Microsoft Essentials
เหตุเกิดเมื่อ 27 ส.ค.60
ในวันนี้ทำอะไรไปหลายอย่าง เนื่องจากโปรแกรมสำคัญที่ใช้อยู่กำลังจะหมดอายุ ก็ต้องหาวิธีแก้ไข มีหลายทางที่เค้าให้เลือก ซื้อมาใช้ ลงทะเบียนรับรุ่นทดลองใช้อีกครั้ง หรือทนรับคำเตือนต่อไป หรือใช้โปรแกรมไม่เต็มประสิทธิภาพ เป็นต้น ก็ดันไปเลือกทางที่ไม่ถูกไม่ควร เชื่อเค้าว่า วิธีที่เค้าให้ไว้จะดี คือ ลงโปรแกรมของเค้า ก็ทำตาม หลังทำตามต้อย ๆ พอลงโปรแแกรมไปแล้ว พบว่าถูกหลอก แล้วทิ้งร่องรอยของปัญหาไว้ชัดเจน คือ ข้อควาทที่ปรากฎทุกครั้งที่เปิดเครื่อง มาดูดันครับว่า ผมพบอะไร และพบอะไรระหว่างตามร่องรอยไป
แฟ้มปัญหาที่ผม Run ขณะปลด Defender : https://www.facebook.com/../880028002148019/
1. สิ่งที่พบ หรา กลางจอภาพ เมื่อเปิดเครื่อง
Windows cannot find ... Microsoft Essentials.exe .. try again
2. มีข้อประเด็นน่าคิด ดังนี้
- ไป Download โปรแกรมที่ไม่น่าไว้ใจ แล้วโปรแกรมนั้น คือ ต้นเหตุ (ตั้งสมมติฐานไว้)
- พบว่า Windows Defender ตรวจพบปัญหาจากโปรแกรมข้างต้น แล้วลบทิ้งไปเรียบร้อย
- ร่องรอยของปัญหายังอยู่ ปรากฎตามข้อ 1 ทุกครั้งที่เปิดเครื่องใหม่
- แม้ Windows Defender จะเก่ง แต่อาจตามแก้ไขร่องรอยที่โปรแกรมดังกล่าวทิ้งไว้ ไม่หมดทุกรอย
3. ชื่อ Microsoft Essentials.exe อาจเป็นตัวจริง
ไปค้นดูพบว่าเป็นตัวจริง ของ Microsoft จะหา Download มาก็ไม่น่าไว้ใจ
พบว่า DOS> sfc /scannow
ทำหน้าที่ Scan the integrity of all protected system files
and replaces incorrect version with correct Microsoft version.
พอ Scan ครบ 100% แล้วไปดูใน CBS.LOG ไม่พบปัญหาที่ต้องแก้ไข
สรุปว่า ไม่ใช่ล่ะ
4. อ่านจากเว็บไซต์ของ Microsoft
microsoft.com/../security-essentials-download
เค้าบอกว่า Microsoft Security Essentials เป็นของ Windows 7
รุ่นต่อมาเปลี่ยนเป็น Windows Defender
สำหรับ Windows 8,Windows RT, Windows 8.1, Windows RT 8.1, Windows 10
ณ ตอนนี้สรุปได้ว่าที่ Windows 10 ที่ติดตัวเครื่อง ACER มา ไม่น่าเคยลง Essentials มาก่อน
เป็นไปได้ว่าโปรแกรมไม่พึงประสงค์ทิ้งร่องรอย ที่ Windows Defender ไม่ได้ลบร่องรอยนั้นให้
5. ใน Windows Defender น่าจะเก็บ Log ไว้
ตามหา Log ด้ายการ Search
พบแฟ้ม Support/MPLog-04062017-194616.log
อยู่ในห้อง C:\ProgramData\Microsoft\Windows Defender
เข้าไปอ่านดูพบข้อความว่าลบแฟ้มไปแล้ว
File cleaned/removed successfully
File Name:C:\Users\ACER\AppData\Roaming\Microsoft Essentials\Microsoft Essentials.exe
แล้วก็มาจากก Trojan ที่ชื่อ Tro jan: Win 32 / Skeeyah . A!rfn
6. มีการเรียกหา Essentials แสดงว่าต้องมีอะไรเรียกหาแน่เลย
ค้นใน Regedit ก็ไม่พบอะไร หากใช้คำว่า Essentials
เมื่อเข้าดู Startup ใน MSconfig ปรากฎว่า Win10 ให้ไปดูใน Task Manager
พบว่าแฟ้ม Microsoft Essentials.vbe ถูกเรียกให้ทำงานอยู่
และมีคำสั่ง ShellExecute ที่ใช้เรียกด้วย สรุปว่าลบแฟ้มนี้ออกไปจาก Startup
เครื่องก็ไม่ฟ้องว่าหา Windows cannot find .. แล้ว
Set objShell = CreateObject("Shell.Application")
objShell.ShellExecute "C:\..\Microsoft Essentials." & "exe", "", "", "", 1

http://goo.gl/72BPC