前两天拿到一台中毒的笔记本电脑,开机一进入 Windows,就出现一个大大的标志,上面写着‘United Kingdom Police’,旁边还有一位老警官,下方则简单列出你的电脑规格,然后说你的电脑已经怎么怎么样了,而且还启动笔记本的摄像头,自己的实时画面就出现在最下方,看起来相当吓人,It seems to be fully monitored。
稍微試了一下,這個病毒效果挺特別的,光是嚇人或阻礙操作的方式就蠻成功的,除了按CTRL+ALT+DEL選擇關機外,什麼事情都做不了,連啟動安全模式也照樣看得到阿sir。本來想透過WinPE來找有病毒,但卻開機失敗,後來試著用「安全模式(命令提示符)」,阿sir終於不再現身。
先透過命令提示字元執行登錄編輯器及服務,簡單檢視後,沒看到異常的地方,便試著執行explorer,結果阿sir又出現了…。經過反覆測試,找到一個阻擋阿sir的方法:
1.先執行MMC,叫出服務的功能。 2.執行explorer,此時病毒網頁會被啟動。 3.按CTRL+ALT+DEL,選擇重開機。 4.這時關機程序會先關掉IE,也就是病毒網頁, 接著會暫停關機程序,詢問你MMC是否要存檔, 此時就可以先不理會存檔訊息,開始執行你想做的事。
經過檢查,病毒主要存在All Users\Application Data裡面,有五個dat檔外加一個rundll32.exe檔,將六個檔案移除後,接來就是清理一些殘渣。
以我這台來說,在該USER的開始功能表裡頭的啟動有個msconfig的捷徑,圖案用的是登錄編輯器的圖示,這是其中一個啟動病毒的連結。
另外一個就比較隱密,執行regedit後,找到下面兩個機碼:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters
右邊找到ServiceDll的字串,值已經被改成其中一個dat檔的路徑,這也是每次執行 explorer就會呼叫病毒的原因,這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。
病毒會變種,所以每個人遇到的狀況可能會不一樣,這次的病毒試了幾個防毒軟體都沒掃出來,所以應該是蠻新的變種,提供我的解決方式給大家參考,希望有所幫助。
不行呀大師,Are there any other methods? Grateful
There are too many subsequent variants of this virus,我手邊沒有淪陷的電腦可以試
可能幫不了你了哦
這個真的太殺了!!我今天中了這個病毒…我本來打算照著您的方法試著解毒!
结果…它完全不讓我進安全模式…三種模式都試過了…完全進不了…
我只能重灌了!期待您有新變種的解決方法= =
我在清毒時,上网找的方法也都没用,看来这病毒变种变得挺快的
阿sir好棒啊! 没看过这么厉害的病毒
对啊,Haha
而且一直在变种的样子