前兩天拿到一台中毒的NB,開機一進入windows,就出現一個大大的LOGO,上面寫著「United Kingdom Police」,旁邊還有一位老阿sir,下方則是簡單列出你的電腦規格,然後說你的電腦已經怎樣怎樣的,而且還啟動NB的攝影機,自己的即時畫面就出現在最下方,看起來頗為嚇人,似乎已被全盤監控。
稍微試了一下,這個病毒效果挺特別的,光是嚇人或阻礙操作的方式就蠻成功的,除了按CTRL ALT DEL選擇關機外,什麼事情都做不了,連啟動安全模式也照樣看得到阿sir。本來想透過WinPE來找有病毒,但卻開機失敗,後來試著用「安全模式(命令提示字元)",阿sir終於不再現身。
先透過命令提示字元執行登錄編輯器及服務,簡單檢視後,沒看到異常的地方,便試著執行explorer,結果阿sir又出現了…。經過反覆測試,找到一個阻擋阿sir的方法:
1.先執行MMC,叫出服務的功能。 2.執行explorer,此時病毒網頁會被啟動。 3.按CTRL+ALT+DEL,選擇重開機。 4.這時關機程序會先關掉IE,也就是病毒網頁, 接著會暫停關機程序,詢問你MMC是否要存檔, 此時就可以先不理會存檔訊息,開始執行你想做的事。
經過檢查,病毒主要存在All Users\Application Data裡面,有五個dat檔外加一個rundll32.exe檔,將六個檔案移除後,接來就是清理一些殘渣。
以我這台來說,在該USER的開始功能表裡頭的啟動有個msconfig的捷徑,圖案用的是登錄編輯器的圖示,這是其中一個啟動病毒的連結。
另外一個就比較隱密,執行regedit後,找到下面兩個機碼:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters
오른쪽 ServiceDll를 찾을 수있는 문자열,값은 DAT 파일 경로 중 하나에 변경되었습니다,이 탐색기가 바이러스의 원인이됩니다 때마다 호출됩니다,這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。
바이러스 변종,그래서 모두 발생 상황이 다를 수 있습니다,這次으로 病毒 試了 몇 개 가스 軟體와 沒掃 데키,그래서 아주 새로운 변종해야한다,당신의 참고를 위해 제공하는 내 솔루션,希望有所幫助。
不行呀大師,有其他方法嗎?感激
這病毒後續的變種體太多,我手邊沒有淪陷的電腦可以試
可能幫不了你了哦
베어 답글 | July 19th, 2014 에서 9:57 PM這個真的太殺了!!我今天中了這個病毒…我本來打算照著您的方法試著解毒!
결과…它完全不讓我進安全模式…三種模式都試過了…完全進不了…
我只能重灌了!期待您有新變種的解決方法= =
我在清毒時,上網找的方法也都沒用,看來這病毒變種變得挺快的
베어 답글 | October 8th, 2013 에서 5:19 PM阿sir好棒阿! 沒看過這麼殺的病毒
對啊,呵呵
而且一直在變種的樣子
베어 답글 | August 20th, 2013 에서 5:06 PM