loikaw virus

loikaw virus က ရွင္းရတာ လြယ္ပါတယ္။ ေနာက္ေပၚတဲ့ anti virus ေတြလည္း loikaw ကိုေတြ႔ ေနၾကပါၿပီ... အားေပးတာကေတာ့ cmd ထဲမွာ ၀င္ရွင္းပါ..အသံုးျပဳခ်င္တဲ့လူေတြအတြက္ ကၽြန္ေတာ္တင္ေပးပါ့မယ္.. window key + R ၿပီးတာနဲ႔ cmd ရိုက္လိုက္ေပါ့..

တစ္ခုေတာ့ရိွတာေပါ့ cmd ထဲမွာ သံုးလို႔ ရတဲ့ switch ေတြကို နားလည္ရင္ပိုေကာင္းပါတယ္.. cmd ထဲမ၀င္ခင္မွာ အရင္ဆံုး msconfig ကို Run box ထဲမွာ အရင္ရိုက္ၿပီး startup tag ထဲက ဗိုင္းရပ္ကို စၿပီး ေမာင္းတဲ့ loikaw.exe ကို ျဖဳတ္ပစ္ရပါမယ္။ loikaw.exe က task manager ကို ပိတ္ပစ္လိုက္ပါတယ္..
Run ေနတဲ့ ဗိုင္းရပ္ကို အရင္ ရပ္ပစ္ရပါမယ္.. Virus ရဲ႕ သေဘာတရားအတိုင္း source ကို ႏွစ္ပိုင္းခြဲထားတယ္.. တစ္ခုက Hard disk မွာ ေနတယ္.. ေနာက္တစ္ခု က system (RAM) ထဲမွာ Run ေနတယ္.. ကၽြန္ေတာ္တို႔ က အရင္ဆံုး Hard Disk ထဲက ေကာင္ကို အရင္ ဖ်က္ပစ္ရပါမယ္။ အဲဒီေကာင္က window boot တက္တိုင္း သူက စၿပီး အလုပ္လုပ္ရတာပါ။ သူမရိွရင္ ဗိုင္းရပ္စ္က ႏိုးမွာမဟုတ္ပါဘူး.. သူက hidden file ပါ... မေတြ႔ ႏိုင္ပါဘူး.. Windows ထဲမွာရယ္ system32 ထဲမွာ ရယ္ document and settings ထဲမွာ အကုန္ရွာရပါမယ္... အဲလိုရွာဖို႔အတြက္ သံုးရမွာက cmd ပါ။


Task manager ကို ေခၚရန္ပထမနည္းလမ္း
တစ္ခုကို သတ္ရင္ တစ္ခုက ၿပန္ႏိႈးတယ္.. task manager ကို ၿပန္ေခၚႏိုင္ဖို႕အတြက္ gpedit.msc ကို Run box ထဲမွာ ရိုက္ထည့္ပါ။ user configuration ေအာက္က administrative templates မွာ ရိွတဲ့ system ေအာက္က Ctr+Alt+Del Option မွာ Remove Task Manager ကို Disable လုပ္ပါ။ ၿပီး ရင္ Run box ထဲမွာ gpupdate ဆိုၿပီး group Policy ကို update လုပ္ပါ။ ၿပီးရင္ Task Manager ကို ေခၚၾကည့္ပါ။
မရခဲ့လွ်င္ -----


Task List ကုိ အသံုးျပဳျခင္း


ကၽြန္ေတာ္တို႕အတြက္ virus process မ်ားကို ရပ္ႏိုင္ဖို႕အတြက္ Task List တစ္ခုလံုးက်န္ ပါေသးတယ္။ Task list သည္ cmd ထဲမွာ ၀င္သံုးရျခင္းျဖစ္ပါသည္။ cmd ထဲတြင္ Tasklist ဟု ရိုက္လိုက္ပါ။ Tasklist မ်ားက်လာလွ်င္ PID No. ကို လိုက္၍ Task kill လုပ္ႏိုင္ပါတယ္။ ဗိုင္းရပ္စ္ ရ႕ဲ process ကိုအတိအက်သိဖို႕ေတာ့လိုတယ္…Taskkill /f /(PID No.) အေနျဖင့္ ဗိုင္းရပ္စ္ လုပ္ငန္းစဥ္မ်ားကို ရပ္ပစ္လို႕ရပါတယ္။
ဗိုင္းရပ္လုပ္ငန္းစဥ္မ်ားကို ရပ္လိုက္တာနဲ႕ infected file ေတြကို ဖ်က္လို႕ရပါၿပီ… Cmd ကို အသံုး ၿပဳၿပီးဖ်က္ရမွာျဖစ္ပါတယ္။

Cmd ထဲမွာ ဖ်က္နည္းကေတာ့…
အရင္ဆံုးcmd ထဲ၀င္ပါ။ document and settings ကိုအရင္ရွာၾကည့္ပါ.. ရိုက္ရမယ့္ command ကေတာ့ attrib ပါ။
A = archive file ပါ။
H = Hidden file ပါ။
S= System file ပါ။
R = Read only file ပါ။

Virus ေတြက ASHR အေနနဲ႔ရိွေနတတ္ပါတယ္။ တစ္ခါတစ္ေလ တစ္အားသတိထားရတယ္.. virus လား system file လားဆိုတာ.. မွားဖ်က္ရင္ windows တက္ေတာ့မွာမဟုတ္ပါဘူး..
သတိထားပါ။ ပံုမွန္ရိွရမယ့္ဖုိင္မဟုတ္ရင္ ဖ်က္သာဖ်က္ပစ္ပါ။ ဖ်က္တဲ့အခါလည္းသတိထားပါ။ ဘာလို႕လဲဆိုေတာ့ တစ္ခ်ဳိ႕တစ္ခ်ဳိ႕ေသာ virusေတြက system file ကို hidden လုပ္ၿပီး သူကေတာ့ system fileေတြ ေနရာမွာ ၀င္ယူေနတတ္တယ္..အထူးသျဖင့္ folder ေယာင္ေဆာင္တဲ့ဗိုင္းရပ္ေတြေပါ့.. cmd ထဲမွာ ဖ်က္တဲ့ command ကို ေအာက္မွာေဖာ္ျပေပးထား ပါတယ္။
Del ပါ။ force က /f ပါ။ S ဖိုင္ေတြကို ဖ်က္ဖို႕အတြက္ R ဖိုင္ေတြကိုဖ်က္ဖို႕အတြက္လိုပါလိမ့္မယ္။
Switch ေတြကို ၾကည့္ခ်င္ရင္ေတာ့ del /f /a (ဖ်က္ခ်င္ေသာဖိုင္နာမည္ အျပည့္အစံု)
Del /? ကေတာ့ del နဲ႕ တြဲသံုးႏိုင္ေသာ switch ေတြကို အကုန္ေျပာျပပါလိမ့္မယ္။


ေနာက္တစ္ခုအေနနဲ႕ေတာ့ cmd ထဲမွာ သံုးႏို္င္ေသာ switch ေတြအကုန္လံုးကို ဒီ command နဲ႕ ရွာၾကည့္ပါ ။ ေနာက္စမ္းသပ္ၾကည့္ပါ။ cmd က ေပ်ာ္စရာေကာင္းပါလိမ့္မယ္။
ref:kosainyunt