svchost   วิธีแก้ไวรัส svchost

ขออภัยที่ต้องตั้งชื่อนี้เพราะไม่รู้ว่าจะตั้งชื่ออะไรครับ เป็นชื่อนี้เพราะว่า ในโปรแกรมเช็คไวรัส phand.exe นั้นมันขึ้นเป็นตัวนี้ครับ

svchost นั้นที่จริงแล้วเป็นไฟล์service ของวินโดว์ครับ
อาการของไวรัสตัวนี้คือเืมื่อติดไวรัสตัวนี้แล้ว จะทำให้เข้าเนตไม่ได้ ทั้งที่ได้ IP GATEWAY แล้ว หากใช้โปรแกรมซ่อมไอพีก็ยังซ่อมไม่หายครับ
ไวรัสตัวนี้ผมได้มาจากเครื่องนายผมเลยนะครับ(พันตำรวจโท กุลวิช)ไม่รู้ว่าท่านได้มาจากไหน ทำให้เครื่องท่านต่อเนตไม่ได้เลย
เมื่อติดแล้วลองใช้โปรแกรมเช็คโปรเซสไวรัสชื่อ phand.exe แ้ล้วก็จะเป็นไฟล์ svchost ทำงานอยู่ อย่างที่บอกนะครับ มันเป็นไฟล์ service ของ
วินโดว์

ดังนั้นเมื่อมันทำงานอยู่    เมื่อเราเอาเมาท์ไปจ่อมัน(ในโปรแกรม phand นะ)มันจะฟ้องอยู่ว่ามันเป็นของ service อะไรอยู่แต่หากเป็นไวรัส
มันจะไม่บอกอะไรเลย ลองดูตัวอย่างตามรูปครับ ( เมื่อเอาเมาท์ชี้มันจะบอกครับว่าเป็นService ของอะไร)
รูปแรกไม่ใช่ไวรัส ( เป็นservice ของ DNS)
http://www.webphand.com/svchost/1.jpg

รูปที่สอง ไวรัสครับ (มันจะไม่ขึ้นอะไรเลย)
http://www.webphand.com/svchost/2.jpg

ตอนนี้ก็รู้แล้วนะครับว่ามันคือไวรัส เราก็คลิกขวาที่โปรเซส svchost นอกคอกตัวนี้แล้วเลือกคำสั่ง Del ครับ แล้วกด Yes ครับ ดังรูปครับ
http://www.webphand.com/svchost/3.JPG

ตอนนี้ไวรัสก็หยุดแล้วครับ ต่อไปก็ปิดไม่ให้มันขึ้นมาทำงานอีกครับ
ตัวนี้ใช้ hijack this อย่างเดียวไม่ได้ครับ เพราะเป็นไฟล์ service แต่ก็ต้อง
เปิด hijack this ขึ้นมาก่อนครับแล้วก็คลิกเลือกบรรทัดที่สั่งให้มันขึ้นมาทำงานครับ ผมไม่บอกหรอกครับว่าบรรทัดไหน เพราะว่า............
ชื่อมันไม่เคยเหมือนกันครับเลยครับ คลิกกี่ทีๆมันเปลี่ยนชื่อไปเรื่อยครับ ต้องอาศัยดูชื่อมันครับที่อยู่ไฟลืที่มันเรียกขึ้นมาทำงานจะอยู่
ใน C:\WINDOWS\system32  ชื่อมันจะแปลกๆครับ แล้วก็ลองเข้าไปดูใน msconfig ด้วย มันจะอยู่ในนั้นด้วยครับ โดย
Run------>msconfig ----->services แล้วไปติ๊กถูกตรง Hide all microsoft service ครับแล้วมันจะขึ้นมา หากลงโปรแกรมไว้เยอะก็เลือกไม่ถูกเหมือนกันนะครับ
ดูตัวอย่างละกันครับ โดยปกติคุณจะมีแค่ตัวเดียว แต่ป่านคลิก4 ครั้งมันก็สร้างservice หลอกขึ้นมา4 ตัวครับ ดังรูปครับ
ให้เอาเครื่องหมายถูกออกหน้าบรรทัดนั้นให้หมดครับ แล้วกด OK
( หน้าบรรทัดที่มั่นใจว่าเป็นไวรัสนะครับ อ้างอิงจากในหน้าต่างโปรแกรม Hijack this ด้วยนะครับ )
http://www.webphand.com/svchost/4.JPG

แล้วเราก็มาเปิด hijack this ครับ เพื่อคลิกถูกแล้ว Fix checked คำเตือน ห้ามใช้โปรแกรมhijack this แก้ก่อน msconfig เพราะว่ามันไม่สำเร็จครับ
ต้องเอาเครื่องหมายถูกหน้า service ในหน้าต่าง msconfig ออกก่อนครับถึงจะใช้โปรแกรม hijack this Fix checked ได้ครับ ตามรูป
ชื่อมันจะเหมือนใน msconfig ครับ ป่านเปิด4 ตัวมันก็มี4 ตัว (ก่อนคลิก Fix checked แนะนำให้จดชื่อไวรัสไว้ก่อนครับ เช่นตัวแรกของป่านชื่อahuib.exe
อยู่ใน C:\WINDOWS\system32
http://www.webphand.com/svchost/5.jpg

ต่อไปก็ลบไฟล์ไวรัส ที่เราจดไว้ใน C:\WINDOWS\system32 ครับ ต้องตั้งค่าแสดงไฟล์ที่ซ่อนก่อนนะครับ ถึงจะมองเห็นมัน
คลิกอ่านวิธีตั้งค่าแสดงไฟล์ที่ซ่อน

แล้วก็รีสตาร์ทครับ แล้วเมื่อบูตขึ้นมาจะมีหน้าต่างขึ้นมา ให้คลิกถูกในช่องสี่เหลี่ยมแล้วกด OK ครับ

แล้วก็ปิดการตั้งค่าแสดงไฟล์ที่ซ่อนด้วยครับ อ่านวิธีปิดการตั้งค่าแสดงไฟล์ที่ซ่อน

เรียบร้อยแล้วครับ