ฆ่าไวรัสด้วยตัวเอง ไม่ง้อโปรแกรม
ผมค่อนข้างเห็นใจคนที่ใช้ระบบปฏิบัติการวินโดว์มากครับ เพราะมันมีไวรัสคอมพิวเตอร์ชุกชุมเหลือเกิน และยิ่งเห็นใจมากขึ้น เมื่อเด็กรุ่นใหม่ ๆ ที่ไม่เคยได้สัมผัสกับ MS-DOS มาก่อน ไม่รู้ว่าจะแก้ไขคอมพิวเตอร์ของตนที่ติดไวรัสได้ยังไงดี
ปรกติแล้ว ไวรัสคอมพิวเตอร์ก็คือไฟล์คอมพิวเตอร์ธรรมดาเนี่ยแหล่ะครับ เพียงแต่ว่ามันจะถูกวางไว้ในสถานที่ที่ถูกกระตุ้นได้ และเมื่อมันถูกกระตุ้นแล้ว มันก็จะออกลูกออกหลานสร้างความวิบัติต่อไป
ดังนั้น เคล็ดลับง่าย ๆ ในการจัดการกับมันก็คือ “อย่าให้มันถูกกระตุ้นได้” งั้นเรามาดูขั้นตอนกันดีกว่าว่าต้องทำยังไงบ้าง
1. เปิดระบบ Safe Mode
ระบบ ปฏิบัติการ Microsoft Windows สามารถเข้าเป็น Safe mode ได้ครับ โดยการกดปุ่ม F8 ก่อนที่โลโก้ของ Windows จะปรากฎขึ้นมา (พยายามกดให้แม่น ๆ นะ เพราะไม่งั้นมันจะเข้าไม่ได้) จากนั้นจะมีเมนูขึ้นมาให้เราเลือกครับ เราก็เลือกว่าเราจะเข้า Safe mode
ผมขี้เกียจเอามะพร้าวห้าวมาขายสวน ดังนั้นจึงขอบอกแค่ว่า Safe mode คือสภาวะของ Windows ที่ไม่ได้โหลดส่วนเพิ่มเติมอะไรขึ้นมาเลย ยกเว้นกลไกอันแสนจะธรรมดาของตัว Windows เอง ซึ่งถ้าบอกอย่างนี้ก็หมายความว่า แม้แต่ตัวไฟล์ไวรัสที่อาจจะซ่อนตัวอยู่ในกลไกการ Startup ก็จะไม่ถูกกระตุ้นด้วยเช่นกัน มันจึงทำให้เราสามารถค้นหาและทำลายไฟล์ไวรัสได้อย่างมีประสิทธิภาพยิ่งขึ้น
2. ค้นหาใน Registry
ระบบ วินโดว์ไม่ว่าจะกี่รุ่นต่อกี่รุ่น ก็อนุญาตให้เราเข้าถึง Registry ได้ด้วยคำสั่ง Regedit.exe โดยสามารถเรียกได้ที่เมนู Start -> Run
เมื่อ เรียกขึ้นมาได้แล้ว ก็เข้าไปค้นหาในส่วนของการ Startup ของวินโดว์ครับ เพราะไวรัสคอมพิวเตอร์ชื่นชอบมากที่จะไปฝังตัวอยู่ีที่นั่น เนื่องจากมันเป็นบริเวณที่จะถูกกระตุ้นเป็นอันดับแรก ๆ เลย
โดยเราสามารถที่จะเข้าไปหาได้ตาม key ดังต่อไปนี้
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
ใน คีย์ Registry เหล่านี้ล้วนฝังโปรแกรมที่ถูกกระตุ้นตอน Startup ระบบทั้งนั้นครับ ดังนั้นถ้าเราพบว่ามันมีโปรแกรมแปลก ๆ ที่เราไม่รู้จักถูกบรรจุอยู่ในนั้น ก็ขอให้เดาไว้ก่อนเลยว่า(สงสัย)มันเป็นไวรัสคอมพิวเตอร์แหง ๆ
3. ค้นหาใน Path ของระบบ
ไวรัส คอมพิวเตอร์นิยมชมชอบที่จะฝังตัวอยู่ในพื้นที่ของระบบครับ ซึ่งที่ ๆ มันชอบมาก ๆ ก็คือโฟลเดอร์ C:\WINDOWS และ C:\WINDOWS\System32 …
แต่ ถึงเราจะรู้ว่ามีความเป็นไปได้ที่จะมันจะอยู่ที่นั่น เราก็หามันเจอไม่ได้ง่าย ๆ หรอกครับ เพราะมันจะซ่อนตัวอยู่ด้วยคุณสมบัติของไฟล์บางอย่าง ถึงเราจะสั่งให้เปิดให้แสดงไฟล์แบบอล่างฉ่าง มันก็ไม่ยอมโผล่ออกมาหรอก!!!
ดัง นั้นเราก็ต้องใช้ความรู้ในการเรียกคำสั่งแบบ MS-DOS เข้ามาช่วยครับ โดยการเรียกคำสั่ง cmd.exe ซึ่งสามารถเรียกได้ที่เมนู Start -> Run
จากนั้นเราก็ใช้คำสั่ง cd เพื่อเข้าไปยังโฟลเดอร์ของระบบ โดยการพิมพ์ …
C:\>cd c:\windows หรือ C:\>cd c:\windows\system32
เมื่อเข้าไปในโฟลเดอร์ใดโฟลเดอร์นึงแล้ว เราก็ใช้คำสั่ง dir เพื่อค้นหาไฟล์ไวรัสที่ซ่อนตัวอยู่ครับ โดยการพิมพ์ …
C:\WINDOWS>dir /ah หรือ C:\WINDOWS\system32>dir /ah
รับรอง ได้ว่าเราจะพบไฟล์แปลก ๆ ซึ่งถูกสร้างขึ้นมาเมื่อไม่นานมานี้เอง ให้สงสัยไว้ก่อนครับว่ามันเป็นไวรัสคอมพิวเตอร์แล้วจึงลบมันซะ … แต่ช้าก่อนครับ เพราะไฟล์พวกนี้มันดื้อ มันไม่ยอมให้ลบง่าย ๆ หรอก เนื่องจากมันพรางตัวมั่วนิ่มว่าเป็นไฟล์ระบบ ดังนั้นเราจึงลบมันไม่ได้ง่าย ๆ
ดัง นั้นเราก็ต้องใช้คำสั่ง attrib เพื่อตรวจคุณสมบัติของไฟล์ก่อนว่าไฟล์ดังกล่าวเป็นไฟล์อะไร ยกตัวอย่างเช่น เราสงสัยว่าไฟล์ baidu.exe นั้น มันน่าจะเป็นไฟล์ไวรัสแน่ ๆ เราก็พิมพ์คำสั่งดังนี้
C:\WINDOWS\system32>attrib baidu.exe
ถ้า มันแสดงผลออกมาว่ามันเป็นไฟล์แบบ R (Read Only) หรือ S (System) หรือ H (Hidden) ก็ให้เราใช้คำสั่ง attrib เพื่อถอดคุณสมบัติมันออกครับ ยกตัวอย่างเช่นถ้ามันเป็น System และ Hidden เราก็พิมพ์คำสั่ง attrib ดังนี้
C:\WINDOWS\system32>attrib -s -h baidu.exe
เมื่อ เราเคาะปุ่ม Enter เป้ง คุณสมบัติของมันก็จะเปลี่ยนไปกลายเป็นไฟล์ธรรมดาที่สามารถโดนลบได้ เราก็ใช้คำสั่ง del ลบมันทิ้งซะแบบนี้ครับ
C:\WINDOWS\system32>del baidu.exe
แค่นี้มันก็หายสาปสูญไปจากระบบแล้ว!!!
…
ที่มา http://www.peetai.com/archives/893#more-893
Monday 5 October 2015
Subscribe to:
Post Comments (Atom)
0 ความคิดเห็น:
Post a Comment