วิธีแก้ไวรัสไอคอนเหมือน notepad                       eove.exe,ncedv.exe,kxox.pif                         
บทนำ
4 สค 51
วันนี้สมาชิกท่านหนึ่งส่งไวรัสมาครับ รูปร่างไอคอนโปรแกรมเป็นรูป notepad แต่เป็นชื่อ ncedv.exe
คลิกขวา properties จะบอกว่าเป็นของไมโครซอฟ
เท่ากับว่าดูจากลักษณะภายนอกแล้วไม่น่าจะใช่ไวรัสเลย สแกนด้วยโปรแกรมแอนตี้ไวรัสKaspersky Internet Security 7.0 ก็ไม่พบว่าเป็นไวรัส
เท่าที่เคยแก้ไวรัสมา พึ่งเคยเจอตัวนี้ครับ ที่ดูหน้าตาลักษณะแล้วเหมือนเป็นของไมโครซอฟมาก ผมว่ามันเอาไฟล์ notepad ของไมโครซอฟแหละครับ
มาแก้โค๊ดเอาไวรัสใส่เข้าไปครับ ส่วนชื่อนั้นมันน่าจะสุ่มสร้างครับ ยังระบุไม่ได้ครับ ที่รู้ตอนนี้คือ eove.exe,ncedv.exe ครับ
ไวรัสตัวนี้ติดจากแฟลชไดว์ฟ  เมื่อเราเปิดแฟลชไดว์ฟที่มีไวรัสไวรัสก็จะเริ่มทำงาน
อาการที่เห็นได้ชัดคือ หลังจากติดไวรัสคือ
เข้า regedit ไม่ได้ task manager ใช้ไม่ได้ เซตให้แสดงไฟล์ที่ซ่อนได้แค่แป๊บเดียวมันก็จะปิดซ่อนไว้เหมือนเดิมครับ
แต่ที่ร้ายที่สุดคือ ไวรัสตัวนี้เชื่อมต่อตัวเองไปยังไอพีหนึ่งครับ ซึ่งเช็คแล้วป็นไอพีของเมล์ครับ เท่ากับว่า หลังจากติดไวรัสตัวนี้แล้วมันจะส่งชื่อและรหัสผ่านของเราไปให้เมล์ของเจ้าของไวรัส ดังนั้นเมื่อติดไวรัสตัวนี้ อย่า!!!!!เข้าเมล์หรือเข้าเวบที่มีการใช้รหัสโดยเด็ดขาดนะครับ เพราะคุณจะโดนแฮกแน่ๆครับ เมื่อติดแล้วรีบแก้ดีกว่าครับ
เพราะเจ้าของไฟล์ไวรัสที่เขาส่งเมล์มาเขาเข้าเมล์ไม่ได้แล้วครับ คือใส่รหัสแล้วกด ล๊อคอินปุ๊บ มันจะนิ่งค้าง ซึ่งตอนที่ค้างนั้น ผมว่าไวรัสมันเอารหัสเราไปแล้วครับ
วิธีเช็คว่ากำลังติดไวรัสตัวนี้หรือไม่คือ เปิดแฟลชไดว์ฟแล้ว เซตให้แสดงไฟล์ที่ซ่อน (มันจะให้เราดูแป๊บหนึ่งครับ)
ในแฟลชไดว์ฟจะมีไฟล์ดังรูปครับ  ไฟล์ไวรัสจะจางๆ
ไฟล์ไวรัส จะมีไอคอนเป็น notepad ครับ ดูรูปสิครับ หากมันเขียนว่า Notepad แล้วไม่เซตให้มันจางละก็ ดูไม่ออกเลยนะครับ ไฟล์ที่สองเป็นไฟล์เรียกไวรัสขึ้นมาทำงานเมื่อเราดับเบิ้ลคลิกเปิดแฟลชไดว์ฟ
ไฟล์ที่สามเป็นไฟล์ที่ไวรัสสร้างขึ้นชั่วคราวครับ มันจะมีขึ้นมาแค่ครู่เดียวแล้วจะหายไปครับ
http://www.webphand.com/notepad/1.jpg

ขณะที่ติดไวรัสนี้ผมก็เปิดเครื่องมือช่วยแก้ต่างๆเปิดไปเปิดมา ก็มารู้ทีหลังว่า อ้าวไวรัสเข้ามาฝังในโปรแกรมช่วยแก้ไวรัสซะแล้ว
เพื่อความแน่ใจผมได้ลองติดหลายครั้งมาก มากกว่า10ครั้งได้ครับ เพื่อหาข้อสรุปการทำงานของไวรัสตัวนี้ จนในที่สุดก็ได้รู้ว่า
มันจะเข้าไปฝังตัวอยู่ในไฟล์ exe ต่างของเราครับ ที่มันจะฝังก็ไฟล์ที่เป็นนามสกุล .exe ในไดว์ฟซี  โฟลเดอร์ในไดว์ฟซี
โฟลเดอร์ในทุกไดว์ฟแหละครับ ใน My Documents ก็ด้วยนะครับ หากมีไฟล์ exe อยู่ เสร็จมันหมดครับ แต่ไม่พบว่าเข้าไปลึกๆขนาด
C:\Program Files นะครับ ไม่มีอะไรบอกได้ครับว่าไวรัสเข้าไปเกาะไฟล์ไหนบ้าง ตอนนี้มีทางเดียวที่เช็คได้คือ ต้องใช้โปรแกรม kaspersky เช็คครับ
เอาละครับ ลองมาแก้กันดูนะครับ โหลดเครื่องมือช่วยแก้มาก่อนครับ โหลดเครื่องอื่นที่ไม่ติดไวรัสตัวนี้ดีกว่านะครับ
เพราะว่าโหลดเครื่องที่ติดไวรัสตัวนี้อยู่ไวรัสมันจ้องที่จะเข้าไปฝังตัวในไฟล์ exe ของเราอยู่นะครับ เครื่องที่ต้องใช้ก็มี
Security Task Manager 1.7       ไฟล์แก้ให้แสดงไฟล์ที่ซ่อน       Kaspersky Internet Security 7.0   Crack (VIP)
ติดตั้งโปรแกรม Security Task Manager 1.7 แล้วเปิดขึ้นมาครับ แล้วจะเห็นไฟล์ลูกไวรัสทำงานอยู่ข้างบนๆครับ
ไฟล์ลูกๆของมันนี้ทำหน้าที่ส่งข้อมูลไปยังเจ้าของไวรัสครับ ข้อมูลนี้นน่าจะประมาณว่า  user และรหัสผ่านต่างๆของเราครับ
เช่นรหัสเข้าเมล์เป็นต้นครับ ให้คลิกขวา เอาออก ---->กักไฟล์นี้ไม่ให้ทำงาน (เอาเครื่องหมายถูกใต้นั้นออกด้วยครับ)
แล้วกดตกลงๆๆไปเรื่อยๆครับ ชื่อไฟล์ไวรัสของคุณไม่เหมือนในรูปนะครับ เพราะมนัสุ่มสร้างชื่อครับ สังเกตเอาครับ ชื่อมัน
โดยมันจะอยู่ที่ C:\Documents and Settings\ชื่อผู้ใช้\Local Settings\Temp
http://www.webphand.com/notepad/2.jpg
แล้วเปิดไฟล์แก้ให้แสดงไฟล์ที่ซ่อน ระหว่างนี้ห้ามไปเปิดอะไรเล่นนะครับ ไม่งั้นมันจะทำงานอีกครับ แล้วเข้า regedit
แล้วไปที่ คีย์
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
มองขวามือครับ
รูปแรกเป็นรูปจากคอมที่ไม่ติดไวรัสตัวนี้ครับ ให้ดูเทียบกับรูปที่สองครับ เพื่อดูเครื่องที่ไม่ติด กับเครื่องที่ติดอะครับ
หากเห็นคีย์ตามรูปแรกนี้อยู่ ไม่ต้องลบนะครับ
http://www.webphand.com/notepad/8.jpg

เครื่องที่ติดนั้นให้ลบบรรทัดที่คิดว่าเป็นไวรัสครับ เช่นมีพาธอยู่ที่ C:\Documents and Settings\ชื่อผู้ใช้\Local Settings\Temp
แล้วก็ชื่อไวรัสดังในรูปที่ผมวงแดงไว้ครับ วงชมพูนั้นเป็นไฟล์ที่ไวรัสพยายามเกาะเพื่อเปิดการเชื่อมต่อครับ ลบทิ้งก็ได้ครับ
http://www.webphand.com/notepad/7.jpg


แล้วรีบลงโปรแกรม
Kaspersky Internet Security 7.0 ครับหากเป็นบุคคลทั่วไป ลงแบบเป็น trial vertion(ใช้ได้30วัน)ข้อสองไปก่อนก็ได้ครับ
หากเป็นสมาชิก VIP อยู่แล้ว ก็เลือกเป็นข้อสามครับ  คลิกอ่าน      การติดตั้งแครก   โหลดไฟล์แครก (VIP)     วิธีลงอย่างละเอียด
http://www.webphand.com/notepad/3.jpg
ลงเสร็จแล้ว รีสตาร์ทเครื่องเซตค่าให้โปรแกรม Kaspersky Internet Security 7.0 ป้องกันการเปลี่ยนแปลงค่า registry ด้วยครับ โดยคลิกขวา
ที่โปรแกรมข้างล่างขวามือแล้วเลือก setting  ----->Proactive Defense  แล้วติ๊กถูกหน้า Enable Registry Guard ครับ รายละเอียดการตั้งค่าเพิ่มเติม
http://www.webphand.com/notepad/4.jpg

แล้วก็อัฟเดทโปรแกรมแอนตี้ไวรัสครับ แล้วลองเมื่อลองเปิดไฟล์ที่น่าจะติดไวรัสดูโปรแกรม Kaspersky  จะบอกว่ามีการเปลี่ยนแปลงค่าregistry
โดยคลิกขวาที่ Details ก็จะบอกว่ามีการเขียนค่าเซตให้ปิดการแสดงไฟล์ไฟล์ที่ซ่อน เมื่อคลิกตรง history ตรงวงสีชมพู ก็จะบอกรายละเอียดเพิ่มเติมครับว่าไฟล์นี้จะทำเขียนค่าอะไรบ้าง เมื่อเจอแบบนี้ให้กด Deny แล้วติ๊กถูกหน้า Create a rule ด้วยครับ
ถามอีกก็กดอีกไปเรื่อยๆครับ ลองเปิดเจอแบบนี้กับไฟล์ไหน ให้ลบไฟล์นั้นทิ้งเลยครับ
http://www.webphand.com/notepad/5.jpg

ผมได้ลองเปิดกับทุกๆไฟล์สักครู่ Kaspersky ปิดตัวเองลงครับ น่าจะโดนไวรัสพยายามเข้าไปฝังตัวอะครับ หากเป็นแบบนี้ก็ให้รีสตาร์ทเครื่องครับ
แล้ว kaspersky ก็จะกลับมาทำงานปกติครับ   หากเจอไฟล์ที่คิดว่าติดไวรัสในโฟลเดอร์ไหน แสดงว่าไฟล์ในโฟลเดอร์นั้น โดนไวรัสเข้าไปฝังหมดแล้วครับ
ลบทิ้งทั้งโฟลเดอร์เลยดีกว่าครับ นี่ก็อีกตัวอย่างครับ ผมเก็บไฟล์ช่วยแก้ไวรัส ไว้ในไดว์ฟ ดี ก็โดนมันเข้าไปฝังหมดครับ สังเกตตรง หน้าต่างHistory
นะครับ จะเห็นว่า 3บรรทัดแรกอะปกติครับ แต่บรรทัดที่4 นี่เป็นคำสั่งของไวรัสมันกำลังจะเซตให้ปิดการแสดงไฟล์ที่ซ่อนครับ

http://www.webphand.com/notepad/6.jpg

สรุปว่าการแก้ไขก็คือ ลบไฟล์ที่น่าสงสัยว่าไวรัสไปฝังออกให้หมดครับ แล้วลองโปรแกรมป้องกันการเขียนค่า registry ครับ
ไม่จำเป็นต้องเป็น kaspersky ก็ได้ครับ แต่ผมเห็นว่า kaspersky นี่แหละครับ เหมาะแล้วป้องกันไวรัสแล้วยังป้องกัน registry ได้ด้วย
ถึงแม้มันจะไม่รู้จักไวรัสตัวนี้ก็ตาม แต่หากเราเซตให้ป้องกันการเขียนค่าใน registry ไว้ไวรัสตัวนี้ไม่ติดเครื่องที่มีโปรแกรมนี้อยู่แน่ครับ
แนวทางป้องกันตอนนี้คือ หาโปรแกรมแอนตี้ออโต้รันมากันไว้ครับ ที่แนะนำคือ
CPE17 ครับ (CPE17ไม่ได้กันไวรัสนะครับ แค่เป็นโปรแกรมที่ลบไฟล์ autorun.inf ในแฟลชไดว์ฟครับ ซึ่งในไฟล์ autorun.inf นี้จะมีคำสั่งเรียกไวรัสในแฟลชไดว์ฟขึ้นมาทำงานอีกทีครับ
ภาวนาขอให้อย่าติดกันเลยนะครับ ผมกลัวว่าใครที่ไม่ได้ใช้ kaspersky แล้วติดไวรัสตัวนี้นี่โดนขโมยรหัสแน่ครับ
รหัสอีเมล์ไม่เท่าไหร่ กลัวจะรหัสพวกธนาคารออนไลน์นะสิครับ จะเสียหายเยอะครับ
เจอไวรัสถังขยะเกาะโปรเซสของตัวอื่นทำงาน ตอนนี้เจอไวรัสฝังตัวในโปรเซสเลย นับวันยิ่งจับยากเข้าทุกทีครับ
หากมีปัญหาในการลบไวรัสตัวนี้โทรปรึกษาผมได้24 ชั่วโมงครับ   089-7003025