บทความโดย: ภานุมาศ ธรรมเวช
การกำจัดไวรัส SSCVIHOST และ BLASTCLNNN
อาการต้องสงสัย
1. คำสั่ง Folder Options ในคำสั่ง Tools หายไป

2. คำสั่ง Task Manager หายไป

3. ไม่สามารถใช้งานคำสั่ง regedit เพื่อแก้ไขค่า registry ได้
4. Virus จะสร้าง New Folder.exe และ ชื่อโฟลเดอร์.exe ให้เองอัตโนมัติ
1. หากเข้า Task Manager ไม่ได้ก็หมายถึงว่ามันต้องมี สิ่งไม่พึงประสงค์รันอยู่เป็นแน่ เราต้องใช้เครื่องมือเพิ่มเติมที่สามารถดาวน์โหลดได้จากเว็บไซต์ http://seminar.se-ed.com หรือ http://micro.se-ed.com โดยเป็นไฟล์ชื่อว่า TaskManager.zip

2. เมื่อแตกไฟล์ TaskManager.zip ออกมาแล้ว ก็ะพบกับไฟล์เครื่องมือเสริมสำหรับการกำจัดไวรัสนี้ 3 ตัวด้วยกันคือ procexp.exe, TaskManagerFix.exe และ UnHookExec.inf

3. ดับเบิ้ลคลิกเปิดไฟล์ procexp.exe ขึ้นมา เพื่อตรวจสอบ Process ที่แปลกปลอมภายในเครื่อง ถ้าเจอ SSCVIHOST.EXE, BLASTCLNNN.EXE หรือ ไฟล์ที่อยู่ในเครื่อง.EXE ทั้งหมดรันอยู่ ให้คลิกขวา Kill Process ทิ้งได้เลย

4. จากนั้นดับเบิ้ลคลิกไปที่ไฟล์ TaskManagerFix.exe เพื่อให้ Task Manager ของคอมพิวเตอร์ สามารถกลับมาทำงานได้ตามปกติ

และรูปที่ 7

5. เสร็จแล้วให้คลิกขวาลงบนไฟล์ UnHookExec.inf เลือก Install เพื่อแก้ไขให้สามารถเข้าใช้งาน Regedit ได้

6. ขั้นตอนต่อไปนี้ จะต้องเข้าไปแก้ไขในรากของเครื่องกันสักหน่อย โดยต้องเข้าไปลบในส่วนที่ฝังอยู่ภายในส่วนควบคุมของเครื่อง หรือที่ Registry ของเครื่องนั่นเอง โดยให้คลิกไปทีปุ่ม Start แล้วเลือกที่เมนู Run… จากนั้นพิมพ์ regedit ลงไป

7. หน้าต่าง Register Editor จะแสดงขึ้นมา

8. คลิกเลือกที่จุดสูงสุดตรง My Computer แล้วเลือกไปที่เมนู Edit เลือก Find แล้วพิมพ์ sscvihost ลงไป แล้วคลิกไปที่ปุ่ม Find Next

9. ถ้าค้นเจอคีย์ที่มีชื่อไวรัสข้างต้น ก็ให้กดปุ่ม Delete เพื่อลบได้เลย จากนั้นให้กดปุ่ม F3 เพื่อค้นหาต่อไปและลบทิ้งไปจนจบทุกคีย์ของ Registry

รูปที่ 12 เมื่อเจอคีย์ที่ไวรัสสร้างขึ้นมาก็ให้ทำการลบทิ้งไปทั้งหมด
10. เสร็จแล้วให้เลื่อนไปเลือกที่คีย์ My Computer เหมือนเดิมแล้วค้นหา โดยพิมพ์ blastclnnn ลงไปแทน แล้วทำการลบทิ้งให้หมดเช่นเดียวกัน การกำจัดไวรัสในระดับรากของเครื่องคอมพิวเตอร์ ก็เสร็จสิ้นลงแล้ว ขั้นตอนต่อไปคือการทำให้ Folder Options ที่อยู่ในเมนู Tools กลับมาทำงานได้เหมือนเดิม
11. คลิกเข้าไปที่คีย์ HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \policies\ Explorer หากพบว่ามีการสร้างคีย์ NoFolderOptions ขึ้นมา และกำหนดค่าเป็น 1 ก็ให้ดับเบิ้ลคลิกบนคีย์ดังกล่าว แล้วแก้ไขค่าให้เป็นศูนย์ “0” แทน

12. ออกจากโปรแกรม Regedit แล้วเปิด Windows Explorer ขึ้นมา โดยดับเบิ้ลคลิกบนไอคอน My Computer ก็ได้ จากนั้นเลือกไปที่เมนู Tools เลือก Folder Options ดูว่าเปิดได้ไหม ถ้าเปิดได้.เปลี่ยนค่าตามรูปที่ 14 เพื่อแสดงไฟล์ที่ซ่อนไว้ทั้งหมด ถ้าเปิดไม่ได้ก็ให้ไปทำขั้นตอนต่อไปก่อนก็ได้

รูปที่ 14 แก้ไขค่า Folder options ดังรูป
ขั้นตอนการติดตั้งเครื่องมือ กำจัดไวรัสในระดับราก และแก้ไขให้วินโดวส์กลับมาทำงานได้เหมือนเดิมนั้น ก็เป็นอันเสร็จสิ้นลง ขั้นตอนต่อไปคือการค้นหาไฟล์ไวรัส ที่เล่นซ่อนแอบกับเราอยู่ในโฟลเดอร์ต่างๆ เพื่อที่จะได้กำจัดออกไปให้สิ้นซากกันเลย
13. ทำการค้นหาไฟล์ต้องสงสัย โดยให้คลิกไปที่ปุ่ม Start แล้วเลือกไปที่เมนู Search เมื่อหน้าต่าง Search แสดงขึ้นมา ก็ให้พิมพ์ SSCVIHOST ลงไปแล้วคลิกปุ่ม Search ดังรูปที่ 15 และ 16 เมื่อเจอไฟล์ไวรัสแล้ว ห้ามดับเบิ้ลคลิกหรือเปิดไฟล์โดยเด็ดขาด ไม่เช่นนั้นมันจะกลับไปติดอีกเหมือนเดิม และจะต้องวนกลับไปทำกระบวนการตามขั้นต้นอีกครั้ง

รูปที่ 15 ค้นหาไฟล์ไวรัสด้วย Search

รูปที่ 16 เจอไฟล์ไวรัสแล้ว แต่ห้ามเปิดเด็ดขาด ไม่อย่างนั้นจะติดมันเข้าอีกครั้ง
14. ตรวจสอบดูคุณสมบัติของไฟล์ไวรัส ด้วยการคลิกขวาลงบนไฟล์ sscvihost.exe Properties เพื่อตรวจสอบไฟล์ที่พบว่ามีลักษณะอย่างไร จากหน้าต่างคุณสมบัติของไฟล์ พบว่าขนาดของไฟล์ (size) ที่เจอจะมีขนาดเท่าๆ กันคือประมาณ 238-239 KB และไฟล์ทั้งหมดถูกโมดิไฟล์ (Modified) ในวันเดียวกันทั้งหมด คือวันที่ 14 กันยายน 2550 ดังรูปที่ 17 สรุปแล้วไฟล์ไวรัสเป็นแบบ .exe มีขนาดไม่เกิน 240KB และโมดิไฟล์ในวันที่ 14/9/2550

15. ให้ลบไฟล์ไวรัสทั้งหมดในหน้าต่าง Search ด้วยการกดปุ่ม Ctrl + A เพื่อเลือกไฟล์ที่เจอทั้งหมด แล้วกดที่ปุ่ม Delete เพื่อลบ จากนั้นก็เคลียร์ถึงขยะทิ้งให้หมด
16. ทำการค้นหาอีกครั้งด้วยคำว่า BLASTCLNNN แล้วทำการลบทิ้งทั้งหมดเช่นเดียวกัน
17. ถ้าเครื่องคอมพิวเตอร์ ยังไม่สามารถเลือกไปที่ Folder Options… จากเมนู Tools ได้ ก็ให้ทำการรีสตาร์ตคอมพิวเตอร์ก่อนหนึ่งครั้ง
18. เปิดหน้าต่าง Search ขึ้นมาอีกครั้ง จากนั้นทำการค้นหาไฟล์อย่างละเอียดอีกครั้ง โดยใส่ค่าการค้นหาลงไปดังนี้ ช่อง All or part ot file name ใส่ค่า exe ช่อง Look in เลือกค่า Local hard drives คลิกเลือกที่ When was it modified เลือกไปที่ Specify dates แล้วใส่ค่า 14/9/2550 ลงไปในช่อง from และ to คลิกเลือกที่ What size is it แล้วใส่ค่า Specify size แล้วคลิกเลือกที่ At most ในช่องกำหนดค่าขนาดไฟล์ให้ใส่ค่า 240 ลงไป เพื่อให้ค้นหาไฟล์ที่มีขนาดไม่เกิน 240KB นั่นเอง ดังรูปที่ 18 แล้วคลิกที่ปุ่ม Search
19. เมื่อการค้นหาเสร็จสิ้นลง ก็ให้ดูไปที่ไฟล์ exe ที่มีขนาดประมาณ 238-240 KB โดยการคลิกไปที่แท็บ Size เพื่อให้จัดเรียงไฟล์ใหม่ตามขนาดของไฟล์ แล้วมองไปที่ช่วงไฟล์ขนาด 238-240 KB และมีไอคอนเป็นรูปโฟลเดอร์ของวินโดวส์ เมื่อเจอแล้วก็ให้เลือกทั้งหมด แล้วก็ลบทิ้งไปได้เลย (เคลียร์ถังขยะด้วย)
20. นำแฟลชไดรฟ์ที่ใช้งานอยู่ทั้งหมด มาค้นหาด้วยวิธีการเดียวกัน แล้วลบไฟล์ exe ที่ต้องสงสัยว่าเป็นไวรัสทิ้งให้หมด