อาจจะเกิดจากหนอน W32.Rontokbro.B@mm ครับ ชนิด : หนอนอินเทอร์เน็ต (Worm)
ชื่ออื่นที่รู้จัก : W32/Rontokbro, Win32/Robknot.B!Worm
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 95, 98, ME,NT, 2000, XP, Server 2003
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
ข้อมูลทั่วไปเป็นไวรัสที่สามารถแพร่ตัวไปตามเครื่อข่ายได้ โดยเครือข่ายที่แชร์ไฟล์ในวงแลนก็สามารถติดไวรัสตัวนี้ได้ครับ
ลักษณะอาการ· เครื่องทำการรีสตาร์ทเองเมื่อมีการเปิดหน้าต่างที่ชื่อหน้าต่าง(Title) มีส่วนของคำตามกำหนดไว้ เช่น .exe หรือ Registry เป็นต้น
· ไม่สามารถใช้โปรแกรมบางโปรแกรมหรือคำสั่งบางอย่าง เช่น Registry Editor ได้
· เครื่องค้างหลังจากทำการบูทเครื่อง (เฉพาะวินโดวส์ 95, 98 หรือ ME เท่านั้น)
วิธีการป้องกัน· ลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
· ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
· ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
· ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ
วิธีการตรวจสอบ1. Login เข้าเครื่องด้วย Account ที่เป็น Admin
2. กดปุ่ม Start เลือก Run...
3. พิมพ์คำสั่ง regedit แล้วกด Enter แล้วมีข้อความแจ้งว่า "Registry editing has been disabled by your administrator"
4. พิมพ์คำสั่ง msconfig แล้วกด Enter เครื่องรีสตาท์
หากอาการเป็นดังข้อ 3 หรือ 4 แสดงว่าเครื่องท่านติดไวรัสนี้แล้ว
วิธีการกำจัดไวรัส1. ปิดระบบการแชร์ไฟล์ ตัดการเชื่อมต่อระบบเครือข่าย และถอดสายแลนออกจากเครื่อง
2. ปิดการทำงานของ System Restore
3. ทำการรีสตาร์ทเข้า safe mode โดยกด F8 ก่อนที่จะขึ้นหน้าสตาร์ทอัพของวินโดวส์
4. เข้า msconfig โดยไปที่ Start > Run... > พิมพ์ msconfig > Ok > เลือกแท็บ Startup
5. ยกเลิกเครื่องหมาย(ถูก) หน้ารายงานเหล่านี้
· norBtok
· smss
6. ทำการสแกนเครื่องทั้งเครื่องด้วยโปรแกรมกำจัดไวรัส ที่ได้รับการอัพเดตฐานข้อมูลไวรัสแล้ว
7. รีสตาร์ทเครื่องเข้าสู่โหมดปกติ
หลังจากนี้ ไวรัสจะหยุดทำงาน ต่อไปเราจะลบมันออก
8. ดาวน์โหลดไฟล์ UnHookExec.zip
· เมื่อเสร็จแล้วให้ขยายไฟล์จะได้ UnHookExec.inf ให้คลิกขวา กด Install เพื่อ Registry จะถูกปลดล๊อคออก
9. เข้า Regedit โดยไปที่ Start > Run > พิมพ์ Regedit > Ok
· ไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
· ทางกรอบขวามือจะพบ "NoFolderOptions" = "1" ให้ Delete ได้เลย เพื่อให้ Folder Options ที่หายไปกลับคืนมา
10. Search ใน My Computer โดยไปที่ My computer > search...
· หาไฟล์ *.EXE โดยใช้ Filter --> what size is it? Specify size at most 85 kb
· กดคอลัมน์ Size ดูไฟล์ที่ความจุ 80 kb โดย icon จะคล้ายรูป Folder ให้ลบทิ้ง (อย่าเผลอไปดับเบิ้ลคลิกนะครับ เพราะท่านต้องเริ่มข้อ 1 ใหม่หมดเลย)
11. ไปที่ Start > Run > พิมพ์ %UserProfile%\Local Settings\Application Data\ > Ok เมื่อพบไฟล์รายการนี้ให้ Delete ทิ้งให้หมด
· csrss.exe
· inetinfo.exe
· lsass.exe
· services.exe
· smss.exe
· winlogon.exe
12. ไปที่ Start > Run > พิมพ์ %UserProfile%\Start Menu\Programs\Startup\
· ลบไฟล์ Empty.pif
13. ไปที่ Start > Run > พิมพ์ %UserProfile%\Templates\
· ลบไฟล์ A.kotnorB.com
14. ไปที่ Start > Run > พิมพ์ %Windir%\inf\
· ลบไฟล์ norBtok.exe
15. ไปที่ Start > Run > พิมพ์ %System%\
· ลบไฟล์ 3D Animation.scr
16. รีสตาร์ทเครื่องอีกครั้ง
17. ทำการสแกนเครื่องทั้งเครื่องด้วยโปรแกรมกำจัดไวรัส อีกครั้ง
วิธีการกำจัดไวรัส (แบบอัตโนมัติ)1. ดาวน์โหลดไฟล์นี้ 87_Rontokbro.zip
2. ขยายไฟล์ที่ดาวน์โหลด จะได้ 2 ไฟล์คือ CleanUpEngine.exe และ Worm.Win32.Rontokbr
o.Clup
3. ปิดระบบการแชร์ไฟล์ ตัดการเชื่อมต่อระบบเครือข่าย และถอดสายแลนออกจากเครื่อง
4. ปิดการทำงานของ System Restore
5. ทำการรีสตาร์ทเข้า safe mode โดยกด F8 ก่อนที่จะขึ้นหน้าสตาร์ทอัพของวินโดวส์
6. ให้ดับเบิ้ลคลิ๊กไฟล์ CleanUpEngine.exe แล้วกด OK
7. ถ้ายังหาไม่เจอให้กด Rescan อีกครั้ง
แหล่งที่มา
http://202.28.24.230/kqi/kqi_doc_detail.asp?article_id=87แหล่งอ้างอิง
http://securityresponse.symantec.com/avcenter/venc/data/w32.rontokbro.b@mm.html