วิธีเช็คไวรัสวิธีที่หนึ่งวิธีเช็คขั้นพื้นฐานนั้นใช้
Process Explorer ครับ แล้วลองดูรูปที่มีโปรเซสไวรัสดูนะครับ (มีไวรัสทั้ง5รูปเลยครับ)
วิธีสังกต คือโปรเซสไวรัสส่วนมาก มักจะไม่มีไอคอนเป็นของตัวเอง จะมีเป็นสีขาวหรือเป็นรูปโฟลเดอร์ซะเป็นส่วนมาก จะไม่มี company name หรือ
desscliption name บอก หรือมีแถบสีชมพู(ม่วงๆ)คลุมอยู่
(รูปที่สองนั้น wscript นั้นไม่ใช่ไวรัสนะครับ เป็นไฟล์ของ windows ครับ แต่โดนไวรัสยืมมาใช้ครับ
วิธีแก้ไวรัสประเภทนี้ต้องลบคำสั่งที่สั่งให้ไวรัสทำงานครับ)
วิธีเช็คแบบที่สองจะละเอียดกว่าวิธีที่หนึ่งเพราะว่าวิธีเช็ควิธีแรกนั้นจะเช็คเห็นไวรัสที่นามสกุล .exe .bat .com. vbs เท่านั้นครับ
วิธีที่สองนั้น จะเช็คได้ทั้งหมดครับ ครอบคลุมถึงนามสกุล .dll ด้วยครับ เพราะว่าไวรัสประมาณว่า มีลิ้งค์โฆษณาเด้งขึ้นมา
หรือ ไวรัสจำพวกหลอกว่าเครื่องเราติดไวรัส
เมื่อติดตั้งแล้วเปิดโปรแกรมขึ้นมา แล้วสังเกตดูรูปตามตัวอย่างครับ
หมายเหตุในรูปนี้มี service Pack3 Messages อยู่ ขอแจ้งว่าไม่ใช่ไวรัสนะครับ ห้ามทำอะไรกับไฟล์นี้เด็ดขาดครับ ไฟล์บนสุดไฟล์เดียวครับคือไวรัส
ตามตัวอย่างรูปที่เห็นข้างบน คือตัวอย่างเมื่อมีไวรัสทำงานอยู่ สังเกตว่า
ชื่อไวรัสมันจะแปลกๆ
Rating จะสูง(ตัวเลขที่มีสีแดงคลุมอยู่) แล้วก็มักอยู่บนสุดครับ
ช่อง Title,Description ก็จะว่างๆไม่บอกว่าใครคือเจ้าของ
หากมั่นใจว่าเป็นไวรัส ก็ คลิกขวา Remove.. del แล้วเลือก Move To quarantine กด OK แล้วลองรีสตาร์ท ดูเมื่อเปิดขึ้นมาใหม่ดูว่าหายหรือไม่
หากเราทำผิดตัว ทำไปแล้วโปรแกรมเราเออเร่อ เราก็กู้คืนได้ครับ โดยไฟล์ที่เรา Remove.. del ไปเมื่อกี๊จะถูกนำไปกักไว้ครับ ยังไม่ถูกลบครับ
วิธีกู้คืนก็คลิกปุ่มเมนูข้างบนโปรแกรม ปุ่ม Quarantine ครับ แล้วจะเห็นไฟล์ที่เราRemove.. del ไปเมื่อกี๊ครับหากต้องการกู้ก็คลิก restore
หรือหากเป็นไวรัสแน่นอนก็คลิก Delete เลยครับ
ครั้งก่อนเจอไวรัสตัวนึง ทำให้ svchost.exe กิน process 100%
ใน windows\temp มี 2 ไฟล์ที่เห็นได้ว่าหลอก ก็คือ svchost.exe กับ wuauclt.exe
เล่นไม่ยาก ลบ windows\temp ก่อน
สร้าง windows\temp ใหม่ ด้วยคำสั่ง
md c:\windows\tempสร้างโฟลเดอร์ 2 ชื่อนี้ขึ้นมาเลยครับ
md c:\windows\temp\svchost.exe
md c:\windows\temp\wuauclt.exe
ไวรัส ทำงานไม่ได้เพราะ โดนแย่งที่อยู่ซะแล้ว
ที่มา:webphand.com
