沒多久又來一隻...

簡單來說這隻病毒會纏exe檔,開機會執行類似微軟防火牆、安全管理員之類的介面。
開啟程式會跳出類似一般防毒的是否允許開啟,上網也會跳出是否允許連線,但是一按允許又跳出要註冊... =   =+

他們會有一系列名稱很專業的,大概有:

  • XP Antispyware 2012
  • XP Antivirus 2012
  • XP Security 2012
  • XP Home Security 2012
  • XP Internet Security 2012

 

大概長這樣 (這次我有拍圖 XD)
image013.png  image015.png 

   

 

國外GOOGLE第一篇就有詳細解法了,參閱 http://deletemalware.blogspot.com/2011/06/remove-xp-antispyware-2012-xp-internet.html

 

老規矩,安全模式先進去(開機進去前F8),安全模式進去起碼一開啟不會啟動病毒。
接著使用愛用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip (官方載點)

然後就發現病毒了 !!  據說此名稱是隨機的,但是因為會藏在固定地方,所以很好發現。

 

解法步驟:

  1. 開機進入安全模式
  2. 顯示隱藏檔,找出病毒名稱
  3. 將執行中的病毒刪除
  4. 將啟動會自動執行的病毒刪除
  5. 修復登錄檔
  6. 重開機,完成

 

 

注意,以下動作都需要進到安全模式執行。

顯示隱藏檔

開啟我的電腦,工具列 → 工具/資料夾選項 檢視
勾選
顯示所有檔案和資料夾
顯示系統資料夾的內容

取消勾選
隱藏保付的作業系統檔案
隱藏已知檔案類型的副檔名

 

進到

C:\Documents and Settings\使用者名稱\Local Settings\Application Data\
C:\Documents and Settings\All users\Local Settings\Application Data\

可以看到病毒樣子,一個隱藏檔也是病毒延伸出來的檔案,直接刪除。
病毒名字不一定,我同事的案例是oxp。

下圖,橘色就是隱藏病毒延伸檔,紅色是病毒本身
image011.png  
 

※注意,找到病毒以後,可以先進去工作管理員將病毒關閉,病毒名稱就是上方紅色框內的檔案名稱,進到工作管理員將同名稱的程式關閉。

 

刪除開機會自動執行的病毒

將剛剛下載的Starter啟動,並檢查自動執行有沒有病毒。

若有則勾選刪除,如下圖


※這張是執行中的病毒名稱
image001.png  

 

image003.pngimage005.png   

 

 

 

 

這些都是病毒,刪除吧。
每位的名稱可能都不一樣,看一下value的位置即可。

 

修復登錄檔

下載此reg檔執行,擔心有問題可以用文字編輯器開啟觀看 https://docs.google.com/uc?id=0B7pJ7yI2AU6jN2Y4YTdlYmUtZTNjYi00MWRlLTk0MzgtOGE5NDA0MDZjOTM1&export=download&hl=en

 

以及下列文字貼到記事本以後存成fix.reg,執行。

/*-----------------以下-------------------*/

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Classes\.exe]
[-HKEY_CURRENT_USER\Software\Classes\secfile]
[-HKEY_CLASSES_ROOT\secfile]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

/*-----------------以上-------------------*/

 

最後進到登錄檔編輯器內(開始/執行/regedite)
搜尋病毒檔名,像我的病毒名稱是 oxp.exe,就搜尋 oxp.exe

找到以後如果裡面有病毒路徑

"C:\Documents and Settings\使用者名稱\Local Settings\Application Data\\oxp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode'

這種類型的文字,就點兩下修改,把上面底線部份的文字刪除,留下原始路徑即可。
通常會出現在IE、Firefox瀏覽器的登錄檔內,不是按右鍵刪除,而是點兩下進去編輯,留下原始路徑,刪除病毒的路徑

接著按F3繼續搜尋,最後都恢復正常路徑以後就能重新開機了。

 

ok,搞定。

 

 

以上 紀錄。

 

arrow
arrow

    ezcshi 發表在 痞客邦 留言(2) 人氣()