เมี่อ 2 วันก่อน เกิดความวุ่นวายกับระบบงานที่ดูแลอยู่
บังเอิญไปเจอไอ้เจ้า RTKT_FARFLI.UW เข้า โอ้โฮ งานเข้าครับเดี้ยงกันทั้งระบบเลย ใช้งาน Internet กันไม่ได้เลย เราก็นึกว่า router
เสียเปลี่ยนตัวใหม่ก็ไม่หาย จึงทดลองทำระบบ network ย่อยแแยกออกมา แล้วเข้า Internet ดูเอ๊ะมันก็เข้าได้ พอเชื่อมเข้าไปในระบบใหญ่เดี้ยง
เลยใช้ tool Wireshark จับ packet ดูก็ถึงบางอ้อจะไม่เดี้ยงได้ยังไง ก็ client แทบทุกตัวส่ง packet มาที่ router หนาแน่นมาก แน่นอน Virus!!!!!!
ขั้นต่อไปก็ต้องหาตัวการและกำจัดมันออกไป ขั้นแรก ตรวจสอบ log จาก Officescan ที่client มันแจ้งว่า
Virus Detected!!!
Virus Alert!!
RTKT_FARFLI.UW is detected on XXXXX in ZZZZZZ domain.
Infected file: C:\WINDOWS\system32\drivers\sysdrv32.sys
Detection date: 2009.02.11 17:49:41
Action: Virus successfully detected, cannot perform the Clean action (Quarantine)
ไปดูที่ http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=RTKT_FARFLI.UW
แล้วทำตาม solution http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=RTKT%5FFARFLI%2EUW&VSect=Sn
ที่ trendmicro แจ้งมา แต่ชีวิตมันไม่ง่ายอย่างนั้นเพราะมันไม่เห็นเป็นอย่างที่แสดงเลย ฟระ!!!!! registry ที่ต้องลบก็ไม่ยักกะมี อ้าวแลัวจะไปต่อยังไง??????
tik-tok tik-tok tik-tok .... virus มันก็เป็นโปรแกรมคอมพิวเตอร์ประเภทนึงจะฆ่ามันก็ต้องไม่ให้มันโหลดเข้าไปใน memmory ของคอมพิวเตอร์
ฉะนั้นตอนนี้มันต้องเป็น process ใด process นึงที่กำลัง run แน่นอน
และไอ้เจ้าตัวปัญหามันส่ง packet ไปที่ router ดังนั้นมันต้องใช้ TCP/IP แน่นอนคงต้องจัดการแบบลูกทุ่งคือลุยเอง
ลุย!!!!!
เปิด command prompt โดย Start-->run แล้วพิมพ์ cmd จะมี command prompt แสดงขึ้นมา
ที่ prompt
C:\>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:110 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:143 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:366 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:389 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1000 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1047 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1048 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1053 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1062 0.0.0.0:0 LISTENING 1408
ซึ่งจะแสดง TCP connection ออกมาให้สังเกต column สุดท้าย PID ซึ่งหมายถึง process id ของโปรแกรมที่ทำงาน
อยู่ถ้ามี PID เดียวกันติดต่อกันมากๆให้คาดว่าน่าจะเป็นไวรัส ตัวอย่าง 1408 น่าจะใช่จากนั้นใช้ taskmanager เพื่อดูว่าเป็นโปรแกรมอะไร
C:\>taskmgr -----> taskmanager จะแสดงขึ้นมาให้หา PID ที่ 1408 ใน tab process แต่บางครั้งจะหาไม่เจอเพราะมันซ่อนตัวได้ต้องใช้เครื่องมือเพิ่มเติมคือ ProcL http://www.scanit.net/rd/tools/03 เอาไว้ดู hidden process
download http://www.scanit.net/files/tools/ProcL.zip
unzip ตามถนัด winzip/7zip อื่นๆ
run C:\ProcL>ProcL ---> จะแสดง hidden process ออกมาในกรณีของผมพบ wmisync.exe run เป็น hidden process มี PID 1408
boot เข้า safe mode
Search ไฟล์ wmisync.exe ว่ามันอยู่ที่ไหน โดยปรับ folder option ให้แสดงไฟล์ที่ซ่อนทั้งหมดรวมถึงพวก system file ด้วย
Tools-->Folder options
ที่ tab View check ที่ตัวเลือก Show hidden files and folders และ un-check Hide protected operating system files (Recommended)
ก็จะได้ที่อยู่ของมัน C:\WINDOWS\system\wmisync.exe
Search registry เพื่อหาว่ามี wmisync.exe อยู่ที่ใดบ้างเพราะ การ load program/service ของ windows ใช้ registry เป็น configuration ในกรณีนี้จะได้
HKEY_LOCAL_MACHINE
SYSTEM
ControlSet001
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ <-------- จะมี value wmisync.exe
ControlSet002
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ <-------- จะมี value wmisync.exe
ControlSet003
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ <-------- จะมี value wmisync.exe
CurrentControlSet
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ หรืออาจไม่มีเลย <-------- จะมี value wmisync.exe
ลบ hive เหล่านี้ออกให้หมด
แล้วลบไฟล์ต่อไปนี้ถ้ามีโดยให้ shift+delete เพื่อให้ลบอย่างถาวร
- C:\WINDOWS\system\wmisync.exe <-- มีแน่นอน
- C:\WINDOWS\system\wmiappsrv.exe <-- อาจไม่มีก็ได้
- C:\WINDOWS\system32\**.exe ขื่อมี 2 ตัวอักษร หรือ exe อื่นๆที่สร้างเมื่อไม่เกิน 1-2 วันเพราะพวกนี้อาจเป็นเชื้อให้ติดใหม่ได้ มีหลายไฟลล์มากมันจะสุ่มชื่อ
- C:\Documents and Settings\ชื่อuser\Local Settings\Temporary Internet Files\*.* มันเก็บ temp file ที่ loadจาก internet
*** ถ้าเข้า safe mode ไม่ได้ ให้ ลบ registry ก่อน แล้วใช้ hijackthis http://www.hijackthis.de/ ทำการ Delete file on reboot
ขอบคุณมากๆนะคะที่นำมาเล่าให้ฟัง
ถึงแม้จะฆ่าไวรัสไม่เป็นแต่ก็เข้าใจมากขึ้นจริงๆค่ะ...ตอนนี้เครื่องดิฉันก็คงกำลังโดนเช่นกัน เพราะมันชวน End Program อยู่เรื่อยค่ะ
ขอบคุณนะคะ
ขอบคุณค่ะ ครูต้อยทำไม่เป็นค่ะ
เขียนลำดับขั้นการจัดการเป็นขั้นตอนดีค่ะ
พอจะเข้าใจเล็กน้อยว่าต้องใช้โปรแกรมอะไรจัดการกับไวรัส
แต่ไม่กล้า กลัวงานในเครื่องหายไปกับการจัดการของเราเอง
ก็ดีนะคะทำให้รู้จักสังเกตหน้าตาไวรัสได้บ้าง ขอบคุณค่ะ
ไวรัสหรือสปายแวร์ตัวนี้เหมือนจะมีการพัฒนาขึ้นไปอีก
ลอง AVAST NOD MCAFEE AVIRA NORTON SYMENTEC แล้วไม่ได้
ถ้าไม่โดน WMISYNC.EXE ก็โดน WMISYS.EXE ต้อง KASPERSKY อย่างเดียว
++ AVEST ดีกว่าตัวอื่นตรงที่มีการเตือนว่ามีไฟล้ 1.EXE หรือ C:\windoes\fix\?????.EXE แต่ก็จะมี Service ของ WMI ขึ้นมาอยู่ดี โดนอีก
ข้อสังเกตุคือถ้าใน Service มี Service ที่ขึ้นต้นด้วย WMI อื่นๆนอกจาก
WMI Performance แล้วละก็คิดไว้ก่อนว่าน่าจะโดน
แล้วตัวมันพยายามจะส่งตัวมันเองผ่าน Port 4445 หรือ NETBIOS OVER TCP/IP ตอนนี้ผมลองแล้วมี 2 วิธีคือ
1 Windows XP Service Pack อะไรก็ได้ + Kaspersky internet security หรือ
2 Windows XP Service Pack 3 Update windows ให้เป็นปัจจุบัน เปิด firewall+ Antivirus ตัวไหนก็ได้ แล้วผมไม่เจออีกเลย
ครั้งแรกที่พบคือ มีคอมพิวเตอร์ 1 เครื่องแจ้งว่ามี Virus พอเชื่อมต่กับ Network ที่ Office แล้ว ทุกเครื่องใน Office ติดทันทีใน 1 ชั่วโมง NOD ไม่แจ้งเตือน
AVAST เตือน แต่ทำอะไร Service ไม่ได้ อาการตามมาคือ Net อืด จนเล่นได้บ้างไม่ได้บ้าง
ถ้าโดนนานๆ HUB ถ้าเป็น Size เล็กๆ นี่ถึงพังนะครับ ยิ่ง port ที่ Chain หรือ uplink ยิ่งไปก่อน
ขอบคุณมากครับ ท่าน ขอบคุณจริงๆ เพิ่งเจอเลยครับ เมื่อ20 นาทีทีแล้ว
สอบถามเพิ่มเติมครับ พอดีที่ทำงานก็ติด
Virus Alert!!
RTKT_FARFLI.UW is detected on XXXXX in ZZZZZZ domain.
-----------------
XXXXX และ in ZZZZZZ domain หมายความว่า มันเป็นไวรัสที่มาจากดดเมน กระจายมาเครื่อง client โดเมนหรอครับ แสดงว่าไวรัสตัวแม่อยู่ที่เซิฟเวอรื Domain ใช่หรือป่าวครับ
พอดีเจอ sysdrv32.sys + lsass.exe ครับ
ไม่ใช่ครับแต่ผมใช้ Trendmicro office scan นะครับและ set ให้เวลาที่ client
ติด virus มัน log รายละเอียดมาที่ server ด้วยครับ
XXXXX = hostname ของ client ที่ติด virus
ZZZZZZ = Domain Name นะครับ
>>สอบถามเพิ่มเติมครับ พอดีที่ทำงานก็ติด
>>Virus Alert!!
>>RTKT_FARFLI.UW is detected on XXXXX in ZZZZZZ domain.
>>-----------------
>>XXXXX และ in ZZZZZZ domain หมายความว่า มันเป็นไวรัสที่มาจากดดเมน กระจายมาเครื่อง client โดเมนหรอครับ แสดงว่าไวรัสตัวแม่อยู่ที่เซิฟเวอรื Domain ใช่หรือป่าวครับ
>>พอดีเจอ sysdrv32.sys + lsass.exe ครับ
เจอแบบนี้แล้วแก้ยังไงคะ
ใช้ anti virus : avg
เจอแบบนี้ potentially harmful program hack tool.GSQ
c:windows\system32\drivers\sysdrv32.sys
และที่หน้า windows จะถามว่า จะ block ตัวนี้มั้ย
smsc.exe
ปัญหาแบบนี้ เปิดเครื่องมาจะเจอตลอดคะ