วิธีการลบวิธีการลบ adware Laserveradedomaina แบบ CLI

วิธีการลบวิธีการลบ adware Laserveradedomaina แบบ CLI

Oct 19, 2023 - 17:40
Dec 3, 2023 - 01:04
 157
วิธีการลบวิธีการลบ adware Laserveradedomaina แบบ CLI
วิธีการลบวิธีการลบ adware Laserveradedomaina แบบ CLI
adware ชื่อ Laserveradedomaina.com มีลักษณะการทำงานแบบ redirecting เมื่อใช้งานเปิด web browser จะเพิ่มโฆษณาแสดงแท็บ Laserveradedomaina.com เช่น มันขึ้นมาทุกครั้งที่เปิดคอม
แล้วเล่นคอมไปซักพักมันก็ขึ้นมาเอง ขึ้นมาทีละหลายแท็บมากอย่างต่อเนื่อง บทความนี้ เป็นแนวทางหนึ่งในการใช้ Command Line ยิง Process การทำงานของ Laserveradedomaina.com
สามารถตรวจสอบการทำงานของ adware ดังนี้
ขั้นตอนดำเนินการ
1.ขณะใช้งาน Web Browser นั้น จะพบแท็บ Laserveradedomaina.com รันขึ้นมาอย่างต่อเนื่อง
2.กดปุ่ม Control + Alt + Delete เลือก Task Manager > แท็บ Details > พบว่ามีการ Running ของ Process xxxxxxxxx.tmp ขนาด 2XXX K จำนวนมาก (พระเอก)
3.เลือก Process xxxxxxxxx.tmp > คลิกขวา Open file location พบว่าไฟล์นั้นเก็บอยู่ที่ Path C:\Users\XXX\AppData\Local\Temp\xxxxxxxxx.tmp
4.ย้อนกลับมาที่ Task Manager > ทำการลบ Process โดยการคลิกขวาเลือก End process tree
5.กด Windows + R พิมพ์ %appdata% กดปุ่ม OK > ตรวจสอบ 2 Path C:\Users\XXX\AppData\Local\Temp และ C:\Users\XXX\AppData\Roaming > เลือก Folder ที่ต้ังชื่อไฟล์แบบแปลกๆ กดปุ่ม Shift + Delete
ข้อมูลภายใน Folder ที่ต้ังชื่อไฟล์แบบแปลกๆ
6.พบ Alert แจ้งเตือนว่า File in Use ไม่สามารถลบได้
7.คลิกที่แว่นขยายพิมพ์ cmd พบ Command Prompt > คลิกขวา Run as administrator > พิมพ์คำสั่ง wmic process list brief กด Enter จะแสดง Process ที่รันอยู่หลัง Background ทั้งหมด
8.สังเกตุพบว่าจะมี ไฟล์ชื่อเดียวกัน แต่นามสกุลต่างกัน xxxxxxxxx.exe และ xxxxxxxxx.tmp รันอยู่คู่กัน
9.ใช้คำสั่ง C:\>wmic process list brief > checkprocessrunning.csv เพื่อทำการ Export ไฟล์ออกเป็นไฟล์ CSV
10.จากนั้นใช้คำสั่ง CLI เพื่อยิง Process ที่รันอยู่ทิ้งก่อน มีตัวอย่างดังนี้
C:\>wmic process list brief > checkprocessrunning.csv
C:\>wmic process 9856 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9856″
Instance deletion successful.
C:\>wmic process 9884 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9884″
Instance deletion successful.
C:\>wmic process 9928 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9928″
Instance deletion successful.
C:\>wmic process 9960 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9960″
Instance deletion successful.
C:\>wmic process 9992 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9992″
Instance deletion successful….
11.กลับไป ตรวจสอบ 2 Path C:\Users\XXX\AppData\Local\Temp และ C:\Users\XXX\AppData\Roaming > กด Shift + Delete Folder ที่ต้ังชื่อไฟล์แบบแปลกๆ ออกทั้งหมด > Restart เครื่อง

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow