24 สิงหาคม 2550

เมื่อ NOD32 จับของเถื่อน

บทความชิ้นนี้เป็นบทความสุดท้ายที่เขียนก่อนที่ notebook จะถูกขโมยครับ

หลังจากที่ nod32 update ตัวเองเป็นรุ่น 2441 หรือ 2442 มันก็จะจับไฟล์ nod32fix.reg ว่าเป็นไวรัส Win32/HACKAV.G แล้วมันจะลบท่าเดียว
ถ้าลบก็เสร็จจิครับ nod32 เราก็จะกลายเป็นของเถื่อนไปทันที มันจะนับถอยหลัง 30 วัน แล้วก็หมดอายุ จากปกติที่ใช้ได้ 16 ล้านวัน

แต่บางเครื่องทีใช้ nod32 เถื่อน ก็ไม่เป็นครับ
เพราะว่าการ fix nod32 นั้นมีหลายวิธี บางคนอาจจะ fix วิธีอื่นที่ยังไม่โดนตรวจตอนนี้ครับ

กด NOD32 control center ที่มุมล่างขวาของจอ แล้วดูที่กรอบซ้าย เลือก information (ถ้าไม่มีให้กดที่ NOD32 system toolห ก่อน แล้วดูกรอบขวาตรง Days left ว่าเหลือกี่วัน ถ้าเหลือต่ำกว่า 30 วัน ก็แปลว่า fix หลุดไปแล้ว (โดน nod จัดการนั้นเอง) ปกติคือ 16 ล้านวัน

ถ้าไม่มีคำว่า day left ไม่มีคำว่า Trial Version ด้านบนๆ แล้วเป็นคำว่า
registered version
แทนแปลว่า NOD32 ของคุณอาจจะเป็นของแท้ หรือ fix แบบอื่นทำให้ไม่โดน

ตอนนี้ผมจะสรุปให้ฟังว่าถ้าเห็นแบบนี้แปลว่าเจอเข้าให้แล้ว
  • หลังจาก update NOD32 ขึ้นตาแดงมาเลยว่าเจอไวรัส Win32/HACKAV.G (อาจจะเจอได้หลายจุด เช่น .E .F .H ตาม fix แบบต่างๆ)
  • ถ้าไม่เจออาการอะไร ให้เข้าไปที่ C:\Program Files\ESET แล้วดูว่าไฟล์ nod32fix.reg ยังอยู่ดีรึปล่าว ถ้าไม่อยู่ก็น่าสงสัยแย้วว
  • อาการ สุดท้าย กด NOD32 control center ที่มุมล่างขวาของจอ แล้วดูที่กรอบซ้าย เลือก information (ถ้าไม่มีให้กดที่ NOD32 system tools ก่อน แล้วดูกรอบขวาตรง Days left ว่าเหลือกี่วัน ถ้าเหลือต่ำกว่า 30 วัน ก็แปลว่า fix หลุดไปแล้ว (โดน nod จัดการนั้นเอง) ปกติคือ 16 ล้านวัน
  • แต่ถ้าใช้ fix อื่นที่ไม่ใช้ของ nsane จะไม่เป็นแบบนี้นะครับ

ผมเอาข้อมูลในไฟล์ nod32fix.reg มาให้ดูครับ เผื่อใครจะดูออกว่ามันเป็นไวรัส แต่ผมว่าไม่ใช่

Code:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Info]
"View_CLSID"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Update\Settings]
"DefaultServerCount"=dword:0000000a
"DefaultServer0"="http://u20.eset.com/nod_eval/"
"DefaultServer1"="http://u21.eset.com/nod_eval/"
"DefaultServer2"="http://u22.eset.com/nod_eval/"
"DefaultServer3"="http://u23.eset.com/nod_eval/"
"DefaultServer4"="http://u24.eset.com/nod_eval/"
"DefaultServer5"="http://89.202.157.135/nod_eval/"
"DefaultServer6"="http://89.202.157.136/nod_eval/"
"DefaultServer7"="http://89.202.157.137/nod_eval/"
"DefaultServer8"="http://89.202.157.138/nod_eval/"
"DefaultServer9"="http://89.202.157.139/nod_eval/"
"DefaultServer10"="http://u29.eset.com/nod_eval/"
"DefaultServer11"="http://u28.eset.com/nod_eval/"
"DefaultServer12"="http://u29.eset.com/nod_eval/"
"DefaultServer13"="http://u27.eset.com/nod_eval/"
"DefaultServer14"="http://u28.eset.com/nod_eval/"
"DefaultServer15"="http://u29.eset.com/nod_eval/"
"DefaultServer16"="http://u29.eset.com/nod_eval/"


วิธีแก้ไขและป้องกันที่ผมใช้ก็ไม่ยากเลยครับ (แต่ถ้ามันถูกลบไปแล้ว ก็ต้องปิด amon ก่อน แล้วเอา fix ออกแล้วก็ลงใหม่ แล้วทำตามขั้นตอน) เราก็สั่งให้เจ้า nod32 มันไม่ต้องตรวจไฟล์นี้ซะก็จบ

--ถ้าใครยังไม่ได้ update เป็นรุ่น 2441 หรือ 2442 (ผมก็ไม่แน่ใจว่ารุ่นไหน) ก็ไม่ต้องปิด AMON ก็ได้

ทำแบบนี้ครับ
1. ให้เปิด nod32 control center ก่อน (icon nod32 ที่อยู่มุมล่างขวา)
2. เลือกที่ AMON ที่อยู่ในกรอบด้านซ้าย แล้วดูที่กรอบด้านขวา จากนั้นเอาติ้กถูกออกจากหน้า file system moniter (AMON) enabled ก่อน มันจะได้ไม่กวนเรา
3. กดปุ่ม setup ที่อยู่ด้านล่าง
4. เลือกที่แท็บ exclusion แล้วกด add...
5. กดปุ่ม file... เพื่อเลือกไฟล์ที่จะไม่ให้ nod32 ตรวจสอบ
6. ไปที่ C:\Program Files\ESET แล้วหาไฟล์ nod32fix.reg (ถ้าเราไม่ปิด AMON ก่อนจะเลือกไม่ได้) เลือกแล้วก็กด ok ออกมา แล้ว ok อีกครั้งเพื่อกลับมาหน้าหลัก
* ห้ามลืม 7. ที่นี้กลับไปติ้กที่ file system moniter (AMON) enabled ได้แล้วครับ ไม่งั้นมันจะไม่จับไวรัสตัวอื่นๆ ให้เรา



ถ้าโดนทำแล้วทำไง อืม...
1. ให้เอา NOD32 fix ออกก่อนครับ
2. ปิดการทำงาน AMON ของ NOD32 โดยเข้าไปที่ control center ดูกรอบซ้าย เลือก AMON แล้วเอาติ้กตรง file system moniter (AMON) enabled ออก
3. ลง fix ใหม่ (ถ้าไม่มี ใช้ google ครับ หุๆ ค้นคำว่า nod32 fix nsane รุ่นล่าสุดตอนนี้อยู่ที่ 2.2 ครับ)
4. ทำตามกระบวนการหัวข้อข้างบน
5. เปิดการทำงานของ AMON โดยเข้าไปที่ control center ดูกรอบซ้าย เลือก AMON แล้วติ้กตรง file system moniter (AMON) enabled

เพิ่มเติมล่าสุด
ผมสังเกตว่าเครื่องที่ fix ด้วยตัว fix รุ่น 2.1 จะไม่เป็นอะไรกับเรื่องนี้ครับ แต่ที่ fix ด้วยรุ่น 2.2 จะขึ้นมาร้อง

ป้ายกำกับ: ,

Notebook ถูกขโมย

เหตุเกิดเมื่อวันที่ 10 สิงหาคม 2550 ครับ
เจ้า notebook HP DV 2302TX เครื่องใหม่ของผม ที่เพิ่งใช้มาได้ 3 เดือน ก็ถูกโจรขโมยไป
โจร งัดบ้านเข้ามาขโมยของในขณะที่ผมไม่อยู่บ้าน (ตอนนั้นออกไปซื้อของขวัญวันแม่) ผมออกจากบ้านไปแค่ชั่วโมงเดียว กลับมาบ้านเจ้า่ notebook ก็หายไปซะแล้ว
จริงๆ มันค้นของทั้งบ้านนะครับ แต่หาของอย่างอื่นไม่เจอ เลยได้แต่ notebook เครื่องใหม่ของผมที่ตั้งอยู่บนโต๊ะทำงาน (ห้องที่โจรมันงัดเข้ามานั้นแหละ) พร้อมกระเป๋า notebook แถมในกระเป๋ายังมีสาย firewire ราคา 500 บาทที่ผมเอาไว้ใช้ทำงานอีก

สุดท้าย ของให้โจรที่ขโมยของๆ คนอื่นไป จงพบกับผลกรรมที่ตัวเองก่อโดยเร็ว ไม่อยากจะพูดมากให้เหนื่อย ผมเหนื่อยมามากแล้วกับเรื่องนี้
รวม มูลค่าความเสียหายจากเรื่องนี้ มากกว่าครึ่งแสน เพราะรวมค่า notebook + สาย firewire + ค่าเีสียโอกาสทำงาน + ค่าใช้จ่ายที่ต้องซื้อ notebook ใหม่ + มูลค่าข้อมูลที่รวมอยู่ในเครื่อง

ขอให้ทุกท่านโชคดีครับ

ปล. เรื่องนี้ผมเคยบ่นๆ เกี่ยวกับ HP ว่าไม่สนใจช่วยเหลือลูกค้าบ้าง แล้วบางคนใน webboard ก็ว่าผมว่า HP ไม่ผิด แต่คนผิดคือผมที่ทำเครื่องหายเอง
ตรงผิดถูกเนี่ย ผมว่าโจรผิด

แต่ที่ อยากให้สังเกตคือ เครื่องตั้งอยู่ในบ้านแท้ๆ ยังหายได้ แ้ล้วผมผิดมั้ยล่ะ ที่ตั้งเครื่องในบ้านที่ปิดมิดชิด แล้วโจรมาเอาเครื่องไป
เรื่องนี้คงอยู่กับโชคและกรรมเก่าอย่างเดียว
"ขนาดของๆ เราที่เราซื้อมา สุดท้ายมันยังไม่ใช่ของๆ เรา"

ป้ายกำกับ: