตัวเองต่อไป รู้สึกมั่นใจขึ้นเยอะเลยค่ะ : )
ใช้ del baidu.exe /a:sh
ก็ได้ครับ โดยไม่ต้องถอดคุณสมบัติ
ขออนุญาตคุณ Mr. PeeTai นะคะ : )
ขอบคุณคุณ Azezel มากค่ะ คราวหน้าถ้าเจอเจ้า baidu นี่อีก จะลองแบบที่คุณ Azezel แนะนำนะคะ : )
ถ้า dir/ah แล้ว
แล้วจะรู้ได้ไงครับ
ว่าไฟล์ตัวไหน ที่เป็นไวรัสครับ