VCD ภาพยนต์ ใส่ Virus มาอีกแล้ว
จากที่ผมเคยเจอคำถามเรื่อง แก้ปัญหาแผ่น CD ภาพยนต์ ใส่ Malware (มาให้ด้วย) ไปเมื่อไม่นานนี้ ซึ่งบอกถึงอาการที่เกิดขึ้นกับเครื่องคอมที่ช้าลงจนถึงค้างทำอะไรไม่ได้เพราะโดนเจ้าตัว Malware นี้เข้าไป ซึ่งโดยมากเค้าจะฝังมากับแผ่น VCD ภาพยนต์ ของค่ายหนัง ในเมืองไทยนี้หละครับ
แต่มาคราวนี้ ผมก็ต้องมาเจอกับอีกรุ่นนึง ของเจ้า Malware ตัวดังกล่าว ที่ไม่แสดงอาการ ทำให้เครื่องช้า อย่างเด่นชัดมากนัก ซึ่งให้สังเกตุที่ CPU Uses ว่าเป็น 100% หรือไม่
สำหรับเจ้าตัวใหม่นี้ ไม่ก่อให้เกิดอาการเครื่องช้าอย่างโจ่งแจ้ง แต่กลับทำให้ผมไม่สามารถ write แผ่น CD และ DVD ได้ ทั้งๆที่ เป็นการ backup ข้อมูลขอตัวผมเอง ทำให้ผมเสียแผ่นไปหลายแผ่น เสียอารมณ์มากๆ
เลยคิดขึ้นมาว่า อาจโดน virus เล่นงาน เลยทำการตรวจสอบจน พบกับ เจ้าตัว Malware รุ่นใหม่(ล่าสุดหรือเปล่า ไม่แน่ใจ)
การตรวจสอบสาเหตุ อาการช้าของเครื่อง
ทำการเปิด Windows Task Manger โดยการคลิกเมาส์ขวาบน Task Bar แล้วเลือก เมนู Task Manager จะปรากฏหน้าต่างดังรูป
ทำการตรวจสอบรายการว่า มี Process ที่ชื่อ csrss.exe 2 รายการ และ smss.exe 2 รายการหรือไม่ ถ้ามี ก็หมายความ คงโดน Malware หรือ พวก Trojan ตัวใดตัวหนึ่ง หรือไม่อาจเป็นการที่คุณมีการใช้งานโปรแกรบางประเภท (กรณีนี้ ผมยังไม่เคยเจอ เหมือนกันครับ)
สำหรับการทดลองไปดู Performance ก็จะเป็นได้ว่า CPU ที่เป็นปกติ ต้องยอมรับกันจริงๆครับ ว่าตัว Malware ใหม่นี้ ทำงานได้อย่างแนบเนียน มากๆ
ทำการเปิด Explorer ไปยัง C:\WINDOWS\system\Level4 และ C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\Level4 ว่ามีไฟล์ csrss.exe หรือ smss.exe ตามลำดับ หรือไม่
ถ้าไม่มีไฟล์ ดังกล่าว อาจเป็นไปได้สูงมาก ที่เครื่องคุณอาจติด Virus หรือ Trojan ตัวอื่น ให้ update โปรแกรม AntiVirus ที่ใช้อยู่ แล้ว Scan ให้สิ้นซาก
แต่หากว่าคุณมีไฟล์ csrss.exe และ smss.exe เช่นเดียวกับผมแล้ว เราคงต้องมาทำการ นำเจ้าตัวร้ายนี้ ออกไปซะที โดยใช้โปรแกรมที่ชื่อว่า Security Task Manager ครับ เป็น shareware สามารถดาว์นโหลดได้จาก
http://www.neuber.com/taskmanager/
เมื่อติดตั้งเป็นที่เรียบร้อยแล้ว ก็จะมีการแสดงรายการของ Process ซี่งจะมี Process ของโปรแกรม AutoIt v3 Compiled Scritp จำนวน 2 รายการ ที่มีค่าการใช้งาน CPU มาก
ให้คลิกเลือกรายการทั้งสอง ทีละรายการ แล้วคลิกปุ่ม Remove จากด้านบน และให้ทำการคลิกเลือก End process ตามด้วยคลิกปุ่ม OK เพื่อหยุดการทำงาน ของ Process ทั้งสอง
ต่อไปจะต้องทำการ Remove ข้อมูลใน Registry เพื่อไม่ให้ Malware ตัวนี้ทำงานได้อีก
โดยคลิกที่เมนู Start -> Run แล้วป้อน regedit คลิกปุ่ม OK จะปรากฎหน้าต่าง Registry Editor จากนั้นให้คลิกเลือกไปตาม เมนูย่อยทางซ้ายมือ ดังนี้ HKEY_LOCAL_MACHINE - -> SOFTWARE - -> Microsoft - -> Windows - -> CurrentVersion - ->Run ให้ทำการ ลบรายการของ ออกทั้ง 2 รายการ จากด้านขวามือ ดังรูป
ทิ้งทาย ตัวโปรแกรมที่ใช้ในการกำจัดมาลแวร์ตัวนี้ถ้าอยากได้ แครก ให้แจ้งมานะครับ
แต่มาคราวนี้ ผมก็ต้องมาเจอกับอีกรุ่นนึง ของเจ้า Malware ตัวดังกล่าว ที่ไม่แสดงอาการ ทำให้เครื่องช้า อย่างเด่นชัดมากนัก ซึ่งให้สังเกตุที่ CPU Uses ว่าเป็น 100% หรือไม่
สำหรับเจ้าตัวใหม่นี้ ไม่ก่อให้เกิดอาการเครื่องช้าอย่างโจ่งแจ้ง แต่กลับทำให้ผมไม่สามารถ write แผ่น CD และ DVD ได้ ทั้งๆที่ เป็นการ backup ข้อมูลขอตัวผมเอง ทำให้ผมเสียแผ่นไปหลายแผ่น เสียอารมณ์มากๆ
เลยคิดขึ้นมาว่า อาจโดน virus เล่นงาน เลยทำการตรวจสอบจน พบกับ เจ้าตัว Malware รุ่นใหม่(ล่าสุดหรือเปล่า ไม่แน่ใจ)
การตรวจสอบสาเหตุ อาการช้าของเครื่อง
ทำการเปิด Windows Task Manger โดยการคลิกเมาส์ขวาบน Task Bar แล้วเลือก เมนู Task Manager จะปรากฏหน้าต่างดังรูป
ทำการตรวจสอบรายการว่า มี Process ที่ชื่อ csrss.exe 2 รายการ และ smss.exe 2 รายการหรือไม่ ถ้ามี ก็หมายความ คงโดน Malware หรือ พวก Trojan ตัวใดตัวหนึ่ง หรือไม่อาจเป็นการที่คุณมีการใช้งานโปรแกรบางประเภท (กรณีนี้ ผมยังไม่เคยเจอ เหมือนกันครับ)
สำหรับการทดลองไปดู Performance ก็จะเป็นได้ว่า CPU ที่เป็นปกติ ต้องยอมรับกันจริงๆครับ ว่าตัว Malware ใหม่นี้ ทำงานได้อย่างแนบเนียน มากๆ
ทำการเปิด Explorer ไปยัง C:\WINDOWS\system\Level4 และ C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\Level4 ว่ามีไฟล์ csrss.exe หรือ smss.exe ตามลำดับ หรือไม่
ถ้าไม่มีไฟล์ ดังกล่าว อาจเป็นไปได้สูงมาก ที่เครื่องคุณอาจติด Virus หรือ Trojan ตัวอื่น ให้ update โปรแกรม AntiVirus ที่ใช้อยู่ แล้ว Scan ให้สิ้นซาก
แต่หากว่าคุณมีไฟล์ csrss.exe และ smss.exe เช่นเดียวกับผมแล้ว เราคงต้องมาทำการ นำเจ้าตัวร้ายนี้ ออกไปซะที โดยใช้โปรแกรมที่ชื่อว่า Security Task Manager ครับ เป็น shareware สามารถดาว์นโหลดได้จาก
http://www.neuber.com/taskmanager/
เมื่อติดตั้งเป็นที่เรียบร้อยแล้ว ก็จะมีการแสดงรายการของ Process ซี่งจะมี Process ของโปรแกรม AutoIt v3 Compiled Scritp จำนวน 2 รายการ ที่มีค่าการใช้งาน CPU มาก
ให้คลิกเลือกรายการทั้งสอง ทีละรายการ แล้วคลิกปุ่ม Remove จากด้านบน และให้ทำการคลิกเลือก End process ตามด้วยคลิกปุ่ม OK เพื่อหยุดการทำงาน ของ Process ทั้งสอง
ต่อไปจะต้องทำการ Remove ข้อมูลใน Registry เพื่อไม่ให้ Malware ตัวนี้ทำงานได้อีก
โดยคลิกที่เมนู Start -> Run แล้วป้อน regedit คลิกปุ่ม OK จะปรากฎหน้าต่าง Registry Editor จากนั้นให้คลิกเลือกไปตาม เมนูย่อยทางซ้ายมือ ดังนี้ HKEY_LOCAL_MACHINE - -> SOFTWARE - -> Microsoft - -> Windows - -> CurrentVersion - ->Run ให้ทำการ ลบรายการของ ออกทั้ง 2 รายการ จากด้านขวามือ ดังรูป
ทิ้งทาย ตัวโปรแกรมที่ใช้ในการกำจัดมาลแวร์ตัวนี้ถ้าอยากได้ แครก ให้แจ้งมานะครับ
