Tip & Technic

วิธีการลบ adware Laserveradedomaina.com แบบ CLI

วิธีการลบ adware Laserveradedomaina.com แบบ CLI

adware ชื่อ Laserveradedomaina.com มีลักษณะการทำงานแบบ redirecting เมื่อใช้งานเปิด web browser จะเพิ่มโฆษณาแสดงแท็บ Laserveradedomaina.com  เช่น มันขึ้นมาทุกครั้งที่เปิดคอม
แล้วเล่นคอมไปซักพักมันก็ขึ้นมาเอง ขึ้นมาทีละหลายแท็บมากอย่างต่อเนื่อง บทความนี้ เป็นแนวทางหนึ่งในการใช้ Command Line ยิง Process การทำงานของ Laserveradedomaina.com
สามารถตรวจสอบการทำงานของ adware ดังนี้

ขั้นตอนดำเนินการ

1.ขณะใช้งาน Web Browser นั้น จะพบแท็บ Laserveradedomaina.com รันขึ้นมาอย่างต่อเนื่อง

2.กดปุ่ม Control + Alt + Delete เลือก Task Manager > แท็บ Details > พบว่ามีการ Running ของ Process xxxxxxxxx.tmp ขนาด 2XXX K จำนวนมาก (พระเอก)

3.เลือก Process xxxxxxxxx.tmp > คลิกขวา Open file location พบว่าไฟล์นั้นเก็บอยู่ที่ Path C:\Users\XXX\AppData\Local\Temp\xxxxxxxxx.tmp

4.ย้อนกลับมาที่ Task Manager > ทำการลบ Process โดยการคลิกขวาเลือก End process tree

5.กด Windows + R พิมพ์ %appdata% กดปุ่ม OK  > ตรวจสอบ 2 Path C:\Users\XXX\AppData\Local\Temp และ C:\Users\XXX\AppData\Roaming >  เลือก Folder ที่ต้ังชื่อไฟล์แบบแปลกๆ กดปุ่ม Shift + Delete

ข้อมูลภายใน Folder ที่ต้ังชื่อไฟล์แบบแปลกๆ

6.พบ Alert แจ้งเตือนว่า File in Use ไม่สามารถลบได้

7.คลิกที่แว่นขยายพิมพ์ cmd พบ Command Prompt > คลิกขวา Run as administrator > พิมพ์คำสั่ง wmic process list brief กด Enter จะแสดง Process ที่รันอยู่หลัง Background ทั้งหมด

8.สังเกตุพบว่าจะมี ไฟล์ชื่อเดียวกัน แต่นามสกุลต่างกัน xxxxxxxxx.exe และ xxxxxxxxx.tmp รันอยู่คู่กัน

9.ใช้คำสั่ง C:\>wmic process list brief > checkprocessrunning.csv เพื่อทำการ Export ไฟล์ออกเป็นไฟล์ CSV

10.จากนั้นใช้คำสั่ง CLI เพื่อยิง Process ที่รันอยู่ทิ้งก่อน มีตัวอย่างดังนี้

C:\>wmic process list brief > checkprocessrunning.csv

C:\>wmic process 9856 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9856″
Instance deletion successful.

C:\>wmic process 9884 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9884″
Instance deletion successful.

C:\>wmic process 9928 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9928″
Instance deletion successful.

C:\>wmic process 9960 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9960″
Instance deletion successful.

C:\>wmic process 9992 delete
Deleting instance \\DESKTOP-RE3GJ33\ROOT\CIMV2:Win32_Process.Handle=”9992″
Instance deletion successful….

11.กลับไป ตรวจสอบ 2 Path C:\Users\XXX\AppData\Local\Temp และ C:\Users\XXX\AppData\Roaming > กด Shift + Delete Folder ที่ต้ังชื่อไฟล์แบบแปลกๆ ออกทั้งหมด > Restart เครื่อง

Tags

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Close