การกำจัดไวรัส SSCVIHOST และ BLASTCLNNN

บทความโดย: ภานุมาศ ธรรมเวช

การกำจัดไวรัส SSCVIHOST และ BLASTCLNNN

ประมาณกลางเดือนตุลาคม ถึงต้นเดือนพฤศจิกายนที่ผ่านมา ในออฟฟิศของบริษัทแผนกวารสารได้ติดไวรัสชนิดหนึ่งกันอย่างงอมแงม หลังจากแก้ปัญหาที่คอมพิวเตอร์เครื่องหนึ่งเรียบร้อยแล้ว มันก็จะไปโผล่อีกเครื่องหนึ่งที่อยู่ในวงแลนเดียวกัน ส่วนคอมพิวเตอร์เครื่องที่ไหวตัวทันทำการปิดโฟลเดอร์ที่เปิดแชร์แบบ Full ไว้ หรือไม่ก็ถอดสายแลนออก ก็ใช่ว่าจะรอดพ้นไปจากไวรัสร้ายตัวนี้เนื่องจากเป็นไวรัสที่ติดกันได้ทางแฟลชไดรฟ์หรือยูเอสบีไดรฟ์ บนคอมพิวเตอร์ที่ไม่ได้เปิดให้โชว์นามสกุลของไฟล์ก็จะเผลอดับเบิ้ลคลิกลงบนไฟล์ไวรัสได้ง่ายมาก

เนื่องจากไวรัสจะสร้างไฟล์ exe ของตัวเองขึ้นมาใหม่ไว้ ด้วยการนำชื่อโฟลเดอร์ที่มันอาศัยอยู่มาเป็นชื่อไฟล์และใช้ไอคอนที่เป็นรูปโฟลเดอร์ของระบบปฏิบัติการวินโดวส์ จึงเป็นไปตามที่กล่าวมาแล้วว่า การดับเบิ้ลคลิกลงบนไฟล์ไวรัสตัวนี้เป็นเรื่องที่เผลอได้ง่ายมาก และไวรัสร้ายตัวนี้ก็มีชื่อว่า SSCVIHOST หรือ BLASTCLNNN นั่นเอง

ไวรัสซึ่งเป็นเวิร์มชนิดหนึ่งตัวนี้ สร้างความรำคาญให้กับผู้ใช้งานคอมพิวเตอร์ได้พอสมควร หากติดเข้าไปแบบเข้าเต็มรูปแบบก็จะทำให้เครื่องคอมพิวเตอร์ทำงานช้าลงอย่างเห็นได้ชัด โดยตัวไวรัสจะสร้างโฟลเดอร์ออกมาซ้ำๆ กัน ในทุกโฟลเดอร์ เป็นชื่อโฟลเดอร์นั้นๆ แต่เป็นนามสกุล exe หากเผลอไปเปิดเข้า มันจะกระจายตัวอย่างรวดเร็วไปยังรากของเครื่อง และจะรันก่อกวนตลอดเวลา ทำให้เครื่องอืดจนสังเกตได้ แล้วหากมีอุปกรณ์ใดๆ เข้ามาต่อกับเครื่องหรือ Share File ระหว่างโฟลเดอร์นั้นๆ มันก็จะไปฝังยังอุปกรณ์หรือคอมพ์ตัวอื่นๆ แล้วก่อกวนต่อไปเป็นวงกว้าง ไวรัสตัวนี้มีรายงานว่ามีความร้ายแรงพอสมควร อาจจะทำให้ฮาร์ดดิสก์เจ๊งไปเลยก็ได้ ถ้าไม่รีบจัดการตั้งแต่เนิ่นๆ

อาการต้องสงสัย

1. คำสั่ง Folder Options ในคำสั่ง Tools หายไป

ดังรูปที่ 1


2. คำสั่ง Task Manager หายไป
ดังรูปที่ 2


3. ไม่สามารถใช้งานคำสั่ง regedit เพื่อแก้ไขค่า registry ได้
4. Virus จะสร้าง New Folder.exe และ ชื่อโฟลเดอร์.exe ให้เองอัตโนมัติ

เนื่องจากโปรแกรม Scan Virus บางตัวอาจกำจัดไวรัสตัวนี้ได้ แต่ก็ใช่ว่าจะสามารถใช้ได้กับทุกเครื่อง ดังนั้นเรามาดูวิธีกำจัดแบบแมนน่วล ฆ่าไวรัสตัวนี้ทิ้งกันเองด้วยมือ ซึ่งทดสอบแล้วให้ผลที่พึงพอใจได้เป็นอย่างดี

1. หากเข้า Task Manager ไม่ได้ก็หมายถึงว่ามันต้องมี สิ่งไม่พึงประสงค์รันอยู่เป็นแน่ เราต้องใช้เครื่องมือเพิ่มเติมที่สามารถดาวน์โหลดได้จากเว็บไซต์ http://seminar.se-ed.com หรือ http://micro.se-ed.com โดยเป็นไฟล์ชื่อว่า TaskManager.zip

ดังรูปที่ 3



2. เมื่อแตกไฟล์ TaskManager.zip ออกมาแล้ว ก็ะพบกับไฟล์เครื่องมือเสริมสำหรับการกำจัดไวรัสนี้ 3 ตัวด้วยกันคือ procexp.exe, TaskManagerFix.exe และ UnHookExec.inf

ดังรูปที่ 4



3. ดับเบิ้ลคลิกเปิดไฟล์ procexp.exe ขึ้นมา เพื่อตรวจสอบ Process ที่แปลกปลอมภายในเครื่อง ถ้าเจอ SSCVIHOST.EXE, BLASTCLNNN.EXE หรือ ไฟล์ที่อยู่ในเครื่อง.EXE ทั้งหมดรันอยู่ ให้คลิกขวา Kill Process ทิ้งได้เลย

ดังรูปที่ 5



4. จากนั้นดับเบิ้ลคลิกไปที่ไฟล์ TaskManagerFix.exe เพื่อให้ Task Manager ของคอมพิวเตอร์ สามารถกลับมาทำงานได้ตามปกติ

ดังรูปที่ 6


และรูปที่ 7



5. เสร็จแล้วให้คลิกขวาลงบนไฟล์ UnHookExec.inf เลือก Install เพื่อแก้ไขให้สามารถเข้าใช้งาน Regedit ได้

ดังรูปที่ 8

ขั้นตอนในการติดตั้งเครื่องมือช่วยเหลือ เพื่อกำจัด SSCVIHOST และ BLASTCLNNN ก็เป็นอันเสร็จสิ้นลง ขั้นตอนต่อไปก็จะเป็นการเริ่มต้นกำจัดไวรัสตัวนี้กันแล้ว พร้อมแล้วมาลุยกันเลย

6. ขั้นตอนต่อไปนี้ จะต้องเข้าไปแก้ไขในรากของเครื่องกันสักหน่อย โดยต้องเข้าไปลบในส่วนที่ฝังอยู่ภายในส่วนควบคุมของเครื่อง หรือที่ Registry ของเครื่องนั่นเอง โดยให้คลิกไปทีปุ่ม Start แล้วเลือกที่เมนู Run… จากนั้นพิมพ์ regedit ลงไป
ดังรูปที่ 9



7. หน้าต่าง Register Editor จะแสดงขึ้นมา
ดังรูปที่ 10



8. คลิกเลือกที่จุดสูงสุดตรง My Computer แล้วเลือกไปที่เมนู Edit เลือก Find แล้วพิมพ์ sscvihost ลงไป แล้วคลิกไปที่ปุ่ม Find Next
ดังรูปที่ 11



9. ถ้าค้นเจอคีย์ที่มีชื่อไวรัสข้างต้น ก็ให้กดปุ่ม Delete เพื่อลบได้เลย จากนั้นให้กดปุ่ม F3 เพื่อค้นหาต่อไปและลบทิ้งไปจนจบทุกคีย์ของ Registry


รูปที่ 12 เมื่อเจอคีย์ที่ไวรัสสร้างขึ้นมาก็ให้ทำการลบทิ้งไปทั้งหมด


10. เสร็จแล้วให้เลื่อนไปเลือกที่คีย์ My Computer เหมือนเดิมแล้วค้นหา โดยพิมพ์ blastclnnn ลงไปแทน แล้วทำการลบทิ้งให้หมดเช่นเดียวกัน การกำจัดไวรัสในระดับรากของเครื่องคอมพิวเตอร์ ก็เสร็จสิ้นลงแล้ว ขั้นตอนต่อไปคือการทำให้ Folder Options ที่อยู่ในเมนู Tools กลับมาทำงานได้เหมือนเดิม

11. คลิกเข้าไปที่คีย์ HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \policies\ Explorer หากพบว่ามีการสร้างคีย์ NoFolderOptions ขึ้นมา และกำหนดค่าเป็น 1 ก็ให้ดับเบิ้ลคลิกบนคีย์ดังกล่าว แล้วแก้ไขค่าให้เป็นศูนย์ “0” แทน
ดังรูปที่ 13



12. ออกจากโปรแกรม Regedit แล้วเปิด Windows Explorer ขึ้นมา โดยดับเบิ้ลคลิกบนไอคอน My Computer ก็ได้ จากนั้นเลือกไปที่เมนู Tools เลือก Folder Options ดูว่าเปิดได้ไหม ถ้าเปิดได้.เปลี่ยนค่าตามรูปที่ 14 เพื่อแสดงไฟล์ที่ซ่อนไว้ทั้งหมด ถ้าเปิดไม่ได้ก็ให้ไปทำขั้นตอนต่อไปก่อนก็ได้


รูปที่ 14 แก้ไขค่า Folder options ดังรูป

ขั้นตอนการติดตั้งเครื่องมือ กำจัดไวรัสในระดับราก และแก้ไขให้วินโดวส์กลับมาทำงานได้เหมือนเดิมนั้น ก็เป็นอันเสร็จสิ้นลง ขั้นตอนต่อไปคือการค้นหาไฟล์ไวรัส ที่เล่นซ่อนแอบกับเราอยู่ในโฟลเดอร์ต่างๆ เพื่อที่จะได้กำจัดออกไปให้สิ้นซากกันเลย

13. ทำการค้นหาไฟล์ต้องสงสัย โดยให้คลิกไปที่ปุ่ม Start แล้วเลือกไปที่เมนู Search เมื่อหน้าต่าง Search แสดงขึ้นมา ก็ให้พิมพ์ SSCVIHOST ลงไปแล้วคลิกปุ่ม Search ดังรูปที่ 15 และ 16 เมื่อเจอไฟล์ไวรัสแล้ว ห้ามดับเบิ้ลคลิกหรือเปิดไฟล์โดยเด็ดขาด ไม่เช่นนั้นมันจะกลับไปติดอีกเหมือนเดิม และจะต้องวนกลับไปทำกระบวนการตามขั้นต้นอีกครั้ง


รูปที่ 15 ค้นหาไฟล์ไวรัสด้วย Search


รูปที่ 16 เจอไฟล์ไวรัสแล้ว แต่ห้ามเปิดเด็ดขาด ไม่อย่างนั้นจะติดมันเข้าอีกครั้ง



14. ตรวจสอบดูคุณสมบัติของไฟล์ไวรัส ด้วยการคลิกขวาลงบนไฟล์ sscvihost.exe Properties เพื่อตรวจสอบไฟล์ที่พบว่ามีลักษณะอย่างไร จากหน้าต่างคุณสมบัติของไฟล์ พบว่าขนาดของไฟล์ (size) ที่เจอจะมีขนาดเท่าๆ กันคือประมาณ 238-239 KB และไฟล์ทั้งหมดถูกโมดิไฟล์ (Modified) ในวันเดียวกันทั้งหมด คือวันที่ 14 กันยายน 2550 ดังรูปที่ 17 สรุปแล้วไฟล์ไวรัสเป็นแบบ .exe มีขนาดไม่เกิน 240KB และโมดิไฟล์ในวันที่ 14/9/2550



15. ให้ลบไฟล์ไวรัสทั้งหมดในหน้าต่าง Search ด้วยการกดปุ่ม Ctrl + A เพื่อเลือกไฟล์ที่เจอทั้งหมด แล้วกดที่ปุ่ม Delete เพื่อลบ จากนั้นก็เคลียร์ถึงขยะทิ้งให้หมด
16. ทำการค้นหาอีกครั้งด้วยคำว่า BLASTCLNNN แล้วทำการลบทิ้งทั้งหมดเช่นเดียวกัน
17. ถ้าเครื่องคอมพิวเตอร์ ยังไม่สามารถเลือกไปที่ Folder Options… จากเมนู Tools ได้ ก็ให้ทำการรีสตาร์ตคอมพิวเตอร์ก่อนหนึ่งครั้ง

หลังจากที่เราได้ทราบถึงคุณสมบัติข้อต่างๆ ของไฟล์ไวรัสแล้ว คราวนี้ก็ถึงขั้นตอนการกำจัดไฟล์อื่นๆ ที่ไวรัสตัวนี้สร้างขึ้นมา ซึ่งจะมีชื่อแตกต่างกันออกไปตามชื่อโฟลเดอร์ที่มีอยู่ในคอมพิวเตอร์เครื่องนั้นๆ ถ้าเผลอไปคลิกเปิดเมื่อไหร่ก็จะติดไวรัสนี้เข้าอีกครั้งอย่างแน่นอน

18. เปิดหน้าต่าง Search ขึ้นมาอีกครั้ง จากนั้นทำการค้นหาไฟล์อย่างละเอียดอีกครั้ง โดยใส่ค่าการค้นหาลงไปดังนี้ ช่อง All or part ot file name ใส่ค่า exe ช่อง Look in เลือกค่า Local hard drives คลิกเลือกที่ When was it modified เลือกไปที่ Specify dates แล้วใส่ค่า 14/9/2550 ลงไปในช่อง from และ to คลิกเลือกที่ What size is it แล้วใส่ค่า Specify size แล้วคลิกเลือกที่ At most ในช่องกำหนดค่าขนาดไฟล์ให้ใส่ค่า 240 ลงไป เพื่อให้ค้นหาไฟล์ที่มีขนาดไม่เกิน 240KB นั่นเอง ดังรูปที่ 18 แล้วคลิกที่ปุ่ม Search

19. เมื่อการค้นหาเสร็จสิ้นลง ก็ให้ดูไปที่ไฟล์ exe ที่มีขนาดประมาณ 238-240 KB โดยการคลิกไปที่แท็บ Size เพื่อให้จัดเรียงไฟล์ใหม่ตามขนาดของไฟล์ แล้วมองไปที่ช่วงไฟล์ขนาด 238-240 KB และมีไอคอนเป็นรูปโฟลเดอร์ของวินโดวส์ เมื่อเจอแล้วก็ให้เลือกทั้งหมด แล้วก็ลบทิ้งไปได้เลย (เคลียร์ถังขยะด้วย)

20. นำแฟลชไดรฟ์ที่ใช้งานอยู่ทั้งหมด มาค้นหาด้วยวิธีการเดียวกัน แล้วลบไฟล์ exe ที่ต้องสงสัยว่าเป็นไวรัสทิ้งให้หมด

สุดท้ายขอฝากคำแนะนำว่า การเปิดแฟลชไดรฟ์อย่าให้เปิดโดย Autorun ให้เปิดโดย Windows Explorer แทน หากพบไฟล์ exe แปลกๆ ก็ให้ลบทิ้งทันที และการแชร์โฟลเดอร์ในคอมพิวเตอร์ที่ใช้งาน ก็แนะนำให้แชร์แบบ Read Only อย่าแชร์ Full แล้วให้ผู้ที่ต้องการไฟล์เข้ามาคัดลอกไฟล์ไปเอง ถ้าเขาต้องการแชร์ไฟล์กลับให้เรา ก็ให้เขาแชร์ Read Only ที่เครื่องเขา แล้วเราเข้าไปดึงไฟล์มาแทน เขาไม่ต้องส่งไฟล์เข้ามาที่เครื่องเรา

ขอเสริมอีกนิดหนึ่ง จากการที่ได้ใช้งานโปรแกรมแอนติ้ไวรัส NOD32 ปรากฎว่าไม่มีการเตือนการตรวจพบไวรัสชนิดนี้แต่อย่างใด ไม่ว่าจะเป็นคอมพิวเตอร์เครื่องที่ติดเข้ากับไวรัสตัวนี้แล้ว หรือเครื่องคอมพิวเตอร์ที่ยังไม่ติดกับไวรัสตัวนี้ แต่ได้มีการนำแฟลชไดรฟ์ที่มีไวรัสตัวนี้แฝงตัวอยู่ มาเสียบเข้าที่พอร์ต USB และสั่งให้เปิดแฟ้มต่างๆ ที่อยู่บนตัวไดรฟ์ ดังนั้นทางกองบรรณาธิการนิตยสารไมโครคอมพิวเตอร์ ได้ทดลองเปลี่ยนไปใช้งานโปรแกรมป้องกันไวรัส BitDefender Internet Securtiy ปรากฏว่าคอมพิวเตอร์สามารถฟ้องว่ามีการติดไวรัสตัวนี้ และในคอมพิวเตอร์เครื่องที่ยังไม่ติดไวรัส แต่ได้นำแฟลชไดรฟ์ที่มีไวรัสมาเสียบและเปิดไฟล์ต่างๆ โปรแกรม BitDefender ก็สามารถตรวจจับได้ว่ามีไวรัสแฝงอยู่ และแสดงหน้าต่างข้อความเตือนว่ามีไวรัสที่อันตรายอยู่ในไฟล์ต่างๆ ในแฟลชไดรฟ์ ข้อความเตือนนั้นบอกว่ามีไฟล์ไวรัส Win32.Worm.Sohanat.Y ติดอยู่ ทำให้สามารถหยุดยั้งการใช้งานไฟล์ต่างๆ ลงได้ ซึ่งเป็นการหยุดการแพร่กระจายไวรัสและป้องกันด้วยการลบไฟล์ต่างๆ ที่ติดไวรัสทิ้งไปเสียก่อนที่มันจะทำงานได้ อย่างไรก็ตามโปรแกรมทั้งสองยังไม่สามารถดำเนินการกำจัดไวรัสตัวนี้ออกไปจากเครื่องคอมพิวเตอร์ได้โดยอัตโนมัติ จะต้องใช้เครื่องมือเสริมและการลบไฟล์ไวรัสทิ้งด้วยตัวเอง ตามวิธีการที่อธิบายมาข้างต้น แต่การเตือนว่ามีไวรัสจาก BitDefender ย่อมให้ประโยชน์ในการป้องกันการแพร่กระจายไวรัสได้ดีกว่าโปรแกรม NOD32 ที่ไม่มีการเตือนใดๆ ขึ้นมาเลย

--- END ---

Ad-Aware 2008 Free/Professional 7.1.0.8

ก่อนอื่นต้องขอขอบคุณบทความดีๆ จาก www.antivirus.in.th มีบทความทางด้านไอทีน่าอ่านเยอะครับ และสามารถติดตามข่าวสารไวรัสอัพเดทหลายบทความ จึงขออนุญาตินำบทความนี้มาอัพเดทให้เพื่อนๆ ชาว Blog ได้ติดตาม.

Ad-Aware 2008 Free/Professional 7.1.0.8

เปิดตัวแล้วครับ..!!! สำหรับเครื่องมือป้องกันสปายแวร์ฟรี ของค่าย Lavasoft Ad-Aware 2008 ครับ โปรแกรมสามารถป้องกันคอมพิวเตอร์ของคุณจากภัยคุกคามของสปายแวร์มัลแวร์และโปรแกรมไม่พึงประสงค์ ที่จะเข้าสู่เครื่องคอมพิวเตอร์ของคุณ ขณะเล่นอินเตอร์เน็ต เว็บไซต์ ดังนั้นเราจึงจำเป็นต้องสร้างความปลอดภัยจากการใช้งานเหล่านี้

มาดูหน้าตาของตัวโปรแกรม Ad-Aware 2008 กันครับ ตามภาพเลย.



เว็บไซต์ผู้ผลิต Lavasoft
ดาวน์โหลด Ad-Aware 2008 Free Edition 7.1.0.8
ดาวน์โหลด Ad-Aware 2008 Professional 7.1.0.8

ขอขอบคุณ : www.antivirus.in.th


อ่านบทความเพิ่มเติมได้ที่ Click.