คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 3
ดูๆแล้วเป็นคำสั่งเอาไว้เข้ามาทำอะไรในเครื่องคล้ายๆ backdoor
ประโยคนี้ C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe แปลว่าเข้าไปเปิด powershell
ประโยคนี้ -ExecutionPolicy bypass -noprofile แปลว่า ไม่ว่าจะสั่งการอะไร ก็ให้ผ่าน
ประโยคนี้ -windowstyle hidden cmd /c SafetyTest.jpg แปลว่า เมื่อคลิกที่ SafetyTest.jpg แล้วไม่ต้องแสดงหน้าต่าง Command prompt อะไรแจ้งเตือน
คาดว่าน่าจะมีคำสั่งอะไรที่อยู่ในรูป safety อันนี้แล้ว ใช้antivirusก็สแกนหาไม่เจอแบบนี้
วิธีแก้ เราก็ต้องไปแก้ตรงที่ ไม่ว่าจะสั่งการอะไร ก็ให้ผ่าน ให้เป็นอย่าให้ผ่าน (ซึ่งเป็นค่าdefault)
พิมพ์ในช่อง search ว่า powershell กด enter แล้วก็พิมพ์ว่า set-executionpolicy restricted แล้วก็กด enter
พิมพ์เสร็จถ้ามันขึ้นประโยคยาวๆตามภาพก็พิมพ์ a แล้วกด enter (ซึ่งแปลว่าฉันยืนยันที่จะตั้งค่าแบบนั้นจริงๆนะ)
ประโยคนี้ C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe แปลว่าเข้าไปเปิด powershell
ประโยคนี้ -ExecutionPolicy bypass -noprofile แปลว่า ไม่ว่าจะสั่งการอะไร ก็ให้ผ่าน
ประโยคนี้ -windowstyle hidden cmd /c SafetyTest.jpg แปลว่า เมื่อคลิกที่ SafetyTest.jpg แล้วไม่ต้องแสดงหน้าต่าง Command prompt อะไรแจ้งเตือน
คาดว่าน่าจะมีคำสั่งอะไรที่อยู่ในรูป safety อันนี้แล้ว ใช้antivirusก็สแกนหาไม่เจอแบบนี้
วิธีแก้ เราก็ต้องไปแก้ตรงที่ ไม่ว่าจะสั่งการอะไร ก็ให้ผ่าน ให้เป็นอย่าให้ผ่าน (ซึ่งเป็นค่าdefault)
พิมพ์ในช่อง search ว่า powershell กด enter แล้วก็พิมพ์ว่า set-executionpolicy restricted แล้วก็กด enter
พิมพ์เสร็จถ้ามันขึ้นประโยคยาวๆตามภาพก็พิมพ์ a แล้วกด enter (ซึ่งแปลว่าฉันยืนยันที่จะตั้งค่าแบบนั้นจริงๆนะ)
แสดงความคิดเห็น
โหลดไฟล์รูปมาพอเปิดดันเป็นจอ CMD ดำๆ แบบนี้คือ ไวรัส หรือเปล่า
ผมก็รีบปิดไป แต่ไม่รู้ทันไหม ไม่รู้เป็นไวรัสหรือไม่ครับ
ผมดูรายละเอียดจากไฟล์ก็เจอว่ามัน codeไว้ดังนี้
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c SafetyTest.jpg
ตอนนี้ลองใช้ร่มแดงแสกนดูก็ยังไม่เจออะไรครับ หรือว่าเครื่องมันโดนเล่นไปแล้ว!!
อยากขอคำแนะนำครับ