前兩天拿到一台中毒的NB,開機一進入windows,就出現一個大大的LOGO,上面寫著「United Kingdom Police」,旁邊還有一位老阿sir,下方則是簡單列出你的電腦規格,然後說你的電腦已經怎樣怎樣的,而且還啟動NB的攝影機,自己的即時畫面就出現在最下方,看起來頗為嚇人,似乎已被全盤監控。
稍微試了一下,這個病毒效果挺特別的,光是嚇人或阻礙操作的方式就蠻成功的,除了按CTRL+ALT+DEL選擇關機外,什麼事情都做不了,連啟動安全模式也照樣看得到阿sir。本來想透過WinPE來找有病毒,但卻開機失敗,後來試著用「安全模式(命令提示字元)」,阿sir終於不再現身。
先透過命令提示字元執行登錄編輯器及服務,簡單檢視後,沒看到異常的地方,便試著執行explorer,結果阿sir又出現了…。經過反覆測試,找到一個阻擋阿sir的方法:
1.先執行MMC,叫出服務的功能。 2.執行explorer,此時病毒網頁會被啟動。 3.按CTRL+ALT+DEL,選擇重開機。 4.這時關機程序會先關掉IE,也就是病毒網頁, 接著會暫停關機程序,詢問你MMC是否要存檔, 此時就可以先不理會存檔訊息,開始執行你想做的事。
經過檢查,病毒主要存在All Users\Application Data裡面,有五個dat檔外加一個rundll32.exe檔,將六個檔案移除後,接來就是清理一些殘渣。
以我這台來說,在該USER的開始功能表裡頭的啟動有個msconfig的捷徑,圖案用的是登錄編輯器的圖示,這是其中一個啟動病毒的連結。
另外一個就比較隱密,執行regedit後,找到下面兩個機碼:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters
右邊找到ServiceDll的字串,值已經被改成其中一個dat檔的路徑,這也是每次執行 explorer就會呼叫病毒的原因,這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。
病毒會變種,所以每個人遇到的狀況可能會不一樣,這次的病毒試了幾個防毒軟體都沒掃出來,所以應該是蠻新的變種,提供我的解決方式給大家參考,希望有所幫助。
不行呀大師,有其他方法嗎?感激
這病毒後續的變種體太多,我手邊沒有淪陷的電腦可以試
可能幫不了你了哦
這個真的太殺了!!我今天中了這個病毒…我本來打算照著您的方法試著解毒!
結果…它完全不讓我進安全模式…三種模式都試過了…完全進不了…
我只能重灌了!期待您有新變種的解決方法= =
我在清毒時,上網找的方法也都沒用,看來這病毒變種變得挺快的
阿sir好棒阿! 沒看過這麼殺的病毒
對啊,呵呵
而且一直在變種的樣子