How to resolve "hack by debugger" intrusion

หลังจากเขียนเรื่อง thumbdrive and virus ไปเมื่อ 2 ปีที่แล้ว จากนั้นมาก็ไม่เคยพลาดให้คอมพิวเตอร์ที่อยู่ในความดูแล ต้องพลาดโดนไวรัสเล่นงานเลย จนกระทั่งวันพฤหัสที่ผ่านมา ในขณะที่กำลังทำงาน พี่ที่ทำงานก็เรียกให้ไปดูคอมพิวเตอร์ ที่เปิดไฟล์เวิร์ดขึ้นมาแล้วเจอแต่คำว่า “hack by debugger” ลองเปิดไฟล์เอกสารอื่นๆ ก็เป็นเหมือนกันหมด

ยังดีที่ไวรัสนี้ทิ้งคีย์เวิร์ดไว้ให้ เลยไปค้นข้อมูลได้ว่าไวรัสนี้เป็น vb script ออกฤทธิ์เล่นงานไฟล์ word, excel, powerpoint และ pdf โดยสร้างไฟล์หลอกชื่อเดียวกันแต่เป็นนามสกุล exe เท่านั้นไม่พอหลอกซ้ำสองโดยสร้างไฟล์ซ่อนชื่อนามสกุลเหมือนไฟล์ของจริงเปะ แต่มีขนาดแค่ 1 kb ส่วนไฟล์จริงๆ นั้นถูกซ่อนไว้ลึกสุดเป็นไฟล์ระบบติด attribute R H S A ครบเลย

พอได้ข้อมูลข้าศึกมาแล้ว ก็ถึงขั้นตอนการกำจัด ซึ่งผมนึกถึง trackerx90 เจ้าเดิมเป็นที่แรก แต่ปรากฏว่าที่พึ่งของผม แบนวิดธ์เกินซะแล้ว ก็เลยต้องพึ่งกูเกิ้ลจนได้วิธีมาประมาณนี้

  1. เข้า Safe mode เข้า command prompt
  2. ใช้คำสั่ง dir /a /s mskernel32.vbs หาตำแหน่งที่ไวรัสซ่อนตัวอยู่
  3. ใช้คำสั่ง attrib -r -h -s -a [ตำแหน่งไฟล์ที่เจอ] เพื่อเผยตัวมันออกมา
  4. แล้วก็ลบทิ้งด้วยคำสั่ง del [ตำแหน่งไฟล์ที่เจอ]
  5. จากนั้นก็ winkey + r พิมพ์ msconfig เข้าไปที่แท็บ Startup เอาเครื่องหมายถูกหน้า process ที่ไปรันชื่อไวรัสออกให้หมด
  6. กำจัดซากไวรัสคือไฟล์ปลอมนามสกุล exe โดยการโหลด Avira AntiVir มากำจัดมันทิ้งให้หมด
  7. เอาไฟล์ที่ถูกซ่อนไปกลับคืนมาด้วยคำสั่ง attrib -r -h -s -a c:\*.doc /s (เปลี่ยนเป็นไดรว์อื่น และไฟล์นามสกุล xls, ppt และ pdf จนได้ไฟล์คืนมาหมด)

ด้วยวิธีนี้จะทำให้คอมพิวเตอร์กลับมาเป็นเกือบจะเป็นเหมือนเดิม เหลือแต่ไฟล์ซ่อนขนาด 1 kb ที่โปรแกรมแอนตี้ไวรัสทำอะไรไม่ได้ เราต้องมาลบด้วยมือเอง ซึ่งตอนนี้ยังหาวิธีง่ายๆ ในการกำจัดไฟล์พวกนี้ให้หมดไม่ได้เลย

Facebook Comments

1 comment

for non – thai readers

Follow this

1.Start Windows in Safe mode.
2.Go to command prompt (Dos prompt) by select Start -> Run and type cmd
3.find location of virus file (mskernel32.vbs) by type “dir /a /s
mskernel32.vbs” in command prompt
4.make virus file appear by type “attrib -r -h -s -a [location of virus file]”
5.Delete them by type “del [location of virus file]”
6.press “winkey + R” type msconfig
7.Go to Startup tab and uncheck all process that run virus file
8.Go to http://www.free-av.com download Avira AntiVir and install for Destroy
virus relate file
9.make your document file appear by type “attrib -r -h -s -a c:\*.doc
/s” in command prompt (replace c: with all drive in your computer and
replace doc with xls, ppt and pdf

with this method remain less dangerous file that create by virus file
(1 kb file), you must delete them by yourself.