บ่นๆ กับ SSCVIIHOST.EXE มัลแวร์ตัวแสบ
เมื่อวาน เจอกับมัลแวร์ ที่สร้างไฟล์ชื่อ SSCVIIHOST.EXE จะเล่าสู่กันฟังครับ

สาเหตุที่ติด
เอา Flash Drive ไปเสียบกับคอมพิวเตอร์ของเพื่อนร่วมงาน แล้วเอามาใช้ครับเครื่องตัวเอง เลยติดครับ

อาการที่ตรวจพบ
เครื่องจะถูกปิด Folder Options , ใช้คำสั่งจัดการพวก msconfig regeditไม่ได้
กดปุ่ม Ctrl+Alt+Del ไม่ได้ นอกจากนี้ยังสร้างโฟลเดอร์ต่างๆ .exe ขึ้นมาอีกเรื่อยๆ

การแก้ไขปัญหา
มัลแวร์ตัวนี้ เมื่อตรวจพบ ผมลองใช้ Antivirus ที่อัพเดทแล้ว แต่ ตรวจไม่เจอครับ
ลองค้นข้อมูลในพันทิป นี่ก็ทราบมาว่า เจ้าตัวนี้ หลบรอดจากการตรวจสอบจากโปรแกรมตรวจจับได้หลายตัวเหมือนกัน เห็นว่า Kaspersky จัดการได้ แต่ช่วงนั้นไม่มีโปรแกรมตัวนี้ ก็เลยต้องจัดการแบบดิบๆ เอา
เริ่มตั้งแต่ ปิด System Restore ปิดโปรเซส SSCVIIHOST.EXE ทำการค้นหาไฟล์ SSCVIIHOST.EXE แล้วตามลบ จากนั้นใช้โปรแกรมกู้รีจิสตรี้ ของ NODS32 เพื่อทำการกู้รีจิสตรี้ให้ใช้งานส่วนอื่นได้
ผลเป็นไปได้ด้วยดี แต่ว่า เมื่อ Restart เครื่องใหม่ อาการดังกล่าวก็กลับมาอีก
ผมได้ลองพยายามแก้ไข อีกทีใน Safe Mode ก็ยังเหมือนเดิมคือ Restart เครื่องแล้วก็มีไฟล์ SSCVIIHOST.EXE อีก

สุดท้ายลองค้นโปรแกรมกำจัดเฉพาะ ไปได้โปรแกรมชื่อ Prevx 2.0 ลองโหลดมาติดตั้ง เป็นแบบแชร์แวร์ ใช้งานได้ 31 วัน และทำการสแกน ปรากฎว่าสามารถตรวจเจอและกำจัดได้ครับ จากนั้นก็ได้ใช้โปรแกรม กำจัดสปายแวร์สแกนอีกครั้ง ตามด้วยโปรแกรม CCleaner อีกที
ช่วงนี้ใจคอเริ่มดีขึ้นหน่อย ข้อมูลในเครื่องเยอะ ไม่อยากลง Windows ใหม่
พอ Restart เครื่องอีกที ไม่เจอโปรเซส ตัวแสบนี้รันแล้ว แต่ก็ยังตามหลอนด้วยการแจ้งเตือนของวินโดวส์ว่าหาไฟล์ SSCVIIHOST.EXE ไม่เจอ ( รำคาญซะจริงๆ ) สุดท้ายก็ต้องพึ่ง Regedit ค้นหาคำว่า SSCVIIHOST.EXE แล้วไปตามลบค่าที่ยังค้างอยู่ใน Registry เมื่อลบหมดแล้ว คำเตือนตอนเ้ข้าวินโดวส์ก็หายไป ตอนนี้ (คิดว่า) อาการเป็นปกติแล้ว
ใครเคยเจอตัวนี้ มีเทคนิคยังไงก็เล่าประสบการณ์กันให้ฟังหน่อยนะ

บทเรียน

- ไม่มีแอนตี้ไวรัสตัวใดที่ดีที่สุด ตัวที่ใช้เป็นประจำ อาจจะกำจัดไวรัสบ้างตัวไม่ได้ และอย่าคิดว่า โปรแกรมใดกำจัดไวรัสที่โปรแกรมเดิมกำจัดไม่ได้ จะดีกว่าเสมอไป ไวรัสเกิดขึ้นได้ทุกวัน หมั่นอัพเดทสม่ำเสมอ
- พยายามสำรองระบบของคุณเป็นประจำ เช่น การทำ image เก็บเอาไว้ เมื่อถึงเวลาคุณจะเห็นคุณค่าของการแบบนี้
- สังคมพันทิป ช่วยคุณได้เสมอ อย่างน้อยๆก็ทำให้มีแนวทางในการแก้ไข



Create Date : 11 กันยายน 2550
Last Update : 11 กันยายน 2550 5:32:15 น.
Counter : 473 Pageviews.

6 comments
  
ผมแก้ได้แล้วครับ เข้าไปอ่านได้ที่เวบผมได้เลยครับ
http://www.webphand.com
โดย: ช่างป่าน IP: 125.24.163.212 วันที่: 14 กันยายน 2550 เวลา:19:06:21 น.
  
วิธี ก็คล้ายๆกันครับ แต่ผมจะไปโหลดเอาเครื่องมาใช้เยอะหน่อย ขอสรุปขั้นตอน และโปรแกรมตัวหลักๆ ที่ใช้ตามนี้ครับ

1. ตัวปิดโปรเซส เช่น Hijackthis เพื่อสั่งให้ Process SSCVIIHOST.EXE หยุดทำงานก่อน
2. ตัวกำจัด ผมใช้ Prevx ตัวนี้ ( ช่วยป้องกันและแก้ไข กรณีที่เอา Flash Drive มาเสียบด้วยครับ )
3. เมื่อกำจัดแล้ว ตามด้วย NOD32 Registry Recover ดาวน์โหลด จาก http://www.nod32th.com เพื่อแก้ไขรีจิสตรี้ ที่ถูกตัวป่วนแก้ไขให้เหมือนเดิม
4. รีสตาร์ทเครื่อง เครื่องจะแจ้งว่าหาไฟล์ SSCVIIHOST.EXE ไม่เจอ
ผมเข้า Start > Run > regedit
5. กด F3 ค้นหา SSCVIIHOST.EXE แล้วตามลบให้หมด



โดย: OvO วันที่: 14 กันยายน 2550 เวลา:21:46:51 น.
  

5555555555
โดย: สุภะชัย IP: 203.113.18.143 วันที่: 9 ตุลาคม 2550 เวลา:14:15:09 น.
  
ผมลองใช้ vb เขียนดูน่าจะแก้ได้นะเข้าไปดาวโหลดที่
www.wjd.ac.th/~qoota
ครับตรงช่องข่าวประชาสัมพันธ์
โดย: qoota IP: 202.143.134.178 วันที่: 22 ตุลาคม 2550 เวลา:17:49:37 น.
  
ผมแก้แล้ว ไม่รู้กี่วิธีแล้ว แก้ได้ครับ scan หาทุกทาง ทุกโปรกรม หาไม่เจอ ???????????? ใช้ได้แล้ว!!!!!!!!!!!!!!!(แต่มันก็กลับมาอีก)งงมักๆ
โดย: นักรบใต้ IP: 38.99.101.131 วันที่: 15 ธันวาคม 2550 เวลา:21:49:44 น.
  
ของข้าน้อย แม้แต่ regedit กับ ctrl+alt+del ยังเข้าไม่ได้เลย ก็ได้แต่เซ็ง ได้แต่ปล่อยให้มันเป็นไปตามบุญตามกรรม
จะลงwindowใหม่ก็สงสาร่ข้อมูลที่มีมากมายอยู่ในคอม
ตัวเองไม่รู้จะตกอยู่ในชะตากรรมเช่นไร จะไปกด F3 ลบมันก็คงไม่ได้แล้ว ลบได้เท่าที่เห็นคือใน system 32 แค่นั้นละจ้าฮือๆ
โดย: gratik IP: 61.19.66.101 วันที่: 8 สิงหาคม 2552 เวลา:11:51:02 น.
ชื่อ :
Comment :
 *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 
ยืนยันรหัสความปลอดภัย :
(กรอกตัวเลขที่ปรากฎในภาพ)

OvO
Location :
เชียงใหม่  Thailand

[ดู Profile ทั้งหมด]
ให้ทิปเจ้าของ Blog [?]
 ฝากข้อความหลังไมค์
 Rss Feed
 Smember
 ผู้ติดตามบล็อก : 6 คน [?]



สวัสดีครับ ผมสนใจในเรื่องคอมพิวเตอร์และอีกหลายๆเรื่อง
ยินดีที่ได้รู้จักทุกคนครับ มีบล็อกส่วนตัว เกี่ยวกับเรื่องโหราศาสตร์ และบริการดูดวงฟรี
http://thaiastrotalk.tk
Custom Search
All Blog
MY VIP Friend