老森常譚 IT Help

　　前兩天拿到一台中毒的NB，開機一進入windows，就出現一個大大的LOGO，上面寫著「United Kingdom Police」，旁邊還有一位老阿sir，下方則是簡單列出你的電腦規格，然後說你的電腦已經怎樣怎樣的，而且還啟動NB的攝影機，自己的即時畫面就出現在最下方，看起來頗為嚇人，似乎已被全盤監控。

　　稍微試了一下，這個病毒效果挺特別的，光是嚇人或阻礙操作的方式就蠻成功的，除了按CTRL+ALT+DEL選擇關機外，什麼事情都做不了，連啟動安全模式也照樣看得到阿sir。本來想透過WinPE來找有病毒，但卻開機失敗，後來試著用「安全模式(命令提示字元)」，阿sir終於不再現身。

　　先透過命令提示字元執行登錄編輯器及服務，簡單檢視後，沒看到異常的地方，便試著執行explorer，結果阿sir又出現了…。經過反覆測試，找到一個阻擋阿sir的方法：

1.先執行MMC，叫出服務的功能。

2.執行explorer，此時病毒網頁會被啟動。

3.按CTRL+ALT+DEL，選擇重開機。

4.這時關機程序會先關掉IE，也就是病毒網頁，
接著會暫停關機程序，詢問你MMC是否要存檔，
此時就可以先不理會存檔訊息，開始執行你想做的事。

　　經過檢查，病毒主要存在All Users\Application Data裡面，有五個dat檔外加一個rundll32.exe檔，將六個檔案移除後，接來就是清理一些殘渣。

　　以我這台來說，在該USER的開始功能表裡頭的啟動有個msconfig的捷徑，圖案用的是登錄編輯器的圖示，這是其中一個啟動病毒的連結。

　　另外一個就比較隱密，執行regedit後，找到下面兩個機碼：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

右邊找到ServiceDll的字串，值已經被改成其中一個dat檔的路徑，這也是每次執行 explorer就會呼叫病毒的原因，這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。

　　病毒會變種，所以每個人遇到的狀況可能會不一樣，這次的病毒試了幾個防毒軟體都沒掃出來，所以應該是蠻新的變種，提供我的解決方式給大家參考，希望有所幫助。