มาหาอะไร @ Maha-arai

บันทึกเรื่องราว สืบสาวความจริง ทิ้งไว้ให้ลูกหลาน.
Save the stories. Investigate the truth. Give to the next generation.

04 มกราคม 2553

<<< แจกโปรแกรม ฆ่าไวรัส Autorun.inf และ Recycler >>>

Download โปรแกรมได้ที่นี่ KillAutorunVirus.zip
ล่าสุด Version 2.2
การทำงานของโปรแกรมจะใช้วิธีง่ายๆ
โดยมันจะลบไฟล์ Autorun.inf
และ Folder (โฟลเดอร์) ชื่อ Recycler อยู่ตลอดเวลา
แต่ถ้า Folder นั้น ติดไวรัสจนมันทำงานแล้วจะลบไม่ได้
ต้องใช้โปรแกรม Unlocker ลบมันก่อน
Download ได้ที่นี่ Unlocker.zip
หลังจาก Download โปรแกรม Unlocker
แล้ว Unzip และติดตั้งเสร็จแล้ว
เวลาจะใช้งานเพื่อลบไฟล์ หรือ Folder ที่ลบไม่ได้
เช่นกรณีนี้จะลบ Folder ชื่อ Recycler ซึ่งเป็นไวรัส
แต่ลบตามปกติไม่ได้เนื่องจากว่า
ไวรัสที่ซ่อนใน Folder ดังกล่าวกำลังทำงานอยู่
แต่สามารถลบผ่านโปรแกรม Unlocker ได้ปกติตอนติดไวรัสตัวนี้ ใหม่ๆ
มันยังไม่ทำงานจะสามารถลบได้
ถ้าต้องการลบผ่านโปรแกรม Unlocker
ก็คลิกขวามือที่ไฟล์หรือ Folder ที่ต้องการลบ
แล้วเลือกเมนูย่อย Unlocker











ปกติถ้าไวรัสนั้นยังไม่ทำงาน
แต่ Folder เซ็ตให้ลบไม่ได้เฉยๆ
มักเจอหน้าต่างแบบนี้
ก็แค่เปลี่ยนจาก No action เป็น Delete
แล้วกดปุ่ม OK













แต่ถ้าไปลบ Folder ที่มีไวรัสหรือมีโปรแกรมกำลังทำงานอยู่
จะเห็นหน้าตาเป็นแบบนี้










ซึ่งจะแสดงชื่อ Process ที่กำลังทำงานอยู่
โดยโปรแกรมที่รันอยู่นี้
อาศัยอยู่ภายใน Folder ที่เราต้องการจะลบ
ให้เปลี่ยนจาก No action เป็น Delete
แล้วคลิกปุ่ม Unlock All ก็จะลบได้
ถ้าลบไม่ได้ บางทีอาจต้องเปลี่ยนจาก Delete เป็น Rename ก่อน
แล้วถึงตามไปลบชื่อใหม่ที่เราพึ่งเปลี่ยนอีกที
นอกจากไวรัสตัวนี้จะชอบอาศัยอยู่ใน Folder ชื่อ Recycler แล้ว
ยังเคยตรวจเจอใน Folder ชื่อ System Volume Information ด้วย
และ Folder ชื่อแปลกๆ ที่นำหน้าด้วย _ เช่น _dxcnc เป็นต้น
และมักจะมีไฟล์ไวรัสนำหน้าด้วย a หรือ A ตามหลังด้วยตัวเลข
เช่น A121323.exe เป็นต้น ฝั่งอยู่ใน c:\windows\system32
แต่ไม่จำเป็นต้องตามไปลบก็ได้ถ้าไม่ชำนาญ
เดี๋ยวจะทำให้ Windows พัง
แค่ลบไฟล์ Autorun.inf ที่ Flash Drive
และ Folder ชื่อ Recycler เพื่อไม่ให้มันแพร่กระจายก็พอแล้ว
ไฟล์ Autorun.inf จะทำงานครั้งเดียวตอนเสียบ Flash Drive ใหม่ๆ
ไฟล์นี้สามารถสั่งรันโปรแกรมนั่นนี่ให้ทำงานได้
แถมยังแอบส่งข้อมูลผ่านทางเน็ตได้อีกด้วย
แค่ลบไฟล์นี้ต่อให้มีโปรแกรมไวรัส .exe อยู่ ใน Flash Drive
ถ้าไม่ไปรันมัน มันก็ไม่ทำงาน

หลัง Download ไฟล์ KillAutorunVirus.zip มาไว้ที่เครื่องแล้ว
ก็ทำการ Unzip และติดตั้งตามนี้

วิธีติดตั้งสำหรับ PC, Notebook, Netbook และ Server
1. Double click ไฟล์ Setup_KillAutorunVirus.bat
2. เสร็จแล้ว Restart ใหม่
เมื่อเข้า Windows อีกครั้ง
จะมีเห็น โปรแกรม Kill Autorun Virus ทำงานอยู่ ดังนี้


อย่าปิดโปรแกรมปล่อยไว้แบบนั้น
โดยย่อให้เล็กลงได้ แบบนี้





โปรแกรมนี้มันจะทำงานอยู่ตลอดเวลาโดยจะหน่วงเวลาให้ทำทุกๆ 5 วินาที
ไม่ทำให้เครื่องช้าแต่อย่างใด
โดยมันจะลบไฟล์ Autorun.inf ในทุก Driveและลบ Folder ชื่อ Recycler ใน SYSTEMDRIVE ด้วย
SYSTEMDRIVE คือ Drive ที่ลง Windows ปกติจะเป็น Drive C:\ซึ่งโปรแกรมตัวนี้ยังไม่สามารถลบไวรัสในเครื่องที่ติดได้
เพียงแต่ยับยั้งไม่ให้แพร่กระจายได้
ในกรณีที่มี Folder ที่เปิด Share ไฟล์ไว้
ให้แก้ไฟล์ 200_KillAutorunVirus.bat ดังนี้
โดยแก้ที่ 5 บรรทัดนี้

rem @attrib -r -s -h X:\ShareDrive\*.*rem @del X:\ShareDrive\kh* /Q
rem @del X:\ShareDrive\*.exe /Q
rem @del X:\ShareDrive\*.inf /Q
rem @rd X:\ShareDrive\RECYCLER /S /Q

เป็น

@attrib -r -s -h X:\ShareDrive\*.*
@del X:\ShareDrive\kh* /Q
@del X:\ShareDrive\*.exe /Q
@del X:\ShareDrive\*.inf /Q
@rd X:\ShareDrive\RECYCLER /S /Q

ส่วน path X:\Share\
ให้แก้ให้ตรงตาม path ที่เปิดแชร์ไฟล์ไว้
มันจะลบไฟล์นามสกุล .exe , .inf และนำหน้าด้วย kh ด้วย
ดังนั้นควรเก็บไฟล์เหล่านี้ไว้ใน Folder อีกที
ถ้าเป็นโปรแกรมของท่านจริงๆ ไม่ใช่ไวรัสสร้างขึ้นมาเช่น ถ้าเรามีโปรแกรม .exe ก็ให้สร้าง Folder ย่อย
แล้วนำไปเก็บไว้ที่ Folder นั้น
เช่น F:\Software\test.exe เป็นต้น
จากตัวอย่าง Floder ย่อยชื่อ Software
เมื่อแก้โปรแกรมเสร็จทุกครั้งแล้ว
ให้ทำตามขั้นตอนการติดตั้งใหม่
ปล. กรณีมี Cd-Rom
ในรุ่นเก่า มันเจอ Autorun.inf ที่ Cd-Rom
แต่ลบไม่ได้ก็เลยเกิดข้อความ Error ตลอดเวลา
แม้จะนำ Cd-Rom ออกไปแล้วก็ตาม
ต้องปิดโปรแกรมตัวนี้แล้ว Restart ใหม่ถึงจะหายเป็นปกติ
แต่ในรุ่นนี้ได้แก้ปัญหาที่ว่านี้แล้ว
มันจะไม่ขึ้น Error เมื่อเล่น Cd-Rom ที่มีไฟล์ Autorun.inf อีก
แต่ถ้ายังไม่หายแนะนำให้ใช้โปรแกรม Notepad แก้ 200_KillAutorunVirus.bat
โดยไปลบ Drive CD/DVD ของเครื่องคุณออกจาก Source Code 2 บรรทัด
ที่แบบเดิมเขียนไว้แบบนี้
FOR %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (
ถ้าเครื่องคุณมี 2 Drive CD/DVD เป็น Drive E: กับ F: ให้แก้ใหม่เป็นแบบนี้
FOR %%x in (C D G H I J K L M N O P Q R S T U V W X Y Z) DO (
ลบ E F ออกถ้ามีแค่ E: ก็ลบแค่ E ทำทั้งสองบรรทัดที่เจอว่าเขียนแบบนี้
เสร็จแล้ว Save และ Setup โปรแกรมใหม่ตามที่ได้อธิบายไว้แล้ว

----------------------------------------------------

วิธีติดตั้ง สำหรับ Flash Drive
1. Copy ไฟล์ Kill_Virus_FD.bat ไปไว้ที่ Flash Drive
2. แล้ว Double Click หลังเสียบเสร็จ หรือก่อนถอดออกทุกครั้ง
เพื่อฆ่าไวรัสที่ติดใน Flash Drive
ไวรัสจะได้ไม่แพร่กระจายออกไป
มันจะลบไฟล์ที่มีนามสกุลเหล่านี้ทั้งหมด
.bat ( ยกเว้น Kill_Virus_FD.bat )
.com ( ยกเว้น %SYSTEMDRIVE%\NTDETECT.COM )
.inf , .exe , .vbs , .dll
และ Folder ชื่อ Recycler ด้วย
ดังนั้นควรเก็บไฟล์เหล่านี้ไว้ใน Folder อีกที
ถ้าเป็นโปรแกรมของคุณจริงๆ
ไม่ใช่ไวรัสสร้างขึ้นมา
----------------------------------------------------
โปรแกรมเสริมที่เพิ่มเข้ามาเก็บไว้ที่ c:\FfF
หลัง Double click ไฟล์ Setup_KillAutorunVirus.bat แล้ว

210_NoAutoRun.bat Double click เพื่อแก้ Registry ไม่ให้มีการ Autorun
220_Show_All_Files.bat Double click เพื่อแสดงไฟล์หรือ Folder ที่ถูกไวรัสซ่อนไว้ทั้งหมด โดยต้องใส่ Drive ที่จะทำ เช่น D , E , F เป็นต้น
820_MsConfig.bat Double click เพื่อเรียกโปรแกรม Msconfig ของ Windows เพื่อ Set ค่า Startup<<< วิธีแก้ปัญหาเครื่องชอบแฮงค์โดยเฉพาะ Netbook >>>
999_SystemRestore.bat Double click เพื่อเรียกโปรแกรม System Restore ของ Windows เพื่อกู้ข้อมูลระบบกลับคืน<<< วิธีการทำ System Restore >>>

---------------------------------------------------- 

ปล. ต้อง Double Click ไฟล์ Kill_Virus_FD.bat ที่ Flash Drive ทุกครั้ง
แม้ว่าจะมองไม่เห็นไฟล์ Autorun.inf ก็ตาม
เพราะว่าบางเครื่องอาจตั้งค่าให้มองไม่เห็นไฟล์ที่ถูกซ่อนไว้ให้ใช้โปรแกรมเสริม 220_Show_All_Files.bat
เพื่อแสดงไฟล์ที่ซ่อนทั้งหมดอีกครั้ง
และไฟล์ Autorun.inf อาจเป็นไฟล์ปกติไม่ใช่ไวรัส
แต่ไม่สามารถแยกออกได้
ในกรณีที่จะเขียนโปรแกรมฆ่าไวรัสประเภทนี้
จึงต้องลบทิ้งทั้งหมด
ซึ่งปกติแล้ว ทุก Flash Drive มักจะไม่มีไฟล์นี้
ถ้ามีแสดงว่ามันอาจไม่ปกติ

สำหรับเครื่องที่ใช้ Windows Vista
เมื่อลงโปรแกรมแล้วโปรแกรมไม่ทำงาน
บางทีต้องหลอกโดยการเปิด Notepad ในเครื่องนั้น
แล้ว Copy Source Code ทั้งหมดของโปรแกรมแต่ละโปรแกรม
ไปแปะแล้ว Save เป็นชื่อเดิม
แล้วมันถึงทำงานได้เคยเจอรุ่นก่อน
แต่รุ่นนี้ยังไม่ได้ลองว่า
ทำงานได้เลยโดยไม่มีปัญหาแบบเดิมหรือไม่
สงสัยอาจเป็นปัญหาการไม่เข้ากันบางอย่าง
ระหว่าง Windows XP กับ Windows Vista

ส่วน Folder ชื่อ Recycled
มันผูกติดกับ Recycle Bin
ถ้าไปลบมันจะทำให้ไม่สามารถกู้ไฟล์ที่ถูกลบได้
ถ้าไม่คิดจะกู้ไฟล์ที่ถูกลบในภายหลัง
ก็เพิ่ม code ให้ลบ Recycled เหมือน Recycler ด้วยก็ได้
เผื่อไวรัสมันชอบแอบไปหลบอยู่ใน Folder เหล่านี้
ซึ่ง Version 2.0 ได้ลบมันทั้งคู่แต่ใน Version นี้
ลบแค่ Recycler อย่างเดียว Recycled ไม่ได้ลบ
โดยลบทั้ง Autorun.inf และ Recycler ใน Flash Drive ด้วย
กรณี Flash Drive Double Click ไฟล์ Kill_Virus_FD.bat
ที่ Flash Drive ตรงๆ จะลบไวรัสได้เยอะกว่า


-------------------------------------------

ขั้นตอนการยกเลิกโปรแกรม
( เมื่อไม่ต้องการให้ทำงาน เวลาเปิดเครื่องขึ้นมาทุกครั้งดังนี้ )
1. คลิกปุ่ม Start
2. เลือกเมนู Run...
3. พิมพ์ msconfig
4. คลิก tab ที่ชื่อ Startup
5. คลิกเอาเครื่องหมายหน้าโปรแกรม 200_KillAutorunVirus ออก



หมายเหตุ ถ้าต้องการนำกลับมาใช้อีก
ก็ทำตามตั้งแต่ ข้อ 1-4 แล้วข้อ 5 ให้คลิกเลือกมีเครื่องหมายถูกด้านหน้าชื่อโปรแกรม

+++


หรือจะลบอีกวิธีง่ายๆ กรณีบางเครื่องไม่สามารถรันโปรแกรม msconfig ได้
1. คลิกปุ่ม Start
2. เลือกเมนู Programs
3. เลือกเมนูย่อย Startup
4. คลิกขวามือที่ชื่อโปรแกรม 200_KillAutorunVirus.bat แล้วเลือกเมนู 




-------------------------------------------------

โดย มาหาอะไร
FfF