เมื่อเครื่องผมติดไวรัส ภาค๒

เมื่อสัปดาห์ก่อน ผมเขียนเรื่องที่ผมต้องนอนดึก 

เพราะหาทางกำจัดไวรัส "ov.cmd"

ยังไม่ได้อ่าน ย้อนกลับไปอ่านตอนแรก กันก่อนก็ได้ครับ

ยังดีใจไม่ทันได้ข้ามอาทิตย์เลย ผมไปเจอเจ้าตัวเดียวกันนี้ที่เครื่องของแฟนผม

มีอาการเดียวกันกับเครื่องผม คือ (ขอย้อนหน่อย) จริงๆ แล้วแผลชไดร์ฟผมก็ติดมาจากเครื่องเค้านั่นแหละ T-T

1. เปิดไดร์ฟ C: D: E: แล้วเปิดหน้าต่างใหม่ตลอด ตอนเปิดก็จะหน่วงๆ นิดหน่อย

2. โชว์ hidden file ไม่ได้

ผมจัดการใช้วิธีแรกรับมือเหมือนเดิมครับ แล้วก็รีสตาร์ท

ผลปรากฎว่า ไม่สำเร็จครับ! ผมจึงต้องหาวิธีใหม่

ภายในวันเดียวกันนั้นเองผลจากเสิร์จเอนจิ้นยักษ์ใหญ่ ที่พาผมมาเจอเวบที่ส่อเค้าว่าผมจะมีวิธีกำจัดมัน

ThAiWaRe CoMMuNiTY / Yahoo! Answers / Geeks to Go

ไม่นานนักผมก็ตามไปโหลดเครื่องมือที่เวบข้างบนแนะนำไว้ (บอกไว้ก่อนว่าแต่ละอันฟรีๆ ทั้งนั้น)

ATF-Cleaner / CCleaner / ClamWin / ComboFix / Malwarebytes

และที่ขาดไม่เลยคือ anti-virus คู่ใจผม AVG8 free version (ที่เครื่องเป็น version 7.5)

พอโหลดมาครบแล้วก็เริ่มต้นล้างเผ่าพันธุ์ไวรัสกวนใจเลยครับ

เริ่มจาก (โปรแกรมไหนก่อน-หลัง ผมใช้ิวิธีลองผิดลองถูกครับ ถ้าใครจะทำตาม ทำตัวไหนก่อนก็ได้ หรือจะเพิ่มโปรแกรมอื่นไปอีก เพื่อความชัวร์ก็ยังไหว)

ClamWin << ตัวนี้จะกำจัดพวก autorun.inf

Malwarebytes << ตัวนี้จะเข้าไปปลดล๊อก folder options

AVG8 free version << ตัวนี้ฆ่าไฟล์น่าสงสัย

CCleaner << ตัวนี้ไม่ต้องก็ได้ครับ แต่ผมถือโอกาสทำความสะอาดเครื่องไปในตัวเลย

ถ้าใครจะทำตามขั้นตอนผม ให้อัพเดทดาต้าเบสไวรัสแต่ละโปรแกรมให้เป็นเวอร์ชั่นล่าสุดด้วยนะ

เรียบร้อยครับ ใช้เวลาทำนานโขอยู่ แต่ก็ทำๆงีบๆ สลับกันไป

สุดท้ายแล้ว ขอเก็บ log file เอามาเป็นที่ระทึกกันหน่อย

=====================

Log file อย่างย่อ

= AVG =

AVG Version : 8.0.169

Virus database version : 270.7.0/1683

Release date : 21 กันยายน 2551, 17:10

LinkScanner version : 0043

"File";"Infection";"Result"

"C:\WINDOWS\Explorer.EXE (1752)";"Trojan horse PSW.OnlineGames_r.L";"Reboot is required to finish the action"

"C:\WINDOWS\system32\ckvo0.dll";"Trojan horse PSW.OnlineGames_r.L";"Reboot is required to finish the action"

"C:\WINDOWS\system32\ckvo0.dll";"Trojan horse PSW.OnlineGames_r.L";"Moved to Virus Vault"

"C:\WINDOWS\system32\ckvo.exe";"Trojan horse PSW.OnlineGames_r.G";"Moved to Virus Vault"

"G:\ov.cmd"

: + = - = + : : + = - = + : : + = - = + : : + = - = + : : + = - = + : : + = - = + : 

= ClamWin =

Clamwin version : 0.94

ClamAV : 0.94

Virus DB Version : (main : 48; daily : 8295)

Updated : 06:57 21 ก.ย. 2008

C:\autorun.inf: Removed

D:\autorun.inf: Removed

E:\autorun.inf: Removed

: + = - = + : : + = - = + : : + = - = + : : + = - = + : : + = - = + : : + = - = + : 

= Malwarebytes' Anti-Malware 1.28 =

Malwarebytes' Anti-Malware version : 1.28

Current database informantion

Date : 9/22/2008

Database version : 1194

Fingerprints loaded : 49060

Latest news : (9/10/08) Version 1.28 released

Registry Data Items Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

=====================

สำหรับคนที่มีปัญหาเหมือนผม อยากจะบอกเพื่อนๆ ต่อ ทำอย่างงี้ครับ

ส่งหน้านี้ไปให้เพื่อนๆ หรือเมล์ตัวเอง

หรือจะ permalink http://kamponblog.blogspot.com/2008/09/blog-post_25.html#links ก็ตามแต่สะดวก

ท้ายสุด ร่วมแสดงความเห็น กันได้ แชร์ว่าเอาไปใช้แล้วไวรัสตายกันหรือเปล่า?