วิธีลบไวรัส Sweet Page ออกจากเครื่องอย่างละเอียด

by on 23 June, 2014 - 22:24, under Technology - Software Tags: , , , , , , ,

เป็นปัญหายอดฮิตจริงๆ สำหรับปีนี้ ไวรัส (จริงๆ มันออกแนวเป็นมัลแวร์มากกว่า) Sweet Page ตัวนี้เป็นปัญหาน่าปวดหัวสำหรับคนใช้คอมพิวเตอร์หลายๆ ท่านที่ยังตามมาหลอกหลอน โดยตัวนี้ถือว่าเป็นโปรแกรมประเภท Browser Hijacker ตัวนึงที่จะแอบแฝงมากับโปรแกรมฟรีๆ ทั้งหลาย โดยเหยื่อที่จะติดโปรแกรมตัวนี้ได้ก็มาจากการลงโปรแกรมต่างๆ (เป็นผลของการไม่ได้อ่านให้ดีขณะลงโปรแกรม) หากเครื่องคุณลงเจ้า Sweet Page ตัวนี้ไปแล้วจะมีอาการคือจะมีหน้าเว็บของ Sweet-Page เข้ามากวนใจตลอดเวลาและแทรกการทำงานตลอดเวลา (เรียกได้ว่าเรียก Google ดันได้เจ้านี่มาแทน) รวมถึงเว็บต่างๆ จะมีโฆษณาแฝงผ่านทาง text link เรียกได้ว่าน่าปวดหัวมากทีเดียว เท่านั้นความแสบของเจ้านี่คือไม่สามารถลบออกได้ง่ายๆ โดยจะมีโปรแกรมอีกตัวคอยคุมและดูแลการเปลี่ยนแปลงของเราตลอดเวลา หากเราคิดจะเปลี่ยนแปลงต่างๆ ในตัวเบราเซอร์ เช่นหน้าแรก หรือ search engine จะมีหน้าต่างขึ้นมาถามให้ถามเปลี่ยนกลับไปเป็นเจ้า Sweet Page ดังเดิม ฉะนั้นการลบโปรแกรมออกผ่านการ install ปกติผ่าน Add/Remove Programs ไม่สามารถทำอะไรมัลแวร์ตัวนี้ได้

ก่อนอื่นเรามาดูอาการของคอมพิวเตอร์ที่ติดตั้ง Sweet Page ไปแล้วกันก่อน เมื่อคุณเปิดเบราเซอร์ที่ใช้เล่นเว็บขึ้นมา (ทั้ง Mozilla Firefox, Google Chrome และ Internet Explorer จะเจอกับหน้าจอแบบนี้)

เมื่อเปิดเบราเซอร์ก็จะเจอกับหน้าจอนี้ทันที มองเผินๆ ไปแล้วมันก็คล้ายกับหน้าจอ Search Engine เจ้าใหญ่ๆ อย่าง Google เพราะการค้นหาเมื่อกดแล้วก็สามารถค้นหาได้เหมือนกัน แต่ Sweet Page จะมีการสอดแทรกโฆษณาแบบอื่นๆ เข้ามาด้วย เช่นด้านขวาบนอาจจะมีโฆษณาแอบอยู่ (ในรูปนี้ไม่ได้แสดงไว้) หรือในการค้นหาอาจมีการแทรกลิงก์ให้เราโหลดโปรแกรมอื่นๆ เพิ่มโดยผ่านคำว่าฟรี นั่นเอง (ซึ่งไอ้โปรแกรมพวกนี้ก็จะมาพร้อมกับของแถมอีก) นอกจากนี้หลายคนอาจจะยังเจอการโฆษณาผ่าน text link ผ่านหน้าจอเว็บอื่นๆ ที่เราเล่นกันด้วย เรียกได้ว่าสร้างความน่ารำคาญกันแบบสุดๆ

วิธีการล้างเจ้า sweet page นั้นต้องทำกันอย่างเป็นขั้นตอนถึงจะเอามันออกไปได้ ก่อนอื่นเริ่มดูกันก่อนว่ามีไฟล์อะไรที่เกี่ยวข้องบ้าง

C:\Users\Sandbox\AppData\Roaming\sweet-page
C:\Users\Sandbox\AppData\Roaming\sweet-page\sweet-page.exe
C:\ProgramData\WPM\wprotectmanager.exe
C:\Program Files (x86)\SupTab\uninstall.exe
C:\ProgramData\IePluginService\PluginService.exe
23 – Service: Wpm Service (Wpm) – Cherished Technololgy LIMITED – C:\ProgramData\WPM\wprotectmanager.exe
O2 – BHO: IETabPage Class – {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} – C:\Program Files (x86)\SupTab\SupTab.dll

sweet-page Browser newtab extension
IePluginService12.27.0.3326
SupTab

ข้างบนคือรายชื่อไฟล์ต้องสงสัยทั้งหมดที่มาพร้อมกับ Sweet Page จะเห็นได้ว่ามีทั้งโปรแกรมที่เอาไว้ลง Extension ให้กับเบราเซอร์ต่างๆ รวมถึงเอาไว้ป้องกันการแก้ไขหรือการลบออกไปจากเครื่อง นอกจากนี้ยังจะมีข้อมูลอื่นๆ เช่น Registry หรือไฟล์อื่นๆ ที่แอบแฝงเกี่ยวกับโปรแกรมอื่นๆ ไว้อีกดังนี้

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC&q={searchTerms}
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC&q={searchTerms}
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC

==== Firefox Extensions Registry ======================

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Mozilla\Firefox\Extensions]
“lightningnewtab@gmail.com”=”C:\Users\Sandbox\AppData\Roaming\Mozilla\Firefox\Profiles\87pv5a55.default\extensions\lightningnewtab@gmail.com.xpi” [23/01/2014 01:56]

==== Extension ของ Firefox ======================

ProfilePath: C:\Users\Sandbox\AppData\Roaming\Mozilla\Firefox\Profiles\87pv5a55.default
– Extension_Protected – %ProfilePath%\extensions\jid0-O6MIff3eO5dIGf5Tcv8RsJDKxrs@jetpack
– Lightning Speed Dial – %ProfilePath%\extensions\lightningnewtab@gmail.com.xpi

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
pkndmigholgfjlniaohblojbhgjbkakn – C:\Users\Sandbox\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx[14/01/2014 00:20]

Extended Protection – Sandbox\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml

Lightning speedDial – Sandbox\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkndmigholgfjlniaohblojbhgjbkakn
undetermined – Sandbox\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx

ช็อตคัทบนหน้าจอสำหรับ User ปัจจุบัน

C:\Users\Sandbox\Desktop\Internet Explorer.lnk – C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1392390148&from=air&uid=262929407_198313_04EBE5BC

นี่คือช็อตคัทสำหรับเรียกโปรแกรม (ฝังไว้กับทุก user ในเครื่อง)

C:\Users\Public\Desktop\Google Chrome.lnk – C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.sweet-page.com/?type=sc&ts=1392390148&from=air&uid=262929407_198313_04EBE5BC
C:\Users\Public\Desktop\Mozilla Firefox.lnk – C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.sweet-page.com/?type=sc&ts=1392390148&from=air&uid=262929407_198313_04EBE5BC

ต่อจากนี้มาเริ่มวิธีการลบไวรัส Sweet Page ออกกันเลยดีกว่า

Windows 7

1. ไปที่ Control Panel โดยการคลิกปุ่ม Start -> Control Panel

2. มองหาหัวข้อ Programs และไปที่ Programs and Features

3. ลบโปรแกรมน่าสงสัยออกให้หมด เช่น Sweetpage Browser newtab Extensions และ WPM17.8.0.3325 และ Subtab และ IEPluginService 12.27.0.3326 นอกจากนี้อาจจะมีโปรแกรมอื่นๆ ที่คุณอาจจะลงติดมาด้วย ก็ขอให้ลบมันออกไปเสียเลย วิธีการลบออกคลิกชื่อโปรแกรมและกดปุ่ม Uninstall ด้านบนไล่ไปทีละโปรแกรม

Windows 8

หลักการคือการ Uninstall โปรแกรมที่ว่าเช่นกัน เริ่มต้นด้วยการ

1. กดปุ่ม Windows บนคีย์บอร์ด พิมพ์ Control Panel และเลือก Control Panel

2. ในเมนู View By เลือก Large Icons หลังจากนั้นเลือก Programs and Features

3. ลบโปรแกรมน่าสงสัยออกให้หมด เช่น Sweetpage Browser newtab Extensions และ WPM17.8.0.3325 และ Subtab และ IEPluginService 12.27.0.3326 นอกจากนี้อาจจะมีโปรแกรมอื่นๆ ที่คุณอาจจะลงติดมาด้วย ก็ขอให้ลบมันออกไปเสียเลย วิธีการลบออกคลิกชื่อโปรแกรมและกดปุ่ม Uninstall ด้านบนไล่ไปทีละโปรแกรม

หลังจากลบโปรแกรมที่น่าสงสัยออกไปแล้ว ก็ต้องมาจัดการส่วนที่สองคือ Shortcut บนหน้าจอ Desktop ที่มีพารามิเตอร์แปลกๆ แฝงมาด้วย ผมแนะนำว่าหากคุณต้องการความชัวร์และไม่อยากแก้ไข ให้ลบมันออกไปเลยและสร้างขึ้นมาใหม่ครับ แต่หากต้องการจะแก้ไขแบบทำด้วยตัวเอง (ไม่อยากลบว่างั้น) ก็ทำได้ดังนี้

ไอคอนทั้งสามโปรแกรมนี้ ติดเชื้อไปแล้วเรียบร้อย วิธีการแบบง่ายๆ คือลบมันไปซะ หรือทำตามด้านล่าง

คลิกขวาที่ช็อตคัท เลือก Properties และไปยังแท็บ Shortcut และลองมองที่ Target: หากมีอะไรแปลกๆ ต่อท้ายตามรูป ให้ลบมันออกไปเลยและกด OK ตัวอย่างเช่น

“C:\Program Files\Internet Explorer\iexplore.exe” http://www.sweet-page.com/?type=hp&ts=1392394209&from=tugs&uid=262929407_198313_04EBE5BC

ให้ลบส่วนที่เป็นตัวหนาๆ ออกไป หากไม่เก็ทให้ดูตามรูปด้านล่างได้เลย

Firefox

Chrome

Internet Explorer

จบขั้นตอนส่วน Desktop Shortcut ไปยังส่วนต่อไปคือในเบราเซอร์แต่ละตัวครับ

วิธีการลบ Sweet Page ออกจาก Internet Explorer

1. เปิดโปรแกรม Internet Explorer

2. ไปเมนู Tool เลือก Manage Add-Ons

3. กดปุ่ม Show เลือก All Add-On เพื่อแสดง Add-On ทั้งหมด

4. เลือก IETabPage Class

5. กด Remove หรือหากกดไม่ได้ก็ Disable แทน

6. มองหาส่วน Search Providers เลือก Bing กด Set as Default หรือจะลบตัวที่ไม่ต้องการก่อนก็ได้โดยเลือกแล้วกด Remove

เปลี่ยนหน้าแรกหลังเปิดโปรแกรมให้กลับเป็นเหมือนเดิม

1. เปิดโปรแกรม Internet Explorer

2. ไปเมนู Tool เลือก Internet Options

3. ในแท็บ General ส่วนของ Home Page เปลี่ยนเป็นเว็บที่เราต้องการให้เป็นหน้าแรก นึกอะไรไม่ออกก็ www.google.com ก็ได้

4. คลิก OK ออกมา

 

สำหรับ Chrome Browser

1. กดปุ่ม จากทูลบาร์ด้านบน

2. เลือก Tools -> Extensions

3. หา Extensions ชื่อ Extended Protection and Lightning SpeedDial และกดไอคอนรูปถังขยะเพื่อลบมันออกไป

 

เปลี่ยนหน้าแรกของ Chrome กลับมาเสียใหม่

1. กดปุ่ม จากทูลบาร์ด้านบน

2. เลือก Settings

3. ในส่วนของ Appearance มองหาปุ่ม Show home button คลิกและกดปุ่ม Change ด้านล่างเพื่อเปลี่ยนหน้าแรก

4. เสร็จแล้วกดปุ่ม OK ออกมาด้านนอก

 

เปลี่ยน Search Provider กลับเป็น Google เช่นเดิม

1. กดปุ่ม จากทูลบาร์ด้านบน

2. เลือก Settings

3. ส่วนของ Search กดเลือก Google จากเมนูด้านบน

4. สามารถลบ Search Provider ที่ไม่ต้องการออกไปก็ได้

5. กดปุ่ม OK ออกมา

สำหรับ Mozilla Firefox

1. กดปุ่ม จากทูลบาร์ด้านบน (ปกติจะอยู่ทางขวาสุด) เลือก Add-On

2. เลือกแท็บ Extensions ด้านซ้าย

3. เลือก Extension_Protected 1.0.12 และ Lightning Speed Dial 1.0.5.7 (เลขเวอร์ชั่นทั้งสองตัวนี้อาจจะแปลกตาออกไป) กด Remove หรือ Disabled ไป

4. กด OK ออกมา

 

เปลี่ยน Home Page กลับมาดังเดิม

1. กดปุ่ม จากทูลบาร์ด้านบน (ปกติจะอยู่ทางขวาสุด) เลือก Options

2. ในส่วนของ General กด Restore to Default

3. กด OK ออกมา

สำหรับการเปลี่ยน Search Engine กลับเป็นตัวที่ต้องการ สามารถเลือกได้จากเมนูตามรูปด้านล่างได้เลย

ล้างให้เกลี้ยงผ่านโปรแกรมเสริม

หลังจากผ่านกระบวนการสุดยาวด้านบนไปแล้ว เราต้องทำการล้างทำความสะอาดเครื่องกันยกใหญ่อีกรอบผ่านโปรแกรมกำจัดมัลแวร์อย่าง AdwCleaner สามารถโหลดได้จาก http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner โหลดมาแล้วก็ลงเสียให้เรียบร้อย จะพบกับหน้าจอดังนี้ให้กดปุ่ม Scan ได้เลย

การสแกนจะใช้ระยะเวลาสักพัก หากสแกนเสร็จแล้วสามารถกด Report และ Clean ด้านข้างๆ เพื่อล้างมัลแวร์ที่เหลือให้สิ้นซากได้เลย

แต่ทั้งหมดยังไม่จบแต่เพียงเท่านี้ ผมขอแนะนำโปรแกรมอีกตัวนึงให้โหลดมาล้างกันให้เกลี้ยงกริบนั่นคือ MalwareBytes Anti-Malware นั่นเอง โหลดได้จาก http://www.antivirus-blog.com/go/download-mbam/

หลังจากติดตั้งโปรแกรมแล้วทำดังนี้

1. เลือกการสแกนแบบ Quick Scan

2. รอจนกว่าจะสแกนเสร็จ

3. คลิกปุ่ม Show results และคลิกขวาในผลลัพธ์เลือก Check All Items

4. คลิก Remove Selected

เท่านี้เครื่องคุณก็น่าจะหายจากเจ้าไวรัสกวนใจอย่าง Sweet Page กันแล้วละครับ จะเห็นได้ว่าขั้นตอนเยอะมากในการที่จะลบมันออก ฉะนั้นเวลาลงโปรแกรมต่างๆ การอ่านในขั้นตอนต่างๆ ให้ดีจะช่วยได้มาก นอกจากนี้ควรโหลดโปรแกรมจากแหล่งที่ไว้ใจได้เท่านั้นเพื่อที่จะไม่ได้มีของแถมแบบนี้ติดมาอีกครับ

หวังว่าบทความนี้คงเป็นประโยชน์สำหรับผู้ที่ต้องการความช่วยเหลือกันอยู่นะครับ อย่าลืมแบ่งปันให้คนรอบข้างได้ทราบกันด้วย เพราะมีคนที่ติดไวรัสตัวนี้อยู่พอสมควรเลยและยังไม่ได้รับการแก้ไขครับ

บทความอื่นๆ ที่น่าสนใจ:

:, , , , , , ,

ร่วมแสดงความคิดเห็น