| คำแนะนำสำหรับผู้ใช้ ทีละขั้น ในการปรับแต่งวินโดว์ | |
| วัตถุประสงค์
ข้อควรทราบ | ต้องการให้ผู้ใช้มีความรู้ และดำเนินการแก้ไขด้วยตนเองได้
เช่น กำจัดไวรัส ลดความช้าของเครื่องคอมพิวเตอร์ หรือแก้ความผิดปกติเบื้องต้น 1. ทุกตัวเลือกมีประโยชน์ และผลข้างเคียง ต้องเข้าใจก่อนเปลี่ยนแปลง 2. ระบบปฏิบัติการมีหลายรุ่น บางรุ่นอาจไม่เป็นไปตามที่แนะนำข้างล่างนี้ เช่น windows 95 หรือ 98 3. การหยุดไวรัสมี 3 สิ่งสำคัญคือ 1)รู้อาการที่เกิด 2)หยุดอาการที่เกิด 3)หยุดการเริ่มต้นของไวรัสที่ทำงานอัตโนมัติ |
| ผลของไวรัส เพื่อตระหนัก | 1. เครื่องในเครือข่าย 1 เครื่อง เมื่อติดไวรัส แล้วยิงไปยังเครื่องในเครือข่ายที่เหลือ ให้ติดไวรัสทั้งหมดได้
2. เครื่องในเครือข่าย 1 เครื่อง เมื่อติดไวรัส แล้วติดต่อไปนอกเครือข่ายมหาศาล จนอินเทอร์เน็ตในองค์กรแทบเป็นอัมพาตได้ 3. เครื่องในเครือข่าย 1 เครื่อง เมื่อติดไวรัส แล้วยิงเครือข่ายภายนอก จนเครื่องนอกเครือข่ายขึ้นบัญชีดำองค์กรได้ 4. ไม่มีโปรแกรมต้านไวรัสตัวใด รู้จักไวรัสในอนาคตทุกตัว โปรแกรมต้านไวรัสทุกตัวล้วนมีจุดเด่น จุดด้อยแตกต่างกันไป |
| ตอนที่ 1 | สิ่งที่ควรเข้าไปปรับแต่ง |
| ลำดับ | วัตถุประสงค์ | วิธีการ |
| * | เพื่อเปิด-ปิดบริการที่ถูกสั่งประมวลผลขณะเปิดเครื่อง | - start, run, msconfig |
| * | เพื่อยกเลิกการเปิดยูเอสบีไดร์ฟอัตโนมัติ เพราะไวรัสแอบทำงาน | - start, run, gpedit.msc
- User Configuration, Administrative Templages, System - ดับเบิ้ลคลิ๊ก บนคำว่า Turn off Autoplay แล้วเลือก Disabled, OK - Computer Configuration, Administrative Templages, System - ดับเบิ้ลคลิ๊ก บนคำว่า Turn off Autoplay แล้วเลือก Disabled, OK |
| * | เพื่อลดการทำงานของเครื่อง และปิดจุดพักไวรัสที่ฆ่าไม่ตาย | - Start, Settings, Control panel, System, System Restore
- คลิ๊ก Check box หน้า Turn off System Restore on all drives |
| * | เพื่อใช้บริการ Windows Firewall | - right click on network icon และเลือก properties
- change windows firewall settings |
| เพื่อป้องกันเครื่องค้าง หรือแฮงค์ เมื่อไม่ใช้งานระยะหนึ่ง | - Right click on desktop, Properties, Screen Saver, None
- Power Schemes, สั่ง Never ให้หมด |
| เพื่อยกเลิกการใช้หน่วยความจำจดจำสิ่งที่ทำไว้ก่อนปิดเครื่อง
ถ้าเปิดเครื่องใหม่จะพบโปรแกรมเหมือนก่อนปิดเครื่อง | - Right click on desktop, Properties, Screen Saver, Power
- Hibernate, ไม่ check หน้า Enable hibernation |
| เพื่อยกเลิกการจำรหัสผู้ใช้และรหัสผ่าน | - เปิด Internet Explorer บน Menu Bar, Tools, Internet Options ..
- Content, AutoComplete - ยกเลิก check box ของ User names and passwords on forms - คลิ๊กปุ่ม Clear Forms และ Clear Passwords |
| เพื่อล้างห้องเก็บข้อมูลชั่วคราวที่มาจากอินเทอร์เน็ต
อาจทำให้เปิดเว็บไซต์เร็วขึ้น | - เปิด Internet Explorer บน Menu Bar, Tools, Internet Options ..
- คลิ๊กปุ่ม Delete Cookies, OK และ Delete Files, OK |
| เพื่อยกเลิกการเตือน 3 เรื่อง
คือ firewall, automatic updates และ virus protection | - start, settings, control panel, security center
- คลิ๊กลิงค์ Change the way Security Center alerts me - แล้วยกเลิก checkbox เพื่อเตือน 3 บริการผ่านโล่สีแดงบน Task bar |
| ตอนที่ 2 | การตรวจสอบการทำงานของโปรแกรมต่าง ๆ |
| ลำดับ | วัตถุประสงค์ | วิธีการ |
| * | เพื่อแสดงรายชื่อโปรแกรมที่ประมวลผลอยู่ | - กดปุ่ม Ctrl + Alt + Del พร้อมกัน
- พบ Applications, Process, Performance, Networking, Users - ยิ่งมีจำนวนโปรแกรมมาก เครื่องก็ย่อมทำงานมากเป็นเงาตามตัว |
| * | เพื่อแสดงหมายเลข IP Address หรือ Mac Address | - start, run, cmd
- ipconfig /all - พบ Host Name คือ ชื่อเครื่อง - พบ Physical Address คือ หมายเลขของ LAN Card - พบ IP Address คือ เลขประจำเครื่อง ที่ใช้ในเครือข่าย |
| * | เพื่อเปิด-ปิดบริการภายในเครื่อง | - start, run, services.msc |
| เพื่อตรวจความบกพร่องของอุปกรณ์ | - start, run, devmgmt.msc |
| เพื่อตรวจการเปิดบริการ และการเชื่อมต่อภายในภายนอก | - start, run, cmd
- netstat -na คือ แสดง Port ที่เปิดรับการเชื่อมต่อ - ถ้าเปิด 139 แสดงว่าเปิด File and Printer Sharing |
| เพื่อตรวจสอบการเชื่อมต่อในเครือข่าย | - start, run, cmd
- net view คือ แสดงเครื่องบริการในเครือข่าย - net share คือ แสดงชื่อห้องที่แบ่งปันให้เพื่อนในเครือข่าย - net start คือ แสดงบริการที่เปิดอยู่ - net stop "windows audio" คือ ปิดบริการเสียง เพราะเครื่องไม่มีลำโพง - net start "windows audio" คือ เปิดบริการเสียง เพราะมีลำโพงแล้ว |
| ตอนที่ 3 | วิธีหยุดอาการที่เกิดจากไวรัส การตรวจสอบ และการป้องกัน |
| ลำดับ | วัตถุประสงค์ | วิธีการ |
| * | เพื่อหยุดโปรแกรมที่เริ่มทำงานจากใน startup | - start, run, msconfig, startup
- ตรวจว่าตัวใดน่าสงสัย ก็ยกเลิกการทำงาน ของโปรแกรมนั้น - เมื่อยกเลิกแล้ว กลับไปดูก็ควรถูกยกเลิกถาวร ถ้ากลับมาใหม่แสดงว่าเป็นไวรัสที่เก่ง - http://www.thaiabc.com/download/autoruns.zip |
| * | เพื่อแสดงรายชื่อโปรแกรมที่กำลังประมวลผล ใน Task Manager ด้วย ctrl + alt + del | - กด ctrl + alt + del แล้วดูใน Processes
- ถ้าสั่ง end process แล้วควรโปรแกรมไวรัสควรหยุดทำงาน - http://www.thaiabc.com/download/processexplorernt.zip |
| * | เพื่อป้องกัน handy drive ติดไวรัส | - start, run, cmd แล้วเข้า handy drive เช่น f:
- DOS> mkdir autorun.inf - DOS> attrib +h +s +r -a autorun.inf |
| เพื่อเปลี่ยนแฟ้มไวรัสไม่ให้ทำงานได้จริง หลังรู้แน่ชัดว่าแฟ้มใดคือไวรัส แต่ยังไม่ทำลายทิ้ง | - DOS> dir [virus file]
- DOS> attrib -h -s -r +a [virus file] - DOS> copy c:\windows\notepad.exe [virus file] - DOS> attrib +h +s +r -a [virus file] - DOS> dir [virus file] |
| เพื่อตรวจสอบพอร์ทของเครื่องว่าเปิดอะไรให้เชื่อมต่อเข้าไป ด้วยโปรแกรม NMAP และหาทางปิดช่องเหล่านั้นภายหลัง | - DOS> nmap -p 139,445 192.168.10.46
- DOS> nmap -sC 192.168.10.46 - DOS> nmap 192.168.10.46 -O http://nmap.org/dist/nmap-5.00-setup.exe |
| เพื่อสำรองโปรแกรมที่สำคัญไว้ ก่อนที่ไวรัสจะเข้าแก้ไข | echo %WinDir%
copy c:\windows\regedit.exe my_reg.exe copy c:\windows\system32\cmd.exe my_cmd.exe copy c:\windows\system32\taskmgr.exe my_taskmgr.exe copy c:\windows\system32\gpedit.msc my_gpedit.exe copy c:\windows\pchealth\helpctr\binaries\msconfig.exe my_msconfig.exe |
| เพื่อแสดง process และปิด process | tasklist
taskkill /f /im virus_newfolder.exe taskkill /im 9999 |
| ตอนที่ 4 | เครื่องมือสำหรับป้องกัน แก้ปัญหา และตรวจสอบ |
| ลำดับ | วัตถุประสงค์ | วิธีการ |
| * | เพื่อยกเลิก Deepfreeze ชั่วคราว
ก่อนทำ ควรดึงสาย LAN ออกจากเครื่องก่อน | - ctrl + alt + shift + f6
- password = guipassword - 1)คลิ๊ก หน้า Boot thawed on next 1 Restart แล้วกดปุ่ม OK แล้ว - 2)Restart ทันที - 3)ให้ปรับโปรแกรมจนเสร็จ - 4)แล้วให้ Restart อีก ก็จะเข้าสู่การแช่แข็งใหม่ |
| * | เพื่อใช้แทน Task manager หรือ Process monitor | processexplorernt.zip 3.5MB
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx http://it.yonok.ac.th/anuchit/procexp.rar |
| * | เพื่อใช้จัดการ register ที่เกี่ยวข้องกับ autorun โดยเฉพาะ | autoruns.zip 533KB
http://it.yonok.ac.th/anuchit/autoruns.zip 533KB |
| * | เพื่อแสดงขนาดของ Folder ที่เก็บข้อมูล | http://downloads.sourceforge.net/foldersize/FolderSize-2.4.msi
http://it.yonok.ac.th/anuchit/FolderSize-2.4.rar - Windows Explorer, View, Choose details, Folder size |
| เพื่อใช้แทน Windows Explorer | explorerxpsetup.exe 410KB |
| เพื่อใช้จัดการ register แทน regedit | regcool.exe 1.4MB
http://it.yonok.ac.th/anuchit/regcool.exe 1.4MB |
| เพื่อใช้แทน cmd.exe สำหรับเข้าระบบ DOS | gs.exe 247 KB |
| เพื่อจับการเปลี่ยนแปลงของ register ถ้าถูกไวรัสเปลี่ยน | regshot 74KB
http://it.yonok.ac.th/anuchit/regshot181_src_bin.zip 74KB |
| เพื่อจำลองเครื่องคอมพิวเตอร์ จะได้ทดลองติดไวรัสได้ | virtual box 68MB |
| เพื่อปรับฐานข้อมูลป้องกันไวรัส NOD32 ให้ทันสมัย | - start, programs, eset, NOD32 control center
- Update, Update now |
| ตอนที่ 5 | เทคนิคการแก้ไข register |
| ลำดับ | วัตถุประสงค์ | วิธีการ |
| เพื่อแสดงชื่อโปรแกรมที่จะประมวลผลเมื่อเปิดเครื่อง | |
| reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies |
| เพื่อเพิ่ม-ลบตัวแปรเข้าไปใน Register ผ่าน DOS มีผลใน msconfig | |
| reg add "hklm\software\microsoft\windows\currentversion\run" /V notepad /D "c:\windows\notepad.exe" /F
start, run, msconfig reg delete "hklm\software\microsoft\windows\currentversion\run" /V notepad /F |
| เพื่อปิดพอร์ท 445 ซึ่งเกี่ยวกับการแชร์แฟ้ม ควรปิดถ้าใช้คนเดียว | - start, run, regedit
- HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters - ลบ TransportBindName REG_SZ \Device\ |
| เพื่อแก้ปัญหาเปิด regedit หรือ taskmanager ไม่ได้ ด้วย script .vbs | |
| On Error Resume Next
Set shl = CreateObject("WScript.Shell") Set fso = CreateObject("scripting.FileSystemObject") shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" |
| เพื่อทำให้เครื่องปิดเร็วขึ้น | |
| reg query "HKEY_CURRENT_USER\Control Panel\Desktop"
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control" |
| เพื่อยกเลิกการปิด Control Panel และ Folder Options | |
| reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
|
| ตอนที่ 6 | เขียน VBS แล้วประมวลผลด้วย c:\windows\system32\wscript.exe |
| ลำดับ | วัตถุประสงค์ | คำสั่งใน DOS |
| เพื่อทดสอบครั้งแรก กับการใช้ echo | echo wscript.echo "สวัสดี" > x.vbs
wscript x.vbs |
| เพื่อเรียกใช้โปรแกรมภายนอก | echo set sh = wscript.createobject("WScript.Shell") > x.vbs
echo sh.run "%windir%\notepad.exe " ^& wscript.scriptfullname >> x.vbs echo sh.run "cmd /K cd c:\ & dir" >> x.vbs echo set sh = nothing >> x.vbs wscript x.vbs |
| เพื่อสร้างแฟ้มผลลัพธ์จาก VBS | cd\
echo set fso = createobject("scripting.filesystemobject") > x.vbs echo set myfile = fso.createtextfile("c:\x.bat",true) >> x.vbs echo myfile.writeline("ipconfig /all") >> x.vbs echo myfile.close >> x.vbs wscript x.vbs |
| . | -
- - |
วิธีจัดการกับไวรัส new folder หรือ SCVHSOT.exe 2 ก.ย.53 บันทึกขั้นตอนการจัดการไวรัสชื่อ new folder มีขนาด 230 KB ผลการทำงานของไวรัส คือ 1) เครื่องทำงานช้าลงมาก 2) ทำให้ใช้ task manager หรือ msconfig หรือ cmd ไม่ได้ แต่ใช้ command ได้ 3) พบว่าตัวเลือก Tools, Folder Options หายไป 4) พบแฟ้ม 2 แฟ้มในห้อง System32 คือ SCVHSOT.exe และ blastclnnn.exe ขนาดเท่ากันคือ 234,591 Byte ซึ่งพบโดยใช้ command และ dir /ah (อาจชื่อ scvhost, scvvhost, scvvhsot แต่ของจริงคือ svchost) การใช้ tasklist และ taskkill ของ DOS แทน Task manager สำหรับปิด process โดยพิมพ์ DOS>taskkill /f /im virus_newfolder.exe หรือ DOS>taskkill /f /im SCVHSOT.exe ทำให้เข้า cmd, msconfig ได้ปกติ จึงรู้ว่าไวรัสเพิ่ม SCVHSOT.exe เข้าไปแล้ว สิ่งที่แก้ไขได้คือเข้า msconfig ไปยกเลิกการสั่งเปิดโปรแกรมใน Start up การทำให้เปิด taskmanager และ regedit กลับมาทำโดย reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f ลบแฟ้ม SCVHSOT.exe และ blastclnnn.exe 1) dir /ah ตรวจว่าพบแฟ้มทั้งสองหรือไม่ 2) attrib -s -h -r SCVHSOT.exe 3) del SCVHSOT.exe 4) attrib -s -h -r blastclnnn.exe 5) del blastclnnn.exe Download : ไวรัส newfoder ไว้ทดสอบฆ่า |
|
ยินดีรับ ผู้สนับสนุน เว็บไซต์ด้านการศึกษา
กลุ่มเว็บไซต์นี้ เริ่มพัฒนา พ.ศ.2542 โดยบุคลากรทางการศึกษาด้านคอมพิวเตอร์ โทร. 081-9927223 (ผมเป็นคนลำปางหนา) ปล. ขอไม่รับ work at home / อาหารเสริม |