ไวรัสซ่อนไฟล์ ตัวเก่าโบราณนานนมกลับมาระบาดในที่ทำงานอีกครั้ง ไวรัสคอมพิวเตอร์ตัวนี้ไม่ร้ายแรง แต่สร้างความรำคาญได้ไม่หยุดหย่อน แต่ที่งงมากไปกว่านั้น คือ ปกติแอนตีไวรัสทุกตัวที่รู้จักจะสกัดกั้นได้ แต่มันกลับมาระบาดในที่ทำงานได้อีกเรื่อย ๆ บางทีก็อาจจะหมายถึงระบบป้องกันไวรัสมีปัญหา หรือว่าคนไม่ใส่ใจ…
ต้องบอกก่อนว่าการเขียนคราวนี้ไม่มี Screenshot ประกอบ เพราะเขียนหลังจากที่แก้ปัญหาในคอมพิวเตอร์ของคนอื่น ส่วนเครื่องของตัวเองไม่มีปัญหาเรื่องนี้ เลยไม่สามารถจับ screenshot ให้ดูประกอบได้
เนื้อหาโดยรวม :)
อาการเมื่อโดนไวรัสซ่อนไฟล์
ตอนเปิดแฟลชไดร์ฟกับคอมพิวเตอร์ได้ตามปกติ แต่พอผ่านไปสักพักเข้าไปดูไฟล์เหลือแต่ Autorun.inf อยู่ไฟล์เดียว ไฟล์อื่นหายหมด หรือเห็นเป็นไฟล์ shortcut
อาการ “ไฟล์หาย” เหมือนที่เคยเจอมาแล้วหลายปี ไวรัสซ่อนไฟล์ ทำให้ดูเหมือนว่าไฟล์หาย แต่ความจริงซ่อนไฟล์เอาไว้ สังเกตเห็นว่าเครื่องคอมพิวเตอร์ที่โดนนั้นมีโปรแกรมแอนตีไวรัสอยู่จริงแต่ไม่ได้อัปเดตมานานและหมดอายุไปแล้ว ก็เลยดำเนินการให้ดังนี้
วิธีแก้ไวรัสซ่อนไฟล์
uninstall แอนตีไวรัสตัวเดิมออก เพราะหมดอายุ ไม่สามารถอัปเดตอะไรได้ และลง AVAST กับ Malwarebytes ให้ (สองตัวนี้มีเวอร์ชันฟรีให้โหลดมาใช้) อัปเดตฐานข้อมูลไวรัสเป็นตัวล่าสุด แล้วจัดการ Full scan
ถ้าเครื่องใครมีแอนตีไวรัสที่ยังใช้ได้ก็แค่อัปเดตให้แน่ใจว่ามี virus database ล่าสุดและทำ Full scan ไม่จำเป็นต้องใช้ AVAST
จากนั้น เปิด windows explorer (หรือ My Computer) คลิกเมนู View > Options > Change Folder and Search option (อันนี้ใช้ windows 10 ถ้าใช้เวอร์ชันอื่นอาจจะแตกต่างจากนี้บ้าง) ไปที่หน้าต่าง Folder Option เลือกแท็บ View ติ๊กตรง show hidden files, folders and drives แล้วเอาติ๊กตรง hide protect operating system files (Recommend) ออก
เข้าไปที่ไดร์ฟของแฟลชไดร์ฟ (จะเป็น E F G H etc. อะไรก็ตามแต่ เลือกเมนู View > Detail หาว่ามีโฟล์เดอร์อะไรที่ไม่มีชื่อบ้าง ที่ให้เลือกเป็น detail เพราะจะได้เห็นรายละเอียดประเภท (Type) ซึ่งที่ไม่มีชื่อนั้นจะมี Type เป็น folder ให้คลิกตัวไม่มีชื่อนี้แล้วคลิกขวา rename (หรือจะกด F2 ก็ได้) ตั้งชื่อเอาตามสะดวกที่จำได้ง่าย ๆ แล้วปิดไป (สำคัญมากตรงที่ ขอแค่เปลี่ยนชื่อ อย่าทะลึ่งคลิกเปิดโฟลเดอร์มาดู เพราะอาจทำให้ไวรัสแพร่จากแฟลชไดร์ฟเข้าเครื่องคอมพิวเตอร์ได้)
คลิก Start / Search พิมพ์ cmd กด Enter จะได้หน้าจอ command prompt ขึ้นมา พิมพ์คำสั่งตามที่ให้นี้แล้วกด enter สมมติว่าแฟลชไดร์ฟเป็นไดร์ฟ I เครื่องใครเป็นอักษรอื่นก็เปลี่ยน I ไปตามอักษรไดร์ฟของแต่ละคน
attrib -h -r -a -s /s /d i:*.*
หมายเหตุ คำสั่งนี้แค่แก้ให้เห็นไฟล์ แต่ไม่ได้ฆ่าหรือกำจัดไวรัสออกจากเครื่องแต่อย่างใด หลายคนเอาคำสั่งนี้ไปใช้แต่ไม่ยอมฆ่าไวรัส มันก็วนกลับมาติดอีกรอบก็ต้องแก้อีกรอบ
เปิด windows explorer กลับมาที่ Drive I แล้วลบไฟล์แปลก ๆ ไปให้หมด รวมทั้งไฟล์ shortcut ต่าง ๆ ด้วย
ใช้ malwarebite สแกน หรือถ้าอยากให้แน่ใจจะล้างไวรัสเองก็ขอให้ คลิก Start / Search พิมพ์ REGEDIT เลือกแท็บ EDIT คลิก Find (หรือ กด Ctrl + F ก็ได้) ตัวที่เราหาชื่อ documents.vbe ถ้าหาเจอ ขอให้จำตำแหน่งที่ตั้งของไฟล์นี้ไว้ (เขียนไว้เลยว่าอยู่ตรงไหน) แล้วออกที่ windows explorer ไปที่ตำแหน่งที่ตั้งของไฟล์นั้นแล้วลบทิ้ง อาจจะต้องใช้ task manager (CTRL+ALT+DEL) เพราะมันจะฟ้องว่ามีโปรแกรมกำลังใช้งานไฟล์นี้อยู่ เรียก task manager หา Wscript.exe คลิกขวาที่ตัวนี้แล้วเลือก End Task แล้วค่อยลบ documents.vbe
จะให้ดีตามลบ Documents.vbe ใน registry ด้วยก็ดี หรือเอาง่าย ๆ ใช้ malwarebites เถอะ สะดวกดี
สุดท้ายดึงไฟล์ที่อยู่ในโฟลเดอร์ที่เราตั้งชื่อใหม่มาใช้งานได้ตามปกติ
ย้ำอีกที
แนะนำให้ลงแอนตีไวรัสในเครื่อง ที่ใช้อยู่ประจำคือ AVAST กับ Malwarebytes แต่จะใช้ตัวอื่นก็ได้ ขอเพียงอัปเดตสม่ำเสมอ ถ้ากังวลเรื่องไวรัสที่มากับแฟลชไดร์ฟ แนะนำให้ลง AutoRunExterminator หรือ autorun delete
ทั้ง 4 ตัวนี้สามารถใช้ได้ฟรีไม่เสียค่าใช้จ่าย ลองใช้ google ค้นหาและดาวน์โหลดมาใช้
อธิบายคำสั่ง DOS
attrib ก็คือ attribute เป็นคำสั่งให้แก้ไข attribute (คุณสมบัติ) ของไฟล์หรือโฟลเดอร์ต่าง ๆ
– คือ clear หรือ ยกเลิกคำสั่ง (คำสั่งตรงข้ามกันก็คือ +)
H คือ Hidden file ไฟล์ที่ซ่อนไว้ไม่ให้เห็นใน Explorer
S คือ System file ไฟล์ระบบ
A คือ Archived file ไฟล์ที่มีบีบอัดอยู่ร่วมกัน
R คือ Read-only file ไฟล์ที่อนุญาตให้อ่านอย่างเดียว แก้ไขไม่ได้
/S คือ รวม subfolder
/D คือ directory หรือ folder
i:*.* คือไดร์ฟ I (เปลี่ยนตัวอักษรไปตามไดร์ฟที่ต้องการ) *.* เป็น wildcard คือไฟล์ทุกชื่อทุกนามสกุล เอาทั้งหมด
อย่าง -H ก็คือยกเลิกการซ่อนไฟล์ ถ้า +H ก็คือสั่งให้ซ่อนไฟล์
คำสั่ง attrib -h -r -a -s /s /d i:*.* นี้ถ้าแปลเป็นภาษาไทยง่าย ๆ ก็คือ เปลี่ยนคุณสมบัติไฟล์ในไดร์ฟ I ทั้งหมดในไดเร็กทอรีนี้รวมทั้งซับไดเร็กทอรีทั้งหมด ให้ยกเลิกการซ่อนไฟล์ ยกเลิกการบีบอัด ยกเลิกให้อ่านอย่างเดียว ยกเลิกว่าเป็นไฟล์ของระบบ
ย้ำอีกที คำสั่ง attrib -h -r -a -s /s /d i:*.* แค่แก้ปัญหาเรื่องซ่อนไฟล์ แต่ไม่ได้กำจัดไวรัส!!!
ข้อสังเกต
ถ้าใช้คำสั่ง attrib ใน dos นี้แล้ว แต่ขึ้นว่า Access Denied เป็นไปได้ว่าเจ้าไวรัสมี process อยู่ ให้เปิด Task manager มาดูว่า Process ตัวไหนน่าสงสังกำลังทำงานอยู่บ้าง โดยคลิก Details แล้วสังเกตตรง Description อันไหนที่ว่างไว้นี่ก็น่าสงสัย ลองคลิกขวาเข้า Properties ดู Details >> Copyright ถ้าไม่มีชื่อบริษัทหรือชื่อแปลก ๆ ก็อาจจะเป็น process ของไวรัส ลองเอาชื่อมาค้นในกูเกิลเพื่อความแน่ใจอีกทีก็ได้
ถ้ายังเห็นไฟล์อยู่แต่ไฟล์เป็นภาษาต่างดาว อาจจะเป็นไปได้ว่าแฟลชไดร์ฟเสีย ลองอ่านบทความนี้ประกอบ