UKASH病毒

ms-windows  前兩天拿到一台中毒的NB,開機一進入windows,就出現一個大大的LOGO,上面寫著「United Kingdom Police」,旁邊還有一位老阿sir,下方則是簡單列出你的電腦規格,然後說你的電腦已經怎樣怎樣的,而且還啟動NB的攝影機,自己的即時畫面就出現在最下方,看起來頗為嚇人,似乎已被全盤監控

 

  稍微試了一下,這個病毒效果挺特別的,光是嚇人或阻礙操作的方式就蠻成功的,除了按CTRL ALT DEL選擇關機外,什麼事情都做不了,連啟動安全模式也照樣看得到阿sir本來想透過WinPE來找有病毒,但卻開機失敗,後來試著用「安全模式(命令提示字元)",阿sir終於不再現身

  先透過命令提示字元執行登錄編輯器及服務,簡單檢視後,沒看到異常的地方,便試著執行explorer,結果阿sir又出現了…。經過反覆測試找到一個阻擋阿sir的方法

1.先執行MMC,叫出服務的功能。

2.執行explorer此時病毒網頁會被啟動。

3.按CTRL+ALT+DEL選擇重開機。

4.這時關機程序會先關掉IE,也就是病毒網頁,
接著會暫停關機程序,詢問你MMC是否要存檔,
此時就可以先不理會存檔訊息,開始執行你想做的事

  經過檢查,病毒主要存在All Users\Application Data裡面,有五個dat檔外加一個rundll32.exe檔,將六個檔案移除後,接來就是清理一些殘渣

 

  以我這台來說,在該USER的開始功能表裡頭的啟動有個msconfig的捷徑,圖案用的是登錄編輯器的圖示,這是其中一個啟動病毒的連結

 

  另外一個就比較隱密,執行regedit後,找到下面兩個機碼

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

오른쪽 ServiceDll를 찾을 수있는 문자열,값은 DAT 파일 경로 중 하나에 변경되었습니다,이 탐색기가 바이러스의 원인이됩니다 때마다 호출됩니다,這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」

 

바이러스 변종,그래서 모두 발생 상황이 다를 수 있습니다,這次으로 病毒 試了 몇 개 가스 軟體와 沒掃 데키,그래서 아주 새로운 변종해야한다,당신의 참고를 위해 제공하는 내 솔루션,希望有所幫助

6 응답

  1. Anonymous 라고 |

    不行呀大師,有其他方法嗎?感激

    這病毒後續的變種體太多,我手邊沒有淪陷的電腦可以試
    可能幫不了你了哦

    베어 답글 |
  2. 中了這個 라고 |

    這個真的太殺了!!我今天中了這個病毒…我本來打算照著您的方法試著解毒!

    결과…它完全不讓我進安全模式…三種模式都試過了…完全進不了…

    我只能重灌了!期待您有新變種的解決方法= =

    我在清毒時,上網找的方法也都沒用,看來這病毒變種變得挺快的

    베어 답글 |
  3. tix123 라고 |

     阿sir好棒阿! 沒看過這麼殺的病毒

    對啊,呵呵
    而且一直在變種的樣子

    베어 답글 |

코멘트를 남겨주세요

유의하시기 바랍니다: 덧글 검토가 활성화되고 귀하의 코멘트를 지연시킬 수있다. 댓글을 다시 제출하실 필요는 없습니다.