嗚嗚嗚~~ 以下是我掙扎的過程:(綠的表示有幫助;暗紅表示沒有)
0) 亡羊補牢
安裝掃毒軟體...
Norton, Panda, Kaspersky, BitDefender, F-Secure Anti-Virus
會顯示安裝失敗訊息
1) On-line Scan Services
-Kaspersky Online Virus Scanner (link): 看的到..吃不到 (掃的出來,但無提供清除服務)
-Panda ActiveScan 2.0 (link): 找出了病毒的名號與感染的檔案,並可清除之.. (但非 100% 清除.. Orz)
2) 針對病毒名字尋找現成解毒程式
至此對於重奪電腦控制權仍無進展... 上網下載了一些程式,如:
BitDefender: Removal Tools against Win32.Bagle.C-AY,BJ, Win32.Bagle.AU, Win32.Bagle.FO & Win32.Bagle.{C-H}
F-Secure: F-BAGLE.EXE 被病毒阻擋
這些都是掃心酸的.. Orz 因為我中的是新品種... XD
Win32.Bagle.KV
Win32.Bagle.RP
Win32.Bagle.SP
3) 安全模式
有爬到過文章說『可進入安全模式,清除之』,不幸新品種鎖死系統,一選安全模式,就是經典『藍白畫面』迎接你...
4) 拆硬碟,借體還魂
跑去買了S-ATA轉USB排線,把硬碟拆去裝在有 Kaspersky 7.0 的電腦上。但是,系統無法抓到該顆硬碟,因此無法順利掃毒... Orz
5) 執行緒分析軟體
HiJackThis & IceSword 慘遭雙殺....
6) 直接截擊
由於在 ActiveScan 的分析中,我得知的幾個主要病毒核心檔:
C:\WINDOWS\SYSTEM32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\DOCUMENTS AND SETTINGS\User\APPLICATION DATA\M\FLEC006.EXE
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
加上拜讀幾篇文章 (Ref.1, 2, 3 & 4 ),我猜此一系列的病毒,有幾個主要執行檔 (檔名雖然非完全與舊品種相同),但相互掩護狼狽為奸的特性應該一致.. Orz
雖然,有人曾進入安全模式,再以 UltraEdit 更改這些檔案,但因為我進不去安全模式... XD
所以,我直接在 UltraEdit 開啟這些檔案。由於這幾個檔案/資料夾是隱藏的 (Rootkit ? 即便選擇顯示隱藏檔案也是看不到的),要打開他們必須直接鍵入路徑與檔名 ( 從 ActiveScan 的分析結果直接 Copy & Paste ),然後更改檔案內容... 比如: 置換所有00為AA.. (隨看倌高興囉! 只要使該檔成為無效的執行檔即可).. 但由於部分檔案執行中,並無法儲存之! UltraEdit 會要你另存新檔 ,此時千萬別急著存成新檔 或 關閉 UltraEdit....
直接點選『開始』,並關機/重新開機,這時病毒執行緒會被系統卸載,然後... 哈哈哈~~~ UltraEdit 會問你要不要存檔.. 噹噹噹~~~ Say Yes! 病毒檔就被成功地動手腳了.. 開完機,重新安裝 Kaspersky .. 成功!!! 更新至最新病毒碼,執行全系統掃毒...
成功奪回電腦控制權!
希望這些經驗能有些參考價值,幫幫跟我一樣被屠城的城主們,能順利反攻...
The END