[教學] 木馬病毒 desktop文件出現於開機之後 解毒法
看了知識+上大家不少的解答,但是似乎很多人中了卻又復發
或是執行檔案很奇怪...
我也是發生同樣問題,於是一邊重灌一邊觀察
最後終於發現癥結點,也發現病毒的運作方式..
所以,在重灌N次後
終於讓我把這個討厭的病毒從我電腦裡完全清除掉了
也知道怎麼預防掉他..現在完全正常不會復發...
這裡提供針對此病毒發作方式進行「危機處理」的解法給大家
(這裡也提供復發解救方式)
以下分兩種解法
一種是可以重灌電腦的解法(A)
另一種解法提供不想重灌或因為某些因素無法重灌的人使用(B)
Α解法會解決得很乾淨^_^!建議最好還是重灌~不要怕麻煩~
Β解法因為病毒可能已經感染某些檔案,你可能會有執行某些東西上的問題
◎◎◎◎◎◎◎
病毒運作感染方式:
特徵:
該病毒會感染電腦裡附檔名為exe的執行檔,
故「大型遊戲」類的執行檔「一定要刪」..感染率幾乎100%
即使解毒和修補漏洞完畢了..若你電腦還留存被感染過的執行檔,
那麼只要一執行病毒又會再度感染的~!
另..執行系統還原..我試過很多次..答案是無效!所以不用嘗試了..
建議如果是網路上抓得到的軟體、或你有安裝光碟的軟體,
請你「狠下心」砍掉他的exe檔在進行備份,
到時安裝後再把備份的資料貼回去原先資料夾裡通常就可以恢復設定。 病毒不一定感染哪一個執行檔,也不是全部都去感染,
所以如果你安裝的軟體、遊戲已「絕版」...
那就要確定該檔案有沒有被感染!
如果不幸被感染也只好刪除...
但如果電腦已經解毒又要確定該檔案有沒有「中獎」,
我最後有附「危機處理」方式,
幫助你過濾掉電腦裡所有已經被病毒感染的檔案。
病毒「不太會」感染的exe檔案有以下幾種
■用壓縮軟體壓縮過的exe檔,一般軟體的安裝程式有不少屬於這種
■用winrar、winzip壓縮出來製造的exe檔
■16位元下的exe執行檔(即dos模式下的exe執行檔)
■檔案本身設定了唯讀的exe檔
■有密碼保護的exe檔
■flash製作成的exe執行檔
病毒「特別愛」感染的exe檔類型是
■檔案小的exe「程式」執行檔
■檔案小的exe單一「程式」執行檔
■大型遊戲的exe執行檔
感染方式:
在drive:\Documents and Settings\user\Local Settings\Temp產生如下檔案
□ad001.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
並執行3.exe及ad001.exe
接著在drive:\%systemroot%\下建立kb20060111.exe、
在drive:\%systemroot%\system32\下建立wincfgs.exe。
之後開始進行感染..
此病毒首先會先將Documents and Settings裡的desktop.ini「取消隱藏」,
全數取消後才寫入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的資料
如果該desktop.ini裡原先就有資料,
他會直接在原先的資料後面或最前面附加寫入該資料。
如果使用者將被取消隱藏的desktop.ini刪除,
則會出現資料夾或捷徑被改名並取消原有設定的情形!
刪除「我的文件」項下的資料夾的desktop.ini,
「我的音樂」會變成「My Musics」
「我的圖片」會變成「My Pictures」
「我的影片」會變成「My Videos」
並取消原有資料夾屬性變成一般資料夾
(原先的圖示都會不見)
刪除「開始」功能表->程式集項下的desktop.ini,
「遠端協助」會變成「Remote Assistance」
刪除「開始」功能表->程式集->附屬應用程式項下的desktop.ini,
則有一套預設不會安裝的windows隨附軟體捷徑會變更名稱
(我電腦現在沒裝..所以看不到更動)
刪除「我的最愛」項下的desktop.ini,
「我的最愛」會更名為Favorites並並取消原有資料夾屬性變成一般資料夾。
(原先的圖示都會不見)
所以我的建議:
不用刪desktop.ini!用改內容的把原先內容改回來,並設回隱藏即可。
解法請看下面。
◎◎◎◎◎◎◎
●前置步驟
注意!執行前置步驟期間及其後未完成修補之間,
請不要任意執行其他exe執行檔,以免再度受到感染。
兩個解法都要進行這個前置步驟。
1.開機,按F8進入安全模式。(選擇第一個模式,不要有網路的)
2.開啟檔案總管,
上面的選項列
選擇工具->資料夾選項->檢視->
隱藏已知檔案類型的檔案、隱藏保護的作業系統檔案勾勾取消,
並點選顯示所有檔案和資料夾,按確定。
3.清空Temporary Internet Files資料夾,位置在
drive:\Documents and Settings\user\Local Settings\Temporary Internet Files
drive是你的windows安裝槽
user是你的用戶名稱
4.刪除檔案,刪除在temp資料夾裡面的下面幾個檔案(找不到的檔案可直接略過)
□ad001.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
temp的位址在drive:\Documents and Settings\user\Local Settings\Temp
5.在windows資料夾及system32資料夾刪除檔案
□kb20060111.exe
在drive:\%systemroot%\下
(一般為C:\Windows)
□wincfgs.exe
在drive:\%systemroot%\system32\下
(一般為C:\Windows\system32)
6.初步處理desktop.ini
按開始->執行->輸入msconfig
「啟動」項內,將有desktop.ini的項目取消勾選。
注意,「不用」刪除desktop.ini,他們只不過是純文字檔,不會感染你電腦!
※以下步驟選擇A解法的人,請在重灌完後再建立(請參照A解法裡的指示)
7.建立預防檔案,建立方法為新增一個純文字文件,把檔名直接改成如下檔名即可。
☆在temp資料夾裡面建立下面幾個檔案
□ad001.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
☆在windows安裝資料夾裡建立kb20060111.exe。
☆在system32資料夾裡建立wincfgs.exe。
8.將剛剛建立好的檔案,點選右鍵,選擇「內容」,
將「唯讀」的框框打勾,按確定。設定好後要再按內容看一次確定有選到唯讀。
這樣的作法是讓病毒無法產生那些病毒檔,避免他去感染其他exe檔!
注意請不要刪掉這些你建立的檔案,
至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。
9.接下來請重開機進入正常模式,此時應該可以正常上網不會被病毒干擾!
接著依你要不要重灌選擇A或B解法。
◎◎◎◎◎◎◎
Α.重灌電腦的解法(再次建議!選擇這個多花些時間但是效果較好!)
step1.備份資料
把本解毒方式開一個純文字文件全文複製貼上並存檔,
存起來備份,方便重灌後照步驟進行。
首先備份你需要的檔案!
如MSN表情符號、交談記錄、郵件、一堆設定、我的最愛、你的資料等等..
那些備份資料的步驟這裡不談,請自行來知識+或各大引擎搜尋備份方法。
如果有第二顆硬碟或C槽之外其他槽,就把資料copy過去。
如果沒有...請你用燒錄機燒起來吧。
那些exe檔請參照上面的「特徵」欄確認一下哪些EXE檔案不會被感染,
優先備份這些檔案,至於有風險的而你不需要的就刪除,
需要的則先不要執行它也不要壓縮它,
在重灌後會引導你如何進行最安全的測試來確定該檔案是否被感染。
備份的時候請盡量把檔案壓縮成rar檔以避免到時重灌後測試時,
若執行到有被感染的檔案而導致其他未被感染的檔案被感染。
大型遊戲的執行檔必須砍除,有補丁也得砍除。
※請一定要備有防火牆、防毒軟體的安裝程式,重灌完後馬上就要裝的,
因為一接上網路還沒更新之前可能疾風病毒會攻擊你電腦..
建議裝卡巴斯基的5.X版防毒,
防火牆則卡巴任意版本都可(事後你要用別家的..可以移除它)
不要裝6.X版的,還是測試版本,不穩定。
step2.安裝winxp
確定檔案都備份好後,「拔掉網路線」
放入winxp光碟片,重新開機,進入BIOS設定畫面裡設定光碟機為優先開機裝置。
進入安裝畫面後選擇格式化C槽(快速),進行winxp安裝。
(或用ghost之類的軟體還原)
step3.
安裝完成後請安裝好驅動程式,灌好後把防毒和防火牆裝上去。
(除此之外請不要執行其他軟體的安裝!!或去亂動其他有風險的EXE檔)
step4.
進行前置步驟裡的第7~8步驟,可以不用進安全模式..
step5.
進行有風險檔案測試,請看最後附錄。
如果在此步驟不幸因為手腳太慢「出搥」..那就~再度重灌~
然後把確認知道已經感染的exe檔刪掉再繼續進行..
確認電腦裡面的檔案都已經是沒有病毒感染的檔案後,
才可以進行下一步驟。
step6.
接上網路,重開機,進行windows update一直更新到sp2,
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧,務必把所有檔案都更新到,
在全部安裝完成前,其他網頁記得都不要去!
非正版軟體用戶請在重灌前自行尋找破解..(這裡不便提供)
並測試該破解方式確定可以通過微軟wga認證後,再行重灌,
以免重灌後無法更新...@_@~那就Orz囉..
step7.
全部更新完成後重開機~
恭喜你電腦已經完全修復完畢,
可以把你其他的軟體安裝、備份等回復設定囉~
Β.直接解毒的解法
step1.
把本解毒方式開一個純文字文件全文複製貼上並存檔,
存起來備份,方便網路拔線後照步驟進行。
進行下面步驟前
請確定你已經先將前置步驟1~8步驟完成再進行下一步驟。
進行windows update一直更新到sp2,
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧,務必把所有檔案都更新到,
在全部安裝完成前,其他網頁記得都不要去!
非正版軟體用戶請在重灌前自行尋找破解..(這裡不便提供)
全部更新完成後請拔線...然後重開機。
step2.
重開機後開啟檔案總管,進入
drive:\Documents and Settings\user\
及
drive:\Documents and Settings\All Users\項下,
進入「開始」功能表,對著desktop.ini連點兩下,開啟檔案。
step3.
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除後存檔
(如有其他資料不要更動,如果有非-21787的數值可以不用刪)
step4.
存檔後對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
開始功能表下的所有資料夾裡的desktop.ini都照此方法修復。
All Users下的開始功能表和user(你自己的使用者名稱)下的開始功能表
都用這種方式修復。
step5.
進入「我的文件」資料夾,同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step6.
進入「我的文件」->「我的音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step7.
進入「我的文件」->「我的音樂」->「範例音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step8.
進入「我的文件」->「我的圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step9.
進入「我的文件」->「我的圖片」->「範例圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step10.
進入「我的文件」->「我的影片」資料夾
(不一定每個人都有,如果你沒有可以不需進行這個步驟)
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
PersonalizedName=My Videos
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
LocalizedResourceName=@shell32.dll,-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
因為我沒有這個資料夾,所以用的是共用影片資料夾的設定。
如果你知道設定的話也可以輸入進去哦..<9> step11.
進入drive:\Documents and Settings\user\->「我的最愛」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
以上修改完成後,最好複製一份到其他資料夾(改一下檔名暫存)
例如我的最愛裡的desktop.ini可以先改名為「最愛-desktop.ini」
只要你自己知道那是哪一個就行了..
這是為了防止若在測試檔案是否受感染時..
病毒「手腳太快」又修改到,那你就可以直接把檔案蓋回去..^_^"
開始工具列的就不用複製了...反正頂多刪除內容而已@.@"
step12.
進行exe檔檢查..將有毒的檔案刪除掉~以免日後復發~
清毒完畢就恭喜你~不會再中囉^_^~
但是請注意..因為此病毒會動到登錄檔,
例如我用卡巴手腳太慢可能原先點右鍵顯示的「掃瞄病毒」選項
會在點右鍵後變成???????一堆問號,不過不影響功能~
要解決也很簡單,只要把出現問題的程式移除重灌一次,
就可以恢復正常顯示...
另..此解毒法有可能修正完後電腦仍然無法上線,
可執行此程式
http://www.pchell.com/downloads/WinsockXPFix.exe 來做修正..應該就OK了..
≡附錄--檢查EXE檔之危機大作戰≡
這裡要檢查exe檔,因為此病毒會感染exe檔藏身在裡面,
請先有再度中獎的準備,再進行此檢查法..
如果你沒什麼重要的程式和資料,
建議你乾脆直接把那些執行檔砍掉重新安裝就可以了
也比較保險,而這裡是給你檢查一些..
你不捨得&得來不易的程式,
一個「可能不被判死刑」的機會..||||
大型遊戲檔案..不抱希望,
但是你想苟延殘喘看看也是可以的,
如果僥倖沒中獎..恭喜~
因為我們前面有建立防止它寫入的檔案,
所以它無法建立它自己的病毒檔,
因此無法感染其它檔案了
它要感染exe檔是在修改完desktop.ini後才會..
更何況可以感染的程式已經被你優先建立在那邊了..
它應該無法寫入..
所以現在它的威脅就只有會改掉你的desktop.ini...
「被病毒感染的exe檔特徵」
通常為程式執行檔、大型遊戲的執行檔
(奇怪的是小遊戲的執行檔似乎不太會中獎)
程式執行檔執行後電腦會「非常lag」,開啟非常慢..非常慢。
遊戲執行檔的話會跳出一片黑的視窗,或出現讀取錯誤,
然後關閉。也可能很LAG但也可能完全不LAG..
「最後修改日期」"可能"被修改過。
步驟1-檢查
參照一開始的「特徵」欄,過濾掉不需檢查的EXE檔
當然最好整個電腦所有的exe檔都執行檢查一次..
對你要檢查的程式按滑鼠右鍵,選內容。
查看「修改日期」,和建立日期,
如果顯示的是你中毒那天或到解毒完之前的日期內的時間
有很大的可能此檔案已經中毒。
但就算修改日期和建立日期沒更動的檔案也可能被感染,
因此此法只是讓你先過濾一下。
如果到這裡,你檢查的那個檔案你覺得不要也沒關係,
就直接刪除它吧。如果你一定要確認它是否完好,
請有心理準備..手腳要快喔!
步驟2-執行檔案
點兩下檔案,執行它。
如果出現被感染特徵,電腦非常LAG無法動彈..
請以最快的速度按下電腦主機上的重開機按鈕,
沒有該按鈕的直接按開關機鈕!
這是為了防止病毒繼續感染資料...
重開機後,將確定中獎的該檔案刪除。
接著動手修復desktop.ini。
如果你手腳夠快,
你的開始工具列裡應該只有一兩個項目,被取消了隱藏。
而此病毒一定要全數取消隱藏後才會寫入資料..
不過為了確保安全可以一樣執行該檔案進去確定一下,
確定沒被改後,對檔案點滑鼠右鍵一樣選擇隱藏就好了。
它一開始會先從「啟動」這個項目開始改,
接下來改「程式集」的項目
接下來才是「附屬應用程式」
至於那些我的最愛啦..我的文件啦的,
最後才去改...
所以只要你手腳夠快,
基本上不會搞到需要在去改我的最愛那些資料夾裡的desktop.ini的。
步驟3-
改完後再執行下一個exe檔..重複步驟1、步驟2,
將被感染的檔案一一處理掉(要清空資源回收桶喔),
等完全清除完畢,又有更新完sp2的話,你就不會再中獎囉!^_^
步驟4
還剩下的正常檔案建議燒光碟備份起來,
以後需要時就可以複製貼回去...
以上資訊~打了我整整5個小時+整理
希望能夠讓你順利的完全解決問題...
歡迎轉貼此頁連結幫助大家..謝謝~
柳月 2006.09.05
我的知識+檔案
看了知識+上大家不少的解答,但是似乎很多人中了卻又復發
或是執行檔案很奇怪...
我也是發生同樣問題,於是一邊重灌一邊觀察
最後終於發現癥結點,也發現病毒的運作方式..
所以,在重灌N次後
終於讓我把這個討厭的病毒從我電腦裡完全清除掉了
也知道怎麼預防掉他..現在完全正常不會復發...
這裡提供針對此病毒發作方式進行「危機處理」的解法給大家
(這裡也提供復發解救方式)
以下分兩種解法
一種是可以重灌電腦的解法(A)
另一種解法提供不想重灌或因為某些因素無法重灌的人使用(B)
Α解法會解決得很乾淨^_^!建議最好還是重灌~不要怕麻煩~
Β解法因為病毒可能已經感染某些檔案,你可能會有執行某些東西上的問題
◎◎◎◎◎◎◎
病毒運作感染方式:
特徵:
該病毒會感染電腦裡附檔名為exe的執行檔,
故「大型遊戲」類的執行檔「一定要刪」..感染率幾乎100%
即使解毒和修補漏洞完畢了..若你電腦還留存被感染過的執行檔,
那麼只要一執行病毒又會再度感染的~!
另..執行系統還原..我試過很多次..答案是無效!所以不用嘗試了..
建議如果是網路上抓得到的軟體、或你有安裝光碟的軟體,
請你「狠下心」砍掉他的exe檔在進行備份,
到時安裝後再把備份的資料貼回去原先資料夾裡通常就可以恢復設定。 病毒不一定感染哪一個執行檔,也不是全部都去感染,
所以如果你安裝的軟體、遊戲已「絕版」...
那就要確定該檔案有沒有被感染!
如果不幸被感染也只好刪除...
但如果電腦已經解毒又要確定該檔案有沒有「中獎」,
我最後有附「危機處理」方式,
幫助你過濾掉電腦裡所有已經被病毒感染的檔案。
病毒「不太會」感染的exe檔案有以下幾種
■用壓縮軟體壓縮過的exe檔,一般軟體的安裝程式有不少屬於這種
■用winrar、winzip壓縮出來製造的exe檔
■16位元下的exe執行檔(即dos模式下的exe執行檔)
■檔案本身設定了唯讀的exe檔
■有密碼保護的exe檔
■flash製作成的exe執行檔
病毒「特別愛」感染的exe檔類型是
■檔案小的exe「程式」執行檔
■檔案小的exe單一「程式」執行檔
■大型遊戲的exe執行檔
感染方式:
在drive:\Documents and Settings\user\Local Settings\Temp產生如下檔案
□ad001.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
並執行3.exe及ad001.exe
接著在drive:\%systemroot%\下建立kb20060111.exe、
在drive:\%systemroot%\system32\下建立wincfgs.exe。
之後開始進行感染..
此病毒首先會先將Documents and Settings裡的desktop.ini「取消隱藏」,
全數取消後才寫入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的資料
如果該desktop.ini裡原先就有資料,
他會直接在原先的資料後面或最前面附加寫入該資料。
如果使用者將被取消隱藏的desktop.ini刪除,
則會出現資料夾或捷徑被改名並取消原有設定的情形!
刪除「我的文件」項下的資料夾的desktop.ini,
「我的音樂」會變成「My Musics」
「我的圖片」會變成「My Pictures」
「我的影片」會變成「My Videos」
並取消原有資料夾屬性變成一般資料夾
(原先的圖示都會不見)
刪除「開始」功能表->程式集項下的desktop.ini,
「遠端協助」會變成「Remote Assistance」
刪除「開始」功能表->程式集->附屬應用程式項下的desktop.ini,
則有一套預設不會安裝的windows隨附軟體捷徑會變更名稱
(我電腦現在沒裝..所以看不到更動)
刪除「我的最愛」項下的desktop.ini,
「我的最愛」會更名為Favorites並並取消原有資料夾屬性變成一般資料夾。
(原先的圖示都會不見)
所以我的建議:
不用刪desktop.ini!用改內容的把原先內容改回來,並設回隱藏即可。
解法請看下面。
◎◎◎◎◎◎◎
●前置步驟
注意!執行前置步驟期間及其後未完成修補之間,
請不要任意執行其他exe執行檔,以免再度受到感染。
兩個解法都要進行這個前置步驟。
1.開機,按F8進入安全模式。(選擇第一個模式,不要有網路的)
2.開啟檔案總管,
上面的選項列
選擇工具->資料夾選項->檢視->
隱藏已知檔案類型的檔案、隱藏保護的作業系統檔案勾勾取消,
並點選顯示所有檔案和資料夾,按確定。
3.清空Temporary Internet Files資料夾,位置在
drive:\Documents and Settings\user\Local Settings\Temporary Internet Files
drive是你的windows安裝槽
user是你的用戶名稱
4.刪除檔案,刪除在temp資料夾裡面的下面幾個檔案(找不到的檔案可直接略過)
□ad001.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
temp的位址在drive:\Documents and Settings\user\Local Settings\Temp
5.在windows資料夾及system32資料夾刪除檔案
□kb20060111.exe
在drive:\%systemroot%\下
(一般為C:\Windows)
□wincfgs.exe
在drive:\%systemroot%\system32\下
(一般為C:\Windows\system32)
6.初步處理desktop.ini
按開始->執行->輸入msconfig
「啟動」項內,將有desktop.ini的項目取消勾選。
注意,「不用」刪除desktop.ini,他們只不過是純文字檔,不會感染你電腦!
※以下步驟選擇A解法的人,請在重灌完後再建立(請參照A解法裡的指示)
7.建立預防檔案,建立方法為新增一個純文字文件,把檔名直接改成如下檔名即可。
☆在temp資料夾裡面建立下面幾個檔案
□ad001.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
☆在windows安裝資料夾裡建立kb20060111.exe。
☆在system32資料夾裡建立wincfgs.exe。
8.將剛剛建立好的檔案,點選右鍵,選擇「內容」,
將「唯讀」的框框打勾,按確定。設定好後要再按內容看一次確定有選到唯讀。
這樣的作法是讓病毒無法產生那些病毒檔,避免他去感染其他exe檔!
注意請不要刪掉這些你建立的檔案,
至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。
9.接下來請重開機進入正常模式,此時應該可以正常上網不會被病毒干擾!
接著依你要不要重灌選擇A或B解法。
◎◎◎◎◎◎◎
Α.重灌電腦的解法(再次建議!選擇這個多花些時間但是效果較好!)
step1.備份資料
把本解毒方式開一個純文字文件全文複製貼上並存檔,
存起來備份,方便重灌後照步驟進行。
首先備份你需要的檔案!
如MSN表情符號、交談記錄、郵件、一堆設定、我的最愛、你的資料等等..
那些備份資料的步驟這裡不談,請自行來知識+或各大引擎搜尋備份方法。
如果有第二顆硬碟或C槽之外其他槽,就把資料copy過去。
如果沒有...請你用燒錄機燒起來吧。
那些exe檔請參照上面的「特徵」欄確認一下哪些EXE檔案不會被感染,
優先備份這些檔案,至於有風險的而你不需要的就刪除,
需要的則先不要執行它也不要壓縮它,
在重灌後會引導你如何進行最安全的測試來確定該檔案是否被感染。
備份的時候請盡量把檔案壓縮成rar檔以避免到時重灌後測試時,
若執行到有被感染的檔案而導致其他未被感染的檔案被感染。
大型遊戲的執行檔必須砍除,有補丁也得砍除。
※請一定要備有防火牆、防毒軟體的安裝程式,重灌完後馬上就要裝的,
因為一接上網路還沒更新之前可能疾風病毒會攻擊你電腦..
建議裝卡巴斯基的5.X版防毒,
防火牆則卡巴任意版本都可(事後你要用別家的..可以移除它)
不要裝6.X版的,還是測試版本,不穩定。
step2.安裝winxp
確定檔案都備份好後,「拔掉網路線」
放入winxp光碟片,重新開機,進入BIOS設定畫面裡設定光碟機為優先開機裝置。
進入安裝畫面後選擇格式化C槽(快速),進行winxp安裝。
(或用ghost之類的軟體還原)
step3.
安裝完成後請安裝好驅動程式,灌好後把防毒和防火牆裝上去。
(除此之外請不要執行其他軟體的安裝!!或去亂動其他有風險的EXE檔)
step4.
進行前置步驟裡的第7~8步驟,可以不用進安全模式..
step5.
進行有風險檔案測試,請看最後附錄。
如果在此步驟不幸因為手腳太慢「出搥」..那就~再度重灌~
然後把確認知道已經感染的exe檔刪掉再繼續進行..
確認電腦裡面的檔案都已經是沒有病毒感染的檔案後,
才可以進行下一步驟。
step6.
接上網路,重開機,進行windows update一直更新到sp2,
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧,務必把所有檔案都更新到,
在全部安裝完成前,其他網頁記得都不要去!
非正版軟體用戶請在重灌前自行尋找破解..(這裡不便提供)
並測試該破解方式確定可以通過微軟wga認證後,再行重灌,
以免重灌後無法更新...@_@~那就Orz囉..
step7.
全部更新完成後重開機~
恭喜你電腦已經完全修復完畢,
可以把你其他的軟體安裝、備份等回復設定囉~
Β.直接解毒的解法
step1.
把本解毒方式開一個純文字文件全文複製貼上並存檔,
存起來備份,方便網路拔線後照步驟進行。
進行下面步驟前
請確定你已經先將前置步驟1~8步驟完成再進行下一步驟。
進行windows update一直更新到sp2,
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧,務必把所有檔案都更新到,
在全部安裝完成前,其他網頁記得都不要去!
非正版軟體用戶請在重灌前自行尋找破解..(這裡不便提供)
全部更新完成後請拔線...然後重開機。
step2.
重開機後開啟檔案總管,進入
drive:\Documents and Settings\user\
及
drive:\Documents and Settings\All Users\項下,
進入「開始」功能表,對著desktop.ini連點兩下,開啟檔案。
step3.
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除後存檔
(如有其他資料不要更動,如果有非-21787的數值可以不用刪)
step4.
存檔後對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
開始功能表下的所有資料夾裡的desktop.ini都照此方法修復。
All Users下的開始功能表和user(你自己的使用者名稱)下的開始功能表
都用這種方式修復。
step5.
進入「我的文件」資料夾,同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step6.
進入「我的文件」->「我的音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step7.
進入「我的文件」->「我的音樂」->「範例音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step8.
進入「我的文件」->「我的圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step9.
進入「我的文件」->「我的圖片」->「範例圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
step10.
進入「我的文件」->「我的影片」資料夾
(不一定每個人都有,如果你沒有可以不需進行這個步驟)
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
PersonalizedName=My Videos
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
LocalizedResourceName=@shell32.dll,-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
因為我沒有這個資料夾,所以用的是共用影片資料夾的設定。
如果你知道設定的話也可以輸入進去哦..<9> step11.
進入drive:\Documents and Settings\user\->「我的最愛」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
以上修改完成後,最好複製一份到其他資料夾(改一下檔名暫存)
例如我的最愛裡的desktop.ini可以先改名為「最愛-desktop.ini」
只要你自己知道那是哪一個就行了..
這是為了防止若在測試檔案是否受感染時..
病毒「手腳太快」又修改到,那你就可以直接把檔案蓋回去..^_^"
開始工具列的就不用複製了...反正頂多刪除內容而已@.@"
step12.
進行exe檔檢查..將有毒的檔案刪除掉~以免日後復發~
清毒完畢就恭喜你~不會再中囉^_^~
但是請注意..因為此病毒會動到登錄檔,
例如我用卡巴手腳太慢可能原先點右鍵顯示的「掃瞄病毒」選項
會在點右鍵後變成???????一堆問號,不過不影響功能~
要解決也很簡單,只要把出現問題的程式移除重灌一次,
就可以恢復正常顯示...
另..此解毒法有可能修正完後電腦仍然無法上線,
可執行此程式
http://www.pchell.com/downloads/WinsockXPFix.exe 來做修正..應該就OK了..
≡附錄--檢查EXE檔之危機大作戰≡
這裡要檢查exe檔,因為此病毒會感染exe檔藏身在裡面,
請先有再度中獎的準備,再進行此檢查法..
如果你沒什麼重要的程式和資料,
建議你乾脆直接把那些執行檔砍掉重新安裝就可以了
也比較保險,而這裡是給你檢查一些..
你不捨得&得來不易的程式,
一個「可能不被判死刑」的機會..||||
大型遊戲檔案..不抱希望,
但是你想苟延殘喘看看也是可以的,
如果僥倖沒中獎..恭喜~
因為我們前面有建立防止它寫入的檔案,
所以它無法建立它自己的病毒檔,
因此無法感染其它檔案了
它要感染exe檔是在修改完desktop.ini後才會..
更何況可以感染的程式已經被你優先建立在那邊了..
它應該無法寫入..
所以現在它的威脅就只有會改掉你的desktop.ini...
「被病毒感染的exe檔特徵」
通常為程式執行檔、大型遊戲的執行檔
(奇怪的是小遊戲的執行檔似乎不太會中獎)
程式執行檔執行後電腦會「非常lag」,開啟非常慢..非常慢。
遊戲執行檔的話會跳出一片黑的視窗,或出現讀取錯誤,
然後關閉。也可能很LAG但也可能完全不LAG..
「最後修改日期」"可能"被修改過。
步驟1-檢查
參照一開始的「特徵」欄,過濾掉不需檢查的EXE檔
當然最好整個電腦所有的exe檔都執行檢查一次..
對你要檢查的程式按滑鼠右鍵,選內容。
查看「修改日期」,和建立日期,
如果顯示的是你中毒那天或到解毒完之前的日期內的時間
有很大的可能此檔案已經中毒。
但就算修改日期和建立日期沒更動的檔案也可能被感染,
因此此法只是讓你先過濾一下。
如果到這裡,你檢查的那個檔案你覺得不要也沒關係,
就直接刪除它吧。如果你一定要確認它是否完好,
請有心理準備..手腳要快喔!
步驟2-執行檔案
點兩下檔案,執行它。
如果出現被感染特徵,電腦非常LAG無法動彈..
請以最快的速度按下電腦主機上的重開機按鈕,
沒有該按鈕的直接按開關機鈕!
這是為了防止病毒繼續感染資料...
重開機後,將確定中獎的該檔案刪除。
接著動手修復desktop.ini。
如果你手腳夠快,
你的開始工具列裡應該只有一兩個項目,被取消了隱藏。
而此病毒一定要全數取消隱藏後才會寫入資料..
不過為了確保安全可以一樣執行該檔案進去確定一下,
確定沒被改後,對檔案點滑鼠右鍵一樣選擇隱藏就好了。
它一開始會先從「啟動」這個項目開始改,
接下來改「程式集」的項目
接下來才是「附屬應用程式」
至於那些我的最愛啦..我的文件啦的,
最後才去改...
所以只要你手腳夠快,
基本上不會搞到需要在去改我的最愛那些資料夾裡的desktop.ini的。
步驟3-
改完後再執行下一個exe檔..重複步驟1、步驟2,
將被感染的檔案一一處理掉(要清空資源回收桶喔),
等完全清除完畢,又有更新完sp2的話,你就不會再中獎囉!^_^
步驟4
還剩下的正常檔案建議燒光碟備份起來,
以後需要時就可以複製貼回去...
以上資訊~打了我整整5個小時+整理
希望能夠讓你順利的完全解決問題...
歡迎轉貼此頁連結幫助大家..謝謝~
柳月 2006.09.05
我的知識+檔案
全站熱搜
留言列表
私人 (9)