ผลจากไวรัสเข้าเปลี่ยน hosts

hosts
hosts

2 ก.ค.54 ค้นข้อมูล Endpoint แล้วมีเหตุให้ต้องเข้าเว็บไซต์ symantec.com แต่เข้าไม่ได้ ตรวจจาก zend2.com ก็พบว่าเว็บไซต์เปิดใช้งานได้ปกติ .. ก็คิดว่าเครื่องเราคงผิดปกติแล้วแน่ .. จึงสั่ง net stop dnscache ก็ไม่มีผล .. จากนั้นก็ตรวจแฟ้ม hosts ใน c:\windows\system32\drivers\etc ก็พบว่ามีการเปลี่ยนเส้นทางของเว็บไซต์ที่เกี่ยวกับระบบความปลอดภัย หรือระบบปฏิบัติการ .. สรุปได้ว่าคงเป็นฝีมือไวรัสอีกแล้ว และไม่ทราบว่าเกิดเมื่อใด เพราะบางกรณีไวรัสเข้ามาทำงาน แต่ก็ถูกกำจัดในเวลาต่อมา เพียงแต่ผลของไวรัสอาจไม่ได้หายไปตามตัวไวรัสเท่านั้น .. ต่อไปนี้ เป็นข้อมูลที่อยู่ในแฟ้ม hosts ที่ผมทำการลบออกทั้งหมด เป็นผลให้เข้าเว็บไซต์ต่าง ๆ ได้เป็นปกติ

192.168.200.3    ad.doubleclick.net
192.168.200.3    ad.fastclick.net
192.168.200.3    ads.fastclick.net
192.168.200.3    ar.atwola.com
192.168.200.3    atdmt.com
192.168.200.3    avp.ch
192.168.200.3    avp.com
192.168.200.3    avp.ru
192.168.200.3    awaps.net
192.168.200.3    banner.fastclick.net
192.168.200.3    banners.fastclick.net
192.168.200.3    ca.com
192.168.200.3    click.atdmt.com
192.168.200.3    clicks.atdmt.com
192.168.200.3    customer.symantec.com
192.168.200.3    dispatch.mcafee.com
192.168.200.3    download.mcafee.com
192.168.200.3    download.microsoft.com
192.168.200.3    downloads-us1.kaspersky-labs.com
192.168.200.3    downloads-us2.kaspersky-labs.com
192.168.200.3    downloads-us3.kaspersky-labs.com
192.168.200.3    downloads.microsoft.com
192.168.200.3    downloads1.kaspersky-labs.com
192.168.200.3    downloads2.kaspersky-labs.com
192.168.200.3    downloads3.kaspersky-labs.com
192.168.200.3    downloads4.kaspersky-labs.com
192.168.200.3    engine.awaps.net
192.168.200.3    f-secure.com
192.168.200.3    fastclick.net
192.168.200.3    ftp.avp.ch
192.168.200.3    ftp.downloads1.kaspersky-labs.com
192.168.200.3    ftp.downloads2.kaspersky-labs.com
192.168.200.3    ftp.downloads3.kaspersky-labs.com
192.168.200.3    ftp.f-secure.com
192.168.200.3    ftp.kasperskylab.ru
192.168.200.3    ftp.sophos.com
192.168.200.3    go.microsoft.com
192.168.200.3    ids.kaspersky-labs.com
192.168.200.3    kaspersky-labs.com
192.168.200.3    kaspersky.com
192.168.200.3    liveupdate.symantec.com
192.168.200.3    liveupdate.symantecliveupdate.com
192.168.200.3    mast.mcafee.com
192.168.200.3    mcafee.com
192.168.200.3    media.fastclick.net
192.168.200.3    microsoft.com
192.168.200.3    msdn.microsoft.com
192.168.200.3    my-etrust.com
192.168.200.3    nai.com
192.168.200.3    networkassociates.com
192.168.200.3    norton.com
192.168.200.3    office.microsoft.com
192.168.200.3    pandasoftware.com
192.168.200.3    phx.corporate-ir.net
192.168.200.3    rads.mcafee.com
192.168.200.3    secure.nai.com
192.168.200.3    securityresponse.symantec.com
192.168.200.3    service1.symantec.com
192.168.200.3    sophos.com
192.168.200.3    spd.atdmt.com
192.168.200.3    support.microsoft.com
192.168.200.3    symantec.com
192.168.200.3    trendmicro.com
192.168.200.3    update.symantec.com
192.168.200.3    updates.symantec.com
192.168.200.3    updates1.kaspersky-labs.com
192.168.200.3    updates2.kaspersky-labs.com
192.168.200.3    updates3.kaspersky-labs.com
192.168.200.3    updates4.kaspersky-labs.com
192.168.200.3    updates5.kaspersky-labs.com
192.168.200.3    us.mcafee.com
192.168.200.3    vil.nai.com
192.168.200.3    viruslist.com
192.168.200.3    viruslist.ru
192.168.200.3    virusscan.jotti.org
192.168.200.3    virustotal.com
192.168.200.3    windowsupdate.microsoft.com
192.168.200.3    www.avp.ch
192.168.200.3    www.avp.com
192.168.200.3    www.avp.ru
192.168.200.3    www.awaps.net
192.168.200.3    www.ca.com
192.168.200.3    www.f-secure.com
192.168.200.3    www.fastclick.net
192.168.200.3    www.grisoft.com
192.168.200.3    www.kaspersky-labs.com
192.168.200.3    www.kaspersky.com
192.168.200.3    www.kaspersky.ru
192.168.200.3    www.mcafee.com
192.168.200.3    www.microsoft.com
192.168.200.3    www.my-etrust.com
192.168.200.3    www.nai.com
192.168.200.3    www.networkassociates.com
192.168.200.3    www.pandasoftware.com
192.168.200.3    www.sophos.com
192.168.200.3    www.symantec.com
192.168.200.3    www.symantec.com
192.168.200.3    www.trendmicro.com
192.168.200.3    www.viruslist.com
192.168.200.3    www.viruslist.ru
192.168.200.3    www.virustotal.com
192.168.200.3    www3.ca.com
127.0.0.1 https://89.149.254.14/*
127.0.0.1 https://85.17.212.185/*
127.0.0.1 http://installs.in/*
127.0.0.1 https://85.17.201.65/*
127.0.0.1 https://85.17.212.185/*
127.0.0.1 https://195.24.77.223/*

แก้ปัญหา dnscache, caretwidth และ virus alert

21 ส.ค.52 สัปดาห์นี้ แก้ปัญหาคอมพิวเตอร์ระดับบุคคลให้เพื่อน 3 กรณี แต่ทุกปัญหาผมแค่เข้าไปแก้ผล โดยไม่มีเวลาไปหาเหตุของปัญหา เพื่อแก้ไขที่ต้นเหตุอย่างจริงจัง เพียงแต่วิเคราะห์ปัญหาแล้วแก้ไขไม่ให้ปัญหานั้นเกิดขึ้น ก็ถือว่าเสร็จในระดับที่พอใจแล้ว มีดังนี้ 1) เครื่องหัวหน้า ติดต่อ symantec.com เพื่อ update antivirus ไม่ได้ ตรวจแล้วพบว่า ping เข้า www.symantec.com ไม่ตอบไอพีเลย ส่วนเครื่องในเครือข่ายก็ ping ได้หมด ในเครื่องก็ ping ไปเว็บไซต์อื่นได้หมด วิธีแก้ไขคือสั่ง DOS>net stop dnscache ก็สามารถติดต่อกับ symantec.com ได้ปกติ 2) เครื่องเรณู มีขนาด Cursor ใหญ่มาก ทำให้ใช้งานหลายกรณีไม่สะดวก แก้ไขด้วยการเข้า regedit ปรับ CaretWidth จาก 17 เป็น 1 ใน HKCU, Control Panel, Desktop อาจเกิดจากไวรัส หรือการปรับ theme ผิดพลาดก็ได้ 3) เครื่องนิตยา Antivirus Alert ว่ามีแฟ้มใน c:\autorun.inf ตลอดเวลา เข้าใจว่าไวรัสถูกทำลาย แต่มี Alert ขึ้นมาแจ้ง อาจเป็นเรื่องของ message เท่านั้น แต่ผมแก้ไขด้วยการสร้าง folder ชื่อ autorun.inf ใน drive c แล้วกำหนด attrib เป็น -h -r -s -a เป็นผลให้ไม่มีการ Alert มาให้รำคาญใจอีก
     การแก้ปัญหา สำหรับวิธีที่ 1 กับ 2 ต้องค้นข้อมูลจาก internet แล้วทดสอบว่าแก้ปัญหาได้หรือไม่ ส่วนเรื่อง virus ใช้ความรู้เดิมและแก้ไขไปตามอาการที่เห็น ไม่ได้ใช้เครื่องมือจากภายนอก คาดว่าไวรัสยังอยู่ในเครื่อง แต่ไม่แสดงอาการหรือไวรัสไม่สามารถทำงานจนจบขั้นตอนก็ได้ สำหรับผมก็ถือว่าสำเร็จในระดับที่พอใจแล้ว