How to resolve “hack by debugger” intrusion
July 13th, 2008หลังจากเขียนเรื่อง thumbdrive and virus ไปเมื่อ 2 ปีที่แล้ว จากนั้นมาก็ไม่เคยพลาดให้คอมพิวเตอร์ที่อยู่ในความดูแล ต้องพลาดโดนไวรัสเล่นงานเลย จนกระทั่งวันพฤหัสที่ผ่านมา ในขณะที่กำลังทำงาน พี่ที่ทำงานก็เรียกให้ไปดูคอมพิวเตอร์ ที่เปิดไฟล์เวิร์ดขึ้นมาแล้วเจอแต่คำว่า “hack by debugger” ลองเปิดไฟล์เอกสารอื่นๆ ก็เป็นเหมือนกันหมด
ยังดีที่ไวรัสนี้ทิ้งคีย์เวิร์ดไว้ให้ เลยไปค้นข้อมูลได้ว่าไวรัสนี้เป็น vb script ออกฤทธิ์เล่นงานไฟล์ word, excel, powerpoint และ pdf โดยสร้างไฟล์หลอกชื่อเดียวกันแต่เป็นนามสกุล exe เท่านั้นไม่พอหลอกซ้ำสองโดยสร้างไฟล์ซ่อนชื่อนามสกุลเหมือนไฟล์ของจริงเปะ แต่มีขนาดแค่ 1 kb ส่วนไฟล์จริงๆ นั้นถูกซ่อนไว้ลึกสุดเป็นไฟล์ระบบติด attribute R H S A ครบเลย
พอได้ข้อมูลข้าศึกมาแล้ว ก็ถึงขั้นตอนการกำจัด ซึ่งผมนึกถึง trackerx90 เจ้าเดิมเป็นที่แรก แต่ปรากฏว่าที่พึ่งของผม แบนวิดธ์เกินซะแล้ว ก็เลยต้องพึ่งกูเกิ้ลจนได้วิธีมาประมาณนี้
- เข้า Safe mode เข้า command prompt
- ใช้คำสั่ง dir /a /s mskernel32.vbs หาตำแหน่งที่ไวรัสซ่อนตัวอยู่
- ใช้คำสั่ง attrib -r -h -s -a [ตำแหน่งไฟล์ที่เจอ] เพื่อเผยตัวมันออกมา
- แล้วก็ลบทิ้งด้วยคำสั่ง del [ตำแหน่งไฟล์ที่เจอ]
- จากนั้นก็ winkey + r พิมพ์ msconfig เข้าไปที่แท็บ Startup เอาเครื่องหมายถูกหน้า process ที่ไปรันชื่อไวรัสออกให้หมด
- กำจัดซากไวรัสคือไฟล์ปลอมนามสกุล exe โดยการโหลด Avira AntiVir มากำจัดมันทิ้งให้หมด
- เอาไฟล์ที่ถูกซ่อนไปกลับคืนมาด้วยคำสั่ง attrib -r -h -s -a c:\*.doc /s (เปลี่ยนเป็นไดรว์อื่น และไฟล์นามสกุล xls, ppt และ pdf จนได้ไฟล์คืนมาหมด)
ด้วยวิธีนี้จะทำให้คอมพิวเตอร์กลับมาเป็นเกือบจะเป็นเหมือนเดิม เหลือแต่ไฟล์ซ่อนขนาด 1 kb ที่โปรแกรมแอนตี้ไวรัสทำอะไรไม่ได้ เราต้องมาลบด้วยมือเอง ซึ่งตอนนี้ยังหาวิธีง่ายๆ ในการกำจัดไฟล์พวกนี้ให้หมดไม่ได้เลย
