2008年6月1日 星期日

病毒-bb.exe一直冒出來(explorer.exe被替換了)

之前在朋友的電腦裡頭發現了一隻不知道是不是變種的病毒-bb.exe或是aa.exe
描述一下症狀:
1.會竄改電腦上的年份,這一點是沒什麼破壞性,但是你改正後過不久又會被改回2000年。
2.在temp檔裡頭會有許多病毒檔案,包括上述兩個執行檔(aa.exe and bb.exe),同時這裡頭殺掉也是會一直冒出來。
最主要是這兩種狀況,因為會一直冒出來,防毒軟體是偵測的到,但是殺了又殺,一直循環下去的結果就是要一直按掉防毒軟體跳出來的警告視窗,頗煩的。

以上的問題我自己找了很多病毒藏身的地方,像是run、winlogon裡頭,實際上真的有指令被寫進去了,但是重開機後就還是會出現,再沒辦法的時候只好把問題丟上ptt囉!還好有達人們先遇到並也做了一些相關的動作,好像就又正常了。方法如下:
這是我在ptt上po的文章,感謝ptt上的達人們相助
1.因為病毒似乎是把explorer.exe及winlogon.exe檔案替換了,所以除非更換乾淨的,不然你一開機就又啟動病毒,才會怎麼清都還在清不掉。
2.就利用光碟開機啟動修復主控台去更換掉上面兩個檔案,把光碟片i386的檔案換到c槽系統裡頭
3.重新開機後,就要去修正機碼的指令,最簡單就是用hijackthis去找,會找到一個shell裡頭,有掛著gprXX.exe(XX是亂數),把這個刪掉,基本上應該就沒問題了。
這個病毒似乎傳染的很快,目前朋友辦公室內的有一半都中鏢了,災情還未明瞭,只知道目前有無法上網、會自動重開機、會把桌面圖示換掉的情況,希望這個只是小小的災情啦!

沒有留言: