Data Revol

ไวรัสซ่อนไฟล์

ป้ายกำกับ: ,

เผยแพร่เมื่อ:

ปรับปรุง/แก้ไขล่าสุดเมื่อ:

ไวรัสซ่อนไฟล์ ตัวเก่าโบราณนานนมกลับมาระบาดในที่ทำงานอีกครั้ง ไวรัสคอมพิวเตอร์ตัวนี้ไม่ร้ายแรงแต่สร้างความรำคาญได้ไม่หยุดหย่อน แต่ที่งงมากไปกว่านั้นคือปกติแอนตีไวรัสทุกตัวที่รู้จักจะสกัดกั้นได้ แต่มันกลับมาระบาดในที่ทำงานได้อีกบางทีก็อาจจะหมายถึงระบบป้องกันไวรัสมีปัญหา หรือว่าคนไม่ใส่ใจ…

ต้องบอกก่อนว่าการเขียนคราวนี้ไม่มี Screenshot ประกอบ เพราะเขียนหลังจากที่แก้ปัญหาในคอมพิวเตอร์ของคนอื่น ส่วนเครื่องของตัวเองไม่มีปัญหาเรื่องนี้ เลยไม่สามารถจับ screenshot ให้ดูประกอบได้

อาการของ ไวรัสซ่อนไฟล์

ตอนเปิดแฟลชไดร์ฟกับคอมพิวเตอร์ได้ตามปกติ แต่พอผ่านไปสักพักเข้าไปดูไฟล์เหลือแต่ Autorun.inf อยู่ไฟล์เดียว ไฟล์อื่นหายหมด หรือเห็นเป็นไฟล์ shortcut

วิธีแก้

อาการ “ไฟล์หาย” เหมือนที่เคยเจอมาแล้วหลายปี ไวรัสซ่อนไฟล์ ทำให้ดูเหมือนว่าไฟล์หาย แต่ความจริงซ่อนไฟล์เอาไว้ สังเกตเห็นว่าเครื่องคอมพิวเตอร์ที่โดนนั้นมีโปรแกรมแอนตีไวรัสอยู่จริงแต่ไม่ได้อัปเดตมานานและหมดอายุไปแล้ว ก็เลยดำเนินการให้ดังนี้

ขั้นตอนที่ 1

uninstall แอนตีไวรัสตัวเดิมออก เพราะหมดอายุ ไม่สามารถอัปเดตอะไรได้ และลง AVAST กับ Malwarebytes ให้ (สองตัวนี้มีเวอร์ชันฟรีให้โหลดมาใช้) อัปเดตฐานข้อมูลไวรัสเป็นตัวล่าสุด แล้วจัดการ Full scan 

ถ้าเครื่องใครมีแอนตีไวรัสที่ยังใช้ได้ก็แค่อัปเดตให้แน่ใจว่ามี virus database ล่าสุดและทำ Full scan ไม่จำเป็นต้องใช้ AVAST

ขั้นตอนที่ 2

จากนั้น เปิด windows explorer (หรือ My Computer) 

คลิกเมนู View > Options > Change Folder and Search option (อันนี้ใช้ windows 10 ถ้าใช้เวอร์ชันอื่นอาจจะแตกต่างจากนี้บ้าง)

ไปที่หน้าต่าง Folder Option เลือกแท็บ View ติ๊กตรง show hidden files, folders and drives

แล้วเอาติ๊กตรง hide protect operating system files (Recommend) ออก

ขั้นตอนที่ 3

เข้าไปที่ไดร์ฟของแฟลชไดร์ฟ (จะเป็น E F G H etc. อะไรก็ตามแต่ เลือกเมนู View > Detail หาว่ามีโฟล์เดอร์อะไรที่ไม่มีชื่อบ้าง ที่ให้เลือกเป็น detail เพราะจะได้เห็นรายละเอียดประเภท (Type) ซึ่งที่ไม่มีชื่อนั้นจะมี Type เป็น folder ให้คลิกตัวไม่มีชื่อนี้แล้วคลิกขวา rename (หรือจะกด F2 ก็ได้) ตั้งชื่อเอาตามสะดวกที่จำได้ง่าย ๆ แล้วปิดไป (สำคัญมากตรงที่ ขอแค่เปลี่ยนชื่อ อย่าทะลึ่งคลิกเปิดโฟลเดอร์มาดู เพราะอาจทำให้ไวรัสแพร่จากแฟลชไดร์ฟเข้าเครื่องคอมพิวเตอร์ได้)

ขั้นตอนที่ 4

คลิก Start / Search พิมพ์ cmd กด Enter จะได้หน้าจอ command prompt ขึ้นมา พิมพ์คำสั่งตามที่ให้นี้แล้วกด enter สมมติว่าแฟลชไดร์ฟเป็นไดร์ฟ I เครื่องใครเป็นอักษรอื่นก็เปลี่ยน I ไปตามอักษรไดร์ฟของแต่ละคน

attrib -h -r -a -s /s /d i:*.*

หมายเหตุ คำสั่งนี้แค่แก้ให้เห็นไฟล์ แต่ไม่ได้ฆ่าหรือกำจัดไวรัสออกจากเครื่องแต่อย่างใด หลายคนเอาคำสั่งนี้ไปใช้แต่ไม่ยอมฆ่าไวรัส มันก็วนกลับมาติดอีกรอบก็ต้องแก้อีกรอบ

ขั้นตอนที่ 5

เปิด windows explorer กลับมาที่ Drive I แล้วลบไฟล์แปลก ๆ ไปให้หมด รวมทั้งไฟล์ shortcut ต่าง ๆ ด้วย

ขั้นตอนที่ 6

ใช้ malwarebite สแกน

หรือถ้าอยากให้แน่ใจจะล้างไวรัสเองก็ขอให้ คลิก Start / Search พิมพ์ REGEDIT เลือกแท็บ EDIT คลิก Find (หรือ กด Ctrl + F ก็ได้)

ตัวที่เราหาชื่อ documents.vbe ถ้าหาเจอ ขอให้จำตำแหน่งที่ตั้งของไฟล์นี้ไว้ (เขียนไว้เลยว่าอยู่ตรงไหน)

แล้วออกที่ windows explorer ไปที่ตำแหน่งที่ตั้งของไฟล์นั้นแล้วลบทิ้ง อาจจะต้องใช้ task manager (CTRL+ALT+DEL) เพราะมันจะฟ้องว่ามีโปรแกรมกำลังใช้งานไฟล์นี้อยู่ ให้เรียก task manager หา Wscript.exe คลิกขวาที่ตัวนี้แล้วเลือก End Task แล้วค่อยลบdocuments.vbe

จะให้ดีตามลบ Documents.vbe ใน registry ด้วยก็ดี หรือเอาง่าย ๆ ใช้ malwarebites เถอะ สะดวกดี

สุดท้ายดึงไฟล์ที่อยู่ในโฟลเดอร์ที่เราตั้งชื่อใหม่มาใช้งานได้ตามปกติ

ย้ำอีกที

แนะนำให้ลงแอนตีไวรัสในเครื่อง ที่ใช้อยู่ประจำคือ AVAST กับ Malwarebytes แต่จะใช้ตัวอื่นก็ได้ ขอเพียงอัปเดตสม่ำเสมอ ถ้ากังวลเรื่องไวรัสที่มากับแฟลชไดร์ฟ แนะนำให้ลง AutoRunExterminator หรือ autorun delete

ทั้ง 4 ตัวนี้สามารถใช้ได้ฟรีไม่เสียค่าใช้จ่าย ลองใช้ google ค้นหาและดาวน์โหลดมาใช้

อธิบายคำสั่ง DOS กันสักหน่อย

attrib ก็คือ attribute เป็นคำสั่งให้แก้ไข attribute (คุณสมบัติ) ของไฟล์หรือโฟลเดอร์ต่าง ๆ

– คือ clear หรือ ยกเลิกคำสั่ง (คำสั่งตรงข้ามกันก็คือ +)

H คือ Hidden file ไฟล์ที่ซ่อนไว้ไม่ให้เห็นใน Explorer

S คือ System file ไฟล์ระบบ

A คือ Archived file ไฟล์ที่มีบีบอัดอยู่ร่วมกัน

R คือ Read-only file ไฟล์ที่อนุญาตให้อ่านอย่างเดียว แก้ไขไม่ได้

/S คือ รวม subfolder

/D คือ directory หรือ folder

i:*.* คือไดร์ฟ I (เปลี่ยนตัวอักษรไปตามไดร์ฟที่ต้องการ) *.* เป็น wildcard คือไฟล์ทุกชื่อทุกนามสกุล เอาทั้งหมด

อย่าง -H ก็คือยกเลิกการซ่อนไฟล์ ถ้า +H ก็คือสั่งให้ซ่อนไฟล์

คำสั่ง attrib -h -r -a -s /s /d i:*.* นี้ถ้าแปลเป็นภาษาไทยง่าย ๆ ก็คือ เปลี่ยนคุณสมบัติไฟล์ในไดร์ฟ I ทั้งหมดในไดเร็กทอรีนี้รวมทั้งซับไดเร็กทอรีทั้งหมด ให้ยกเลิกการซ่อนไฟล์ ยกเลิกการบีบอัด ยกเลิกให้อ่านอย่างเดียว ยกเลิกว่าเป็นไฟล์ของระบบ

ย้ำอีกที คำสั่ง attrib -h -r -a -s /s /d i:*.* แค่แก้ปัญหาเรื่องซ่อนไฟล์ แต่ไม่ได้กำจัดไวรัส!!!

ข้อสังเกต

ถ้าใช้คำสั่ง attrib ใน dos นี้แล้ว แต่ขึ้นว่า Access Denied เป็นไปได้ว่าเจ้าไวรัสมี process อยู่ ให้เปิด Task manager มาดูว่า Process ตัวไหนน่าสงสังกำลังทำงานอยู่บ้าง โดยคลิก Details แล้วสังเกตตรง Description อันไหนที่ว่างไว้นี่ก็น่าสงสัย ลองคลิกขวาเข้า Properties ดู Details >> Copyright ถ้าไม่มีชื่อบริษัทหรือชื่อแปลก ๆ ก็อาจจะเป็น process ของไวรัส ลองเอาชื่อมาค้นในกูเกิลเพื่อความแน่ใจอีกทีก็ได้

ถ้ายังเห็นไฟล์อยู่แต่ไฟล์เป็นภาษาต่างดาว อาจจะเป็นไปได้ว่าแฟลชไดร์ฟเสีย ลองอ่านบทความนี้ประกอบ

Topics

Tags

Access Analysis ArcGIS ArcMap Attribute Table Battery Beginner Big Data Blockchain Calculation cmd Coordinate System CSV Database Database Design Data Basics Data Format Data Import Data Interaction Data Management Data Quality Design Directory Encoding Error Error Fix Excel File Copy File Rename Finance Font Format Geodatabase Geometry GIS Basics GIS Online GTD IDE Image Install iOS Kanban KMZ Language Laptop Layout Learning Mobile Network NFT Note-taking Pagination PARA Plugins Productivity System Projection Property Property Ownership Python QGIS Query Raster RDBMS Real Estate Rename Safety SDLC Second Brain Security Shapefile Statistics Storage Tax Thai Thai Number TXT UI Valuation Vector Virus Windows WMS Word

Exit mobile version