前兩天拿到一台中毒的NB,開機一進入windows,就出現一個大大的LOGO,上面寫著「United Kingdom Police」,旁邊還有一位老阿sir,下方則是簡單列出你的電腦規格,然後說你的電腦已經怎樣怎樣的,而且還啟動NB的攝影機,自己的即時畫面就出現在最下方,看起來頗為嚇人,似乎已被全盤監控。
稍微試了一下,這個病毒效果挺特別的,J,u,s,t。本來想透過WinPE來找有病毒,t,h(e)」,阿sir終於不再現身。
w,簡單檢視後,沒看到異常的地方,便試著執行explorer,結果阿sir又出現了…。經過反覆測試,找到一個阻擋阿sir的方法:
1.先執行MMC,叫出服務的功能。 2.執行explorer,此時病毒網頁會被啟動。 3.按CTRL+ALT+DEL,選擇重開機。 4.這時關機程序會先關掉IE,也就是病毒網頁, 接著會暫停關機程序,詢問你MMC是否要存檔, 此時就可以先不理會存檔訊息,開始執行你想做的事。
經過檢查,病毒主要存在All Users\Application Data裡面,有五個dat檔外加一個rundll32.exe檔,將六個檔案移除後,接來就是清理一些殘渣。
以我這台來說,在該USER的開始功能表裡頭的啟動有個msconfig的捷徑,圖案用的是登錄編輯器的圖示,This is one of the links that activates the virus。
The other one is more hidden,After running regedit,Find the following two registry keys:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters
On the right, find the ServiceDll string,The value has been changed to the path of one of the .dat files,This is also the reason why the virus is called every time explorer is run,這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。
The virus will mutate,所以每個人遇到的狀況可能會不一樣,這次的病毒試了幾個防毒軟體都沒掃出來,所以應該是蠻新的變種,提供我的解決方式給大家參考,希望有所幫助。
不行呀大師,有其他方法嗎?感激
這病毒後續的變種體太多,我手邊沒有淪陷的電腦可以試
可能幫不了你了哦
這個真的太殺了!!我今天中了這個病毒…我本來打算照著您的方法試著解毒!
結果…它完全不讓我進安全模式…三種模式都試過了…完全進不了…
我只能重灌了!期待您有新變種的解決方法= =
我在清毒時,上網找的方法也都沒用,看來這病毒變種變得挺快的
阿sir好棒阿! I've never seen such a deadly virus.
Yeah.,呵呵
And it seems to keep mutating.