จากเหตุการณ์ที่โดนไวรัส ISUSPM.exe เข้าสิงเครื่อง
ค้นหาข้อมูลก็เจอน้อย วิธีจัดการก็น้อยตาม จึงมาบอกเล่าเผื่อใครเจอเข้ากับตัว
เมื่อไวรัสเข้าสิง ถ้าช่างสังเกตนิดหนึ่ง ตอนเปิดเครื่องเข้าสู่วินโดว์พอเข้า Destop มันจะขึ้นหน้าตาไวมากระพริบ (อาจเพราะลงวินโดว์ใน SSD ด้วย) ทีนี้จะแน่ใจได้อย่างไรว่าว่าโดนเข้าให้แล้ว นี่เลยเข้าไปที่ Internet Options จะพบว่า Lan Setting ไม่สามารถกดเข้าไปได้ และด้านล่างจะมีรูปคล้าย ! สีน้ำเงิน
และข้อความ "some setting are managed by your system administrator"
และถ้าเข้าไปเช็ค Proxy ผ่านทางหน้า Setting ของ Windows10 ในหัวข้อ Use a proxy server ช่อง Address มี http=127.0.0.1:8080;https=127.0.0.1:8080 อยู่ด้วย ซึ่งลบออกแล้ว กลับเข้าไปมันก็จะกลับคืนมาเหมือนเดิม
และอีก 1 ที่สามารถดูได้ก็คือ Task Manager ตัว Processes จะวิ่งวนมั่วไปหมด แต่ถ้ากด Fewer details จะเห็น Processes 1 ตัวที่รันอยู่ คือ "InstallShieldUpdate"
และสามารถเข้าไปค้นเจอได้ที่ C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
ส่วนใน Registry เข้าไปคาดหวังว่าจะเจอตามเคสที่คนอื่นเจอ (HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion) แต่ปรากฏว่าไม่ แต่มันมีแน่นอน
เพิ่มเติม คือ Browser ที่ใช้ search เวลาพิมพ์ค้นหาอะไรจะไม่แสดงผล บนหัวบาร์จะขึ้น
https://www.google.co.th/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8 (ประมาณนี้จำได้คร่าวๆ) ซึ่งตัว chrome ถ้าสังเกตในช่องค้นหาด้านหลังจะเป็นรูปไมค์ แต่พอค้นหาไม่ได้รอบแรก มันก็จะเปลี่ยนไปเป็นรูปคีย์บอร์ด ต้องพิมพ์ค้นหาซ้ำอีกรอบ ถึงจะขึ้นแสดงผล
ถึงแม้จะติดไวรัสแล้วเรายังสามารถใช้บราวซ์เซอร์ออกเนตไปปกติ และลงแอนตี้ไวรัส Malwarebyte Adwcleaner ได้ปกติ แต่เดี๋ยวก่อน เมื่อไหร่ที่คุณรัน Antivirus Malwarebyte Adwcleaner ขึ้นมาสแกนและลบเมื่อไหร่ มันปิดตายอินเตอร์เนตทันที บราวซ์เซอร์ทุกตัวจะไม่สามารถใช้งานได้ หรือแม้แต่กระทั้ง End Task ตัว Processes "InstallShieldUpdate" มันก็ปิดเนตทันที (รีเครื่องเนตก็กลับมาพร้อมกับมัน ในกรณียังไม่ได้สแกนและลบ)
กรณีของผมติดทั้ง 2 เครื่องและข้อมูลน้อย ประกอบกับความไม่รู้ จึงทำการ Secure Erase SSD แล้วลงวินโดว์ใหม่ เพราะคิดว่าคงจบปัญหา แต่
หลังจากลงวินโดว์ใหม่ และลงโปรแกรมเสร็จเกือบทั้งหมด (โปรแกรมทั้งหมดมีมาก่อนการติดไวรัสและไม่มีการลงเพิ่มเติม และมีเพียง Malwarebyte ตัวฟรีเท่านั้นในเครื่อง ไม่มีแอนตี้ไวรัสตัวอื่น เนื่องจากไม่เคยติดไวรัสมานานหลายปีแล้ว) พร้อมทั้งลง Antivirus Malwarebyte เรียบร้อยพร้อมสแกน พร้อมทั้งสร้างจุดเพื่อ Restore ระหว่างนั้นก็เข้าเวปไซร์เพียงเล็กน้อย เช่น Pantip goolgle เพื่อหาข้อมูลไวรัสตัวนี้ และก็ยังหวั่นๆ ก็กลับไปเช็คที่ Internet Options อยู่เนืองๆ ปรากฏว่าไม่มีความผิดปกติ แต่หลังจากทดสอบรีเครื่อง Antivirus จับได้ จึงทำการลบและสแกนตัวตัวอื่นๆ ซ้ำ และลบส่วนที่เหลือ (มันติดมาจากไหนอีกละ ตรวจสอบในส่วนขยายของ google chrome ก็ไม่มีตัวอื่นใดนอกจากส่วนที่เป็นของ Chrome เอง) แต่ใน Internet Options ก็ยังมีข้อความ "some setting are managed by your system administrator" และเข้า Lan Setting ได้ นั้นแปลว่าติดอีกแล้ว
ตัดสินใจสุดท้าย Restore กลับไปเช็คทุกอย่าง คือปกติไม่มีติดไวรัส เพื่อความไม่ประมาท ลง Antivirus และ Malwarebyte อีกครั้งอัฟเดท
และเข้า Safe mode
-ปุ่ม windows+R พิมพ์ msconfig
-เลือกแท็ป Boot ติกด้านล่างเลือก Safe mode กด Yes พอเข้า Safe mode แล้ว
-คลิกวาที่ Start Manu เลือก Run พิมพ์ Regedit
จากนั้นใช้ Find ค้นหา ISUSPM เจอละที่นี้ 2 โฟลเดอร์ จัดการลบทิ้งทั้งยวง
เปิด Malwarebyte สแกนในโหมดนี้ เจออีกประมาณ 4-5 โดยประมาณซึ่งไม่ใช่ตัวใหม่แต่ตัวนี้เลย ISUSPM ลบทิ้ง
เปิด Antivirus สแกน ไม่พบสิ่งผิดปกติ
หลังจากนั้นรีเครื่องเข้าโหมดปกติ แล้วเข้าไปลบ C:\Program Files\Common Files เจอตัวนี้ลบเลย InstallShield\UpdateService\ISUSPM.exe ทั้งยวง
เพิ่มเติมเข้าไปลบในไดร์ C ด้วยมันจะอยู่ C:\ProgramData\InstallShield (ต้องเปิด Hidden Items ก่อนถึงจะเจอ ProgramData)
***ห้ามสแกนใดๆ ทั้งสิ้นในโหมดปกติ หรือแม้แต่ End Task หรือลบตัวมันทิ้ง InstallShield\UpdateService\ISUSPM.exe เพราะมันจะปิดตาย Browser และมันจะกลับมาหลังรีเครื่อง***
ณ ตอนที่พิมพ์กระทู้ทุกอย่างอยู่ในขั้นปกติแล้ว
ปล กระทู้นี้ตั้งเพื่อเป็นแนวทางของผู้ไม่รู้ เพื่อจัดการปัญหา
Edit เพิ่มเติมรายละเอียดส่วนที่ขาดและนึกขึ้นได้
ไวรัสป่วนเนต ISUSPM.exe ปิดตาย Browser แนะแนวทางแก้ไข
ค้นหาข้อมูลก็เจอน้อย วิธีจัดการก็น้อยตาม จึงมาบอกเล่าเผื่อใครเจอเข้ากับตัว
เมื่อไวรัสเข้าสิง ถ้าช่างสังเกตนิดหนึ่ง ตอนเปิดเครื่องเข้าสู่วินโดว์พอเข้า Destop มันจะขึ้นหน้าตาไวมากระพริบ (อาจเพราะลงวินโดว์ใน SSD ด้วย) ทีนี้จะแน่ใจได้อย่างไรว่าว่าโดนเข้าให้แล้ว นี่เลยเข้าไปที่ Internet Options จะพบว่า Lan Setting ไม่สามารถกดเข้าไปได้ และด้านล่างจะมีรูปคล้าย ! สีน้ำเงิน
และข้อความ "some setting are managed by your system administrator"
และถ้าเข้าไปเช็ค Proxy ผ่านทางหน้า Setting ของ Windows10 ในหัวข้อ Use a proxy server ช่อง Address มี http=127.0.0.1:8080;https=127.0.0.1:8080 อยู่ด้วย ซึ่งลบออกแล้ว กลับเข้าไปมันก็จะกลับคืนมาเหมือนเดิม
และอีก 1 ที่สามารถดูได้ก็คือ Task Manager ตัว Processes จะวิ่งวนมั่วไปหมด แต่ถ้ากด Fewer details จะเห็น Processes 1 ตัวที่รันอยู่ คือ "InstallShieldUpdate"
และสามารถเข้าไปค้นเจอได้ที่ C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
ส่วนใน Registry เข้าไปคาดหวังว่าจะเจอตามเคสที่คนอื่นเจอ (HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion) แต่ปรากฏว่าไม่ แต่มันมีแน่นอน
เพิ่มเติม คือ Browser ที่ใช้ search เวลาพิมพ์ค้นหาอะไรจะไม่แสดงผล บนหัวบาร์จะขึ้น https://www.google.co.th/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8 (ประมาณนี้จำได้คร่าวๆ) ซึ่งตัว chrome ถ้าสังเกตในช่องค้นหาด้านหลังจะเป็นรูปไมค์ แต่พอค้นหาไม่ได้รอบแรก มันก็จะเปลี่ยนไปเป็นรูปคีย์บอร์ด ต้องพิมพ์ค้นหาซ้ำอีกรอบ ถึงจะขึ้นแสดงผล
ถึงแม้จะติดไวรัสแล้วเรายังสามารถใช้บราวซ์เซอร์ออกเนตไปปกติ และลงแอนตี้ไวรัส Malwarebyte Adwcleaner ได้ปกติ แต่เดี๋ยวก่อน เมื่อไหร่ที่คุณรัน Antivirus Malwarebyte Adwcleaner ขึ้นมาสแกนและลบเมื่อไหร่ มันปิดตายอินเตอร์เนตทันที บราวซ์เซอร์ทุกตัวจะไม่สามารถใช้งานได้ หรือแม้แต่กระทั้ง End Task ตัว Processes "InstallShieldUpdate" มันก็ปิดเนตทันที (รีเครื่องเนตก็กลับมาพร้อมกับมัน ในกรณียังไม่ได้สแกนและลบ)
กรณีของผมติดทั้ง 2 เครื่องและข้อมูลน้อย ประกอบกับความไม่รู้ จึงทำการ Secure Erase SSD แล้วลงวินโดว์ใหม่ เพราะคิดว่าคงจบปัญหา แต่
หลังจากลงวินโดว์ใหม่ และลงโปรแกรมเสร็จเกือบทั้งหมด (โปรแกรมทั้งหมดมีมาก่อนการติดไวรัสและไม่มีการลงเพิ่มเติม และมีเพียง Malwarebyte ตัวฟรีเท่านั้นในเครื่อง ไม่มีแอนตี้ไวรัสตัวอื่น เนื่องจากไม่เคยติดไวรัสมานานหลายปีแล้ว) พร้อมทั้งลง Antivirus Malwarebyte เรียบร้อยพร้อมสแกน พร้อมทั้งสร้างจุดเพื่อ Restore ระหว่างนั้นก็เข้าเวปไซร์เพียงเล็กน้อย เช่น Pantip goolgle เพื่อหาข้อมูลไวรัสตัวนี้ และก็ยังหวั่นๆ ก็กลับไปเช็คที่ Internet Options อยู่เนืองๆ ปรากฏว่าไม่มีความผิดปกติ แต่หลังจากทดสอบรีเครื่อง Antivirus จับได้ จึงทำการลบและสแกนตัวตัวอื่นๆ ซ้ำ และลบส่วนที่เหลือ (มันติดมาจากไหนอีกละ ตรวจสอบในส่วนขยายของ google chrome ก็ไม่มีตัวอื่นใดนอกจากส่วนที่เป็นของ Chrome เอง) แต่ใน Internet Options ก็ยังมีข้อความ "some setting are managed by your system administrator" และเข้า Lan Setting ได้ นั้นแปลว่าติดอีกแล้ว
ตัดสินใจสุดท้าย Restore กลับไปเช็คทุกอย่าง คือปกติไม่มีติดไวรัส เพื่อความไม่ประมาท ลง Antivirus และ Malwarebyte อีกครั้งอัฟเดท
และเข้า Safe mode
-ปุ่ม windows+R พิมพ์ msconfig
-เลือกแท็ป Boot ติกด้านล่างเลือก Safe mode กด Yes พอเข้า Safe mode แล้ว
-คลิกวาที่ Start Manu เลือก Run พิมพ์ Regedit
จากนั้นใช้ Find ค้นหา ISUSPM เจอละที่นี้ 2 โฟลเดอร์ จัดการลบทิ้งทั้งยวง
เปิด Malwarebyte สแกนในโหมดนี้ เจออีกประมาณ 4-5 โดยประมาณซึ่งไม่ใช่ตัวใหม่แต่ตัวนี้เลย ISUSPM ลบทิ้ง
เปิด Antivirus สแกน ไม่พบสิ่งผิดปกติ
หลังจากนั้นรีเครื่องเข้าโหมดปกติ แล้วเข้าไปลบ C:\Program Files\Common Files เจอตัวนี้ลบเลย InstallShield\UpdateService\ISUSPM.exe ทั้งยวง
เพิ่มเติมเข้าไปลบในไดร์ C ด้วยมันจะอยู่ C:\ProgramData\InstallShield (ต้องเปิด Hidden Items ก่อนถึงจะเจอ ProgramData)
***ห้ามสแกนใดๆ ทั้งสิ้นในโหมดปกติ หรือแม้แต่ End Task หรือลบตัวมันทิ้ง InstallShield\UpdateService\ISUSPM.exe เพราะมันจะปิดตาย Browser และมันจะกลับมาหลังรีเครื่อง***
ณ ตอนที่พิมพ์กระทู้ทุกอย่างอยู่ในขั้นปกติแล้ว
ปล กระทู้นี้ตั้งเพื่อเป็นแนวทางของผู้ไม่รู้ เพื่อจัดการปัญหา
Edit เพิ่มเติมรายละเอียดส่วนที่ขาดและนึกขึ้นได้