virus

By Shadow@Thaiware

จากEntryก่อนๆที่สอนแบบมือสมัครเล่นไปแล้ว วันนี้เลยเอาวิธีแบบมืออาชีพมาฝาก เพราะคิดว่าหลายๆคนคงจะคุ้นเคยกับระบบในเครื่องกันบ้างแล้ว

หลายท่านคงเคยพบเจอปัญหาไวรัส หรือ มัลแวร์อื่นๆ ซึ่งมีบางครั้งที่ท่านพยายามลบมันออกไปเท่าไหร่ ไม่ว่าด้วยแอนตี้ไวรัสตัวไหนมันก็ไม่ยอมออกไปเสียที
แต่ถ้าหากท่านลองใช้ Hijackthis ดูบางครั้งจะพบว่ามันจะแสดงส่วนที่เป็นปัญหาต่างๆให้เราทราบได้ทันที ไม่ว่าจะเป็นค่าที่มัลแวร์ฝังไว้ในรีจิสทรี , ไฟล์ที่ยังเหลือตกค้างในเครื่อง , ค่า StartPage ที่ถูก Hijacking แก้ , ค่า BHOs ต่างๆ
ซึ่ง Hijackthis จะสามารถช่วยเราลบออกไปได้อย่างง่ายดาย
แต่ค่าซึ่ง Hijackthis แสดงขึ้นมาให้เราดูนั้น จะมีค่าดั้งเดิมของระบบ และโปรแกรมที่ใช้งานที่มีประโยชน์อื่นๆรวมอยู่ด้วย เพราะฉะนั้นอย่าเข้าใจผิดนะครับ

ข้อจำกัดของมันอยู่ที่ว่า คนที่จะใช้โปรแกรมนี้ได้ดีนั้นต้องมีความรู้ด้านไฟล์ของระบบปฏิบัติการ และความรู้พื้นฐานด้านคอมพิวเตอร์พอสมควร และต้องมีประสบการณ์ด้วยจึงจะสามารถใช้โปรแกรมนี้ได้ดี
เพราะบางครั้งที่เราใช้ Hijackthis สแกนแล้ว หากลบค่าไปแบบไม่คิด อาจจะทำให้ค่าที่จำเป็นต้องใช้สำหรับระบบสูญหายไปได้

ซึ่งผมขอแนะนำการใช้ไว้คร่าวๆดังนี้
ขั้นแรกให้ทำการโหลด Hijackthis จาก
http://download.hijackthis.eu/hijackthis_199.zip

ดาวน์โหลด Hijackthis 2 Beta

จากนั้นให้ทำการแตกไฟล์ออก ดับเบิ้ลคลิกเข้าโปรแกรม กดที่ Do a system scan and save a log files
หลังจากการสแกนจะมีหน้าต่าง Nodepad เด้งขึ้นมา
สำหรับคนที่มีความรู้อยุ่แล้วตอนนี้ก็จะสามารถ ดูค่าที่ผิดปกติแล้วใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด ทำการ Fix checked มันออกไปได้ทันที
แต่สำหรับมือใหม่ที่ยังไม่มีความรู้ ให้ทำการคัดลอกข้อความทั้งหมดที่อยู่ในNodepad

ตัวอย่าง

**************************************************

Logfile of HijackThis v1.99.1
Scan saved at 10:16:11, on 28/1/2550
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\InkSaver\InkSaver.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\HDD Thermometer\HDD Thermometer.exe
D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Shadow\Start Menu\Programs\Startup\LayoutFix.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\iexp1ore.exe
C:\Documents and Settings\Shadow\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ClocX] "C:\Program Files\ClocX\ClocX.exe"
O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"-osboot
O4 - HKCU\..\Run: [RSD_HDDThermo] "C:\Program Files\HDD Thermometer\HDD Thermometer.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "D:\Downloads\SOFTWARE\FreeRAM XP Pro 1.4\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LayoutFix.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: ค้นหา - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: ทำให้เด่นชัด - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: ระงับการแสดงผลภาพที่มาจากเครื่องผู้ให้บริการเดียวกัน - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: เปิดทุกหน้าเชื่อมโยงที่มีในหน้านี้... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: เปิดใน Avant Browser หน้าใหม่ - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: เพิ่มไปในรายการบัญชีดำตัวป้องกันการแสดงโฆษณา - C:\Program Files\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra 'Tools' menuitem: IE HTTP Analyzer - {C7B3DF1E-6EFC-41E8-9DA7-EBC1F973832D} - C:\PROGRA~1\HTTPAN~1\IEHTTP~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by129w.bay129.mail.live.com/mail/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O17 - HKLM\System\CS3\Services\Tcpip\..\{2E0BCB60-0447-474A-8999-3F8106E69A84}: NameServer = 202.57.160.143 202.57.160.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset- C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

*************************************************

ไปโพสต์ในช่องว่างที่เว็บ
http://hijackthis.de/
แล้วกดปุ่ม Analyze เพื่อให้เว็บไซต์วิเคราะห์ข้อมูลออกมาได้ทันที

วิธีการตรวจสอบ

- หากรายการนั้นมีเครื่องหมายถูก แสดงว่ารายการนั้นเป็นรายการที่ปลอดภัย

ระดับความปลอดภัยจะขึ้นอยู่กับ ตัวหนังสือที่แสดงคือ Very safe , Safe , Neutral และมีเครื่องหมายแต่ไม่มีข้อความ ตามลำดับ

- หากรายการนั้นมีเครื่องหมายกากบาทสีแดง ,กากบาทสีแดงพร้อมด้วยข้อความ Extremely nasty หรือ nasty หรือเป็นเครื่องหมายคำถาม แต่มีข้อความ Extremely nasty

แสดงว่ารายการนั้นเป็นรายการที่ไม่ปลอดภัย อาจเป็นค่าของไวรัส โทรจัน มัลแวร์ต่างๆ ที่เข้ามาฝังในเครื่อง
ให้ติ๊กเครื่องหมายหน้ารายการนั้นๆในโปรแกรม Hijackthis เพื่อ Fix checked ได้ทันที

- หากรายการนั้นมีเครื่องหมายกากบาทสีส้ม หรือเครื่องหมายกากบาทสีส้มพร้อมด้วยข้อความ Very safe , Safe , Neutral
และในรายการของค่ามี (no file) หรือ (file missing) ตามหลังหมายถึงว่าไฟล์เหล่านั้นไม่ได้มีอยู่แล้ว แต่ในเครื่องยังมีค่าส่วนนี้ตกค้างอยู่
สามารถทำการ Fix checked ได้ทันที

ตัวอย่าง

http://shadow.saiyaithai.org/09.jpg

http://shadow.saiyaithai.org/10.jpg

- หากรายการนั้นมีเครื่องหมายคำถาม ( unknown ) แสดงว่าทางเว็บไม่มีข้อมูลของรายการนั้นในฐานข้อมูล

ซึ่งรายการนั้นจะเป็นค่าที่มีความปลอดภัย หรือ ไม่ปลอดภัยก็ได้
ในกรณีนี้ให้เราพิจารณาว่า ค่าตัวนั้นๆเป็นค่าของอะไรหรือโปรแกรมไหน และเราใดติดตั้งไว้เองหรือไม่
หากพิจารณาจนแน่ใจแล้วว่าไม่ใช่ค่าที่ถูกต้องก็สามารถ Fix checked ได้ทันที

ทางเว็บ Hijackthis นั้นยังมีระบบที่ให้ผู้เข้ามาใช้งานสามารถตรวจสอบ ค่าต่างๆและร่วมให้ข้อมูลกับทางเว็บได้ โดยหากเราต้องการดูรายละเอียดของค่าข้อมูลตัวไหนก็สามารถกดปุ่มที่ปรากฏอยู่หน้าค่าเหล่านั้นได้ทันที ก็จะปรากฏข้อมูลที่เคยมีผู้ให้ไว้แสดงขึ้นมา


และเราก็สามารถให้ข้อมูลแก่ทางเว็บได้เช่นกันในกรณีที่เรารู้จักค่าตัวนั้นอย่างแน่ชัด
โดยแสดงความคิดเห็นและระดับคะแนนลงไป

สำหรับผู้ใช้เริ่มต้นที่ไม่มีความชำนาญและไม่มีความรู้ในด้านระบบไฟล์ให้ปฏิบัติดังนี้

เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe

ค่าๆนี้หากวิเคราะห์ด้วยเว็บไซต์ hijackthis.de จะบอกว่าเป็นค่าที่ไม่รู้จัก
แต่หากเป็นผู้ใช้ที่มีความรู้ด้านระบบไฟล์ก็จะรู้ได้ทันทีว่าไม่ถูกต้อง แต่หากเป็นผู้ใช้เบื้องต้นก็จะไม่ทราบดังนั้นวิธีการคือ ให้เข้าเว็บไซต์
www.google.com
จากนั้นก็ค้นหาด้วยคำว่า iexp1ore.exe ก็จะมีเว็บไซต์ที่แสดงรายละเอียดของไฟล์ตัวนี้ขึ้นมาทันที ซึ่งก็้เพียงคลิกตามลิงค์เข้าไปดูก็จะทราบว่าเป็นค่าที่ปลอดภัยหรือๆไม่

เมื่อได้พิจารณาจากข้อมูลแล้วว่าตัวไหนเป็นค่าที่ไม่ปลอดภัยต้องการลบก็ให้ใส่เครื่องหมายถูกหน้ารายการที่ต้องการจากนั้นก็ให้กด Fix checked ซึ่งในขั้นตอนนี้นั้นให้ท่านบันทึกหรือจำที่อยู่ของไฟล์ที่จะอยู่หลังค่าต่างๆที่ท่าน Fix checked ไว้
เช่น
O4 - HKCU\..\Run: [SyrxMy] C:\WINDOWS\system32\iexp1ore.exe
ที่อยู่ของไฟล์ที่ค่าๆนี้อ้างอิง คือ C:\WINDOWS\system32\iexp1ore.exe

จากนั้นให้ท่านรีบูตเครื่องคอมพิวเตอร์ใหม่เพื่อเข้าสู่ Safe Mode
วิธีการ คือ ตอนเครื่องได้เริ่มเปิดใหม่นั้นให้กดปุ่ม F8 บนคีย์บอร์ดหลายๆครั้ง ก็จะมีหน้าต่างให้เลือกเข้าสู่ Safe Mode

หลังจากได้เข้าสู่ Safe Mode แล้วก็ให้เข้าไปลบไฟล์ต่างๆ ที่ได้จำไว้ตามdirectoryต่างๆให้หมด เพื่อเป็นกำจัดให้สิ้นซาก จากนั้นก็รีบูตเครื่องอีกครั้งหนึ่ง เท่านี้ปัญหาต่างๆที่ท่านพบก็จะถูกแก้ไขอย่างหมดจด


คำแนะนำเพิ่มเติม
การวิเคราะห์ด้วยเว็บนั้นได้ผลดีในระดับหนึ่งเท่านั้น บางครั้งหากต้องการคำแนะนำจากผุ้เชี่ยวชาญจริงๆ ในกรณีที่ท่านไม่มีความรู้ หรือไม่แน่ใจในเรื่องต่างๆ ท่านก็สามารถนำ Log file ข้อความที่ได้มาโพสต์ตามเว็บบอร์ดต่างๆ เพื่อให้ผู้เชี่ยวชาญวิเคราะห์ให้โดยตรงได้เช่นกัน
เช่น
http://community.thaiware.com/
หมวด Security forum
หรือ
http://board.thaidarkside.com/SMF/index.php
หมวด Virus Trojan & Spyware
หรือเว็บไซต์อื่นๆเพื่อขอคำแนะนำได้


สำหรับคนที่Antivirusขึ้นเตือนหาว่าตัว Hijackthis เป็นโทรจัน แล้วจะทำการลบออกไป
แต่ที่จริงแล้วนั่นไม่ใช่ครับ เป็นการ False Positive (เตือนผิด)
เอาเป็นว่าระหว่างใช้ Hijackthis นั้นให้คุณ Disable โปรแกรม Antivirus ไปเสียชั่วคราวก่อนใช้งานเสร็จจึงค่อย Enable

ขณะนี้ Hijackthis ถูกซื้อโดยบริษัท Trend Micro เรียบร้อยแล้วครับ และทางบริษัทได้ออกโปรแกรมเวอร์ชัน 2 beta มาให้เราได้ทดลองใช้กันครับ โดยความสามารถที่เพิ่มมา คือ มีปุ่มส่ง Log แบบอัติโนมัติขึ้นสู่เว็บไซต์ครับ
หากท่านต้องการทดลองใช้เวอร์ชันใหม่ สามารถดาวน์โหลดได้โดยคลิกลิงค์ด้านล่างนี้
ดาวน์โหลด Hijackthis 2 Beta


อัพเดทล่าสุด พุธ ที่ 9 พฤษภาคม 2550

ที่มา : http://community.thaiware.com/index.php?showtopic=290250

Entry ที่เกี่ยวข้อง

วิธีทำให้มองเห็นVirusในเครื่องหรือFlash Drive ทุกตัว

การแยกแยะvirusหรือไฟล์ที่น่าสงสัย

การกำจัดVirusในเครื่องด้วยตัวคุณเอง

ARDV โปรแกรมช่วยป้องกันไวรัสที่มากับ Flash drive