សព្វថ្ងៃមានមេរោគកុំព្យូទ័រមានច្រើនប្រភេទណាស់ដែលកំពុងរាត្បាតអ្នកអ្នកប្រើប្រាស់កុំព្យូទ័រទូទៅ។
ក្នុងចំនោមមេរោគទាំងនោះ មានមេរោគមួយប្រភេទដែលមានឈ្មោះថា
Global.exe ដែលខ្មែរយើងច្រើនហៅថាមេរោគផ្កាយហោះ ព្រោះថាកាលមេរោគនេះឆ្លងចូលកុំព្យូទ័រណាមួយហើយ ក្នុងរយៈពេលប្រហែលមួយអាទិត្យក្រោយមក មេរោគ
នេះនិងធ្វើការអុកឡុកភ្លាម ដោយបង្ហារួបផ្កាយហោះនៅលើផ្ទាំងដេសថប ហើយមានអក្សរសរសេរថា “This computer is being attacted” ដូចរូបខាងក្រោម៖
+អំពីមេរោគ Global.exe
-ឈ្មោ៖ Global.exe
-ទំហ៊ំ 220 Kb ជួនកាលអាចលើសពីនេះ
-Extension .exe (នៅពេលវាបំបែកខ្លួនចូលកុំព្យូទ័រ) ឬ .com (Original virus)
Global.exe , System.exe , Svchost.exe
-បិទដំណើរការ Kill Process
-កែដំលៃក្នុង Regedit (Delete the registry value writen by virus)
-ស្វែងរក File virus ដែលមេរោគបានបំបែកចូលក្នុង hard drive ទាំងអស់រួចលុបចោល
១.បិទដំណើរការ Kill Process
ដើម្បីបិទដំណើរការ (Kill Process) របស់មេរោគ Global នេះគឺយើងត្រូវប្រើកម្មវិធី Cprocess។
ចុចពីរដងដើប្បីដំនើរការកម្មវិធីនេះ រួចយើងនិងឃើញ ដូចខាងក្រោម៖
ដើម្បីបិទ Process គឺត្រូវចុចលើដំនើរណាមួយយើយចុច Ctrl បន្ទាប់ចុចលើ Process ពីដ៏ទៃទៀត រួចចុចសញ្ញាខ្វែង ដើម្បី Kill Process។
បន្ទាប់ពីធ្វើដូច្នេះរួចមានន័យថា យើងបានបិទដំណើរការមេរោគនេះរួចរាល់ តែប្រសិនឃើញ Process នេះចេញមកទៀត សូមអនុវត្តដូចរបៀបខាងលើ។ ២. កែដំលៃក្នុង Regedit (Delete the registry value writen by virus
ចូលទៅកាន់ទីតាំងរបស់ Regedit ដែលស្ថិតនៅក្នុង Directory C:\windows\regedit.exe និងសូមចំណាំថាយើងមិនប្រើប្រាស់ Run ដើម្បីចូលទៅកាន់Regedit នោះ
ទេ ព្រោះថាមេរោគនេះបាន Link ភ្ជាប់ទៅកាន់ sytem files មួយចំនួនដូចជា Regedit, task manger ជាដើម កាលណាយើង Run ចួលទៅកាន់វា មេរោគនេះនិងដំនើរ
ការវិញដដែល។ ដូច្នេះដើម្បីជៀសវាងបញ្ហានេះ តោងយើងចូលឱ្យដល់ទីតាំងរបស់វា។ បន្ទាប់ពីចូលដល់ Regedit រួចចុចពីរដងលើវា ហើយចូលក្នុងទីតាំងនិងកែដំលៃ
របស់វាមួយចំនួន៖
01. HKEY_CLASS_ROOT\regfile\shell\open\command (ចុចពីរដងលើ Default រួចកែទៅជា regedit.exe”%1″)
02. HKEY_CLASS_ROOT\MSCfile\shell\open\command (ចុចពីរដងលើ Default រួចកែទៅជា %SystemRoot%\system32\mmc.exe “%1″ %)
03. HKEY_CLASS_ROOT\exefile (លុប NeverShow.ext)
04. HKEY_CLASS_ROOT\comfile (លុប NeverShow.ext)
05. HKEY_CLASS_ROOT\piffile (លុប NeverShow.ext)
06.HKEY_CURRENT_USER\control panel\desktop (កែ Scrnsave.exe ទៅជា C:\windows\system32\logon.scr)
07. HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows (លុប key keystem)
08. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (លុបទាំងអស់)
09. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (លុបទាំងអស់)
10. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System (លុប System)
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder (បន្ថែម d ទៅលើ ShowSuperHiden>ShowSuperHidden)
12. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies (លុប Explorer)
13. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (ចុចពីរដងលើ Default រួចលុបតម្លៃក្នុងDefualt ចោល)
14. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution option (លុបតម្លៃទាំងអស់ដែលមាន String ជា Debugger ហើយមានតម្លៃ Link ទៅរក File នៅទីតាំងណាមួយ)
៣. ស្វែងរក File virus ដែលមេរោគបានបំបែកចូលក្នុង hard drive ទាំងអស់រួចលុបចោល
ស្វែងរក (Search) ឯកសារមួយចំនួនដែលមានកន្ទុយ (Extensions) ជា *.exe *.pif *.com *.bat *.vbs នៅគ្រប់ hard drives ទាំងអស់រួចលុបចោល។
សូមចងចាំថាកាលណាយើង (Search) វានឹងបង្ហាញឯកសារទាំងអស់ដែលមាន Extensions ដូចដែលយើងបានបញ្ចូល ដូចនេះតោងលុបតែមេរោគ មិនត្រូវលុបផ្តេស
ផ្តាសនោះទេ។ នៅពេលស្វែងរករួចសូមមើលលទ្ធផលខាងក្រោម៖
ពិនិត្យមើលលក្ខណៈរបស់មេរោគ Global
ចុចម៉ៅស្តាំលើវា រួចយក Property
ដោយគ្រាន់តែទាញយក Script code ដែលសរសេរក្នុង Notepad រួចចុចពីរដង (Double Click) លើវា នោះមេរោគ Global និត្រូវបានសម្លាប់ដោយស្វ័យប្រវត្ត។
ទាញយក Script code
Global.exe ដែលខ្មែរយើងច្រើនហៅថាមេរោគផ្កាយហោះ ព្រោះថាកាលមេរោគនេះឆ្លងចូលកុំព្យូទ័រណាមួយហើយ ក្នុងរយៈពេលប្រហែលមួយអាទិត្យក្រោយមក មេរោគ
នេះនិងធ្វើការអុកឡុកភ្លាម ដោយបង្ហារួបផ្កាយហោះនៅលើផ្ទាំងដេសថប ហើយមានអក្សរសរសេរថា “This computer is being attacted” ដូចរូបខាងក្រោម៖
+អំពីមេរោគ Global.exe
-ឈ្មោ៖ Global.exe
-ទំហ៊ំ 220 Kb ជួនកាលអាចលើសពីនេះ
-Extension .exe (នៅពេលវាបំបែកខ្លួនចូលកុំព្យូទ័រ) ឬ .com (Original virus)
Origianl file និង file ដែលបានបំបែកខ្លួន
+អំពីដំនើរការ Process
មេរោគនេះមានដំនើរការ Process ចំនួនបីគឺGlobal.exe , System.exe , Svchost.exe
Process ទាំងបីរបស់ មេរោគ Global
+របៀបសម្លាប់មេរោគ Global.exe
ដូចដែលអ្នកស្រែបានរៀបរាប់ខាងដើមថា ដើម្បីសម្លាប់មេរោគត្រូវប្រើវិធីបីយ៉ាងគឺ៖-បិទដំណើរការ Kill Process
-កែដំលៃក្នុង Regedit (Delete the registry value writen by virus)
-ស្វែងរក File virus ដែលមេរោគបានបំបែកចូលក្នុង hard drive ទាំងអស់រួចលុបចោល
១.បិទដំណើរការ Kill Process
ដើម្បីបិទដំណើរការ (Kill Process) របស់មេរោគ Global នេះគឺយើងត្រូវប្រើកម្មវិធី Cprocess។
ចុចពីរដងដើប្បីដំនើរការកម្មវិធីនេះ រួចយើងនិងឃើញ ដូចខាងក្រោម៖
ចុចលើ ទាំងបីរួចចុចសញ្ញាខ្វែងដើម្បី Kill Process
ដើម្បីបិទ Process គឺត្រូវចុចលើដំនើរណាមួយយើយចុច Ctrl បន្ទាប់ចុចលើ Process ពីដ៏ទៃទៀត រួចចុចសញ្ញាខ្វែង ដើម្បី Kill Process។
បន្ទាប់ពីធ្វើដូច្នេះរួចមានន័យថា យើងបានបិទដំណើរការមេរោគនេះរួចរាល់ តែប្រសិនឃើញ Process នេះចេញមកទៀត សូមអនុវត្តដូចរបៀបខាងលើ។ ២. កែដំលៃក្នុង Regedit (Delete the registry value writen by virus
ចូលទៅកាន់ទីតាំងរបស់ Regedit ដែលស្ថិតនៅក្នុង Directory C:\windows\regedit.exe និងសូមចំណាំថាយើងមិនប្រើប្រាស់ Run ដើម្បីចូលទៅកាន់Regedit នោះ
ទេ ព្រោះថាមេរោគនេះបាន Link ភ្ជាប់ទៅកាន់ sytem files មួយចំនួនដូចជា Regedit, task manger ជាដើម កាលណាយើង Run ចួលទៅកាន់វា មេរោគនេះនិងដំនើរ
ការវិញដដែល។ ដូច្នេះដើម្បីជៀសវាងបញ្ហានេះ តោងយើងចូលឱ្យដល់ទីតាំងរបស់វា។ បន្ទាប់ពីចូលដល់ Regedit រួចចុចពីរដងលើវា ហើយចូលក្នុងទីតាំងនិងកែដំលៃ
របស់វាមួយចំនួន៖
01. HKEY_CLASS_ROOT\regfile\shell\open\command (ចុចពីរដងលើ Default រួចកែទៅជា regedit.exe”%1″)
02. HKEY_CLASS_ROOT\MSCfile\shell\open\command (ចុចពីរដងលើ Default រួចកែទៅជា %SystemRoot%\system32\mmc.exe “%1″ %)
03. HKEY_CLASS_ROOT\exefile (លុប NeverShow.ext)
04. HKEY_CLASS_ROOT\comfile (លុប NeverShow.ext)
05. HKEY_CLASS_ROOT\piffile (លុប NeverShow.ext)
06.HKEY_CURRENT_USER\control panel\desktop (កែ Scrnsave.exe ទៅជា C:\windows\system32\logon.scr)
07. HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows (លុប key keystem)
08. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (លុបទាំងអស់)
09. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (លុបទាំងអស់)
10. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System (លុប System)
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder (បន្ថែម d ទៅលើ ShowSuperHiden>ShowSuperHidden)
12. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies (លុប Explorer)
13. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (ចុចពីរដងលើ Default រួចលុបតម្លៃក្នុងDefualt ចោល)
14. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution option (លុបតម្លៃទាំងអស់ដែលមាន String ជា Debugger ហើយមានតម្លៃ Link ទៅរក File នៅទីតាំងណាមួយ)
៣. ស្វែងរក File virus ដែលមេរោគបានបំបែកចូលក្នុង hard drive ទាំងអស់រួចលុបចោល
ស្វែងរក (Search) ឯកសារមួយចំនួនដែលមានកន្ទុយ (Extensions) ជា *.exe *.pif *.com *.bat *.vbs នៅគ្រប់ hard drives ទាំងអស់រួចលុបចោល។
សូមចងចាំថាកាលណាយើង (Search) វានឹងបង្ហាញឯកសារទាំងអស់ដែលមាន Extensions ដូចដែលយើងបានបញ្ចូល ដូចនេះតោងលុបតែមេរោគ មិនត្រូវលុបផ្តេស
ផ្តាសនោះទេ។ នៅពេលស្វែងរករួចសូមមើលលទ្ធផលខាងក្រោម៖
លទ្ធផលពេលស្វែងរករួច
លទ្ធផលពេស្វែងរក *.com រួច
ចុចម៉ៅស្តាំលើវា រួចយក Property
Property របស់មេរោគ Global
អវសាន្ត
ចំពោះអ្នកដែលមើលរបៀបណែនាំខាងលើមិនយល់ អ្នកស្រែមានវិធីមួយទៀត ដែលជាវិធីយ៉ាងងាយបំផុតក្នុងការសំលាប់មេរោគនេះដោយមិនចាំបាច់ចំណាយពេលយូរ។ដោយគ្រាន់តែទាញយក Script code ដែលសរសេរក្នុង Notepad រួចចុចពីរដង (Double Click) លើវា នោះមេរោគ Global និត្រូវបានសម្លាប់ដោយស្វ័យប្រវត្ត។
ទាញយក Script code
