malware

หมายเหตุ: เอ็นทรีนี้ไม่ได้เขียนขึ้นโดยผู้เชี่ยวชาญ โปรดใช้เป็นแนวทางในการแก้ไขนะครับCool
 
ช่วงที่ผมได้รู้จักกับคนไทยหลายๆคนในแวนฯ พวกพี่ๆเขาก็เอา Notebook มาจากเมืองไทยกันครับ ซึ่ง เมื่อสองวันก่อน ผมได้มีโอกาสไปช่วยพี่เขาแก้ปัญหาคอมพิวเตอร์ เนื่องจากคนรู้จักผมคุยว่าผมรู้เรื่องคอมอย่พอควร ผมก็เลยไปดูมาครับ (ได้ค่าจ้างด้วยนะ อะฮิๆๆ) เอาล่ะ มาเข้าเรื่องกันเลย
 
 
 
เรื่องมีอยู่ว่า พี่คนไทยคนหนึ่ง เขาบอกว่าเขาโดนไวรัสเล่นงาน เลยติดต่อผมจะให้ไปช่วยแก้ไข
 
เริ่มต้นMoney mouth
 
เมื่อ Boot เครื่องขึ้นมา พบว่าคอมติดแอนติไวรัสปลอม (FakeAV)
 
 
ซึ่งการทำงานของมันคือ
 
  1. เตือนว่ามีไวรัสปลอมๆ อยู่ในเครื่อง จะให้จ่ายเงินลบ
  2. เมื่อเข้าเว็บโหลดโปรแกรมป้องกันไวรัส หน้าต่างดาวน์โหลดและ Browser จะปิดตัวเอง

เอาละครับ อาการไม่ได้หนักหนาสาหัสอะไร เพราะเคยเจอแบบหนักกว่านี้มาแล้ว Undecided

ซึ่งก่อนหน้านี้ผมเอา SD Card มาจากบ้าน เพราะ SD Card สามารถล๊อก (Write Protect) ได้ ดังนั้นไวรัสจะไม่สามารถเข้ามาทางนี้ได้ จะได้ไม่แพร่เชื้อต่อไป

 

ถามหาสาเหตุLaughing

ผมเลยถามสาเหตุ บทสนทนา

R: พี่ไปทำอะไรมาถึงติดอะครับ

M: ก็ไม่ได้ทำอะไร เป็ดเน็ตดูโน่นดูนี่ไปเรื่อยๆ

R: ไม่ได้เข้าเว็บโป๊นะ

M: *ชะงักไป 3 วิ* ไม่นิ

R: จริงๆนะ บอกความจริงมาเหอะ

M: กะ ก็ได้ ไปเข้าเว็บโป๊มาแล้วมันให้โหลดตัว Player พอลงแล้วก็เป็นแบบนี้เลย

R: บอกความจริงมาแต่แรกก็ได้นะพี่

 

สะเพร่าFoot in mouth

Notebook พี่เขาดันไม่มีช่องอ่าน SD Card รู้งี้ก็น่าจะเตรียม Flash Drive มาแทน แต่ไม่เป้นไร คนอื่นๆยังมีคอมนี่เนอะ เราก็ถ่ายข้อมูลงไปได้ เมื่อถ่ายเสร็จแล้วก็เอามาเสียบดู ซึ่งแฟลชไดรฟ์ไม่ใช่ของผมด้วย

 

เริ่มต้น(อีกที)Cry

ผมลองเสียบ Flash drive ที่มีโปรแกรม Emsisoft Emergency USB Stick แล้วลองรัน ปรากฏว่า โปรแกรมรันตัวเองไม่ได้ เพราะโปรแกรมมันบล๊อกการทำงานของ AV ทุกชนิด รวมทั้งที่ลงในเครื่องด้วยนะ

 

Safe Mode กู้ภัยSmile

ผมลองบูตเข้า Safe Mode (ซึ่งเป็นเรื่อง Basic มากๆ เวลาจะแก้ไวรัส) และลองรัน EEUS อีกครั้ง ปรากฏว่าหน้าต่างโปรแกรมล้นจอ จึงลองหันมาใช้ Comodo Cleaning Essential ดู

 

ลืมอัพเดต Tongue out

CCE ของผมไม่ได้อัพเดต และ Safe Mode ไม่ได้เลือกแบบ With networking ด้วย เลยต้องบูตใหม่ หลังจากบู๊ตโดยเลือกแบบ With Networking แล้วก็เริ่มได้

ก่อนสแกน ต้องดึงสายแลนออกก่อน เพื่อความชัวร์ CCE ใช้เวลาทำ Full Scan ชั่วโมงกว่าๆ ก็เจอไวรัส เราก็กดลบไปตามระเบียบ โปรแกรมก็เตือนให้เรา Reboot อีกครั้ง

เมื่อเริ่มต้นระบบใหม่แล้ว ก็ไม่มีไวรัสมากวนใจอีก แต่มันยังไม่จบแค่นี้...

 

เก็บซากไวรัสFrown

แอนตี้ไวรัสปลอมยังทิ้งซากไว้ให้เก็บกวาด ซึ่งไม่ได้หนักหนาสาหัสอะไร ส่วนมากจะเป็นพวกไฟล์ชั่วคราวที่ค้างๆอยู่ เราก็ตามไปลบใน Program File แล้วใช้โปรแกรมอะไรมาทำความสะอาดได้ตามสะดวก ในที่นี้ผมเลือก Glary Utilities Portable 

 

 

ปัญหากับไฟล์ระบบ Yell

เจ้า FakeAV ตัวนี้ยังสร้างปัญหากับไฟล์ระบบไฟล์หนึ่งที่ชื่อว่า os_sfc.dll ซึ่งอยู่ใน C:\Windows\System32 โดยที่มันไปแก้ไข

ซึ่งไฟล์ os_sfc.dll นั้นคือไฟล์ที่ควบคุมระบบ Windows File Protection นั่นเอง ซึ่งมันได้แก้ไขไฟล์นี้ การทำงานตามภาพด้านล่าง