เมื่อวาน เจอกับมัลแวร์ ที่สร้างไฟล์ชื่อ SSCVIIHOST.EXE จะเล่าสู่กันฟังครับ
สาเหตุที่ติด
เอา Flash Drive ไปเสียบกับคอมพิวเตอร์ของเพื่อนร่วมงาน แล้วเอามาใช้ครับเครื่องตัวเอง เลยติดครับ
อาการที่ตรวจพบ
เครื่องจะถูกปิด Folder Options , ใช้คำสั่งจัดการพวก msconfig regeditไม่ได้
กดปุ่ม Ctrl+Alt+Del ไม่ได้ นอกจากนี้ยังสร้างโฟลเดอร์ต่างๆ .exe ขึ้นมาอีกเรื่อยๆ
การแก้ไขปัญหา
มัลแวร์ตัวนี้ เมื่อตรวจพบ ผมลองใช้ Antivirus ที่อัพเดทแล้ว แต่ ตรวจไม่เจอครับ
ลองค้นข้อมูลในพันทิป นี่ก็ทราบมาว่า เจ้าตัวนี้ หลบรอดจากการตรวจสอบจากโปรแกรมตรวจจับได้หลายตัวเหมือนกัน เห็นว่า Kaspersky จัดการได้ แต่ช่วงนั้นไม่มีโปรแกรมตัวนี้ ก็เลยต้องจัดการแบบดิบๆ เอา
เริ่มตั้งแต่ ปิด System Restore ปิดโปรเซส SSCVIIHOST.EXE ทำการค้นหาไฟล์ SSCVIIHOST.EXE แล้วตามลบ จากนั้นใช้โปรแกรมกู้รีจิสตรี้ ของ NODS32 เพื่อทำการกู้รีจิสตรี้ให้ใช้งานส่วนอื่นได้
ผลเป็นไปได้ด้วยดี แต่ว่า เมื่อ Restart เครื่องใหม่ อาการดังกล่าวก็กลับมาอีก
ผมได้ลองพยายามแก้ไข อีกทีใน Safe Mode ก็ยังเหมือนเดิมคือ Restart เครื่องแล้วก็มีไฟล์ SSCVIIHOST.EXE อีก
สุดท้ายลองค้นโปรแกรมกำจัดเฉพาะ ไปได้โปรแกรมชื่อ Prevx 2.0 ลองโหลดมาติดตั้ง เป็นแบบแชร์แวร์ ใช้งานได้ 31 วัน และทำการสแกน ปรากฎว่าสามารถตรวจเจอและกำจัดได้ครับ จากนั้นก็ได้ใช้โปรแกรม กำจัดสปายแวร์สแกนอีกครั้ง ตามด้วยโปรแกรม CCleaner อีกที
ช่วงนี้ใจคอเริ่มดีขึ้นหน่อย ข้อมูลในเครื่องเยอะ ไม่อยากลง Windows ใหม่
พอ Restart เครื่องอีกที ไม่เจอโปรเซส ตัวแสบนี้รันแล้ว แต่ก็ยังตามหลอนด้วยการแจ้งเตือนของวินโดวส์ว่าหาไฟล์ SSCVIIHOST.EXE ไม่เจอ ( รำคาญซะจริงๆ ) สุดท้ายก็ต้องพึ่ง Regedit ค้นหาคำว่า SSCVIIHOST.EXE แล้วไปตามลบค่าที่ยังค้างอยู่ใน Registry เมื่อลบหมดแล้ว คำเตือนตอนข้าวินโดวส์ก็หายไป ตอนนี้ (คิดว่า) อาการเป็นปกติแล้ว
ใครเคยเจอตัวนี้ มีเทคนิคยังไงก็เล่าประสบการณ์กันให้ฟังหน่อยนะ
บทเรียน
- ไม่มีแอนตี้ไวรัสตัวใดที่ดีที่สุด ตัวที่ใช้เป็นประจำ อาจจะกำจัดไวรัสบ้างตัวไม่ได้ และอย่าคิดว่า โปรแกรมใดกำจัดไวรัสที่โปรแกรมเดิมกำจัดไม่ได้ จะดีกว่าเสมอไป ไวรัสเกิดขึ้นได้ทุกวัน หมั่นอัพเดทสม่ำเสมอ
- พยายามสำรองระบบของคุณเป็นประจำ เช่น การทำ image เก็บเอาไว้ เมื่อถึงเวลาคุณจะเห็นคุณค่าของการแบบนี้
- สังคมพันทิป ช่วยคุณได้เสมอ อย่างน้อยๆก็ทำให้มีแนวทางในการแก้ไข
--------------------------------------------------------------------------------------------------------------------------------------------------------
วิธี ก็คล้ายๆกันครับ แต่ผมจะไปโหลดเอาเครื่องมาใช้เยอะหน่อย ขอสรุปขั้นตอน และโปรแกรมตัวหลักๆ ที่ใช้ตามนี้ครับ
1. ตัวปิดโปรเซส เช่น Hijackthis เพื่อสั่งให้ Process SSCVIIHOST.EXE หยุดทำงานก่อน
2. ตัวกำจัด ผมใช้ Prevx ตัวนี้ ( ช่วยป้องกันและแก้ไข กรณีที่เอา Flash Drive มาเสียบด้วยครับ )
3. เมื่อกำจัดแล้ว ตามด้วย NOD32 Registry Recover ดาวน์โหลด จาก http://www.nod32th.com เพื่อแก้ไขรีจิสตรี้ ที่ถูกตัวป่วนแก้ไขให้เหมือนเดิม
4. รีสตาร์ทเครื่อง เครื่องจะแจ้งว่าหาไฟล์ SSCVIIHOST.EXE ไม่เจอ
ผมเข้า Start > Run > regedit
5. กด F3 ค้นหา SSCVIIHOST.EXE แล้วตามลบให้หมด
This page is optimized for IE8 Firefox & Google Chrome
Download Browsing Click Here
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
0 ความคิดเห็น:
แสดงความคิดเห็น