--วิธีกำจัดไวรัส W32.FunLove.4099--

การทำงานของไวรัส

  • ระบบปฏิบัติการ Windows 95/98
    ไวรัส W32.FunLove.4099 จะสร้างไฟล์ที่ชื่อ Flcss.exe ที่เก็บอยู่ในไดเรกทอรี่ %System% เช่น C:\Windows\System และจะเรียกใช้งานไฟล์ดังกล่าว แต่ถ้าหากไม่สามารถที่จะเรียกใช้งานได้ ไวรัสก็จะทำการเรียกใช้งานไฟล์โปรแกรมอื่นที่ถูกไวรัสชนิดนี้ฝังตัวอยู่

  • ระบบปฏิบัติการ Windows NT
    ไวรัสที่ติดอยู่บน Windows NT จะสามารถทำงานได้ก็ต่อเมื่อมีการล็อกออนเป็น Administrator หรือบุคคลที่มีสิทธิเทียบเท่า ดังนั้นเมื่อมีการล็อกออนเป็น Administrator ไวรัส W32.FunLove.4099 จะทำการเปลี่ยนแปลงไฟล์ Ntoskrnl.exe ที่เก็บในไดเรกทอรี่ %Winnt\System% เช่น C:\Winnt\System32 โดยเปลี่ยนแปลง security API ที่ชื่อ SeAccessCheck ทำให้ผู้ใช้งานระบบทุกคนมีสิทธิในการเข้าถึงทุกไฟล์

คำแนะนำก่อนการกำจัดไวรัสสำหรับคอมพิวเตอร์ในระบบเครือข่าย

เนื่องจากไวรัสชนิดนี้สามารถแพร่กระจายผ่านทางเครือข่ายได้ ดังนั้นก่อนที่จะกำจัดไวรัส จึงควร

  • ตัดการเชื่อมต่อของเครื่องที่ติดไวรัสออกจากเครือข่าย
  • ยกเลิกการแชร์ข้อมูลภายในเครื่องที่ติดไวรัส

คำแนะนำในการกำจัดไวรัส W32.FunLove.4099

คำแนะนำการในการกำจัดไวรัสนี้อ้างอิงจาก http://dervice2.symantec.com/SARC/sarc.nsf/html/pf/w32.funlove.4099.html อย่างไรก็ตาม สามารถเลือกใช้เครื่องมือกำจัดไวรัส Funlove จากผู้พัฒนาโปรแกรม Anti Virus ค่ายอื่นๆ เช่น

การกำจัดไวรัส W32.FunLove.4099 ด้วยเครื่องมือ (fix tool ==> FixFun.exe )

FixFun.exe เป็นเครื่องมือที่ช่วยในการกำจัด W32.FunLove.4099 เป็นโปรแกรมที่รันบน DOS 16 บิต ดังนั้นจึงต้องบูตเครื่องด้วย DOS ก่อนที่จะรันโปรแกรมนี้ และโปรแกรมนี้ไม่สามารถทำงานได้ภายใต้ DOS prompt ของ Windows (เรียกโปรแกรม Command จาก Windows )

หมายเหตุ

  • ถ้าคุณใช้ระบบไฟล์แบบ NTFS คุณต้องเรียกใช้งานโปรแกรม NTFS DOS Driver ที่มี Read/Write driver ก่อนที่จะรัน FixFun.exe
  • driver ที่กล่าวมาข้างต้นท่านสามารถหาข้อมูลเพิ่มเติมได้ที่
  • FixFun.exe จะซ่อมเพียงไฟล์ที่โดนไวรัส W32.FunLove.4099 ฝังตัวอยู่เท่านั้น แต่จะไม่สามารถซ่อมไฟล์ที่โดนไวรัส W32.FunLove.int ฝังตัวอยู่ได้ จึงลบไฟล์ดังกล่าวแทน
การทำงานของโปรแกรม FixFun.exe
  • สแกนฮาร์ดไดร์ฟหาไฟล์ที่ถูกไวรัส W32.FunLove.4099 ฝังตัวอยู่ และซ่อมแซมไฟล์ดังกล่าวถ้าสามารถทำได้
  • ถ้าระบบถูกฝังตัวโดยไวรัสแล้ว โปรแกรม FixFun.exe จะสร้างไดเรกทอรีใหม่ที่มีชื่อเดียวกันกับไฟล์ที่บรรจุโค้ดของ Flcss.exe ณ ตำแหน่งที่พบไฟล์ดังกล่าว และถ้าไฟล์นั้นถูกเปลี่ยนชื่อแล้วไดเรกทอรีจะมีชื่อตามชื่อไฟล์ที่เปลี่ยนไปด้วย
  • หากเริ่มรัน FixFun.exe ในระบบที่มีไวรัสฝังตัวอยู่ในหน่วยความจำ FixFun.exe จะไม่สามารถหยุดการทำงานของ Flcss.exe ลงได้ ดังนั้นจึงควรที่จะบูต DOS จากแผ่นดิสก์ที่ไม่ถูกไวรัสฝังตัวเสมอ
  • ใน Windows NT เครื่องมือนี้จะซ่อมแซม Ntoskrnl และ Ntldr
I). วิธีการใช้ FixFun.exe กับ Windows 95/98/Me หรือ Windows NT/2000 ที่ใช้ระบบไฟล์แบบ FAT16 หรือ FAT32
  1. ดาวน์โหลด FixFun.exe ใส่แผ่นดิสก์
  2. รีบูตเครื่องโดยใช้แผ่นบูต DOS
    • ถ้าระบบไฟล์เป็น FAT16 สามารถใช้แผ่นบูต DOS เวอร์ชั่นไหนก็ได้
    • ถ้าระบบไฟล์เป็น FAT32 ให้ใช้แผ่นบูต DOS เวอร์ชั่น 7.01 ขึ้นไป
  3. เปลี่ยนแผ่นจากแผ่นบูตเป็นแผ่นที่มีโปรแกรม FixFun.exe
  4. ที่ A: พร้อมต์ ให้คำสั่งต่อไปนี้แล้วกด Enter

    fixfun /a > c:\funlog.txt

    ทุกไดร์ฟจะถูกสแกน

  5. ปล่อยให้โปรแกรมรันซึ่งอาจจะใช้เวลาหลายนาที
  6. เมื่อโปรแกรม FixFun.exe ทำงานเสร็จแล้ว ให้พิมพ์คำสั่งต่อไปนี้แล้วกด Enter

    more < c:\funlog.txt

    หมายเหตุ
    • คำสั่งดังกล่าวจะแสดงข้อมูลจากล็อกไฟล์ทีละหน้า ถ้ามีเกินหนึ่งหน้า ให้กดปุ่ม spacebar เพื่ออ่านหน้าต่อไป
    • จำนวนไฟล์ที่ถูกไวรัสฝังตัวจะต้องเท่ากับจำนวนไฟล์ที่ถูกซ่อมแซม ให้ตรวจสอบล็อกไฟล์อย่างระมัดระวังเพราะล็อกจะแสดงไฟล์ที่ไม่สามารถซ่อมแซมได้ วิธีแก้ไขคือให้หาไฟล์นั้นที่ไม่ได้ถูกไวรัสฝังตัวมาแทนที่ก่อนที่จะรีบูตครั้งต่อไป

  7. รีสตาร์ทเครื่อง ก็เป็นอันเสร็จวิธีการกำจัดไวรัส W32.FunLove.4099
II) การใช้ FixFun.exe กับ Windows NT/2000 ที่ใช้ระบบไฟล์ NTFS
  1. ดาวน์โหลด FixFun.exe ใส่แผ่นดิสก์
  2. รีบูตเครื่องโดยใช้แผ่นบูต DOS แล้วเปลี่ยนแผ่นดิสก์ที่มี DOS NTFS driver และทำการเอ็กซิคิวต์ driver
  3. ต่อจากนั้นเปลี่ยนจากแผ่นที่เป็น driver เป็นแผ่นที่มีโปรแกรม FixFun.exe
  4. ที่ A: พร้อมต์ ให้คำสั่งต่อไปนี้แล้วกด Enter

    fixfun c: > c:\funlog.txt

    ไดร์ฟ C จะถูกสแกน

  5. ปล่อยให้โปรแกรมรันอาจจะใช้เวลาหลายนาที
  6. ถ้าคุณมีไดร์ฟเพิ่มเติมอีกหลายไดร์ฟ และต้องการจะสแกนทีละไดร์ฟ ต้องเปลี่ยนชื่อของล็อกสำหรับแต่ละไดร์ฟ ตัวอย่างเช่น

    fixfun c: > c:\funlog1.txt
    fixfun d: > c:\funlog2.txt
    fixfun e: > c:\funlog3.txt

  7. เมื่อโปรแกรม FixFun.exe สิ้นสุดการทำงานแล้ว ให้พิมพ์คำสั่งต่อไปนี้แล้วกดปุ่ม Enter

    type c:\funlog.txt

    หมายเหตุ : จำนวนไฟล์ที่ถูกไวรัสฝังตัวจะต้องเท่ากับจำนวนไฟล์ที่ถูกซ่อมแซม ให้ตรวจสอบล็อกไฟล์อย่างระมัดระวังเพราะล็อกจะแสดงไฟล์ที่ไม่สามารถซ่อมแซมได้ วิธีแก้ไขคือให้หาไฟล์นั้นที่ไม่ได้ถูกไวรัสฝังตัวมาแทนที่ก่อนที่จะรีบูตครั้งต่อไป

  8. ทำซ้ำข้อ 7 สำหรับไดร์ฟเพิ่มเติมที่คุณสแกนโดยเปลี่ยนชื่อของล็อกไฟล์ที่ถูกสร้างไว้สำหรับแต่ละไดร์ฟ ตัวอย่างเช่น

    type c:\funlog1.txt
    type c:\funlog2.txt
    type c:\funlog3.txt

    หมายเหตุ: จำนวนไฟล์ที่ถูกไวรัสฝังตัวจะต้องเท่ากับจำนวนไฟล์ที่ถูกซ่อมแซม ให้ตรวจสอบล็อกไฟล์อย่างระมัดระวังเพราะล็อกจะแสดงไฟล์ที่ไม่สามารถซ่อมแซมได้ วิธีแก้ไขคือให้หาไฟล์นั้นที่ไม่ได้ถูกไวรัสฝังตัวมาแทนที่ก่อนที่จะรีบูตครั้งต่อไป

  9. รีสตาร์ทเครื่อง ก็เป็นอันเสร็จวิธีการกำจัดไวรัส W32.FunLove.4099

การกำจัดไวรัส W32.FunLove.4099 ด้วยมือ

Windows 95/98/Me

  1. ทำการ Update virus definition ล่าสุด ของโปรแกรม Anti Virus ที่ติดตั้งไว้แล้ว
  2. ทำการสแกนตรวจหาไวรัสทุกไฟล์ทั้งระบบ
  3. ทำการค้นหาไฟล์ที่ชื่อ "flcss.exe" โดยคลิ้กปุ่ม Start (อยู่ที่มุมซ้ายมือด้านล่างของคุณ) เลือกที่ Find และคลิ้กที่ Files or Folders จากนั้นจะมี dialog box ที่ชื่อว่า Find All Files ปรากฏขึ้นมา
  4. ทำการเลือกไดร์ฟที่ติดตั้ง Windows ในช่อง Look in โดยส่วนใหญ่จะเลือกที่ไดร์ฟ C:
  5. จากนั้นในช่อง Named ทำการพิมพ์ชื่อไฟล์ที่ต้องการค้นหาคือคำว่า flcss.exe แล้วคลิ้ก Find Now
  6. ถ้าพบไฟล์ Flcss.exe แล้วคลิ้กขวาที่ไฟล์ดังกล่าวที่ช่องผลลัพธ์ของการค้นหา คลิ้ก Delete และคลิ้ก Yes เพื่อยืนยันที่จะลบไฟล์ดังกล่าว
  7. ปิด dialog box ที่ชื่อ Find All Files

หมายเหตุ : ถ้าไม่สามารถลบไฟล์ที่ติดไวรัส W32.FunLove.4099 ให้คุณทำการ restart Windows เข้าสู่ระบบ Safe Mode เพื่อทำการลบ virus โดยการตามขั้นตอนดังนี้

Windows 95

  1. คลิ้ก Start และคลิ้ก Shut down และจะปรากฏ dialog box ชื่อ Shut Down Windows
  2. คลิ้ก Restart แล้วคลิ้ก Yes
  3. เมื่อคุณเห็นข้อความที่ว่า "Starting Windows 95" ให้กดปุ่ม F8 (ซึ่งเป็นปุ่มแถวบนสุด)
  4. พิมพ์หมายเลขสำหรับ Safe Mode แล้วกดปุ่ม Enter
  5. ทำการสแกนไวรัสทั้งระบบของคุณ โดยใช้โปรแกรม Anti virus ที่ติดตั้งไว้แล้ว
  6. ทำซ้ำตามขั้นตอนที่ 3 - 7 ในส่วนก่อนหน้านี้ เพื่อค้นหาและลบไฟล์ที่ชื่อ Flcss.exe

Windows 98

  1. คลิ้ก Start และคลิ้ก Shut down และจะปรากฏ dialog box ชื่อ Shut Down Windows
  2. คลิ้ก Restart แล้วคลิ้ก OK
  3. แล้วกดปุ่ม Ctrl ค้างไว้ทันที
  4. พิมพ์หมายเลขสำหรับ Safe Mode แล้วกดปุ่ม Enter
  5. ทำการสแกนไวรัส ทั้งระบบของคุณ โดยใช้โปรแกรม Anti virus ที่ติดตั้งไว้แล้ว
  6. ทำซ้ำตามขั้นตอนที่ 3 - 7 ในส่วนก่อนหน้านี้ เพื่อค้นหาและลบไฟล์ที่ชื่อ Flcss.exe

ไวรัสตัวนี้สามารถฝังตัวเองกับไฟล์นามสกุล .exe ถ้าหากว่ามันฝังตัวกับไฟล์โปรแกรมของ Windows เช่น Explorer.exe แล้ว Windows ไม่สามารถทำงานได้อย่างถูกต้อง วิธีแก้ไขคือให้นำไฟล์ .exe ดังกล่าวมาแทนที่ไฟล์ .exe เดิม ให้ดูรายละเอียดของวิธีที่จะแทนที่ไฟล์ที่ documents ของ Windows

หมายเหตุ
การกำจัดไวรัสชนิดนี้มีขั้นตอนที่ค่อนข้างยุ่งยากซับซ้อน หากพบปัญหาในการกำจัด ให้ปรึกษาผู้ดูแลระบบหรือผู้รับผิดชอบ อนึ่งหากได้สำรองข้อมูลสำคัญในเครื่องไว้เรียบร้อยแล้ว ขอแนะนำให้ format เครื่อง และติดตั้งระบบปฏิบัติการใหม่ เพื่อให้แน่ใจว่าไวรัสในเครื่องดังกล่าวถูกกำจัดหมดแล้ว ทั้งนี้หลังจากติดตั้งระบบปฏิบัติการใหม่ ควรติดตั้ง patch หรือ service pack จากผู้ผลิต

โดย:katatummo
ที่่มา:www.thaicert.or.th


ย้อนกลับ หน้าแรก