老森常谈 IT 帮助

前两天拿到一台中毒的笔记本电脑，开机一进入 Windows，就出现一个大大的标志，上面写着‘United Kingdom Police’，旁边还有一位老警官，下方则简单列出你的电脑规格，然后说你的电脑已经怎么怎么样了，而且还启动笔记本的摄像头，自己的实时画面就出现在最下方，看起来相当吓人，It seems to be fully monitored。

稍微试了一下，这个病毒效果挺特别的，光是吓人或阻碍操作的方式就蛮成功的，除了按CTRL+ALT+DEL选择关机外，什么事情都做不了，連啟動安全模式也照樣看得到阿sir。本來想透過WinPE來找有病毒，但卻開機失敗，後來試著用「安全模式(命令提示符)」，阿sir終於不再現身。

　　先透過命令提示字元執行登錄編輯器及服務，簡單檢視後，沒看到異常的地方，便試著執行explorer，結果阿sir又出現了…。經過反覆測試，找到一個阻擋阿sir的方法：

1.First, run MMC，Call the service function。

2.Run explorer，At this point, the virus webpage will be activated。

3.Press CTRL+ALT+DEL，Select restart。

4.At this point, the shutdown process will first close IE，Which is the virus webpage，
Then the shutdown process will pause，It will ask whether you want to save MMC，
At this point, you can ignore the save message，Start doing what you want to do。

After inspection，病毒主要存在All Users\Application Data裡面，有五個dat檔外加一個rundll32.exe檔，將六個檔案移除後，接來就是清理一些殘渣。

　　以我這台來說，在該USER的開始功能表裡頭的啟動有個msconfig的捷徑，圖案用的是登錄編輯器的圖示，這是其中一個啟動病毒的連結。

　　另外一個就比較隱密，執行regedit後，找到下面兩個機碼：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

右邊找到ServiceDll的字串，值已經被改成其中一個dat檔的路徑，這也是每次執行 explorer就會呼叫病毒的原因，這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。

　　病毒會變種，所以每個人遇到的狀況可能會不一樣，這次的病毒試了幾個防毒軟體都沒掃出來，所以應該是蠻新的變種，提供我的解決方式給大家參考，希望有所幫助。