close

沒多久又來一隻...

簡單來說這隻病毒會纏exe檔,開機會執行類似微軟防火牆、安全管理員之類的介面。
開啟程式會跳出類似一般防毒的是否允許開啟,上網也會跳出是否允許連線,但是一按允許又跳出要註冊... =   =+

他們會有一系列名稱很專業的,大概有:

  • XP Antispyware 2012
  • XP Antivirus 2012
  • XP Security 2012
  • XP Home Security 2012
  • XP Internet Security 2012

 

大概長這樣 (這次我有拍圖 XD)
image013.png  image015.png 

   

 

國外GOOGLE第一篇就有詳細解法了,參閱 http://deletemalware.blogspot.com/2011/06/remove-xp-antispyware-2012-xp-internet.html

 

老規矩,安全模式先進去(開機進去前F8),安全模式進去起碼一開啟不會啟動病毒。
接著使用愛用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip (官方載點)

然後就發現病毒了 !!  據說此名稱是隨機的,但是因為會藏在固定地方,所以很好發現。

 

解法步驟:

  1. 開機進入安全模式
  2. 顯示隱藏檔,找出病毒名稱
  3. 將執行中的病毒刪除
  4. 將啟動會自動執行的病毒刪除
  5. 修復登錄檔
  6. 重開機,完成

 

 

注意,以下動作都需要進到安全模式執行。

顯示隱藏檔

開啟我的電腦,工具列 → 工具/資料夾選項 檢視
勾選
顯示所有檔案和資料夾
顯示系統資料夾的內容

取消勾選
隱藏保付的作業系統檔案
隱藏已知檔案類型的副檔名

 

進到

C:\Documents and Settings\使用者名稱\Local Settings\Application Data\
C:\Documents and Settings\All users\Local Settings\Application Data\

可以看到病毒樣子,一個隱藏檔也是病毒延伸出來的檔案,直接刪除。
病毒名字不一定,我同事的案例是oxp。

下圖,橘色就是隱藏病毒延伸檔,紅色是病毒本身
image011.png  
 

※注意,找到病毒以後,可以先進去工作管理員將病毒關閉,病毒名稱就是上方紅色框內的檔案名稱,進到工作管理員將同名稱的程式關閉。

 

刪除開機會自動執行的病毒

將剛剛下載的Starter啟動,並檢查自動執行有沒有病毒。

若有則勾選刪除,如下圖


※這張是執行中的病毒名稱
image001.png  

 

image003.pngimage005.png   

 

 

 

 

這些都是病毒,刪除吧。
每位的名稱可能都不一樣,看一下value的位置即可。

 

修復登錄檔

下載此reg檔執行,擔心有問題可以用文字編輯器開啟觀看 https://docs.google.com/uc?id=0B7pJ7yI2AU6jN2Y4YTdlYmUtZTNjYi00MWRlLTk0MzgtOGE5NDA0MDZjOTM1&export=download&hl=en

 

以及下列文字貼到記事本以後存成fix.reg,執行。

/*-----------------以下-------------------*/

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Classes\.exe]
[-HKEY_CURRENT_USER\Software\Classes\secfile]
[-HKEY_CLASSES_ROOT\secfile]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

/*-----------------以上-------------------*/

 

最後進到登錄檔編輯器內(開始/執行/regedite)
搜尋病毒檔名,像我的病毒名稱是 oxp.exe,就搜尋 oxp.exe

找到以後如果裡面有病毒路徑

"C:\Documents and Settings\使用者名稱\Local Settings\Application Data\\oxp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode'

這種類型的文字,就點兩下修改,把上面底線部份的文字刪除,留下原始路徑即可。
通常會出現在IE、Firefox瀏覽器的登錄檔內,不是按右鍵刪除,而是點兩下進去編輯,留下原始路徑,刪除病毒的路徑

接著按F3繼續搜尋,最後都恢復正常路徑以後就能重新開機了。

 

ok,搞定。

 

 

以上 紀錄。

 

arrow
arrow
    文章標籤
    XP Antispyware 2012 病毒 病毒解法 XP Antivirus 2012 XP Security 2012 XP Home Security 2012 XP Internet Security 2012
    全站熱搜
    創作者介紹
    創作者 ezcshi 的頭像
    ezcshi

    一陣嘻,噓!

    ezcshi 發表在 痞客邦 留言(2) 人氣()

    E-mail轉寄