เมี่อ 2 วันก่อน เกิดความวุ่นวายกับระบบงานที่ดูแลอยู่
บังเอิญไปเจอไอ้เจ้า RTKT_FARFLI.UW เข้า โอ้โฮ งานเข้าครับเดี้ยงกันทั้งระบบเลย ใช้งาน Internet กันไม่ได้เลย เราก็นึกว่า router
เสียเปลี่ยนตัวใหม่ก็ไม่หาย จึงทดลองทำระบบ network ย่อยแแยกออกมา แล้วเข้า Internet ดูเอ๊ะมันก็เข้าได้ พอเชื่อมเข้าไปในระบบใหญ่เดี้ยง
เลยใช้ tool Wireshark จับ packet ดูก็ถึงบางอ้อจะไม่เดี้ยงได้ยังไง ก็ client แทบทุกตัวส่ง packet มาที่ router หนาแน่นมาก แน่นอน Virus!!!!!!
ขั้นต่อไปก็ต้องหาตัวการและกำจัดมันออกไป ขั้นแรก ตรวจสอบ log จาก Officescan ที่client มันแจ้งว่า

Virus Detected!!!

Virus Alert!!
RTKT_FARFLI.UW is detected on XXXXX in ZZZZZZ domain.
Infected file: C:\WINDOWS\system32\drivers\sysdrv32.sys
Detection date: 2009.02.11 17:49:41
Action: Virus successfully detected, cannot perform the Clean action (Quarantine)

ไปดูที่ http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=RTKT_FARFLI.UW
แล้วทำตาม solution http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=RTKT%5FFARFLI%2EUW&VSect=Sn
ที่ trendmicro แจ้งมา แต่ชีวิตมันไม่ง่ายอย่างนั้นเพราะมันไม่เห็นเป็นอย่างที่แสดงเลย ฟระ!!!!! registry ที่ต้องลบก็ไม่ยักกะมี อ้าวแลัวจะไปต่อยังไง??????
tik-tok tik-tok tik-tok .... virus มันก็เป็นโปรแกรมคอมพิวเตอร์ประเภทนึงจะฆ่ามันก็ต้องไม่ให้มันโหลดเข้าไปใน memmory ของคอมพิวเตอร์
ฉะนั้นตอนนี้มันต้องเป็น process ใด process นึงที่กำลัง run แน่นอน
และไอ้เจ้าตัวปัญหามันส่ง packet ไปที่ router ดังนั้นมันต้องใช้ TCP/IP แน่นอนคงต้องจัดการแบบลูกทุ่งคือลุยเอง

ลุย!!!!!
เปิด command prompt  โดย Start-->run แล้วพิมพ์ cmd จะมี command prompt แสดงขึ้นมา
     ที่ prompt

C:\>netstat -ano

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:110            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:143            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:366            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:389            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1000           0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1028           0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1047           0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1048           0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1053           0.0.0.0:0              LISTENING       1408
  TCP    0.0.0.0:1062           0.0.0.0:0              LISTENING       1408

  ซึ่งจะแสดง TCP connection ออกมาให้สังเกต column สุดท้าย PID ซึ่งหมายถึง process id ของโปรแกรมที่ทำงาน
อยู่ถ้ามี PID เดียวกันติดต่อกันมากๆให้คาดว่าน่าจะเป็นไวรัส ตัวอย่าง 1408 น่าจะใช่จากนั้นใช้ taskmanager เพื่อดูว่าเป็นโปรแกรมอะไร

C:\>taskmgr   -----> taskmanager จะแสดงขึ้นมาให้หา PID ที่ 1408 ใน tab process แต่บางครั้งจะหาไม่เจอเพราะมันซ่อนตัวได้ต้องใช้เครื่องมือเพิ่มเติมคือ ProcL http://www.scanit.net/rd/tools/03 เอาไว้ดู hidden process
   download http://www.scanit.net/files/tools/ProcL.zip
   unzip ตามถนัด winzip/7zip อื่นๆ
   run  C:\ProcL>ProcL   ---> จะแสดง hidden process ออกมาในกรณีของผมพบ wmisync.exe  run เป็น hidden process มี PID 1408

boot เข้า safe mode
Search ไฟล์ wmisync.exe ว่ามันอยู่ที่ไหน โดยปรับ folder option ให้แสดงไฟล์ที่ซ่อนทั้งหมดรวมถึงพวก system file ด้วย
    Tools-->Folder options 
    ที่ tab View check ที่ตัวเลือก Show hidden files and folders และ un-check Hide protected operating system files (Recommended)
   
    ก็จะได้ที่อยู่ของมัน  C:\WINDOWS\system\wmisync.exe

Search registry เพื่อหาว่ามี wmisync.exe อยู่ที่ใดบ้างเพราะ การ load program/service ของ windows ใช้ registry เป็น configuration ในกรณีนี้จะได้
    HKEY_LOCAL_MACHINE
      SYSTEM
        ControlSet001
            Services
                WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่        <-------- จะมี value  wmisync.exe
        ControlSet002
            Services
                WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่        <-------- จะมี value  wmisync.exe
        ControlSet003
            Services
                WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่        <-------- จะมี value  wmisync.exe
        CurrentControlSet
            Services
                WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ หรืออาจไม่มีเลย        <-------- จะมี value  wmisync.exe
        ลบ hive เหล่านี้ออกให้หมด

แล้วลบไฟล์ต่อไปนี้ถ้ามีโดยให้  shift+delete เพื่อให้ลบอย่างถาวร
        - C:\WINDOWS\system\wmisync.exe      <-- มีแน่นอน
        - C:\WINDOWS\system\wmiappsrv.exe    <-- อาจไม่มีก็ได้
        - C:\WINDOWS\system32\**.exe ขื่อมี 2 ตัวอักษร หรือ exe อื่นๆที่สร้างเมื่อไม่เกิน 1-2 วันเพราะพวกนี้อาจเป็นเชื้อให้ติดใหม่ได้ มีหลายไฟลล์มากมันจะสุ่มชื่อ
        - C:\Documents and Settings\ชื่อuser\Local Settings\Temporary Internet Files\*.*  มันเก็บ temp file ที่ loadจาก internet
           
*** ถ้าเข้า safe mode ไม่ได้ ให้ ลบ registry ก่อน แล้วใช้ hijackthis http://www.hijackthis.de/ ทำการ Delete file on reboot

****************ให้จัดการให้หมดทุกเครื่องก่อนที่จะต่อเข้ากับ network ไม่งั้นอาจติดใหม่ได้*********