我老闆的筆記型電腦中毒,希望我們資訊單位能夠幫忙。結果從早上 7:30 搞到 晚上 6:20才最後處理完畢。真是痛苦的一天。不過最後是解決問題,倒是讓我們得到更深一層的教訓:
- 一定要安裝防毒軟體而且防毒軟體要夠強。
- 沒必要不要上比如:.cn, 情色網站, 駭客聚集的網站, 取得序號的網站,不小心就會中獎
- 中毒後,再安裝防毒軟體都來不及了。
以下就將本次的救援行動完完整整的述說一遍,讓日後若還有網友誤觸地雷可以很快的恢復。
我寫這篇文章主要是參考網路上的另外一篇文章(http://blog.csdn.net/feiyond/archive/2007/03/27/1543379.aspx),然後再依據我所碰到的一些狀況修正。
依據上述的網址內容把它叫做『熊貓燒香新變種』,但我碰到的又有些不同,因此我就姑且叫它熊貓燒香『新新』變種。中了這支病毒就會有下列特徵:
- 系統時間會被修正到某年某月某一日,如 2004年01月22日
- 不能更改顯示隱藏所有文件和文件夾,在「資料夾選項」中無法顯示隱藏的系統文件。
- 打不開常用的防毒軟體和清除木馬(比如:卡巴斯基、NOD32、等)
- 無法執行 regedit 以及 msconfig(在安全模式也無法執行)
- 安全模式也無法逃過一劫,因為Winlogon也被動手腳。
- 放入隨身碟,自動啟動時無法正確打開檔案總管
如果您發現有上述的問題,那恭喜您,中獎了!!碰到這種倒楣事如何解決呢?
首先,
把硬碟拆了,接到另一部電腦上。但這部電腦必須符合下面的條件:
- 有安裝最新更新的防毒軟體
- 並且Windows作業系統也更新到最新。
當您找到符合上述條件的電腦並接上硬碟後,請開始掃瞄這顆硬碟所有的磁區。以這次我使用的是 KAV 5.0 企業版是可以正確抓到這個病毒並順利刪除。以Windows XP 為例您會抓到下列的檔案:
- C:\WINDOWS\severe.exe
- C:\WINDOWS\vksrwh.exe, vksrwh.dll, vksrwh.oll
- C:\WINDOWS\system32\drivers\rurply.exe
- C:\WINDOWS\system32\conime.exe
- C:\WINDOWS\system32\hx1.bat
(如果是 Windows 2000則上述的檔案路徑請將 C:\WINDOWS 改為 C:\WINNT)
注意:掃瞄磁區請掃瞄兩次以上,以確認沒有任何的惡意檔案存在。
檔案掃瞄完畢後,將該硬碟再接回原來的電腦,從新開機。基本上會正常運作,但是每次開機都會看到這樣的訊息:
『Windows 找不到檔案或項目 "C:\WINDOWS\system32\drivers\conime.exe" 請檢查…』
沒關係,後續會告訴你如何處置。
步驟二:解放 regedit 可以使用
「開始」-「執行﹍」輸入 cmd,按[Enter]
c:\> cd \windows
c:\windows>ren regedit.exe regedit.scr
c:\windows>regedit.scr
這樣就可以順利將 regedit打開。請繼續…
當您可以執行 regedit 後,請於 regedit 內,
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
將裡面的機碼一一檢查一遍,只要該機碼對應右方畫面是指到
C:\WINDOWS\system32\drivers\rurply.exe
者,均將位於左方畫面的機碼刪除。比如你會看到 360Save.exe, avp.com, avp.exe, regedit.com, regedit.exe, msconfig.exe 等,這些檔名在右邊都對應到上述的 rurply.exe 這個檔案。這就是為什麼你執行 regedit, msconfig, avp(卡巴)無法執行的原因。所以將在 Image File Execution Options 下的 regedit.com, regedit.exe, msconfig.exe, avp.com, ... 等全部刪除。注意:沒有對應到 C:\WINDOWS\system32\drivers\rurply.exe 的,切記不要刪喔!!
找
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將 Shell 這個機碼內在 Explorer.exe 後面的字串(C:\WINDOWS\system32\drivers\conime.exe)刪除,僅保留 Explorer.exe 即可;這個解決每次開機出現找不到 C:\WINDOWS\system32\drivers\conime.exe 檔案的錯誤訊息。
找
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
將
- C:\WINDOWS\system32\drivers\conime.exe
- C:\WINDOWS\system32\hx1.bat
- C:\WINDOWS\system32\severe.exe
- C:\WINDOWS\system32\vksrwh.exe
請不要手下留情!全部刪除。
找
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
檢查 CheckedValue 這個機碼是否為 DWORD且值為1,若不是DWORD請刪除重新建立一個。一般來說被感染的電腦這個機碼會被改為 「字串」型態,值會是0(零)。一般人只記得將1改為0卻沒注意到它的機碼型態為「字串」而非「DWORD」
這個部分解決在資料夾選項內無法顯示隱藏的系統檔。
做完上述註冊機碼調整後,請記得再將 C:\WINDOWS\regedit.scr 改名恢復 regedit.exe
c:\>ren c:\windows\regedit.scr c:\windows\regedit.exe
最後一個步驟:
檢查各個磁碟機(包含隨身碟)根目錄下是否有隱藏系統檔 autorun.inf 檔案,該檔案內容會看到 oso.exe 這個字眼。這也是為什麼會利用隨身碟感染另一部電腦。
請按照下面的作法處理:
「開始」-「執行﹍」輸入 cmd,按[Enter]
c:\>dir /as
看到 autorun.inf
c:\>del /a:h autorun.inf
c:\>dir /as
應該是看不到了。請依序將您可以連到的磁碟機均作一次上述的動作。以確保沒有 autorun.inf檔案存在。
最後,請您記得將日期、時間調回正確的日期時間喔!否則還是會在2004/1/22
到此,您就大功告成了!感謝上帝!!!
沒有留言:
張貼留言