วันนี้ เครื่องผมมีอาการแปลกๆครับ คือเวลาเข้าเว็บต่างๆ ดูเหมือนว่าจะคลิกดูต่อๆไปไม่ได้ ลองไปดูที่ About ของ IE ก็ปรากฏว่าตัวเลขแสดงเวอร์ชั่นต่างๆหายหมด อ้าว...ส่อแวว
จะ ลองไปดูหน่อยว่ามีโปรแกรมอะไรแอบมาติดตั้งเพิ่มเข้ามารึเปล่า พอไปคลิกที่ ControlPanel ก็ยังเข้าได้อยู่ แต่พอไปที่ Add/Remove... กลับแสดงหน้าจอขาวโล่งออกมา...ซวยแล้ว
วิธี แรกๆที่จะพอดูได้ ว่ามีโปรแกรมอะไรแอบทำงานอยู่หรือเปล่า ก็ด้วยการกด Ctrl+Alt+Del ก็ลองไล่รายชื่อไปเรื่อยๆ อ่าาาา...เจอเข้าแล้วครับ มันชื่อว่า update.exe ซึ่งผมจำได้ว่า ผมไม่ได้ไปตั้งอัพเดทอะไรที่ใหนแน่ๆ
สงสัย จะมาแอบตั้งค่าเรียกใช้ตอนเริ่มต้นแน่ๆ ก็ลองเข้าไปที่ Start/Run พิมพ์ msconfig แล้ว enter เข้าไป เอ...ก็ไม่มีแฮะ...บ่งบอกว่าเจ้าตัวนี้แอบเข้ามาได้อย่างแนบเนียนทีเดียว
เอาไงดี...คิดไปคิดมา อ่อ...นึกได้ว่ามีโปรแกรมเด็ดๆอยู่อีกตัวนึงครับ ผมไปดาวน์โหลดมาจาก Sysinternals Process Explorer ครับผม
ตาม ไปดูตามลิ้งก์นี้นะครับ จะมีข้อมูลภาษาอังกฤษไว้พอสมควร ส่วนลิ้งก์สำหรับดาวน์โหลดจะอยู่บริเวณล่างๆครับ ถ้าคอมทั่วๆไปก็จะเป็น 32bit ส่วนใครเล่นของใหม่แล้ว ถ้าแน่ใจก็เอา 64bit ไปลอง หรือจะรุ่นแรกๆ 98/ME เขาก็เตรียมไว้ให้เช่นกัน เลือกให้ถูกนะครับ
หลังจากดาวน์โหลดมาแล้ว ก็จัดการติดตั้งเหมือนโปรแกรมทั่วๆไปนั่นละครับ พูดไปก็ไล้ฟ์บอย มาดูหน้าตากันสักหน่อย
จุดสังเกตว่าไฟล์อะไร กำลังทำงานอย่างขมักเขม้น ก็คือตัวเลข % ในคอลัมค์ CPU นั่นเองครับ ซึ่งหมายความได้ว่า ขณะนี้ไฟล์หรือโปรแกรมนั้นๆ กำลังเขมือบแรงซีพียูไปประมาณกี่เปอร์เซ็น
ถ้าว่างๆปกติที่ไม่ได้รันอะไรไว้ละก็ บรรทัดบนสุด คือ System Idle Process จะต้อง % มากๆเข้าไว้ ซึ่งบรรทัดนี้จะเป็นสัดส่วนกับบรรทัดล่างๆ คือถ้ามีโปรแกรมอื่นทำงานมาก Idle ก็จะว่างน้อย(อันนี้ไม่ค่อยดี) หรือบรรทัดอื่นๆทำงานน้อย Idle ก็จะว่างมาก(อันนี้ดี)
แต่ทั้งนี้ทั้งนั้น ก็ต้องดูว่า ในขณะที่เรียกโปรแกรม ProcessExplorer นี้ เราได้เปิดโปรแกรมอะไรไว้อีกหรือเปล่า ก็สามารถพิจารณาได้จากชื่อที่เห็นนี่ละครับ
แต่บางที ชื่อก็ไม่ได้สื่อความหมายอะไรมากนัก อันนี้ง่ายๆครับ คือให้เอาเม้าส์ไปลอยไว้เหนือชื่อไฟล์ที่สงสัย อย่างเช่นในรูป ผมไปชี้ที่ไฟล์ vmount2.exe ก็จะมีกรอบรายงานขึ้นมาว่า C:\Program Files\Common Files\Vmware\Vmware Virtual Image Editing\vmount2.exe ซึ่งจากชื่อไฟล์และชื่อโฟลเดอร์นี้ ก็พอจะรู้ได้ว่า เป็นไฟล์ของโปรแกรม VMware ที่ผมติดตั้งเอาไว้ครับ
ถ้า เรารู้ที่มาที่ไปอย่างเช่นไฟล์ข้างบนนี้ก็ไม่เป็นไร แต่ถ้ามันแปลกๆ โปรแกรม Process Explorer ก็เตรียมคำสั่งไว้ให้เราใช้ค้นหารายละเอียดของไฟล์ ดังรูปข้างล่างนี้ครับ
พอผมคลิกเม้าส์ขวาที่ ชื่อไฟล์ จะมีเมนูขึ้นมา เมนูสุดท้ายคือ google ซึ่งก็จะเอาชื่อไฟล์ตรงนี้ ไปเป็นคำค้นใน google ก็จะได้รายละเอียดของไฟล์ออกมาเลย อย่างเช่นไฟล์ vmount2.exe ตัวนี้ พอค้นด้วย google ก็จะเข้าไปยังเว็บของ Vmware ซึ่งก็จะรู้ต้นสายปลายเหตุได้ว่ามาจากใหนครับ
แต่ หากค้นแล้ว พบว่าเป็นพวกไวรัส หรือสปายแวร์ต่างๆ ก็สามารถเลือกเมนู Kill Process เพื่อหยุดการทำงานของมันได้เลย จากนั้นก็ตามเข้าไปลบในโฟลเดอร์ ที่อ่านได้จากการลอยเม้าส์ในข้างต้นนั่นเอง ครับ
แต่ต้องระวังไฟล์เหล่านี้ คือ SMSS, CSRSS, SVCHOST เพราะว่านี่เป็นไฟล์ที่ใช้ในระบบวินโดวส์ แต่พวกโปรแกรมกันก็อปปี้วีซีดีจะเอาชื่อเหล่านี้ไปใช้ ทำให้เครื่องเราอืดหรือเพี้ยนๆไป ปกติไฟล์เหล่านี้จะทำงานให้เห็นเป็น % ที่น้อยมากๆครับ แต่ถ้าพบว่ามันกำลังกิน % อย่างกระฉูดละก็ ต้องจัดการด้ววิธีอื่นครับ วันหลังจะหามาฝากกันต่อไปครับ
พอดีว่า วันนี้ผมฆ่าเจ้าตัวที่แอบเข้าเครื่องผมไปซะแล้ว เดี๋ยววันหลังถ้าเจอใหม่ ผมจะเอาข้อมูลมาอัพเดทให้ดูกันอีกทีครับ (ผมซอกแซกไปตามที่ต่างๆบ่อยครั้ง รับรองว่าต้องได้อะไรแปลกๆมาอีกแน่)
ดาวน์โหลดโปรแกรมProcess Explorer
ลองดาวน์โหลดโปรแกรมProcess Explorer สุดยอดโปรแกรมตรวจสอบ Process ที่กำลังรัน Background ในเครื่อง ไปใช้กันดูนะครับ :)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น