2007年7月13日 星期五

清除 severe.exe, conime.exe, vksrwh.exe, rurply.exe hx1.bat的過程

今天真是一個體會中毒深刻的一天。
我老闆的筆記型電腦中毒,希望我們資訊單位能夠幫忙。結果從早上 7:30 搞到 晚上 6:20才最後處理完畢。真是痛苦的一天。不過最後是解決問題,倒是讓我們得到更深一層的教訓:

  1. 一定要安裝防毒軟體而且防毒軟體要夠強。
  2. 沒必要不要上比如:.cn, 情色網站, 駭客聚集的網站, 取得序號的網站,不小心就會中獎
  3. 中毒後,再安裝防毒軟體都來不及了。

以下就將本次的救援行動完完整整的述說一遍,讓日後若還有網友誤觸地雷可以很快的恢復。

我寫這篇文章主要是參考網路上的另外一篇文章(http://blog.csdn.net/feiyond/archive/2007/03/27/1543379.aspx),然後再依據我所碰到的一些狀況修正。

依據上述的網址內容把它叫做『熊貓燒香新變種』,但我碰到的又有些不同,因此我就姑且叫它熊貓燒香『新新』變種。中了這支病毒就會有下列特徵:

  1. 系統時間會被修正到某年某月某一日,如 2004年01月22日
  2. 不能更改顯示隱藏所有文件和文件夾,在「資料夾選項」中無法顯示隱藏的系統文件。
  3. 打不開常用的防毒軟體和清除木馬(比如:卡巴斯基、NOD32、等)
  4. 無法執行 regedit 以及 msconfig(在安全模式也無法執行)
  5. 安全模式也無法逃過一劫,因為Winlogon也被動手腳。
  6. 放入隨身碟,自動啟動時無法正確打開檔案總管

如果您發現有上述的問題,那恭喜您,中獎了!!碰到這種倒楣事如何解決呢?

首先,

把硬碟拆了,接到另一部電腦上。但這部電腦必須符合下面的條件:

  1. 有安裝最新更新的防毒軟體
  2. 並且Windows作業系統也更新到最新。

當您找到符合上述條件的電腦並接上硬碟後,請開始掃瞄這顆硬碟所有的磁區。以這次我使用的是 KAV 5.0 企業版是可以正確抓到這個病毒並順利刪除。以Windows XP 為例您會抓到下列的檔案:

  • C:\WINDOWS\severe.exe
  • C:\WINDOWS\vksrwh.exe, vksrwh.dll, vksrwh.oll
  • C:\WINDOWS\system32\drivers\rurply.exe
  • C:\WINDOWS\system32\conime.exe
  • C:\WINDOWS\system32\hx1.bat

(如果是 Windows 2000則上述的檔案路徑請將 C:\WINDOWS 改為 C:\WINNT)

注意:掃瞄磁區請掃瞄兩次以上,以確認沒有任何的惡意檔案存在。

檔案掃瞄完畢後,將該硬碟再接回原來的電腦,從新開機。基本上會正常運作,但是每次開機都會看到這樣的訊息:

『Windows 找不到檔案或項目 "C:\WINDOWS\system32\drivers\conime.exe" 請檢查…』

沒關係,後續會告訴你如何處置。

步驟二:解放 regedit 可以使用

「開始」-「執行﹍」輸入 cmd,按[Enter]

c:\> cd \windows

c:\windows>ren regedit.exe regedit.scr

c:\windows>regedit.scr

這樣就可以順利將 regedit打開。請繼續…

當您可以執行 regedit 後,請於 regedit 內,

找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

將裡面的機碼一一檢查一遍,只要該機碼對應右方畫面是指到

C:\WINDOWS\system32\drivers\rurply.exe

者,均將位於左方畫面的機碼刪除。比如你會看到 360Save.exe, avp.com, avp.exe, regedit.com, regedit.exe, msconfig.exe 等,這些檔名在右邊都對應到上述的 rurply.exe 這個檔案。這就是為什麼你執行 regedit, msconfig, avp(卡巴)無法執行的原因。所以將在 Image File Execution Options 下的 regedit.com, regedit.exe, msconfig.exe, avp.com, ... 等全部刪除。注意:沒有對應到 C:\WINDOWS\system32\drivers\rurply.exe 的,切記不要刪喔!!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

將 Shell 這個機碼內在 Explorer.exe 後面的字串(C:\WINDOWS\system32\drivers\conime.exe)刪除,僅保留 Explorer.exe 即可;這個解決每次開機出現找不到 C:\WINDOWS\system32\drivers\conime.exe 檔案的錯誤訊息。

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache

  • C:\WINDOWS\system32\drivers\conime.exe
  • C:\WINDOWS\system32\hx1.bat
  • C:\WINDOWS\system32\severe.exe
  • C:\WINDOWS\system32\vksrwh.exe

請不要手下留情!全部刪除。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

檢查 CheckedValue 這個機碼是否為 DWORD且值為1,若不是DWORD請刪除重新建立一個。一般來說被感染的電腦這個機碼會被改為 「字串」型態,值會是0(零)。一般人只記得將1改為0卻沒注意到它的機碼型態為「字串」而非「DWORD」

這個部分解決在資料夾選項內無法顯示隱藏的系統檔。

做完上述註冊機碼調整後,請記得再將 C:\WINDOWS\regedit.scr 改名恢復 regedit.exe

c:\>ren c:\windows\regedit.scr c:\windows\regedit.exe

最後一個步驟:

檢查各個磁碟機(包含隨身碟)根目錄下是否有隱藏系統檔 autorun.inf 檔案,該檔案內容會看到 oso.exe 這個字眼。這也是為什麼會利用隨身碟感染另一部電腦。

請按照下面的作法處理:

「開始」-「執行﹍」輸入 cmd,按[Enter]

c:\>dir /as

看到 autorun.inf

c:\>del /a:h autorun.inf

c:\>dir /as

應該是看不到了。請依序將您可以連到的磁碟機均作一次上述的動作。以確保沒有 autorun.inf檔案存在。

最後,請您記得將日期、時間調回正確的日期時間喔!否則還是會在2004/1/22

到此,您就大功告成了!感謝上帝!!!

沒有留言: