เครื่องมือแสดงไฟล์ระบบ(System File)

โปรแกรมนี้เป็นโปรแกรมสำหรับแสดงไฟล์ที่ซ่อนอยู่ทั้งหมด ออก มา โดยไม่ได้ไปเปลี่ยนแปลง Attribute ของไฟล์หรือโฟลเดอร์นั้นแต่อย่างใด เพียงแค่แสดงออกมาให้เห็นเฉยๆ เหมาะสำหรับผู้ที่ไม่ถนัดการใช้ FolderOption หรือ มองไม่เห็น FolderOption

ประโยชน์ของเครื่องมือนี้คือ

• รวดเร็ว


• เหมาะสำหรับผู้เริ่มใช้คอมพิวเตอร์ ในกรณีต้องการกำจัดไวรัสบางตัว เพราะไวรัสพวกนี้ จะพยายามซ่อนตัวเองเอาไว้ เราจึงใช้เครื่องมือนี้ เพื่อแสดงตัวตนของมันออกมา

ถ้าจะทำแบบ Manual ของโปรแกรมนี้

คือ

• เปิด โฟลเดอร์มาสักโฟลเดอร์นึง


• คลิกที่ tools


• FolderOptions...


• เลือกแถบ view


• ติ๊กที่ Show all Hiden Fils


• เอากาถูกหน้า Hide Protected Operating System... ออก
  

ดาวโหลด

Update 19 april 2007 !

App.Name : ShowSystemFile
Version : 1.00 by Thinawat
Size : 308 B
Type : .BAT
Released : 23 April 2007

โปรแกรมนี้ใช้งานยังไง ?
แตกไฟล์ ZIP ออกมาก่อนครับ
ดับเบิ้ลคลิกไฟล์ที่ได้ เป็นอันเสร็จครับ


ได้ผลยังไงบ้าง ได้โปรดแสดงความคิดเห็นด้วยนะครับ ขอบคุณคร๊าบ

โปรแกรมกำจัด Hack Hacked by 1 byte{ No virus No Work No Money }

Hacked by 1 byte{ No Virus No Work No Money } หรือ ไวรัส หัวกะโหลก

คำเตือน ! คอมคุณจะเป็นแบบนี้ในระยะสุดท้าย

ขอขอบคุณรูปไวรัสระยะสุดท้ายก่อนอวสานของเครื่อง
ที่โดนHacked by 1 byte{No virus No work No money}
จากคุณmailto:paew1967@yahoo.com

ที่มา
เดิมตอนผม อยุ่ มอ.ได้ยินเค้าติด Hack by 1 Byte เห็นเพื่อนบอกว่าร้ายมาก มีเพื่อนมาบอกอีกว่า เค้าเผลอเปิดมันขึ้นมา ติดเครื่อง เค้าฟอร์แมท เลย เพราะแก้ไม่ออก ทำแบบเดียวกับ Godzilla ไม่ได้ แต่ผมก้อยังไม่รู้ร้อนอะไร ก็ทำไมตูไม่โดนอ่ะ แต่พอผมกลับบ้านไปที่นครศรีธรรมราช ลุงมารับไปที่สถานี ผมเห็นเลยครับ hack by 1 byte บน ie แต่ ไม่ใช่ 1 byte ธรรมดา มันมีพ่วง { No virus No work No Money } ไม่มีไวรัส ไม่มีงาน ไม่มีเงิน ฟังๆแล้ว เหมือนกับว่า คนเขียนWorm ได้เขียนWormตัวนี้เพื่อ เงิน งานของเค้าคงเขียนไวรัสประมาณนั้น
พอผมกลับถึงบ้าน ร้านเครื่องเขียนก้อโดน เค้าล้างเครื่องไปเลยครับ เห็นเค้าบอกว่า ตอนสุดท้ายที่เห็น เป็นรูปหัวกะโหลก แล้วเครื่องดับไปเลย ข้อมูลหายหมด หลังจากนั้นก็ทำใจ เมื่อมันบุกถึงบ้านเกิดผม ผมกลับบ้านคราวนั้นเลยหมกมุ่น ที่จะฆ่าตัวนี้ให้ได้ คิดกันคืนนั้นเลยครับ ผมเริ่มค้นหาคำสั่ง dos เพราะใช้ไม่ค่อยเป็นเท่าไหร่ โดยศึกษาจาก Help ใน windows นี่แหละครับ ก็ทำด้วยความเจ็บใจครับ เริ่มจากไปเสียบ เครื่องที่มีWorm แล้วเก็บมาดู ทดสอบเครื่องเอง แล้วดูว่ามันทำอะไรบ้าง แล้วแก้ มันทีละอย่างครับ
สำหรับตัวแก้ตัวนี้ ทดสอบมาแล้วนะครับ จากเครื่องที่บ้าน รวมทั้งหมด ประมาณ 4 เครื่อง hack by 1 byrte { No Virus No work No money } ย้ำนะครับว่า 4 เครื่อง จริงๆ และก็แก้ได้เฉพาะตัวนี้เท่านั้น นานๆคงจะเจอที

ทำไมถึงเรียกว่า worm ไม่เรียกว่า virus
เพราะไวรัส เป็นการแพร่กระจายแบบ ติดเชื้อไปยังไฟล์ต่างๆ แต่ไฟล์นั้นก็ยังใช้งานได้ เพียงแต่มีไวรัสแฝง ไปด้วย แต่ worm เป็นไฟล์wormเพียวๆ ไม่ได้แฝง หรือ เกาะไปกับไฟล์ใด ๆ มันเป็นตัวของมันเอง ไม่ได้เกาะแกะกับใคร

Worm ตัวนี้ทำงานยังไงบ้าง ?

อาการที่เห็นชัดๆ เมื่อไฟล์โดนทำลายแล้ว

เนื่องจากไฟล์ระบบเสียหาย ดังนั้น Windows ร้องขอแผ่น CD WINDOWS XP เพื่อติดตั้ง ใหม่ ขึ้นมาเรื่อยๆจนไม่ต้องทำอะไรเลยครับ

• คลิกขวาที่ไดรฟ์ แล้วมีตัวหนาเป็นคำว่า Auto
• เนื่องจากคล้ายๆกับ Godzilla และ Hacked by 1 byte เปลี่ยน IE Title เป็น Hacked by 1 byte { No Virus No work No money }
• มีการลบไฟล์ระบบ เหล่านี้ทิ้ง แล้วแทนที่ด้วยตัว Worm ทั้งหมด winlogon.exe csrss.exe cmd.exe smss.exe regedit.exe msconfig.exe taskmgr.exe rstui.exe lsass.exe
• เนื่องจากWormไปแทนที่ไฟล์ระบบแล้วดังนั้น จึงใช้ Task Manager ไม่ได้ Registry Editer ไม่ได้ Msconfig ไม่ได้ เปิด command prompt SystemRestore ไม่ได้
• winlogon csrss srmss.exe เป็นไฟล์ที่ระบบต้องใช้ทุกครั้ง ตอนเริ่มต้น windows ดังนั้นไวรัส ไม่จำเป็นต้องไปสร้าง register เพื่อ run ตัวเองตอนเปิดเครื่อง
• ขั้นสุดท้ายจะเป็น หัวกะโหลก ให้ดูเพื่อความสะใจ และแล้วข้อมูลที่เคยมีก็อันตระทาน(เขียนถูกป่าว ..?)หายไป

อาการจากคุณ ไม่แสดงตน เมื่อ 19 เม.ย.50

อาการติด Hacked by .. นี้เป็นอยู่ประมาณ 3 วันค่ะ ระหว่างนั้นก็ยังพอเปิดเครื่องทำงานกับอพยพข้อมูลหนีภัยไปได้เรื่อยๆ เพราะคิดว่าต้องล้างเครื่องแน่ๆ ไม่แน่ใจว่าของคนอื่นจะเป็นอย่างไร แต่เครื่องเรามันไม่ขึ้นกระโหลกไขว้ทันทีทันควัน มีการยืดเวลาตายให้หน่อย

จนประมาณ 3 วันผ่านไป เปิดเครื่องมากะว่าจะลองใช้โปรแกรมแก้อีกรอบ คราวนี้มาเลยค่ะ อยู่ๆ ไอค่อนต่างๆที่อยู่บนหน้าจอก็วูบหาย เพิ่งจะเห็นกะตาตัวเองก็คราวนี้ไอ้ที่เขาเรียกๆกันว่า หายไปกะตา หรือ หายไปในพริบตา มันเป็นอย่างไร ใจหายวาบ สิ่งแรกที่ทำคือลองคลิกไดรฟ์ D เช็คว่าที่โกยๆไปเก็บเหมือนห้องเก็ยของนั้นอยู่บ้างหรือเปล่า

สิ่งที่เห็นก็คือ 0 byte .... ล้มทั้งยืน

แถมหน้าจอยังขึ้นกระโหลกไขว้กระพริบปิ๊บๆๆๆๆ และแล้ว ก็ทำอะไรไม่ได้อีกเลย

จนในที่สุดก็เลยแบกหลบน้ำสงกรานต์ไปให้เพื่อนช่วยดูให้ ซึ่งข่าวดีก็คือ แม้จะเห็นว่ามัน 0 byte แต่พอเอาโปรแกรมกู้ไฟล์มาช่วย (easy recovery) มากู้ ก็เก็ยกลับมาได้หมดแล้วค่ะ

อย่างที่ได้เล่าเหตุการณ์ข้างต้น เห้นได้ว่า ผมไม่ได้เจอด้วยตัวเอง และ หัวกะโหลกนั่น ผมก็ไม่เคยเห้น ฟังเค้าบอกเล่ามา สำหรับคนที่โดนจริงๆ หรือว่าโดนหัวกะโหลกแล้ว เอาไปใช้ดู ว่าได้ผลอย่างไรบ้าง แต่โดยสมมติฐานตามคำบอกเล่า ถ้าขึ้นหัวกะโหลกแล้วน่าจะไม่ได้ผล เพราะเค้าบอกว่า ไฟล์หายหมด

ไฟล์ที่จะติดไปกับ Flash Drive มีอะไรบ้าง ?
แน่นอน autorun.inf แต่จะงงนิดๆ พอเปิดดูเข้าไป กลับไม่มีข้อความใดๆ ในไฟล์เลย เพราะเจ้าไฟล์นี่แหละครับ ที่จะทำให้มี คำว่า auto ตอนคลิกขวาที่ไดรฟ์ และWorm ได้ใช้ ไฟล์ระบบ ในการ รันตัวเองบน Registry แล้ว จึงไม่ต้องใช้ โปรเซส wscript.exe แต่อย่างใด
winlogon.exe นี่เป็นWormครับ

การลบ Worm ที่ติดไปกับ Flash Drive
ต้องใช้กับเครื่องปกติ เพียวๆ ที่ไม่โดน Virus หรือ Worm
แสดงไฟล์ System ไปที่ Tools-> Folder Options ->Tab View ->เลือก Show Hidden File and Folder และเอากาถูก หน้า Hide Protected Operating System..... ออก แต่ถ้าขี้เกียจทำหรือ ทำไม่ถูก ผมได้ทำเครื่องมือแสดงไฟล์ไว้แล้วครับ ดูที่นี่ครับ http://kill-virus.blogspot.com/2007/04/system-file.html
ไฟล์ Worm ก็จะแสดงออกมา ให้ลบไฟล์ autorun.inf และ winlogon.exe หรือ handydriver.exe ออก โดย Shift+Del ไปเลยก็ได้

เมื่อโดนหัวกะโหลกแล้วชะตากรรมคอมพิวเตอร์ของคุณจะเป็นอย่างไร
จากที่ผมได้ศึกษาจาก HDD ที่เสียท่าให้กับเจ้า Worm ตัวนี้โดยสุดท้ายเป็นรูปหัวกะโหลกนั้น ตอนนี้ก็ได้รวบรวมข้อมูลจากผู้เสียหายหลายท่านผลปรากฎออกมาแบบน่าเสียใจดังนี้1.เครื่องคอมพิวเตอร์ไม่สามารถ Boot เข้าสู่ Windows ได้ จะปรากฎเป็นหน้าจอมืดๆ หรือเครื่อง Restart ไม่ยอมหยุด2.เข้า SafeMode ไม่ได้ จะแก้ไขอะไรก็ไม่ได้3.ข้อมูลทุกไดรฟ์ที่ไม่ใช่ไดรฟ์ C : จะโดนลบหายเกลี้ยง แม้กระทั่ง Map Network Drive (อ้างอิงจากคุณ com07) หากมี Map Drive เจ้า Worm ตัวนี้ก็จะเข้าไปในเครื่องอื่นๆ ในระบบLan ด้วย หลังโดนหัวกะโหลกข้อมูลจะหายคงเหลือไว้เพียงเจ้า Worm ตัวแสบไว้ให้เห็นต่างหน้า

วิธีการแก้ไขหลังโดนหัวกะโหลกที่น่าจะทำได้คือ
ทำใจก่อนแล้วลองทำครับ
1.ใช้โปรแกรม Rocovery HDD ดูครับเผื่อช่วยได้บ้างซึ่งมีหลายโปรแกรมเลยทีเดียว หากได้ข้อมูลแล้วก็ Backup ไว้ทันที
2.ลง Windows ใหม่ใน Drive C: ง่ายสุด เพราะผมดูไฟล์ที่เสียหายแล้ว ลงใหม่ง่ายกว่าครับ
3.แนะนำโปรแกรม Rocovery ครับ

มาดู SourceCode แบบพื้นๆของมันก่อนว่ามันทำอะไรบ้าง
Method ที่ผมศึกษาจากไฟล์ Worm ที่พอเห็นได้พอจะมีคร่าวๆดังนี้ครับ
1.DeleteAnyFile ( แค่ชื่อก็หนาวแล้ว เพราะ สั่งให้ลบทุกไฟล์เลยครับ )
2.DestroyFile ( ทำลาย ไฟล์ )
3.miniCommand
4.Controlmornitor
5.frmBlack frmRed frmBlue frmGrey น่าจะเป็นตัวแสดงการกระพริบ หรือ พื้นหลังของหัวกะโหลก
6.frmSkull ( น่าจะใช้สำหรับแสดง หัวกะโหลกให้ดูครับ )
7.frmFreeze แช่แข็งเอาไว้
8.Regedit ( ตัวจัดการ Registry )
9.SpreadToRemove Drive ลบไดรฟ์
10.mainProcess
11.Joker
12.Project 1


สาเหตุที่ Boot Windows ไม่ได้
ไฟล์สำคัญในการเริ่มต้นของระบบโดนลบ เช่น
1.NTDETECT.COM
2.COMMAND.COM
3.IO.SYS
4.BOOT.INI
และน่าจะมีไฟล์อื่นอีกในตระกูล INF เช่น biosinfo.inf

ใครเป็นคนสร้าง Worm ตัวนี้
สำหรับคนที่สนใจว่าใครสร้างเจ้า Worm Hackby 1 Byte ทั้ง 2 ตัวนี้ ให้ copy " BR1GH7N4RY " แล้วไปวางใน Google ดูครับจะรู้ว่าใครชายหรือหญิงตอนนี้อยู่ไหน บอกใบ้ว่าใกล้ๆตัวเรานี่เอง( คำนี้ได้มาจากเบาะแสที่ทิ้งไว้กับเจ้าตัว Worm นี้เลยครับ )
ในความคิดผมเองผมว่า เก่งแล้วควรจะเก่งในทางที่ดี ทางสร้างสรรค์ดีกว่านะครับตอนนี้ข้อมูลในเครื่องของใครหลายๆคน หายเกลี้ยง กันไปแล้ว ยิ่งงานที่ทำมานานเป็นปีๆงานวิทยานิพนธ์ หายหมดครับ กฎหมายน่าจะดูแลตรงนี้หน่อยก็ดีนะครับ เมื่อก่อนผมก็เป็นคนนึงที่อยากจะสร้างไวรัส มันเท่ มันแน่ อีกอย่างคือมันส์ดี แต่พอโตขึ้น ผมเริ่มพอจะคิดได้ว่า ถ้าเราโดนไวรัสจากคนอื่นบ้างหล่ะ แล้วข้อมูลที่เรารักนักหนา หายหมด เครื่องเจ๊งบ๊ง ถ้าเราทำในสิ่งที่ช่วยเหลือคนอื่นไม่ดีกว่าหรือ ? ยิ่งพอเห็นคนเดือดร้อนเยอะ ยิ่งน่าเห็นใจครับ


วิธีที่ผมใช้ป้องกัน
ใครจะนำไปใช้ก็ไม่สงวนอะไรเลยครับ
ผมมักจะแบ่งพาร์ติชั่น แยก ระหว่าง Windows กับข้อมูลไว้คนละที่กัน
c: 10 - 20 GB system เพียวๆ
d: ที่เหลือ GB Program Files, ข้อมูล ต่างๆ
แล้วก็เซ็ต Mydocument ให้อ้างอิงไปเก็บยัง Drive D:
แล้ว
1. Ghost Image ไดรฟ์ C เก็บไว้ ใน D: จะได้พื้นที่เล็กๆ เราสามารถสำรองได้หลายๆครั้ง หลายๆครา2. ใช้ โปรแกรม DeepFreeze หรือ Recovery Genius ป้องกันไดรฟ์ C : ไว้

ข้อเสียวิธีนี้คือ เมื่อรีเซตเครื่อง ข้อมูลใน Drive C จะกลับมาเหมือนเดิมทุกครั้ง จึงไม่สามารถ Save ไฟล์ได้เลย เพราะจะหายทุกครั้งที่ Boot เครื่องใหม่
ข้อดีคือ กันไวรัส ได้ดี เพราะไวรัสส่วนใหญ่จะจู่โจมและฝังตัวใน ระบบ ซึ่งอยู่ใน Drive C เสมอ พอรีเซตปั๊บไวรัสก็หายแล้ว

แล้วก็จะมีคำถามว่า แล้วไวรัสที่ติดไปกับ FlashDrive หละ ไดรฟ์ D หละ มันยังอยู่ครับ แต่จัดการง่ายมากแค่แสดงตัวมันออกมาแล้วลบทิ้ง ก็เกลี้ยงกรึบ (ภาษาใต้) แล้วครับ ที่หนักๆจะอยู่ที่ ไดรฟ์ C : ครับ

วิธีนี้เป็นวิธีที่ผมว่า OK สุดๆ แล้วสำหรับผม และอย่าลืม สำรองข้อมูลสำคัญของคุณไว้ใน CD หรือ DVD เสมอนะครับ

ดาวโหลด

Update 19 april 2007 !

App.Name : 1Byte{NoVWM}SKULLFixTools
Version : 3.00 Final Fixed
Size : 751 KB
Type : Self Executable
Released : 16 April 2007

Download V 2.06

โปรแกรมนี้ใช้งานยังไง ?

• ต้อง Run บน SafeMode ครับ เพราะ ผมยังไม่ได้ฝังไว้ใน Registry เลยก่อนเริ่มระบบครับ การเข้า SafeMode ให้ Restart เครื่อง แล้วกด F8 ย้ำๆ จนคีย์บอร์ดพัง จึงจะเข้าได้ (ล้อเล่ง) บางเครื่อง กด F8 แล้ว เป็นการเข้า Boot Menu ก็ให้เลือก Boot จาก harddisk ก่อนแล้ว แล้วกด F8 ย้ำๆอีกครั้ง จากนั้นจะขึ้นหน้าต่าง ดำๆขาวๆ ให้เลือก safemode ครับ อยุ่บนสุดเลย จากนั้นมันก็จะขึ้น ข้อความที่เราอ่านไม่รู้เรื่อง.ยาวๆ ให้รอครับ รอสักพัก ก็จะมีลูกศร cursor ขึ้นมา มี Pop up เกี่ยวกับ System Restore ให้ตอบ yes ครับ
• จากนั้นก้อให้เปิดไฟล์ที่ดาวโหลดมา แล้วโปรแกรมจะทำงานเอง เสร็จแล้วโปรแกรมจะสั่งให้ Reset เครื่องเองครับ แล้วก้อจะใช้งานได้ปกติครับ ไม่ต้อง เข้า SafeMode แล้ว
• หากใครที่ใช้ FixTools เดิมไปแล้วให้ดาวโหลดตัวนี้ไปจัดการอีกทีครับ

ได้ผลยังไงบ้าง โปรดแสดงความคิดเห็นด้วยนะครับ ขอบคุณคร๊าบ

โปรแกรมฆ่า Hack by ทุกเวอร์ชั่น ที่ไปดัดแปลงvbs

ยกเว้น *Hack by 1 byte

Hack by 8 bit
Hack by Microsoft
Hack by pharaosh6
Hack by Godzilla
Mutation of trojan virus! dialogbox
Hack by SAN_COM
Hack by P102
Hack by THT
Hack by ASUS
Hack by HPEN_JATURUN

อาการแบบนี้หรือเปล่า
คลิกขวาที่ ไดรฟ์ แล้วมีคำว่า AutoPlay
บน Title IE มีข้อความแปลกๆ ที่ไม่ใช่คำว่า Microsoft Internet Explorer ไม่ว่าเปิดเวบไหนก็เจอ
ดับเบิ้ลคลิกเปิดที่ไดรฟ์แล้ว ขึ้น Explorer มีโฟลเดอร์ขึ้นเยอะๆ ทางซ้าย เป็น Folder Tree
เครื่องช้าทุกที
ดับเบิ้ลคลิกเปิดไดรฟ์ไม่ได้

<Wormตัวนี้ทำงานยังไงบ้าง ?
Wormไฟล์ตระกูล VBS ทั้งหลาย นั้น สามารถมาทำเป็นWormได้ อย่างที่ได้ยินกันในชื่อ hack by Godzilla ซึ่งข้อดีของ Wormนี้คือ มองเห็น SourceCode สามารถใช้ Text Editor ต่างๆแก้ไขได้สบาย แล้วยังแก้ชื่อ เป็น Hack by นู้น Hack by นี้ได้สบาย แต่ข้อเสียก็คือ ถ้ามีคนไปเปลี่ยนตรงชื่อไฟล์ ละก็ แก้กันยากครับ เพราะชื่อ ใครตั้งชื่อไฟล์ว่าอะไรก็ได้ ถ้าบางคนไปเปลี่ยน ตรงคำว่า Hack by Godzilla เป็น Hack by ช้าง Hack by NoteBook Hack by อะไร ก็เปลี่ยนได้ ตามใจเราเลย จึงเป็นที่มาว่า ทำไม Hack by นี้ ถึงมากเหลือเกิน ความจริงแล้วต้นตอ มีไม่กี่อัน แต่ดันไปเปลี่ยน SourceCode ข้างใน เพราะเป็น Text File นี่ครับ ใครจะเปลี่ยนเป็น อะไรก็ได้ อยู่แล้ว ใช่มั๊ย
แต่จุดด้อยของ ไฟล์WormVBS พวกนี้ จะต้อง ใช้ Process ของ Wscript.exe จึงจะสามารถ รันตัวเองได้ ครับ จึงมีหลายเวบ ที่บอกให้ไปปิด Wscript.exe ก่อน จึงจะจัดการWormพวกนี้ได้
จาก SourceCode ของมัน พอจะเดาได้ว่า โปรแกรมได้ใช้ Wscript.exe ตลอดเวลา เมื่อมีไดรฟ์ เพิ่มขึ้นมา ก็จะไปปลุกให้ Wscript.exe ทำงาน สคริปต์ไวรัสอีก และมีการสั่งให้Wormทำงานทุกๆ กี่มิลลิวินาทีก็ว่าไป ดังนันจึงต้องปิด wscript.exe ก่อนจึงจะทำงานได้

<ไฟล์ที่จะติดไปกับ Flash Drive และ Hard Drive มีอะไรบ้าง ?
Worm นี้ สามารถสร้างไฟล์เพิ่มขึ้นได้หลายๆไฟล์โดยใช้การวนลูปเอา แล้วสร้างไฟล์ที่เหมือนกับตัวเองเรื่อยๆ ซึ่งจะสิงห์สถิตในทุกไดรฟ์ที่สามารถจะเขียนได้ โดยมีไฟล์สำคัญดังนี้
autorun.inf เพื่อให้ Run ตัวเองเวลาคนดับเบิ้ลคลิกที่ไดรฟ์ และทำให้ ดับเบิ้ลคลิกเปิดดูธรรมดาไม่ได้ เปิดดุที่ไร ชิ่งไป Explorer ทุกที (สคริปไวรัส สั่งให้ Run explorer เองครับ )
ไฟล์Worm ที่เห็นๆก็ MS32DLL.DLL.VBS .MS32DLL.DLL.VBS Kernell.dll.vbs Killvbs.vbs ที่แน่ๆ ก้อคือ เป็น สกุล vbs

การลบ Worm ที่ติดไปกับ Flash Drive
ต้องใช้กับเครื่องปกติ เพียวๆ ที่ไม่โดน Virus หรือ Worm
แสดงไฟล์ System ไปที่ Tools-> Folder Options ->Tab View ->เลือก Show Hidden File and Folder และเอากาถูก หน้า Hide Protected Operating System.....และ Hide Extentions .... ออก แต่ถ้าขี้เกียจทำหรือ ทำไม่ถูก ผมได้ทำเครื่องมือแสดงไฟล์ไว้แล้วครับ ดูที่นี่ครับ http://kill-virus.blogspot.com/2007/04/system-file.html ไฟล์ Worm ก็จะแสดงออกมา ให้ลบไฟล์ autorun.inf และ ไฟล์ที่เป็นสีจางๆ นามสกุล vbs ออก(เป็นรูปคล้ายราชโองการ สีเขียวๆฟ้าๆ แฮะๆ) โดย Shift+Del ไปเลยก็ได้ ครับ

Wormพวกนี้สามารถดู Source Code ได้ จึงไปปรับเปลี่ยนได้ แต่ถ้าเอาไปสร้างเป็น EXE หละ มองไม่เห็น Source Code แก้กันลำบากแน่ จึงเป็นที่มาของ Hack by 1 Byte ที่เป็น SourceCode ที่ผ่านการ Compile เป็น Application แล้ว จึงดู Source Code ไม่ได้ ไม่รู้ว่ามันทำอะไรบ้าง ทางที่รู้ได้ก็คือ ต้องโดนก่อน หรือฟังคนอื่นเล่ามา...... แต่ก็มีข้อดีก็คือ ไม่สามารถแก้โค๊ดได้ ทำให้ ไม่ค่อยมีใคร แก้เป็น Hack by นู้นนี้ได้

แต่ที่เป็นปัญหาตอนนี้คือ หากใครนำสคริป Hack by Godzilla ไปพัฒนาต่อ คงจะแก้กันยากขึ้น แต่ถ้ายังเป็น VB script ขอให้ลองใช้ตัวนี้ดูครับ

ดาวโหลดโปรแกรม
ที่ไม่ใช่ Hack by 1 Byte

ดาวโหลดไฟล์โปรแกรม

UPDATE
โปรแกรม anyHack except 1 byte

โปรแกรมนี้ใช้งานยังไง ?

• ดาวโหลดไฟล์



• เสียบ FlashDrive ที่มีหนอน ที่เครื่องคอมพิวเตอร์



• ดับเบิ้ลคลิกเปิดไฟล์ที่ดาวโหลด มา เพื่อ รันโปรแกรมให้ทำงาน



• จะมีหน้าจอ ดำๆ แว๊บนึง รอ..โปรแกรม จะ Restart เครื่องอัตโนมัติ หากไม่Restart เครื่อง ให้ Restart เครื่องเองเลยครับ



• เสร็จสิ้นกระบวนท่า

คำเตือน : หลังจากการทำงาน Computer จะ Restart อัตโนมัติ

ได้ผลยังไงบ้าง ได้โปรดแสดงความคิดเห็นด้วยนะครับ ขอบคุณคร๊าบ

สรุป Virus ยอดนิยมประจำปี 2549 ที่ผ่านมา!! และการแก้ปัญหา

รวบรวมบทความไวรัสที่น่าสนใจในรอบปี 2006 และการแก้ปัญหา



1. Flashy
2. Brontok
3. Hacked By Godzilla
4. คลิปVDO
5. Monaliza
6. music.exe
7. virus ภาษาจีน
8. W32.Fujacks (19/4/2007)
9. AdobeR.exe
10. killVBS.vbs
11. HELLO WORLD i am VB
12. ^_^Anti AntiVirus^_^
13. sxs.exe
14. Hacked by 8BITS
15. iexp1ore.exe
16. Data.exe
17. Toy.exe
18. MS32DLL.dll.vbs
19. happy.vbs (ORIGINAL SILLE.B run on GAME ONLINE)
20. Hack By 1BYTE
21. Hack by 1 byte { No virus No Work No Money }
22. Hack by All Version
22. happy.vbs

ในรอบปี 2006 ที่ผ่านมามีไวรัสออกมามากมายตามเคยครับ แต่ตัวที่เด็ด ๆ เป็นที่รู้จักกันทั่วไปน่าจะมีเจ้า 7 ตัวที่ว่าอยู่ใน list แน่นอนเพราะติดกันงอมแงมทั่วประเทศ แล้วก็ตามด้วยไวรัสอื่น ๆ ตามกันมา บทความชิ้นนี้เขียนขึ้นมาเพื่อรวบรวมเอาวิธีแก้ปัญหาเมื่อเจอไวรัสดังกล่าว

ในบทความนี้แนะนำวิธีการกำจัดไวรัสไว้ 2 แบบ คือ แบบทำด้วยมือของท่านเอง (manual) กับ แบบใช้เครื่องมือกำจัดไวรัส (Tools) ที่เตรียมมาให้แล้ว

ผมแนะนำให้ท่านลองกำจัดไวรัสด้วยมือของท่านเองตามวิธีการที่อธิบายอย่างละเอียดในบทความชิ้นนี้ เพราะ จะทำให้ท่านเข้าใจในการทำงานของระบบ windows มากขึ้น

มาเริ่มกันเลยดีกว่า

ฆ่าไวรัส Brontok.A B

หากเครื่องไหนติดไวรัสตัวนี้ แล้วจะรู้ได้ไงว่าติด ง่าย ๆ ครับมีรูปขึ้นมาดังรูปเหมือนข้างบนเด้งขึ้นมาบ่อย ๆหรือให้เปิด window explorer แล้วดูเมนู Tools > Folder Options หากเปิดแล้วไม่พบเมนู Folder Options นั่นแสดงว่าเครื่องคุณติดไวรัสไปแล้ว ยังมีอีกวิธีในการตรวจสอบครับคือ ถ้าคุณ run คำสั่ง cmd หรือคำสั่ง msconfig เครื่องก็จะทำการ restart โดยอัตโนมัติ สำหรับความรุนแรงของไวรัสตัวนี้ ความสามารถของมัน มันจะฝังตัวเองไว้ในระบบ ตั้งชื่อ process แบบเดียวกับของระบบ เช่น services.exe , csrss.exe เป็นต้น และมันจะสร้างไฟล์ของมันให้มีหน้าตาเหมือนโฟลเดอร์ แล้วก็ชื่อเดียวกับโฟลเดอร์งานของคุณครับแต่มันจะมีนามสกุล.exe ต่อท้ายมันพยามยามสร้างลูกมันไว้ครับ ไวรัสตัวนี้มันแพร่ไปตามเครือข่ายได้ครับ โดยเฉพาะถ้าคุณแชร์ไดร์ฟกันในแลนด้วยแล้ว มันไปทุกเครื่องในระบบแลนแน่ครับ มันก็จะปิด Registry Editor ไม่ให้เราแก้ไขได้ด้วยครับ หากเรากด Start >> run พิมพ์ regedit แล้วกด OK ถ้ามีข้อความว่า
Registry editing has been disabled by your administrator หรือพิมพ์ msconfig กด Enter เสร็จรีสตาร์ททันที
วิธีกำจัดนะครับ ใช้โปรแกรมแอนตี้ไวรัส ชื่อAVG ฆ่าก่อน
ก่อนฆ่าไวรัสตัวนี้หากเครื่องคอมมีต่อระบบแลนอยู่ถอดออกก่อนนะครับ ลงเสร็จแล้วคลิกขวาที่MY computer แล้วเลือกสแกนด้วยAVG เลยครับตอนที่สแกนอยู่ก็จะเป็นดังรูปข้างล่างครับ

อาจจะใช้เวลานานนะครับก็รอหน่อยก็อาจจะมีขึ้นมาเตือนว่าเจอไวรัสขึ้นมาเรื่อย ๆกด delete หรือไม่กดก็ได้ครับ เพราะยังรัยมันก็จะโดนฆ่าอยู่ดีรอให้สแกนเสร็จแล้วฆ่าทีเดียวก็ได้ เมื่อสแกนเสร็จจะแสดงขึ้นมาว่ามีไวรัสเท่าไหร่ให้เราคลิก ตรงVirus Result ดังรูปครับ

ครับสีแดงคือไวรัสครับ ให้กดคอนโทรลเอ(CTRT+A)แล้วคลิกขวาเลือกMOVE TO Vault ดังรูป


เมื่อMOVE TO Vaultเสร็จก็เข้าโปรแกรมAVGแล้วไปเลือกคำสั่งตรงช่อง Virus Vault แล้วคลิกขวาเลือกEmpty Vault เลยครับ

จะรีสตาร์ทเครื่องแล้วสแกนอีกรอบครับ เมื่อฆ่าเสร็จแล้วก็มาแก้ไข regedit กับFolder option ที่โดนปิดไว้ก๊อปข้อความนี้ใส่ในช่อง run ครับ
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
แล้ว Enter แล้วลอง พิมพ์ regedit ในช่องRun แล้ว Enter ดูครับว่าเข้าได้หรือยัง หรือ โหลดตัวแก้มาครับ โหลด Unhookexec.inf
เมื่อโหลดเสร็จจะได้ไฟล์ที่มีที่เฟืองสีเหลือง(นามสกุล .INF) นะครับ แล้วคลิกขวาเลือกคำสั่ง install ครับ
แล้วรีสตาร์ทเครื่อง แล้ว เข้า regedit หากยังเข้าไม่ได้แสดงว่าไวรัสยังไม่หยุดทำงาน ท่านคงต้องเริ่มใหม่อีกรอบครับ
(start/run/regedit)
เข้าไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion /Policies / Explorer
ลบ NoFolderOptions ออก แล้วรีสตาร์ทเครื่องแล้วสแกนไวรัสด้วยAVGอีกรอบครับ ดังรูปครับ



ไปที่ HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion /run ลบ ไฟล์ที่เขียนว่า Tok นำหน้า ทั้งสองไฟล์ ดังรูป



ไปที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ลบไฟล์ที่ชื่อว่า Bron นำหน้า กับ RavAV นำหน้าออกครับ ดังรูป





หากเปิดเครื่องขึ้นมาแล้ว ขึ้นเออเร่อดังรูป
ให้โหลด โปรแกรม Hijacked มาครับ แล้วเปิดโปรแกรมขึ้นมาเลือกคำสั่งที่สอง แล้วติ๊กดังรูป




ติ๊กแล้วเลือกคำสั่ง Fix checked แล้วกด Yes แล้วรีสตาร์ทเครื่องก็หายแล้วครับ ก็เสร็จเรียบร้อยครับวิธีฆ่าไวรัสตัวนี้ครับ
ไวรัสตัวนี้มันไวนะครับ เสียบแฮนดี้ไดว์ปุ๊บมันเข้าแฮนดี้ไดว์ปั๊บ เสียบสายแลนมันก้อวิ่งไปทุกเครื่องที่ต่อแลนกันอยู่ ลองทำดูนะครับ หากเครื่องที่ใช้อยู่นั้นระบบแลนก็ต้องแก้ทุกเครื่องนะครับ ไม่งั้นเครื่องที่ไม่มีAVGก็จะปล่อยไวรัสมาตามสายแลนครับ มันวิ่งเข้าใส่อย่างเดียวครับ

ฆ่าไวรัส Flashy

ตัวฆ่าไวรัส Flashy บนเครื่องที่ติดเชื้อ
โปรแกรมนี้ใช้กำจัดไวรัส Flashy ที่ติดเชื้อบนเครื่องแล้วนะครับ จะดำเนินการแก้ไขค่าทุกอย่างให้เหมือนเดิมทุกประการรวมทั้งถอดรหัสของ administrator ให้เป็นว่างเปล่าด้วยครับ สำหรับคนที่พบปัญหาไม่สามารถกำจัด Flashy ในแฮนดี้ไดร์วได้ ต้องกำจัดมันบนเครื่องก่อนนะครับ การแก้ไขจึงจะเห็นผล เนื่องจากไวรัสจะก็อปปี้ตัวเองลงแฮนดี้ไดร์วตลอดเวลา

ภูมิคุ้มกันไวรัส Flashy
หลังจากไวรัสได้แพร่กระจายออกไปเชื่อว่าหลายๆคนคงรู้จักไวรัสตัวนี้เป็นอย่างดี ขณะนี้ทางบริษัท NOD32 และ Bitdefender ได้ออกตัวฆ่าไวรัสตัวนี้ออกจากเครื่องได้แล้วแต่เพื่อความมั่นใจผมจึงพัฒนาตัวป้องกันการติดเชื้อเจ้าไวรัสตัวนี้ซ้ำอีก เพียงแค่รันตัวป้องกันนี้เครื่อง คุณจะไม่ติดเชื้อมันอีกเลย เพื่อเป็นการป้องปรามหรือหยุดการแพร่กระจายของไวรัสตัวนี้

ขั้นตอนการกำจัดไวรัสชื่อ Flashy.exe ทั้งหมด (1.-6.) ทำใน Safe Mode เท่านั้น

- ส่วนเรื่อง password ให้ไปที่ User account ใน Controlpanel เลือก Change Password ช่องแรก พิมพ์รหัส hacked ลงไป ช่องทื่ 2 กับ 3 ที่ให้ระบุรหัสใหม่ ไม่ต้องใส่อะไร (โหมดปกติ)

อาการของเครื่องที่ติด Flashy.exe

- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป อย่าง Brontok ..

ขั้นตอนการกำจัดไวรัส Flashy.exe
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่าง ๆ อยู่เฉย ๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication

1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode

2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน
--------------------------------------------------------

@ECHO OFF

REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2


--------------------------------------------------------


5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่ C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่องเพิ่มเติม
ต้องเข้าไปแก้ค่าใน regedit ด้วย

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"

ไวรัสตัวนี้ร้ายที่สุดทำงานเร็วที่สุดเท่าที่เคยเจอมา ที่สำคัญติดง่ายมาก ร้ายกว่าไอ้เขียวอีก(Brontok)อีก แถมไม่มีโปรแกรมแอนตี้ไวรัสตัวไหนจัดการได้แบบอยู่หมัด เมื่อเราติดไวรัสตัวนี้แล้ว จะทำให้เข้าวินโดว์ไม่ได้เพราะมันจะถามรหัสผ่าน ทั้งที่เราไม่ได้ตั้งเลย
แล้วรหัสผ่านที่ว่ารหัสคือ hacked เมื่อเราเข้าวินโดว์ได้แล้วเราก็มาฆ่าไวรัสกันครับ
- อันดับแรกเราหยุดการทำงานของมันก่อนครับ
- กด Ctrl+Alt+Delete แล้วเลือกคลิกFlashy.exe แล้วคลิก End Process ตรงมุมขวาล่าง
- แล้วตอนนี้มันก็หยุดการทำงานแล้วครับ
- ต่อไปเราต้องเข้า regedit แต่ยังเข้าไม่ได้เพราะไวรัสมันปิดไว้เราก็ต้องใช้ตัว Unhookexec.inf ปลดล็อคมัน

เมื่อโหลดมาแล้วก็คลิกขวา แล้วเลือก Install
แล้ว ไปที่ Start--->Run พิมพ์ regeditแล้วเข้าไปลบคีย์ตามนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ด้านขวามือ --------> NoFolderOptions ลบNoFolderOptions ออกเลยครับ ไวรัสมันสร้างขึ้นมา

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ด้านขวามือ --------> HideFileExt ลบ HideFileExt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess ด้านขวามือ -------->Start
ลบ Start
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ด้านขวามือ --------> Flashy.exe
ลบ Flashy.exe ออก
แล้วไปลบ systemID.pif ที่Start Menu\Programs\Startup\ systemID.pif ลบ systemID.pif ออกเลย ไปที่ Start--->Run พิมพ์ msconfig ไปที่แถบ startup เลือกติ๊กถูกหน้าsystemID ออก แล้วรีสตาร์ทเครื่องแล้วลองกด Ctrl+Alt+Delete ดูครับว่าFlashy.exeยังมีอยู่ในนั้นไหม ไม่มีก็เสร็จ

ต่อไปเราก็ต้องแก้ที่ไวรัสมันสร้างรหัสให้เราทำให้เวลาจะเปิดเครื่องต้องใส่รหัสทุกครั้ง
ลองเข้าไปดูใน User accounts แล้วไม่เห็นมีให้เรารีมูฟรหัสผ่านเลยตอนนี้ผมยังแก้เอารหัสออกไม่ได้ครับ แต่ก็แก้ให้ไม่ต้องใส่รหัสทุกครั้งได้ครับ โดยการ
เข้า Run พิมพ์ regedit แล้วไปตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] แก้สตริงคีย์ตามนี้หากไม่มีก็คลิกขาวเลือก New-->String value ตามนี้
"AutoAdminLogon"="1"
"DefaultUserName"="ชื่อผู้ใช้"
"DefaultPassword"hacked"
หลังจากทำตามขั้นตอนเสร็จหมดแล้วให้ไปลบตัวไวรัสชื่อFlashy.exe ใน C:\WINDOWS\system32 ต้องเปิด Show hidden File ก่อนนะครับถึงจะเห็น เพราะไวรัสตัวนี้มันซ่อนอยู่

ตัวฆ่าไวรัส Flashy ในแฮนดี้ไดร์วและโทรศัพท์มือถือ
โปรแกรมนี้จะกำจัดไวรัส Flashy ในแฮนดี้ไดร์วหรือโทรศัพท์มือถือ พร้อมทั้งคืนค่า hidden ทุกแฟ้มให้เป็นปกติโดยอัตโนมัติ ทำให้ง่าย ต่อการกำจัดมันออกจากแฮนดี้ไดร์วนะครับ