有加入我及時通或者MSN的都知道
我從來不關機 也不下線
但是 九月底的最後12小時(9/30 1:00PM~10/1 1:00am)
我從網路上消失了 因為我中毒了
有朋友說我是神人電腦很強......我都回應~~我只是凡人
只是使用電腦的習慣比較好一點點而已
不過一時大意 就花了1x 小時處理中毒問題
很多人會說重灌就好了
不過這對我來講反而很困擾
東西太多要一一重建
大概要兩天才OK 就算有備用電腦 我也懶的這樣搞
而且萬一以後要幫別人處理
總不能重灌就好
個人我比較龜毛一點
只好追根究底去抓病毒
然後手動清除掉
下面是大概的過程解說
有興趣的人或者看不懂得人
可以問我喔
都是辛苦網路爬文的資料啊~~~
==================================
起因: 當然是下載東西然後沒注意就執行,然後就樂透了>"<
中毒徵兆:防毒軟體失效,防木馬軟體失效,防火牆軟體失效
(我的防火牆沒失效可能太老了吧Look 'n' Stop 2.05p3)
CPU使用率飆高,一般人沒有開工作管理員的話,就是感覺電腦變慢了 而且慢很多
首先打開 工作管理員 (taskmgr.exe)
有可能看到hldrrr.exe xxxx.exe (xxxx=數字) 的程式在執行
(但是也可能什麼也看不到,所有程式都正常 只有看到taskmge CPU使用飆高)
這時候如果改用 process explorer.exe (需要去網路下載此程式) 觀看
就會發現Interrupts 處理程序 很忙(這就是電腦慢的原因)
(正常情況下Interrupts很少超過2%CPU使用率,至少我事後觀察是這樣的)
不過看到這邊都不是我們要處理的對象
首先去http://www.gmer.net/ 網站下載gmer.zip
可以的話直接在壓縮檔中執行gmer.exe 不要解壓縮再執行
以免hldrrr.exe病毒來搞怪 (實際上我是解開以後執行的...也OK啦)
下載到這個檔案以後,拔掉網路線
然後重開機,請勿選擇安全模式...因為會直接藍色當機畫面(也是病毒搞的鬼)
(有可能開機會很久,比平常更久,如無當機傾向請等待)
首先執行gmer.zip中的gmer.exe
會出現錯誤有檔案沒有找到之類的,不管他 點OK就好了
掃描以後如果gmer視窗中有紅色的 hidden service 而且有 srosa 的字樣
別客氣點滑鼠右鍵 選擇 disable 掉吧 (選delete無效喔)
然後開啟regedit 查看並修改下列註冊碼 (怕改錯的人可以先個別匯出再刪除)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Services\srosa\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Services\srosa\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa\
如果有以上機碼 包含 srosa 機碼都刪除
查看機碼
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
請先記憶下機碼名稱我都是選匯出比較快(順便記憶下來)
然後把包含 Local AppWizard-Generated Applications 都刪除吧
同時也要注意這邊出現的程式名稱解毒以後請移除重灌
這是病毒的分身,因為都被病毒感染了!!!
最後查看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
兩處機碼(這邊強烈建議先匯出再修改不然.....)
查看有沒有異常的執行檔案
如 hldrrr.exe wintems.exe xxxxxx.exe flect0x.exe 等等
有的話就砍掉先吧,反正已經匯出備份了(除非你沒備份這我可不管喔)
然後這邊有個要注意的地方
如果有出現剛剛
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
出現過的軟體名稱或者是執行的相關擋案
也請一並刪除(這就是病毒隱藏的一個手段)
關閉所有開啟的視窗
然後重新開機
應該就...解除病毒的"開機執行"了
確定病毒不在執行中可以用這個方式
在桌面新增一個文字檔案
然後包含副檔名都改成ccapp.exe
如果沒有自動消失,就是病毒不在執行中了
接著首先要恢復被隱藏的資料夾
還有恢復安全模式會藍色畫面當機的問題
跟無法開啟觀看隱藏資料夾選項的問題
這部份要回丟不少機碼
有需要的人找我要(我只有XPP SP3版)
或者找另外一台乾淨的XP(同版本包含SP版號喔)
找到下列機碼並匯出
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
分別命名四個檔案然後再匯入有問題的電腦中就好了
機碼匯入後請再重新開機一次
最後是手動刪除病毒檔案
一般路徑與檔案名稱如下
c:\windows\system32\
c:\windows\system32\drivers\
(這資料夾會被病毒隱藏起來,上面的機碼恢復以後,請自己解除隱藏)
這兩個路徑下如果有
hldrrr.exe medlk.exe srosa.sys wintems.exe xxxxxx.exe (xxxxxx為亂數字)
別客氣請砍掉
c:\windows\system32\drivers\dwnld
這個路徑下的都砍掉(這是病毒幫你下載的病毒啊....短短幾秒鐘幫我抓了好幾個)
最後重建 Local AppWizard-Generated Applications 機碼中被修改過的軟體
(我只有SpeenswitchXP被感染而已)
確定沒問題以後移除不需要的匯出機碼
搞定收工
以下是會用到的檔案跟本發文的文字檔
附加壓縮檔: 200810/mobile01-88faa027b7c3983dbdd3003221287b85.zip
內文搜尋
從 APP 打開
X