จับเป็น จับตาย จับไวรัสได้คาหนังคาคอมพ์

สวัสดีครับกลับมาอีกครั้งไม่รู้ว่าผู้อ่านอยากให้กลับมาหรือป่าว ^^ แหะๆ คราวนี้ก็กลับมาโดยมีของฝากมาด้วยนั้นคือทิปดีๆ จากผมนั่นเอง ฮุๆๆๆ ทิปนี้เอาใจคนที่เกลียดไวรัสมากกกก… (แบบเข้ากระดูกดำเลยก็ว่าได้) คิดแล้วต้องปวดหัวนู่น นี้ นั่น โอ๊ย! เป็นลม แต่ทิปนี้ก็จะไม่ปวดหัวต่อไปเมื่อเจอเครื่องมือดีๆ ที่มากำจัดไวรัสให้ โดยใช้แอนติไวรัสน้อยที่สุด (ไม่ใช่ว่าไม่ใช้เลยนะ แต่ใช้น้อยที่สุดเมื่อติดมันแล้ว)

Process Hacker เห็นชื่อแบบนี้แล้วไม่ใช่การแฮกอะไรใดๆ ทั้งสิ้น แต่เป็นโปรแกรมที่เป็นพระเอกในคราวนี้ โดยโปรแกรมนี้มีหน้าที่ดูว่าในเครื่องเรากำลังเปิดโปรแกรมอะไรบ้าง และโปรแกรมนั้นกำลังรันอะไรขึ้นมาอยู่ มันก็เหมือน Windows Task Manager บน Windows นั้นล่ะ แต่เพียงแค่ว่า พระเอกของเรานั้นมันตรวจละเอียดว่ามันทำงานที่ไหน มันกำลังรันโดยใช้อะไร ใช้แรมไปเท่าไหร่ กิน CPU ไปเท่าไหร่ บลาๆๆๆๆ (มันเยอะเนอะ) เข้าสู่ขั้นตอนเลยเนอะ
ก่อนที่จะเข้าขั้นตอนของเรานั้นต้องไม่ลืมที่จะ “ติดตั้ง” เข้าไปโหลดที่เว็บผมอัพโหลดไว้ครับ http://bit.ly/QCVvWN ก็ติดตั้งให้เสร็จครับ หลังจากที่ติดตั้งเรียบร้อยแล้ว เปิดโปรแกรมขึ้นมาครับ ทีนี้ก็จะเห็นรายชื่อโปรแกรมและโซนที่รันการทำงานต่างๆ ขึ้นมา ก่อนที่จะกำจัดมันได้ขอบอกวิธีการสังเกตก่อนนะครับ
Process Hacker 2
วิธีการสังเกตว่าตัวไหนเป็นไวรัส
ในโปรแกรมจะมีการแบ่งโซนการเปิดโปรแกรมแต่ละตัวไว้ ซึ่งโดยส่วนใหญ่โปรแกรมที่เราเปิดเองทั้งหมดจะอยู่ในโซน explorer.exe นั้นคือโซนสีเหลืองๆ ครับ และไวรัสก็อยู่โซนนี้ด้วย อย่าเพิ่งใจร้อนขออธิบายก่อน -*- ส่วนโซนสีฟ้าเข้มกับฟ้าอ่อนนั่นคือโซนของระบบเป็นตัวเปิดขึ้นมาเอง ทีนี้ก็มาถึงวิธีดูละครับ ไวรัสทุกตัวโดยส่วนมากจะรันในโซนของผู้ใช้นั่นคือ explorer.exe โอกาสที่ไวรัสจะมีสิทธิ์รันบนโซนของระบบนั้นมีน้อยมาก เพราะไวรัสนั้นจะต้องใช้เหยื่อ (นั่นก็คือคุณ หรือคนที่ติดไวรัส) ในการรันโค้ดไวรัสให้มันกระจายตัวออกไปตามไดรฟ์ต่างๆ หรือตามไฟล์ระบบเพื่อแฝงตัวการทำงาน การสังเกตแบบง่ายๆ เข้าใจตรงกันก็จะมีดังนี้

1. ชื่อไฟล์มันจะแปลกๆ ไม่เหมือนใคร และชอบเปลี่ยนชื่อตัวเองบ่อยๆ เมื่อเปิดคอมพ์ สังเกตได้ง่ายเลยครับ ไวรัสที่รันแบบนี้ มันจะใช้ชื่อที่ไม่เหมือนคนอื่นและแปลกๆ โดยจะเป็นตัวพิมพ์ใหญ่หรือเพิ่มตัวที่เหมือนกันเพื่อหลอกว่าเป็นตัวที่รันเหมือนกัน เช่น Svchost.exe, SVCHOST.exe, OZ251N.exe, lexplorer.exe, svcchost.exe, kGirvxw.exe, mfsuwes.exe และที่เปลี่ยนชื่อบ่อยๆ นั่นก็จะเปลี่ยนจาก OZ251N.exe เป็น Z3S1O5.exe หรือชื่ออื่นครับ
2. ไฟล์ที่มาจาก system32 ทุกตัวจะไม่รันในโซน ผู้ใช้ (explorer.exe) และปลอมแปลงชื่อเป็นไฟล์ระบบทันที ไวรัส ณ ปัจจุบันเก่งขึ้นทุกวันมันได้เริ่มคืบคลานไปใน system32 แล้วซ่อนไฟล์ที่ไม่ติดไว้ หรือแก้ไขไฟล์ระบบนั้น หรืออาจจะมาในรูปแบบอื่น ถ้าแก้ไขไฟล์ด้วยจะเป็นปัญหาหนักจะต้องลบไฟล์นั้นทิ้ง แล้วเอาไฟล์นั้นจากเครื่องที่ไม่ติดไวรัสมาใส่ หรือใช้แอนติไวรัสแก้ไขไฟล์ให้กลับมาใช้งานดังเดิมได้
3. ไวรัสมักจะอยู่ที่ๆ เราเข้าไม่ถึง และจะไม่ค่อยได้เข้าไป และไม่อยู่ใน Program Files ไวรัสแบบนี้มีเยอะ เพราะที่บอกว่าเข้าไม่ถึงคือมันซ่อนอยู่ใน Documents and Settings ซึ่งเป็นที่ที่เราไม่ได้ยุ่งและไม่ได้เข้าไปบ่อย แต่บางคนอาจจะไม่รู้จัก แต่ถ้าบอกไปว่า “มันคือที่อยู่ของ My Documents และที่เก็บเว็บโปรดของ IE” ก็อาจจะรู้จักกันก็ได้ โดยพวกนี้จะซ่อนอยู่ที่ Application Data, Local Settings หรือที่อื่นๆ ที่เราไม่รู้ หรือไม่ใช่ที่ Documents and Settings ครับ แต่ถ้าเห็นไวรัสมันรันอยู่ในส่วนของ Program Files แสดงว่าคุณได้ทำแครกแล้วแครกนั้นมีไวรัสครับ
4. ไวรัสมักจะซ่อนตัวไม่ให้เราเห็นตัว ถ้าเป็นตัวนี้ก็คงจะเป็น autorun.inf ที่กำจัดยังไงก็กลับมาอยู่ดี แต่ตอนนี้ก็มีวิธีหยุดมันแล้วครับโดยใช้ CPE17 และไวรัสตระกูลอื่นๆ อย่าง pif, exe วิธีให้เห็นเลยคือเข้าไปเปิดการโชว์ของสิ่งที่ซ่อนไว้ โดยไปที่ My Computer > Tools > Folder Options > View > ติ๊กถูกออกตรงที่มีคำว่า “Hide extensions” และ “Hide protected” และเลือก “Show Hidden files and folders” ก็จะโชว์ไวรัสที่ซ่อนมา

พูดมาซะยืดยาวเลย เมื่อรู้แล้วทำยังไงล่ะ ก็ไปคลิกขวาที่ไฟล์น่าสงสัยในโซนผู้ใช้ (explorer.exe) แล้วเลือก “Properties” ทีนี้สังเกต Image File Name แล้วดูว่าตรงกับ 4 ข้อข้างบนไหม ถ้าตรงก็จดที่อยู่มันไว้ให้ดี ทำแบบนี้กับไฟล์ที่น่าสงสัย แต่ถ้ามีเวลาว่างมากก็ไล่เปิดทีละตัวเลยก็ได้

เมื่อได้แล้วทีนี้ก็จัดการลบไปซะเลยโดยรีสตาร์ทเครื่อง แล้วกด F8 รัวๆ (ย๊ากกกกกกกกกก ระวังแป้นพัง TT^TT) แล้วเมื่อเข้ามาได้แล้วก็จะมีเมนูให้เลือก ก็ให้เลือก Safe Mode ในกรณีของคนที่เข้า Safe Mode ไม่ได้ เพราะไวรัสปิดการเข้าไม่ให้ใช้ Safe Mode ผมแนะนำให้หา Windows PE, Hiren’s BootCD เวอร์ชันที่มีตัวบูต Windows ฉุกเฉิน โดยจะมีตั้งแต่ 14.1 หรือแผ่นบูตวินโดวส์ฉุกเฉิน (แบบไม่ล้างเครื่องนะ แต่เพียงแค่บูตวินโดวส์จากแผ่นเท่านั้น) ทำแบบนี้เพราะว่าไม่ให้ไวรัสรันไวรัสขึ้นมา เลยจะต้องลบไฟล์จากทางนี้ เมื่อเข้ามาได้แล้วก็ให้ไปตามลบไฟล์นั้นเลย ถ้าเป็นไฟล์ระบบก็ควรจะหาไฟล์ที่ไม่ติดไวรัสมาก่อนครับแล้วค่อยลบออก โดยหาจากเครื่องที่ไม่ติดไวรัสมาใส่ เมื่อมั่นใจแล้วว่าไม่มีไวรัสแล้ว ก็รีสตาร์ทเครื่องอีกครั้งให้กลับไปเปิดวินโดวส์เหมือนเดิม ทีนี้ก็เปิด Process Hacker มาอีกครั้งแล้วเช็กดูว่ามันยังทำงานอยู่ไหม เมื่อดูแล้วว่าไม่ทำงานแล้ว ทีนี้ก็ตามไล่สแกนไฟล์ในเครื่องอีกครั้งเป็นการป้องกันอีกขั้นนึงครับ กันไม่ให้ไวรัสแฝงตัวให้เราเผลอกดทำงานมันครับ โดยแอนติไวรัสนั้นต้องอัพเดตฐานข้อมูลไวรัสให้เป็นปัจจุบัน

หลังจากที่มั่นใจว่าหมดแล้ว ก็ให้ใช้โปรแกรมที่บำรุงเครื่องและซ่อมอาการผิดปกติ และลบค่ารีจีสออกจากระบบโดยใช้ XP Repair Pro, Advanced System Optimizer, Advanced SystemCare ครับ โดยโปรแกรมดังกล่าวนี้เป็นของที่มีลิขสิทธิ์ (ยกเว้นตัวที่ 3 ที่ผมเอ่ยขึ้นมาเพราะเป็นฟรีแวร์ แต่จะต้องจ่ายเพิ่มเพื่อให้ใช้งานโหมดกำจัดรีจีสที่เสียครับ) อยากใช้ต้องลองหาใน Google ครับ มีเยอะแยะเลย ผมจะไม่แจกโปรแกรมจำพวกที่มีลิขสิทธิ์ครับ อย่ามาแอดเฟสผมแล้วมาขอโปรแกรมที่มีลิขสิทธิ์นะครับ ต้องหาด้วยตัวเองเท่านั้น หรือจะใช้ตัวอื่นก็ได้ไม่ว่ากันครับ

ผมลืมบอกไปเลย ถ้าคุณไม่มั่นใจว่าตัวเนี้ยใช่ไวรัสหรือป่าว ลองเอาชื่อนั้นขึ้นไปค้นหาใน Google ดูครับ หรือดูจากรายชื่อตัวรันไวรัสดูได้ครับ

ก่อนจบทิปก็อยากจะฝากกับผู้ใช้งานคอมพ์ทุกคนนะครับ ทุกอย่างล้วนมีทางออกอยู่เสมอ ไวรัสก็เหมือนกัน ติดแล้วก็มีวิธีแก้ โดยใช้แอนติไวรัสในการกำจัด ไม่ต้องไปเสียเงินล้างเครื่องเพื่อลบไวรัส วิธีการป้องกันที่ดีที่สุดคือการป้องกันช่องทางการเข้ามาของไวรัส มันจะมาทางไหนเราก็ป้องกันมันซะ แฟลชไดรฟ์ตัวดีเลย โดยเฉพาะของเพื่อนสนิทคุณหรือคนอื่น ยิ่งต้องป้องกันมากขึ้น สงสัยเขียนมากอาจจะโดนพี่มิ้งค์ด่าเอาได้ งั้นจบเลยละกัน ครั้งหน้าจะเขียนทิปเกี่ยวกับอะไรติดตามกันได้ในนิตยสาร Computer.Today ได้ที่เดียวที่ผมจะลงทิปดีๆ ที่อยากแบ่งปันให้ทุกคนที่หยิบหนังสือเล่มนี้อ่านครับ

Facebook Comments