老森常譚 IT Help

前兩天拿到一台中毒的NB，開機一進入windows，就出現一個大大的LOGO，. 上面寫著「United Kingdom Police」，旁邊還有一位老阿sir，下方則是簡單列出你的電腦規格，然後說你的電腦已經怎樣怎樣的，而且還啟動NB的攝影機，自己的即時畫面就出現在最下方，看起來頗為嚇人，Parece que ha sido completamente monitoreado。

Probé un poco，Este virus tiene un efecto bastante especial，Solo la forma de asustar o interferir con las operaciones ya es bastante efectiva，Aparte de presionar CTRL+ALT+DEL y elegir apagar,，No se puede hacer nada，Incluso al iniciar en modo seguro todavía se puede ver, señor。Originalmente quería buscar el virus a través de WinPE，Pero falló al arrancar，Luego intenté usar 'modo seguro',(Símbolo del sistema)」，阿sir終於不再現身。

　　先透過命令提示字元執行登錄編輯器及服務，簡單檢視後，沒看到異常的地方，便試著執行explorer，結果阿sir又出現了…。經過反覆測試，找到一個阻擋阿sir的方法：

1.先執行MMC，叫出服務的功能。

2.執行explorer，此時病毒網頁會被啟動。

3.按CTRL+ALT+DEL，選擇重開機。

4.這時關機程序會先關掉IE，也就是病毒網頁，
接著會暫停關機程序，詢問你MMC是否要存檔，
此時就可以先不理會存檔訊息，開始執行你想做的事。

　　經過檢查，病毒主要存在All Users\Application Data裡面，有五個dat檔外加一個rundll32.exe檔，將六個檔案移除後，接來就是清理一些殘渣。

　　以我這台來說，在該USER的開始功能表裡頭的啟動有個msconfig的捷徑，圖案用的是登錄編輯器的圖示，這是其中一個啟動病毒的連結。

另外一個就比較隱密，執行regedit後，找到下面兩個機碼：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

右邊找到ServiceDll的字串，值已經被改成其中一個dat檔的路徑，這也是每次執行 explorer就會呼叫病毒的原因，這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。

　　病毒會變種，所以每個人遇到的狀況可能會不一樣，這次的病毒試了幾個防毒軟體都沒掃出來，所以應該是蠻新的變種，提供我的解決方式給大家參考，希望有所幫助。