...ส บ า ย ๆ ส ไ ต ล์ มื อ ไ ม่ PRO แ ถ ม ยั ง... LOWFESSIONAL ...
 
ระวังไฟล์ชื่อคล้ายๆ จะนึกว่าไม่ใช่ไวรัส

|"ลุงไม้..."|123it.co.nr|เรื่องทั้งหมด|เรื่องที่แล้ว |เรื่องต่อไป|

เมื่อช่วงเช้านี้ เป็นเช้าวันจันทร์ วันแรกของสัปดาห์ที่แสนจะปลอดโปร่ง
ผมลงนั่ง เปิดแอร์ เปิดเพลง กำลังว่าจะเข้าเว็บ อ่านข่าวหนังสือพิมพ์สักหน่อย

แต่พอวางถ้วยกาแฟลง เหลือบมองไปที่หน้าจอของเครื่อง Server ที่ผมรัน Bandwidth Controller เอาไว้ ก็สังเกตเห็นว่า มีคอมเครื่องหนึ่งในวงแลน กำลังส่งข้อมูลออกไปข้างนอกอย่างขมักเขม้น (ข้อดีอีกอย่างนึง นอกจากโปรแกรมนี้จะช่วยจัดสรรแบนด์วิดธ์แล้ว ยังสามารถดูความผิดปกติได้ด้วย)

ผมลองเอาเลข IP ที่เห็นในหน้าโปรแกรม ไปลอง Search ดูใน Google ได้ความประมาณว่า เป็นเว็ป Spyware ต้องห้ามรายนึง... แต่เช้าเชียวรึนี่

ไม่ได้การซะละ ผมต้องวางถ้วยกาแฟลง ทั้งๆที่เพิ่งซดไปได้ 2 ฮวบ แล้วดิ่งขึ้นชั้น 3 ตรงไปยังเครื่องเป้าหมายทันที เห็นพนักงานยังคงนั่งทำงานอยู่ เลยเข้าไปเลียบๆเคียงๆ คุยโน่นคุยนี่ ได้ความว่า เอางาน Excel กลับไปทำต่อที่บ้าน แล้วนำกลับมาเสียบคืนในเครื่องเมื่อกี้นี้ ผมเลยบอกว่า ต้องขออนุญาตตรวจสอบอะไรสักหน่อย รู้สึกว่าจะมีไวรัส

ว่าแล้วก็เล่น 3 ปุ่มพิชิตมารครับ Ctrl+Alt+Del เพื่อจะตรวจดูว่ามีอะไรรันอยู่บ้าง พอกดเสร็จ เห้นขึ้นมาแว้บนึง แล้วหายจ้อย... อาการนี้บ่งบอกว่า เจ้าโปรแกรมที่ส่งข้อมูลออกพรวดๆนั้น เข้ายึดครองเครื่องเรียบร้อยแล้ว...!

ยังครับ...ผมไม่ยอมแพ้ง่ายๆหรอก นึกแล้วก็คลิกเข้าไปที่เมนู run พิมพ์ msconfig เข้าไปแล้วกด enter ผลปรากฏว่าเหมือนเดิมครับ ขึ้นมาแว้บนึงแล้วหายจ้อยไปอีก...

หน้าแตกไป 2 รอบแล้ว คราวนี้ผมเลยคลิกเข้าโฟลเดอร์ที่ผมแชร์ Util ทั้งหลายไว้ เปิดโปรแกรม Process Explorer ขึ้นมา ถึงได้มองเห็นตัวการครับ ไฟล์ที่กำลังทำงาน(อย่างแรง คือ...แถ่น...แทน...แท้นนนนนน...

"C:\Winnt\system32\scvshosts.exe"

ตอนแรกที่ผมเห็น ผมยังวิเคราะห์ในใจว่า นี่มันไฟล์ระบบ(นี่หว่า) สงสัยโดนไวรัสเข้าไปเกาะแน่ๆ จะ kill process จะเป็นไรมั้ยนี่?

สักแป๊บนึงก็รู้สึกเอะใจ ว่าชื่อไฟล์มันคุ้นๆนะ แต่ดูแปลกๆตาไปสักนิด เลยเพ่งดูให้แน่ใจอีกที...

อ๊ะๆ ฮั่นแน่...เกือบไปแล้วเชียว เกือบถูกต้มซะแล้ว

ไฟล์(เวร)นี้ชื่อ scvshost.exe
ส่วนไฟล์ของวินโดวส์เค้าชื่อ svchost.exe ครับผม

เมื่อเป็นที่แน่ชัดแล้ว ผมก็จึงรีสตาร์ทคอม เพื่อเข้าไปใน SaftMode เพื่อจัดการลบไฟล์ทิ้งต่อไป เมื่อกลับมาเข้าวินโดวส์ในโหมดปกติอีกที ก็สามารถเข้าไปลบลิ้งก์ออกด้วย msconfig ได้ทั้งหมดครับ

เอ้า...ผมขอสรุปไฟล์ที่ผมเจอะเจอมา ไว้ให้ดูกัน 3 ตัว ซีกหน้าเป็นตัวปลอม ซีกหลังเป็นตัวจริง ดังนี้ครับ

scvshost.exe <<<>>> svchost.exe
userinig.exe <<<>>> userinit.exe
Rudll32 <<<>>> Rundll32

ตามไปอ่าน ดูดีๆ ระหว่าง userinig.exe กับ userinit.exe ระวังพลาด! ได้อีกที่ครับ

วันหลังถ้าเจออีก จะรวบรวมมาแฉไว้อีกครับ วันนี้ขออนุญาต เอากาแฟไปอุ่นในไมโครเวฟก่อน เย็นชืดไปหมดแล้ว...สวัสดีครับผม


Create Date : 01 ตุลาคม 2550
Last Update : 16 ตุลาคม 2550 21:46:20 น. 8 comments
Counter : 1290 Pageviews.  
Share
 
 
 
 
สวัสดีค่ะ มาเยี่ยมครั้งแรก ขออนุญาตนำของมาฝากนะคะ
โครงการช่วยเหลือภาคใต้ค่ะ รบกวนช่วยเหลือและบอกต่อกันด้วยนะคะ
//www.carabao2524.com/board/show.php?ques_no=1449

ขอให้มีความสุขมากๆค่ะ
 
 

โดย: KhunnongOrn IP: 125.24.180.4 วันที่: 1 ตุลาคม 2550 เวลา:22:37:10 น.  

 
 
 
ที่ร้านก็มีหลายตัวเหมือนกันค่ะ ghost อย่างเดียวเลยค่ะ
 
 

โดย: malee2000 IP: 61.7.139.79 วันที่: 3 ตุลาคม 2550 เวลา:17:17:27 น.  

 
 
 
รบกวนถามเรื่องลบไวรัสใน savemodeนะคะ คือว่าใช้ nod32 แสกนไวรัสแล้วมันฟ้องว่าเจอไวรัสโทรจันฝังลึกมากไม่สามารถลบได้ อยากทราบว่าถ้าเราเข้าไปลบที่ save mode จะได้หรือไม่คะ แล้วมีขั้นตอนอย่างไรคะ
 
 

โดย: มิมิ IP: 125.25.197.222 วันที่: 5 ตุลาคม 2550 เวลา:1:28:10 น.  

 
 
 
ตอบคุณ มิมิ

ถ้าพบแล้ว ก็จด path มันไว้ครับ แล้วค่อยเข้าไปใน safemode เพื่อลบเองได้

แต่ส่วนมากที่ผมพบ มันจะเปลี่ยนชื่อหนีไปเรื่อยๆ หรือไม่ก็ซ่อนตัว หรือไม่ก็อย่างที่ผมเขียนถึงนี้ คือทำชื่อมาคล้ายๆ

ที่เราลบไม่ได้ หรือมันหนีเราได้ ก็เพราะมันทำงานแล้วนั่นเอง ผมว่า ถ้าหาแผ่น miniPE ซึ่างเป็นซีดีที่รันวินโดวส์ได้ เอามาเปิด แล้วสั่งสแกนฮาร์ดดิสก์ น่าจะเจอแล้วลบได้นะครับ

อีกทางนึงก็อาจจะ เอาชื่อมาเสิร์จใน google หรือใน pantip เพื่อหาข้อมูลที่คนอื่นๆอาจเจอแบบเราบ้างก็ได้

โชคดีครับผม...
 
 

โดย: mitrapap วันที่: 5 ตุลาคม 2550 เวลา:9:04:40 น.  

 
 
 

แล้วถ้าผมจะเช็คเครื่องของผมเอง ว่ามีตัวอะไรกำลังส่งข้อมูลออกไป ต้องทำอย่างไรครับ พอมีวิธีง่ายๆแนะนำไหมครับ
 
 

โดย: แดนน้อย วันที่: 5 ตุลาคม 2550 เวลา:22:22:31 น.  

 
 
 
ลิ้งก์นี้เลยครับคุณแดนน้อย

https://www.bloggang.com/viewblog.php?id=loongmit&date=22-07-2006&group=4&blog=15

น่าจะพอช่วยได้ หลักๆง่ายๆก็คือ ถ้าเราไม่ได้เปิดโปรแกรมอะไรไว้ ค่า System Idle Process จะต้อง 90 ขึ้นไป เกือบๆ 100 เลยยิ่งดี นั่นคือสภาวะ "ว่าง" ครับ

แต่ถ้าตัวนี้ไม่ค่อยว่าง แสดงว่ามีตัวอื่นทำงานอยู่ ก็ไล่หาดูได้ครับ จากนั้นค่อยวิเคราะห์ต่ออีกที ว่าที่กำลังรันอยู่นั้น เป็นของระบบเอง หรือว่าเป็นไวรัส ซึ่งบางครั้ง การตั้งค่าอะไรไม่ถูกต้อง ระบบวินโดวส์เองก็อาจมีการส่งข้อมูลออกได้เหมือนกันครับ
 
 

โดย: mitrapap วันที่: 6 ตุลาคม 2550 เวลา:11:12:48 น.  

 
 
 
ขอบคุณครับ จะลองดูครับ
พอดีวันทำงาน ผมไม่สามารถเข้า web blog ได้
ประมาณว่าที่ทำงานเขา blog
ก็เลยทำให้ผมเข้ามาอ่านช้า
 
 

โดย: แดนน้อย วันที่: 13 ตุลาคม 2550 เวลา:21:47:01 น.  

 
 
 
พอดี ไปเจอวิธีแก้ ไวรัส scvshost.exe
เลยเอามาฝากคุณมิตรภาพค่ะ

//ict.cmarea3.go.th/th/index.php?option=content&task=view&id=63

เว็บนี้ เขียนอธิบายเข้าใจง่ายเลย
 
 

โดย: ชมพู่.. IP: 58.9.91.160 วันที่: 26 ตุลาคม 2550 เวลา:14:25:01 น.  

Name
Opinion
*ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก

mitrapap
 
Location :
สระบุรี Thailand

[Profile ทั้งหมด]

ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 18 คน [?]

Free Domain Names @ .co.nr!
[Add mitrapap's blog to your web]

MY VIP Friend

 
pantip.com pantipmarket.com pantown.com