5

สามารถ Download จากที่ Server PH1 ได้ที่นี่

วิธีกำจัดไวรัสที่โปรแกรม Anti-Virus ตรวจไม่พบด้วย HijackThis

ในปัจจุบันไวรัสคอมพิวเตอร์ยังคงเป็นปัญหาหนักอกสำหรับผู้ที่ชอบท่องอินเตอร์เน็ต หรือผู้ที่ใช้งานโปรแกรมต่างๆที่ต้องมีการต่ออินเตอร์เน็ต เช่น MSN Messenger โดยความรุนแรงของไวรัสเหล่านี้จะมีตั้งแต่เบาะๆ จนถึงขั้นทำลายฮาร์ดแวร์ได้เลยทีเดียว

เพื่อนๆที่สังเกตว่าเครื่องคอมพิวเตอร์ของตัวเองมีอาการผิดปกติต่างๆ เช่น มีหน้าต่างอะไรเด้งขึ้นมารบกวนตลอด หรือ เครื่องช้าลงแบบผิดสังเกต ถ้าหากอาการเหล่านี้ไม่สามารถตรวจพบที่มาได้ด้วยโปรแกรม Anti-Virus ต่างๆ ผมขอแนะนำให้เพื่อนๆใช้โปรแกรมสารพัดประโยชน์ ที่จะช่วยเพื่อนๆในการกำจัดไวรัสถึงราก (กำจัดตั้งแต่ขั้น process ไปจนถึงระดับรีจิสทรี) ซึ่งเจ้าโปรแกรมตัวนี้มีชื่อว่า HijackThis ครับ

HijackThis เป็นโปรแกรมสำหรับใช้ตรวจสอบว่าหน่วยประมวลผล (running process) หรือ รีจิสทรี (registry) ตัวใดเป็นไวรัส หรือมีความเสี่ยงที่จะเป็นไวรัส โดยเฉพาะอย่างยิ่งไวรัสที่อาจปลอมชื่อให้เหมือน process ตัวใดตัวหนึ่งของเครื่อง ซึ่งถ้าเราเกิดลบไวรัสเหล่านี้ผิด ไปลบเอา process ที่จำเป็นของเครื่องออกแทน ก็อาจทำให้ระบบทำงานผิดปกติได้ครับ

สำหรับการใช้งาน HijackThis มีขั้นตอนง่ายๆดังนี้ครับ

วิธีใช้งาน HijackThis

1. ดาวน์โหลด HijackThis มาจากเว็บหลัก - Trend Micro เสียก่อน (เลือก Download HijackThis Installer นะครับ)

2. จากนั้นให้ดับเบิ้ลคลิกไอคอน HJTInstall.exe ที่ดาวน์โหลดมาไว้ในเครื่อง และคลิก Install เพื่อติดตั้ง

3. ติดตั้งเสร็จ เพื่อนๆก็จะได้ไอคอน HijackThis เพิ่มเข้ามาบน Desktop พร้อมหน้าต่าง Hijackthis ที่เปิดขึ้นมา

ให้เพื่อนๆคลิกที่ Do a system scan and save a log file เพื่อทำการสแกนเครื่อง (ใช้เวลาประมาณ 30 วินาทีครับ)

4. หลังจากนั้นโปรแกรมก็จะทำการเรียงรายชื่อหน่วยประมวลผลที่ทำงานอยู่ พร้อมด้วยรีจิสทรีทั้งหมดในเครื่องของเรา ไว้ภายในหน้าต่างของโปรแกรม และจะมีหน้าต่าง HijackThis.log ซึ่งเป็นไฟล์ text ปรากฎขึ้นมาให้ดูด้วย

ไฟล์ Hijackthis.log จะถูกเก็บไว้ในโฟลเดอร์ที่เราเลือกลงโปรแกรมครับ ถ้าเพื่อนๆไม่ได้ทำการเปลี่ยนจุดลงโปรแกรม มันก็จะถูกเก็บไว้ที่นี่ครับ

C:\Program Files\Trend Micro\HijackThis\

5. ขั้นตอนต่อไป ให้เพื่อนๆเข้าไปที่เว็บไซต์ HijackThis Log File Analyzer แล้วทำการ browse ไปหาไฟล์ Hijackthis.log จากตำแหน่งในข้อ 4 และคลิกที่ Analyze ครับ

6. เมื่อทำการตรวจสอบ Log File ของเราแล้ว เราก็จะพบกับการรายงานผลในหน้าเว็บ โดยให้ดูที่สัญลักษณ์เหล่านี้ครับ

สัญลักษณ์นี้หมายถึงยี่ห้อของระบบปฎิบัติการที่เราใช้อยู่ครับ รูปที่เพื่อนๆเห็นนี้เป็นตัวแทนของระบบปฏิบัติการ Windows XP ครับ ถ้าเป็น MAC OSX ก็อาจจะเป็นอีกรูปหนึ่ง เป็นต้น

ถ้าเจอสัญลักษณ์นี้ หมายความว่า process หรือ registry นั้น ไม่ใช่ไวรัส หรือไม่มีความเสี่ยงที่จะเป็นไวรัสครับ

ถ้าเป็นรูปนี้แสดงว่า process หรือ registry ในช่องนั้น เป็นไวรัส หรือเป็นโปรแกรมที่แอบส่งข้อมูลจากเครื่องเราออกไปครับ ให้เพื่อนๆตรวจดูชื่อของโปรแกรมในช่องที่พบสัญลักษณ์นี้ว่าเป็นโปรแกรมที่เพื่อนๆรู้จักหรือไม่ ถ้าไม่ก็ให้เตรียมลบมันได้เลยครับ (ดูขั้นตอนต่อไป)

สัญลักษณ์นี้ใช้สำหรับบอกโปรแกรมที่ HijackThis ไม่รู้จัก และอาจมีความเสี่ยงที่จะเป็นไวรัส ให้เพื่อนๆลองตรวจสอบในช่องด้านซ้ายของสัญลักษณ์ว่าเป็นโปรแกรมนี้ เป็นโปรแกรมที่เพื่อนๆเป็นผู้ติดตั้งไว้หรือไม่ ถ้าไม่ก็สามารถเลือกที่จะลบได้ครับ (หรือถ้าไม่แน่ใจก็สามารถนำไปโพสถามได้ที่ forum ของ HijackThis ได้ครับ)

วิธีลบไฟล์ไวรัส หรือไฟล์ที่มีความเสี่ยงที่จะเป็นไวรัสด้วย HijackThis

สมมติว่าผมเจอไฟล์ที่คาดว่าจะเป็นไวรัสอยู่สองไฟล์ โดยไฟล์ทั้งสองมีชื่อเดียวกันกับ process ที่จำเป็นกับ windows ทุกประการ นั่นก็คือ csrss.exe และ smss.exe ครับ

Note: เพื่อนๆสามารถตรวจสอบว่า process ใดเป็น process ที่จำเป็นในการทำงานของ windows โดยการนำชื่อ process ที่ต้องการตรวจสอบ มาทำการค้นหาที่เว็บนี้ครับ ProcessLibrary.com ซึ่งถ้าเป็น process ที่จำเป็นมันก็จะถูกแสดงเป็น SAFE และมีคำอธิบายว่าเป็น Microsoft Windows System… อยู่ด้านล่างครับ

การแสดงผลของไวรัสสองตัวด้านบนนี้คือ ทำให้เครื่องคอมพิวเตอร์มีอัตราการใช้งานหน่วยประมวลผลกลาง (CPU) สูงถึง 99% - 100% ตลอดเวลา (สามารถตรวจสอบได้โดยการกด Ctrl+Alt+Delete และดูหน้า process ของ task manager) อีกทั้งจุดเด่นของไวรัสสองตัวนี้ก็คือชื่อที่เหมือนกันกับ process สองตัวที่จำเป็นดังกล่าว จึงทำให้เพื่อนๆจึงไม่สามารถลบไฟล์ทั้งสองนี้ด้วยวิธีลบมันตรงๆได้เลย

หลังจากใช้ HijackThis ในการตรวจสอบ ผมก็สามารถแยกแยะได้ทันทีว่า process ตัวไหนเป็นของจริง ตัวไหนเป็นไวรัส โดยดูจากสัญลักษณ์กากบาทนั่นเอง

เมื่อพบว่าไฟล์ใดเป็นไวรัสแล้ว ผมก็จัดการดูตำแหน่งที่มันสิงอยู่ภายในเครื่อง จากด้านซ้ายมือของสัญลักษณ์กากบาท (ตำแหน่งในตัวอย่างคือ C:\Windows\System\csrss.exe) แล้วจึงกลับไปที่โปรแกรม HijackThis ที่เปิดไว้ ต่อด้วยทำเครื่องหมายถูกหน้าตำแหน่งของไฟล์ที่ดูมา และคลิกที่ Fix Checked เพื่อทำการลบครับ

เท่านี้แหละครับ สำหรับวิธีลบไวรัสที่ไม่สามารถกำจัดได้ด้วยโปรแกรม anti-virus ด้วย HijackThis สำหรับเพื่อนๆที่ไม่แน่ใจว่าไฟล์ที่ขึ้นสัญลักษณ์ [ ? ] เป็นไวรัสหรือไม่ ก็สามารถโพสถามได้ที่ HijackThis Forum ได้เลยครับ