การป้องกันและวิธีแก้ไขไวรัสที่มากับแผ่นวีซีดี

การป้องกันและวิธีแก้ไขไวรัสที่มากับแผ่นวีซีดี
หลายท่านที่เช่าหนัง VCD มาดูด้วยเครื่องคอมพิวเตอร์ แล้วปรากฎว่าได้ของแถมเป็นไวรัส (หรือจะเรียกว่ามัลแวร์ก็ได้)โดยเจ้าไวรัสนี้จะอยู่ในไฟล์ชื่อ userinic.exe ซึ่งเมื่อไฟล์ไวรัสนี้ถูกรัน มันจะทำการสำเนาตัวเองไปยังไดเร็กทอรี Windows แล้วจากนั้น จะทำการสำเนาไฟล์อีก 2 ไฟล์ คือ ไฟล์ชื่อ csrss.exe อยู่ในไดเร็กทอรี C:\Windows\system\และ ไฟล์ชื่อ smss.exe อยู่ในไดเร็กทอรี C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\ ซึ่งหากใช้ Sysinternals Process Explorer ดูโพรเซสของระบบ จะเห็นเฉพาะโพรเซส csrss.exe และ smss.exe โดยไม่มีโพรเซสของ userinic.exe เข้าใจว่าไฟล์ userinic.exe นั้น จะทำหน้าที่เป็นตัวโหลดโพรเซสทั้ง 2 ตัวที่กล่าวมา

ไวรัสหรือมัลแวร์ที่มากับวีซีดี (VCD) นี้ จะทำหน้าที่ป้องกันการก็อปปี้แผ่น โดยวิธีการลบไฟล์ไวรัสต่างๆ เหล่านี้ ให้ทำตามขั้นตอนด้านล่าง

การแก้ไขไวรัสที่มากับแผ่นวีซีดี
1. รันโปรแกรม Sysinternals Process Explorer (ดาวน์โหลดโปรแกรมได้จาก www.sysinternals.com และอ่านวิธีการใช้งานได้จาก การใช้งาน Process Explorer) จากนั้นให้ทำการ Kill โพรเซสชื่อ csrss.exe (หากนำเม้าส์ไปคลิกดูจะบอกพาธเป็น %Windir%\system\csrss.exe) และ smss.exe (หากนำเม้าส์ไปคลิกดูจะบอกพาธเป็น C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\smss.exe) โดยให้เลือกโพรเซสที่อยู่ด้านล่างของหน้าต่างโปรแกรม Process Explorer เนื่องจากจะมีโพรเซสของวินโดวส์เองที่รันในชื่อเดียวกัน

2.แก้ไขรีจีสทรี ตามขั้นตอนดังนี้
1. Start > Run พิมพ์คำสั่ง regedit กด Enter
2. ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon
3. ทำแก้ไขค่าในรีจีสทรีคีย์ Userinit ด้วยการ Double Click ดังนี้ (หรือคลิกขวาแล้วเลือก Modify)

--> ค่าเดิม c:\windows\system32\userinic.exe,userinit.exe
--> แก้เป็น c:\windows\system32\userinit.exe

4. ปิดหน้าต่างโปรแกรม Registry Editor
5. ทำการลบไฟล์ C:\Windows\userinic.exe (ไฟล์มีขนาดประมาณ 126 KB)
6. ทำการลบไฟล์ C:\Windows\system\csrss.exe (ไฟล์มีขนาดประมาณ 129 KB)
7. ทำการลบไฟล์ C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\smss.exe (ไฟล์มีขนาดประมาณ 129 KB)
8. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์

การป้องกันไวรัสที่มากับแผ่นวีซีดี
วิธีการป้องกันไวรัสที่มากับแผ่นวีซีดีนั้น ทำได้โดยการป้องไม่ให้วินโดวส์รันไฟล์ userinic.exe โดยใช้ Group Policy Editor แก้ไขโพลิซีที่ชื่อ Don't run specified Windows applications ตามวิธีการใน การป้องกันไม่ให้วินโดวส์รันโปรแกรมที่กำหนด แล้วใส่ชื่อไฟล์ userinic.exe เข้าในลิสต์โปรแกรมที่ไม่ต้องการให้วินโดวส์ทำการรัน เท่านี้ก็สามารถป้องกันไวรัสที่มากับแผ่นวีซีดีได้แล้ว และทางที่ดีควรทำการปิดการใช้งาน Aotuplay ด้วย เพื่อความปลอดภัยที่มากขึ้นครับ (สามารถอ่านวิธีการปิดการใช้งาน Aotuplay ได้จาก http://thaiwinadmin.blogspot.com/2007/07/turnoff-autoplay-on-all-drives-in.html)

หมายเหตุ:
สามารถใช้ HijackThis แก้ไขก็ได้ครับ หลังจากแก้ไขด้วย HijackThis แล้ว ให้ทำการลบไฟล์ต่างๆ ที่กล่าวมาด้านบนด้วยนะครับ

แหล่งอ้างอิง
โปรดระวังไวรัสจากหนังแผ่น จากเว็บไซต์ http://www.thaimisc.com/freewebboard/php/vreply.php?user=phangnga&topic=3122

Keywords:การแก้ไขไวรัสที่มากับแผ่นวีซีดี การแก้ไขไวรัสที่มากับวีซีดี การป้องกันไวรัสที่มากับแผ่นวีซีดี การป้องกันไวรัสที่มากับวีซีดี VCD's Virus userinic.exe

© 2007 Thai Windows Administrator, All Rights Reserved.