不知道是故意, 還是掃毒的工具需要資金持續發展的商業理由, 有部分的木馬病毒就是沒有辦法掃描移除. 某某帶來她的 NOTEBOOK, 說掃毒沒發現有病毒感染. 請某某形容一下症狀........良久以前, 使用 IE 瀏覽網頁的速度變得很慢, 後來開機的速度也開始變慢, 現在, 一開機進入 WINDOWS XP, CPU 已經 80-100% 滿載, 散熱風扇狂轉, 整機的速度也明顯變得越來越慢.........
暫停一下....後面繼續拆解步驟....
原來很多木馬病毒把啟動的裝置設定並記錄在註冊表裏面如下的位置,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\]
用REGEDIT 瀏覽這個位置, 在 AppInit_Dlls 裡面, 包含了幾個可疑的DLL. 正常情形, 這個 AppInit_Dlls 應該是空白的.
再來一個, 又更多的木馬病毒把啟動的裝置設定並記錄在註冊表裏面如下的位置
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
or,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
or,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
用 REGEDIT 瀏覽這個位置, 一堆古怪名稱的 DLL, 這堆病毒, 在 XP 啟動時就直接由 ShellExecuteHooks 的方式載入及啟動, 所以某些防毒軟件根本沒用. IE 瀏覽網頁時更全速運作. 所以 CPU 都給耗用殆盡.
解決方法 -
用 REGEDIT 瀏覽這些位置和刪除機碼是不能刪除病毒的, 因為這些都已經深入到每個應用程序, 唯有將對應的 DLL 檔案刪除, 病毒才能清除. 這些病毒的 DLL 檔案, 都應該存放在 \Windows\ssytem32\, 但是都隱藏起來. 嚴重時, 不能以安全模式登入及刪除這些DLL.
1) 首先要做一張 Win98 啟動 FLOOPY 碟, 然後把 attrib.exe 也抄進去;
2) 用這張 FLOOPY 碟啟動 (如果XP是裝設在 SATA HARD DISK 或 NTFS 格式化的 HARD DISK, 這個方法可能行不通);
3) 設 XP 裝在 C:\Windows\system32\;
CD C:\Windows\system32
4) 到了 C:\Windows\system32 這個目錄下面, 先列出有古怪的 DLL;
dir /a:h *.dll > virus_dll.txt
5) 有古怪的 DLL 名稱已經記錄在 virus_dll.txt 裡面;
6) 修改所有 DLL 的檔案屬性, 使他們全部沒有隱藏的屬性;
attrib -r -h -a *.dll
7) 根據之前的 virus_dll.txt 列表, 寫個 BATCH FILE, 將有古怪的 DLL 全部改名成 ._dll, 不刪除的原因, 萬一其中有一兩個不屬於病毒, 改了引至 XP 不能啟動, 還可以在手動還原.
8) 重新正常地啟動 XP, 如果可以的話, 用 REGEDIT 搜尋並把登錄檔內的含有病毒 DLL字串的所有機碼刪除, 應該不止一處.
9) 最後把 C:\Windows\system32 內的病毒 DLL 刪除;
10) 備份這個乾淨的 REGISTRY.
后記 -
某某的電腦裝了防毒, 但是.......
現在, 暫時一切回復暢順平靜.
據某某說沒有上三級黃色網站或賭博網站, 也不玩ON-LINE GAME, 何來這麼多木馬病毒 ? 難道........外表斯文, 其實內裡 OPEN......
看不出來, 應該是老公的惹的禍.
請先 登入 以發表留言。