電腦整整中了七天的毒 (5/12 - 5/18) ... 話說當天安裝完 SlingPlayer 後,考慮到台灣與美國日夜顛倒,媽媽看起八點檔會不方便,所以騎了驢子去下載了一隻程式,號稱可以側錄 Sling Media Player 的訊號... 好死不死,Norton 不知何時掛點了.. 因此,我的電腦門戶大開.... Orz 硬是被木馬屠城了.... 免疫系統全部失效 (Norton, Panda, Kaspersky, BitDefender),無法新裝防毒軟體..
嗚嗚嗚~~ 以下是我掙扎的過程:(綠的表示有幫助;暗紅表示沒有)
0) 亡羊補牢
安裝掃毒軟體...
Norton, Panda, Kaspersky, BitDefender, F-Secure Anti-Virus
會顯示安裝失敗訊息
1) On-line Scan Services
-Kaspersky Online Virus Scanner (link): 看的到..吃不到 (掃的出來,但無提供清除服務)
-Panda ActiveScan 2.0 (link): 找出了病毒的名號與感染的檔案,並可清除之.. (但非 100% 清除.. Orz)
2) 針對病毒名字尋找現成解毒程式
至此對於重奪電腦控制權仍無進展... 上網下載了一些程式,如:
BitDefender: Removal Tools against Win32.Bagle.C-AY,BJ, Win32.Bagle.AU, Win32.Bagle.FO & Win32.Bagle.{C-H}
F-Secure: F-BAGLE.EXE 被病毒阻擋
這些都是掃心酸的.. Orz 因為我中的是新品種... XD
Win32.Bagle.KV
Win32.Bagle.RP
Win32.Bagle.SP
3) 安全模式
有爬到過文章說『可進入安全模式,清除之』,不幸新品種鎖死系統,一選安全模式,就是經典『藍白畫面』迎接你...
4) 拆硬碟,借體還魂
跑去買了S-ATA轉USB排線,把硬碟拆去裝在有 Kaspersky 7.0 的電腦上。但是,系統無法抓到該顆硬碟,因此無法順利掃毒... Orz
5) 執行緒分析軟體
HiJackThis & IceSword 慘遭雙殺....
6) 直接截擊
由於在 ActiveScan 的分析中,我得知的幾個主要病毒核心檔:
C:\WINDOWS\SYSTEM32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\DOCUMENTS AND SETTINGS\User\APPLICATION DATA\M\FLEC006.EXE
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
加上拜讀幾篇文章 (Ref.1, 2, 3 & 4 ),我猜此一系列的病毒,有幾個主要執行檔 (檔名雖然非完全與舊品種相同),但相互掩護狼狽為奸的特性應該一致.. Orz
雖然,有人曾進入安全模式,再以 UltraEdit 更改這些檔案,但因為我進不去安全模式... XD
所以,我直接在 UltraEdit 開啟這些檔案。由於這幾個檔案/資料夾是隱藏的 (Rootkit ? 即便選擇顯示隱藏檔案也是看不到的),要打開他們必須直接鍵入路徑與檔名 ( 從 ActiveScan 的分析結果直接 Copy & Paste ),然後更改檔案內容... 比如: 置換所有00為AA.. (隨看倌高興囉! 只要使該檔成為無效的執行檔即可).. 但由於部分檔案執行中,並無法儲存之! UltraEdit 會要你另存新檔 ,此時千萬別急著存成新檔 或 關閉 UltraEdit....
直接點選『開始』,並關機/重新開機,這時病毒執行緒會被系統卸載,然後... 哈哈哈~~~ UltraEdit 會問你要不要存檔.. 噹噹噹~~~ Say Yes! 病毒檔就被成功地動手腳了.. 開完機,重新安裝 Kaspersky .. 成功!!! 更新至最新病毒碼,執行全系統掃毒...
成功奪回電腦控制權!
希望這些經驗能有些參考價值,幫幫跟我一樣被屠城的城主們,能順利反攻...
The END
嗚嗚嗚~~ 以下是我掙扎的過程:(綠的表示有幫助;暗紅表示沒有)
0) 亡羊補牢
安裝掃毒軟體...
Norton, Panda, Kaspersky, BitDefender, F-Secure Anti-Virus
會顯示安裝失敗訊息
1) On-line Scan Services
-Kaspersky Online Virus Scanner (link): 看的到..吃不到 (掃的出來,但無提供清除服務)
-Panda ActiveScan 2.0 (link): 找出了病毒的名號與感染的檔案,並可清除之.. (但非 100% 清除.. Orz)
2) 針對病毒名字尋找現成解毒程式
至此對於重奪電腦控制權仍無進展... 上網下載了一些程式,如:
BitDefender: Removal Tools against Win32.Bagle.C-AY,BJ, Win32.Bagle.AU, Win32.Bagle.FO & Win32.Bagle.{C-H}
F-Secure: F-BAGLE.EXE 被病毒阻擋
這些都是掃心酸的.. Orz 因為我中的是新品種... XD
Win32.Bagle.KV
Win32.Bagle.RP
Win32.Bagle.SP
3) 安全模式
有爬到過文章說『可進入安全模式,清除之』,不幸新品種鎖死系統,一選安全模式,就是經典『藍白畫面』迎接你...
4) 拆硬碟,借體還魂
跑去買了S-ATA轉USB排線,把硬碟拆去裝在有 Kaspersky 7.0 的電腦上。但是,系統無法抓到該顆硬碟,因此無法順利掃毒... Orz
5) 執行緒分析軟體
HiJackThis & IceSword 慘遭雙殺....
6) 直接截擊
由於在 ActiveScan 的分析中,我得知的幾個主要病毒核心檔:
C:\WINDOWS\SYSTEM32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\DOCUMENTS AND SETTINGS\User\APPLICATION DATA\M\FLEC006.EXE
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
加上拜讀幾篇文章 (Ref.1, 2, 3 & 4 ),我猜此一系列的病毒,有幾個主要執行檔 (檔名雖然非完全與舊品種相同),但相互掩護狼狽為奸的特性應該一致.. Orz
雖然,有人曾進入安全模式,再以 UltraEdit 更改這些檔案,但因為我進不去安全模式... XD
所以,我直接在 UltraEdit 開啟這些檔案。由於這幾個檔案/資料夾是隱藏的 (Rootkit ? 即便選擇顯示隱藏檔案也是看不到的),要打開他們必須直接鍵入路徑與檔名 ( 從 ActiveScan 的分析結果直接 Copy & Paste ),然後更改檔案內容... 比如: 置換所有00為AA.. (隨看倌高興囉! 只要使該檔成為無效的執行檔即可).. 但由於部分檔案執行中,並無法儲存之! UltraEdit 會要你另存新檔 ,此時千萬別急著存成新檔 或 關閉 UltraEdit....
直接點選『開始』,並關機/重新開機,這時病毒執行緒會被系統卸載,然後... 哈哈哈~~~ UltraEdit 會問你要不要存檔.. 噹噹噹~~~ Say Yes! 病毒檔就被成功地動手腳了.. 開完機,重新安裝 Kaspersky .. 成功!!! 更新至最新病毒碼,執行全系統掃毒...
成功奪回電腦控制權!
希望這些經驗能有些參考價值,幫幫跟我一樣被屠城的城主們,能順利反攻...
The END
5 comments:
看到你也中毒又解除 ,覺得之前寫的文章能幫到一些人的忙 ,真是不錯 .
有空可以常到 程式設計人手札 看看 :)
大大好ㄚ..
可以救救我嗎? 我中毒七天了.搜尋了很久.
發現你的中毒現象跟我很像.所有的防毒程式
被關閉.安全模式也變藍白.taskmgr吃cpu100%.系統超慢.工作管理員也出現了flec006.有時候還會出現一個數字的東西.例如157385.exe.線上掃瞄也無效.努力了六七天
還是失敗.可以幫幫我嗎?
參考一下以下這個軟體—KillBox (http://www.killbox.net/),號稱可以刪除執行中的程式 (如此一來就不用UltraEdit了)。但你還是得知道有哪些檔是需要刪除的~~
預祝成功囉~
今天也中了>_<,弄了好久
靠著FLEC006.EXE這個檔名找到KY的BLOG
救了我一命,不然不知又要搞到什麼時候了
謝謝GOOGLE,謝謝KY ^_^
昨晚拜驢子的功勞也中了這隻病毒,整整耗了相當長的時間與精力,既進不去安全模式,Combofix及Hijackthis也宣告無效,沒想到最後竟然也靠著這麼神奇的方法,解決了這隻病毒,實在太不可思議了!!
Post a Comment