偵測到antiwpa.dll 是危害的檔案?

C:＼WINDOWS＼system32＼antiwpa.dll
有的話就加入你所使用的防毒的信任區，或者防毒偵測出來時千萬別點刪除或隔離～

目前知道AVG是親身有抓到此檔案，所以把此檔案按右鍵設定為允許應該就可以避開以下的問題。

這是對岸出的所謂XP一鍵破解生成的，目前已至少15家以上防毒軟體報毒，萬一你剛好是這15家其中一家，下次重開機可能會只剩安全模式進得去喔～

萬一已經進不去正常模式了呢？請在安全模式下把這隻檔案加入防毒的信任區，並重新執行破解程序一次！

這個破解程序會把XP改成OEM版本，而目前並無OEM可用的序號可以找，不用去找什麼KEYFINDER之類的軟體來改了～

建議正常開機以後把資料備份一下，重裝作業系統吧！antiwpa.dll 是不是真的木馬還有很多爭議～～

中毒|系統-最近的MSN病毒-nvsvc32.exe

最近不知道怎麼了，MSN中毒的使用者多了，變的處理的解毒案件也多了起來
大概分享一下最近常遇到的案件之一，就是標題上打的那一個不明應用程式
詢問使用者，大都是點了MSN訊息的連接，之後就會出現莫名的狀態。
像是自動傳訊息出去(這時畫面就會一跳一跳的，這就是程式在自動發送，發送後又馬上關閉)
、首頁被連接到hxxp://googleure.com/，這兩種比較常發生。
解決步驟:
1.先去工作管理員看是否有nvsvc32.exe在執行，有的話直接關閉。
2.再來就是去C:/user/public/nvsvc32.exe，把這一個程式直接刪除。
3.去run裏頭刪除啟動nvsvc32.exe的指令。
這樣應該就沒有問題了!MSN就又可以正常的使用了!
另外就是googleure.com被綁定，那就是要去regedit裏頭刪除star page的值，
或是找相關軟體直接回復預設值就可以了，我想距離上一次比較盛行MSN中毒算有一段時間了。
大家對於這類型的連接就比較沒有戒心，想當然點了就是會有問題，
不管事後電腦有沒有問題，只能一再的說明並告誡這類型的連接，
問清楚後再點也都來的及啊!

有關ANTIVIRUS XP 2008

會提這個並不是要介紹什麼新出來的防毒軟體，相反地這個是病毒。
今天晚上颱風天無聊待在家裡搜尋些資料，才發現這套真的是一個病毒，我很幸運的剛好在工作時遇到了一台電腦中了這個仿防毒軟體的病毒，讓我有機會玩一下。
它的症狀是：
1.修改系統內的桌面，讓整個桌面都是antivirus XP 2008的圖示，並警告你中毒了
2.不定時跳出警示窗(antivirus xp 2008的)，會類似要你升級到專業版的按鈕。
剛好我在現場幫人弄電腦中，同事一遇到就馬上跟我反應，要不然等他按下要升級那個選項，就不知道後果會如何。馬上接手電腦來弄一下，猜想應該是新病毒，不然平常的都會被officescan弄掉才對，檢查系統內部大概就是有一個資料夾(這也是antiviurs xp 2008)有問題，另外加在run裡頭的機碼也給他刪掉，大致上這樣就不會在跳出視窗了，可是有一點就是桌面的圖示整個就會怪怪的(居然沒有選項可以選桌面之類的)，我是簡單的給他換個使用者的profile最快，整個就又是新的一樣，頂多資料幫他copy過去。而今天查了資料才知道那個是被病毒修改掉了，參考解決的方法，但是後來也沒聽到user跟我反應有問題，我想應該是ok吧！但是聽他說怎麼弄的，居然是朋友寄來的e-card之類的，剛好user又生日，女生總是會把持不住就會給他點下去，後果就是狂叫我快幫他處理，只好再次的叮嚀不要亂點附加檔案，但是我想大家會聽下去我們這些資訊人員就沒工作了吧！該講的我還是講囉，希望不要再發生就對啦。

病毒-bb.exe一直冒出來(explorer.exe被替換了)

之前在朋友的電腦裡頭發現了一隻不知道是不是變種的病毒-bb.exe或是aa.exe
描述一下症狀：
1.會竄改電腦上的年份，這一點是沒什麼破壞性，但是你改正後過不久又會被改回2000年。
2.在temp檔裡頭會有許多病毒檔案，包括上述兩個執行檔(aa.exe and bb.exe)，同時這裡頭殺掉也是會一直冒出來。
最主要是這兩種狀況，因為會一直冒出來，防毒軟體是偵測的到，但是殺了又殺，一直循環下去的結果就是要一直按掉防毒軟體跳出來的警告視窗，頗煩的。

以上的問題我自己找了很多病毒藏身的地方，像是run、winlogon裡頭，實際上真的有指令被寫進去了，但是重開機後就還是會出現，再沒辦法的時候只好把問題丟上ptt囉！還好有達人們先遇到並也做了一些相關的動作，好像就又正常了。方法如下：
這是我在ptt上po的文章，感謝ptt上的達人們相助
1.因為病毒似乎是把explorer.exe及winlogon.exe檔案替換了，所以除非更換乾淨的，不然你一開機就又啟動病毒，才會怎麼清都還在清不掉。
2.就利用光碟開機啟動修復主控台去更換掉上面兩個檔案，把光碟片i386的檔案換到c槽系統裡頭
3.重新開機後，就要去修正機碼的指令，最簡單就是用hijackthis去找，會找到一個shell裡頭，有掛著gprXX.exe(XX是亂數)，把這個刪掉，基本上應該就沒問題了。
這個病毒似乎傳染的很快，目前朋友辦公室內的有一半都中鏢了，災情還未明瞭，只知道目前有無法上網、會自動重開機、會把桌面圖示換掉的情況，希望這個只是小小的災情啦！

e1.dll跟mshtmsdt.dll

昨天去解的毒，算是我第一次看到的病毒檔案，原想說進入安全模式去更名清除就可以，沒想到到了安全模式居然系統還再掛著他，這樣就表示有機碼有問題，進入regedit去搜尋e1.dll，果然他是沒出現再平常病毒會掛的run裡面，是再appinit_dll裡面有一串寫著C:\\winnt\system32\e1.dll及C:\\winnt\system32\mshtmsdt.dll，看到後就馬上給他刪除裡面的字串，再來就是去刪除檔案本身，後來去查了一下，似乎這個e1.dll有很多變種，而且都是藏再appinit_dll裡面，隻前都不知道會有機碼是寫這這裡的，看來下次要注意一下了。

隨身碟病毒-driveinfo.exe及inetsrv.exe

又是一個星期的開始，可是天氣偏偏不作美，非要來個下雨天才能打倒開始上班的心情，真是的!想說腳痛今天應該不多單，可是大家電腦還是隨著天氣起舞，雨一點一點的下，單也就一張一張的冒出來，但是還是得要解決囉!!
1.隨身碟病毒：
第一難題就是之前聽過的隨身碟病毒，這種是不會造成什麼系統上的問題，但是就是會讓防毒軟體一直冒出來警訊，也是頗為麻煩，加上點選磁碟區有些就無法開啟，必須是要利用檔案總管才能夠使用，先用各家防毒軟體掃一下，也詢問其他同事之前遭遇過的解決方式，但是聽起來似乎都不像我遇到這台的情況，driveinfo.exe及inetsrv.exe，詢問user如何感染到此病毒的，想當然就是使用有毒的隨身碟，沒關係，我只好犧牲我自己的隨身碟來感染一下，不親身試驗是不知道此病毒的真正情況，參考網路上一堆解決方法，似乎也無完全解決的方法，只能把兩個檔案刪掉不讓他再出現，卻沒說明如何不讓別的隨身碟再度感染或者是杜絕此狀況的發生：
因為driveinfo.exe不存在電腦上，而是存在隨身碟裡的recycle檔案夾裡面(前提是要開啟隱藏檔案)-關於這個有些受感染的隨身碟是沒有此檔案夾的，所以有就刪，沒有就算了，再來就是inetsrv.exe這個檔案，實際來說他是個檔案夾，點進去卻沒有檔案，最可怕的是刪不太掉耶!!，最後是利用avg antivirus這套軟體刪掉的，先把異常檔案都確定砍掉後，再來就是從系統著手，把regedit裡面有相關這兩個檔案的機碼全刪了，這樣電腦就暫時不會跳出driveinfo.exe的病毒訊息，第二步確保安全就是用檔案總管開啟隨身碟，copy出來後直接格式化是我認為比較保險的方式，至少現再我敢再另外一台的電腦直接點兩下開啟隨身碟來使用，至於有沒有最徹底的方法呢!!要問那些付了好多錢的防毒軟體廠商囉!!

2.奇怪的轉碼問題：
不知道有沒有人遇過只要連上yahoo的左邊新聞就會直接轉成簡體中文的編碼而造成亂碼，其他網頁卻都不會有這樣的狀況，先前判斷是不是瀏覽器元件的關係，造成判斷的錯誤才有亂碼的產生，重灌IE6後卻還是一樣狀況，後來就真的放棄了，不知道哪邊出了問題，希望有哪位高手可以透漏一下啊!!!!

C_spursdll~~難搞

今天去處理一件出現"C_spursdll not found"的案件，起先以為是病毒所引起的，
先用一些工具清除，還真的有些廣告軟體，不多說先殺掉看看，
再來就是去regedit裡面去看看有沒有殘留一些不必要的登錄碼，
全部OK後馬上請user試看看，結果當然是不好的，因為錯誤訊息還是蹦出來了，
當場傻眼，居然那麼難搞，回網頁上去搜尋有無解決方法，全部都試驗過都是無效的，
什麼開啟msconfig裡面的啟動，然後全部取消只要選取防毒軟體跟輸入法，
我只能說狗屁，看也知道是因為有個路徑的東西不見了，才會跑出這種訊息，
第二個是在登錄碼中增加路徑給他，但是看了似乎是HP軟體的路徑，
處理的這台是華碩NB，辦公室也無HP的硬體設備可以連接，只能說去試看看，
最後原想放棄說這是個個案，不影響作業就好了，可是這樣好像又滿丟臉的，
失去專業的形象，最後再出現的訊息欄中，
搜尋看看最上欄上所標明的軟體"Infineon Security Platform Status Indication Applet"，
瞎貓碰到死老鼠，還真的存在此軟體，user說這他也不知道的軟體，
那二話不說去控制台的新增/移除程式裡移除掉此軟體(TPM)，
還真的重開機後不會再出現此訊息，Perfect，想想沒有先找他的軟體就是錯的，
沒有先判斷出是哪邊出問題，就直接走錯方法去處理，
但是真的忙了那麼久能夠解決這種問題倒是滿高興的，
或許網路上有人有解決此錯誤訊息的方法了，但想想還是自己紀錄一下，
改天或許也能再運用到!!!!