这是中毒了
小弟我刚解过
以下转贴解决的方法:
病毒运作感染方式:
特征:
该病毒会感染电脑里附档名为exe的执行档,
故「大型游戏」类的执行档「一定要删」..感染率几乎100%
即使解毒和修补漏洞完毕了..若你电脑还留存被感染过的执行档,
那么只要一执行病毒又会再度感染的~!
另..执行系统还原..我试过很多次..答案是无效!所以不用尝试了..
建议如果是网路上抓得到的软体、或你有安装光碟的软体,
请你「狠下心」砍掉他的exe档在进行备份,
到时安装后再把备份的资料贴回去原先资料夹里通常就可以恢复设定。
病毒不一定感染哪一个执行档,也不是全部都去感染,
所以如果你安装的软体、游戏已「绝版」...
那就要确定该档案有没有被感染!
如果不幸被感染也只好删除...
但如果电脑已经解毒又要确定该档案有没有「中奖」,
我最后有附「危机处理」方式,
帮助你过滤掉电脑里所有已经被病毒感染的档案。
病毒「不太会」感染的exe档案有以下几种
■用压缩软体压缩过的exe档,一般软体的安装程式有不少属于这种
■用winrar、winzip压缩出来制造的exe档
■16位元下的exe执行档(即dos模式下的exe执行档)
■档案本身设定了唯读的exe档
■有密码保护的exe档
■flash制作成的exe执行档
病毒「特别爱」感染的exe档类型是
■档案小的exe「程式」执行档
■档案小的exe单一「程式」执行档
■大型游戏的exe执行档
感染方式:
在drive:\Documents and Settings\user\Local Settings\Temp产生如下档案
□ad001.exe
□ad003.exe(与ad001.exe不会共存..有ad001.exe就不会有这个,反之则ad001.exe不会存在)
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
并执行3.exe及ad001.exe(或ad003.exe)
接着在drive:\%systemroot%\下建立kb20060111.exe、
在drive:\%systemroot%\system32\下建立wincfgs.exe。
之后开始进行感染..
首先它会执行3.exe和ad001.exe(或ad003.exe),
此时将会去影响Explorer.exe,导致CPU执行100%,电脑运作龟速。
接下来开始感染电脑内的exe执行档,同时进行以下动作:
此病毒首先会先将Documents and Settings里的desktop.ini「取消隐藏」,
全数取消后才写入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的资料
如果该desktop.ini里原先就有资料,
他会直接在原先的资料后面或最前面附加写入该资料。
如果使用者将被取消隐藏的desktop.ini删除,
则会出现资料夹或捷径被改名并取消原有设定的情形!
删除「我的文件」项下的资料夹的desktop.ini,
「我的音乐」会变成「My Musics」
「我的图片」会变成「My Pictures」
「我的影片」会变成「My Videos」
并取消原有资料夹属性变成一般资料夹
(原先的图示都会不见)
删除「开始」功能表->程式集项下的desktop.ini,
「远端协助」会变成「Remote Assistance」
删除「开始」功能表->程式集->附属应用程式项下的desktop.ini,
则有一套预设不会安装的windows随附软体捷径会变更名称
(我电脑现在没装..所以看不到更动)
删除「我的最爱」项下的desktop.ini,
「我的最爱」会更名为Favorites并并取消原有资料夹属性变成一般资料夹。
(原先的图示都会不见)
所以我的建议:
不用删desktop.ini!用改内容的把原先内容改回来,并设回隐藏即可。
解法请看下面。
◎◎◎◎◎◎◎
●前置步骤
注意!执行前置步骤期间及其后未完成修补之间,
请不要任意执行其他exe执行档,以免再度受到感染。
两个解法都要进行这个前置步骤。
1.开机,按F8进入安全模式。(选择第一个模式,不要有网路的)
2.开启档案总管,
上面的选项列
选择工具->资料夹选项->检视->
隐藏已知档案类型的档案、隐藏保护的作业系统档案勾勾取消,
并点选显示所有档案和资料夹,按确定。
3.清空Temporary Internet Files资料夹,位置在
drive:\Documents and Settings\user\Local Settings\Temporary Internet Files
drive是你的windows安装槽
user是你的用户名称
4.删除档案,删除在temp资料夹里面的下面几个档案(找不到的档案可直接略过)
□ad001.exe
□ad003.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
temp的位址在drive:\Documents and Settings\user\Local Settings\Temp
5.在windows资料夹及system32资料夹删除档案
□kb20060111.exe
在drive:\%systemroot%\下
(一般为C:\Windows)
□wincfgs.exe
在drive:\%systemroot%\system32\下
(一般为C:\Windows\system32)
6.初步处理desktop.ini
按开始->执行->输入msconfig
「启动」项内,将有desktop.ini的项目取消勾选。
注意,「不用」删除desktop.ini,他们只不过是纯文字档,不会感染你电脑!
※以下步骤选择A解法的人,请在重灌完后再建立(请参照A解法里的指示)
7.建立预防档案,建立方法为新增一个纯文字文件,把档名直接改成如下档名即可。
☆在temp资料夹里面建立下面几个档案
□ad001.exe
□ad003.exe
□VCab.DLL
□111.dat
□222.dat
□333.dat
□3.exe
☆在windows安装资料夹里建立kb20060111.exe。
☆在system32资料夹里建立wincfgs.exe。
8.将刚刚建立好的档案,点选右键,选择「内容」,
将「唯读」的框框打勾,按确定。设定好后要再按内容看一次确定有选到唯读。
这样的作法是让病毒无法产生那些病毒档,避免他去感染其他exe档!
注意请不要删掉这些你建立的档案,
至少在各大防毒软体厂商发布可侦测到此病毒的病毒码前避免删除。
9.接下来请重开机进入正常模式,此时应该可以正常上网不会被病毒干扰!
接着依你要不要重灌选择A或B解法。
◎◎◎◎◎◎◎
Α.重灌电脑的解法(再次建议!选择这个多花些时间但是效果较好!)
step1.备份资料
把本解毒方式开一个纯文字文件全文复制贴上并存档,
存起来备份,方便重灌后照步骤进行。
首先备份你需要的档案!
如MSN表情符号、交谈记录、邮件、一堆设定、我的最爱、你的资料等等..
那些备份资料的步骤这里不谈,请自行来知识+或各大引擎搜寻备份方法。
如果有第二颗硬碟或C槽之外其他槽,就把资料copy过去。
如果没有...请你用烧录机烧起来吧。
那些exe档请参照上面的「特征」栏确认一下哪些EXE档案不会被感染,
优先备份这些档案,至于有风险的而你不需要的就删除,
需要的则先不要执行它也不要压缩它,
在重灌后会引导你如何进行最安全的测试来确定该档案是否被感染。
备份的时候请尽量把档案压缩成rar档以避免到时重灌后测试时,
若执行到有被感染的档案而导致其他未被感染的档案被感染。
大型游戏的执行档必须砍除,有补丁也得砍除。
※请一定要备有防火墙、防毒软体的安装程式,重灌完后马上就要装的,
因为一接上网路还没更新之前可能疾风病毒会攻击你电脑..
建议装卡巴斯基的5.X版防毒,
防火墙则卡巴任意版本都可(事后你要用别家的..可以移除它)
不要装6.X版的,还是测试版本,不稳定。
step2.安装winxp
确定档案都备份好后,「拔掉网路线」
放入winxp光碟片,重新开机,进入BIOS设定画面里设定光碟机为优先开机装置。
进入安装画面后选择格式化C槽(快速),进行winxp安装。
(或用ghost之类的软体还原)
step3.
安装完成后请安装好驱动程式,灌好后把防毒和防火墙装上去。
(除此之外请不要执行其他软体的安装!!或去乱动其他有风险的EXE档)
step4.
进行前置步骤里的第7~8步骤,可以不用进安全模式..
step5.
进行有风险档案测试,请看最后附录。
如果在此步骤不幸因为手脚太慢「出捶」..那就~再度重灌~
然后把确认知道已经感染的exe档删掉再继续进行..
确认电脑里面的档案都已经是没有病毒感染的档案后,
才可以进行下一步骤。
step6.
接上网路,重开机,进行windows update一直更新到sp2,
并在更新完sp2之后还是要进windows update把剩下的档案也都更新完。
请不要想投机取巧,务必把所有档案都更新到,
在全部安装完成前,其他网页记得都不要去!
非正版软体用户请在重灌前自行寻找破解..(这里不便提供)
并测试该破解方式确定可以通过微软wga认证后,再行重灌,
以免重灌后无法更新...@_@~那就Orz啰..
step7.
全部更新完成后重开机~
恭喜你电脑已经完全修复完毕,
可以把你其他的软体安装、备份等回复设定啰~
Β.直接解毒的解法
step1.
把本解毒方式开一个纯文字文件全文复制贴上并存档,
存起来备份,方便网路拔线后照步骤进行。
进行下面步骤前
请确定你已经先将前置步骤1~8步骤完成再进行下一步骤。
进行windows update一直更新到sp2,
并在更新完sp2之后还是要进windows update把剩下的档案也都更新完。
请不要想投机取巧,务必把所有档案都更新到,
在全部安装完成前,其他网页记得都不要去!
非正版软体用户请在重灌前自行寻找破解..(这里不便提供)
全部更新完成后请拔线...然后重开机。
step2.
重开机后开启档案总管,进入
drive:\Documents and Settings\user\
及
drive:\Documents and Settings\All Users\项下,
进入「开始」功能表,对着desktop.ini连点两下,开启档案。
step3.
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除后存档
(如有其他资料不要更动,如果有非-21787的数值可以不用删)
step4.
存档后对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
开始功能表下的所有资料夹里的desktop.ini都照此方法修复。
All Users下的开始功能表和user(你自己的使用者名称)下的开始功能表
都用这种方式修复。
step5.
进入「我的文件」资料夹,同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner这一项请在等号后面输入你的使用者名称,其他行不要动。
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step6.
进入「我的文件」->「我的音乐」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner这一项请在等号后面输入你的使用者名称,其他行不要动。此行请不要复制进去。
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step7.
进入「我的文件」->「我的音乐」->「范例音乐」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step8.
进入「我的文件」->「我的图片」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner这一项请在等号后面输入你的使用者名称,其他行不要动。此行请不要复制进去。
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step9.
进入「我的文件」->「我的图片」->「范例图片」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step10.
进入「我的文件」->「我的影片」资料夹
(不一定每个人都有,如果你没有可以不需进行这个步骤)
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=14
PersonalizedName=My Videos
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-238
--------------------------------------------
※Owner这一项请在等号后面输入你的使用者名称,其他行不要动。此行请不要复制进去。
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可
step11.
进入drive:\Documents and Settings\user\->「我的最爱」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step12.
进入drive:\Documents and Settings\All Users\->「共用文件」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果资料内容删除后已经空白,直接存档就可以了!存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step13.
进入drive:\Documents and Settings\All Users\->「共用文件」->「共用音乐」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=C:\Program Files\TGTSoft\StyleXP\Icons\Current.qqoo\My Music3.ico
IconIndex=0
LocalizedResourceName=@shell32.dll,-28995
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-237
--------------------------------------------
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step14.
进入drive:\Documents and Settings\All Users\->「共用文件」->「共用图片」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=C:\Program Files\TGTSoft\StyleXP\Icons\Current.qqoo\My Pictures4.ico
IconIndex=0
LocalizedResourceName=@shell32.dll,-28997
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
step15.
进入drive:\Documents and Settings\All Users\->「共用文件」->「共用影片」资料夹
同样开启desktop.ini,
将desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
这段的资料选取起来删除,其他资料不要删除到喔!
如果已经没有其他资料,请自行复制、修改成虚线内资料:
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
LocalizedResourceName=@shell32.dll,-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
存档后关闭档案,对desktop.ini点滑鼠右键,选择内容。
接着将「隐藏」框框打勾,选确定。
(如果资料夹名称已经被改掉了,请自己改回来即可)
以上修改完成后,最好复制一份到其他资料夹(改一下档名暂存)
例如我的最爱里的desktop.ini可以先改名为「最爱-desktop.ini」
只要你自己知道那是哪一个就行了..
这是为了防止若在测试档案是否受感染时..
病毒「手脚太快」又修改到,那你就可以直接把档案盖回去..^_^"
开始工具列的就不用复制了...反正顶多删除内容而已@.@"
至于月芙没有提到要改回来的部分,就是可改可不改的部分,
您可以直接将属性设隐藏将档案隐藏起来即可。(相关疑问请看最下方Q&A)
step16.
进行exe档检查..将有毒的档案删除掉~以免日后复发~
清毒完毕就恭喜你~不会再中啰^_^~
但是请注意..因为此病毒会动到登录档,
例如我用卡巴手脚太慢可能原先点右键显示的「扫瞄病毒」选项
会在点右键后变成???????一堆问号,不过不影响功能~
要解决也很简单,只要把出现问题的程式移除重灌一次,
就可以恢复正常显示...
另..此解毒法有可能修正完后电脑仍然无法上线,
可执行此程式
http://www.pchell.com/down...ckXPFix.exe 来做修正..应该就OK了..
≡附录--检查EXE档之危机大作战≡
这里要检查exe档,因为此病毒会感染exe档藏身在里面,
请先有再度中奖的准备,再进行此检查法..
如果你没什么重要的程式和资料,
建议你干脆直接把那些执行档砍掉重新安装就可以了
也比较保险,而这里是给你检查一些..
你不舍得&得来不易的程式,
一个「可能不被判死刑」的机会..||||
大型游戏档案..不抱希望,
但是你想苟延残喘看看也是可以的,
如果侥幸没中奖..恭喜~
因为我们前面有建立防止它写入的档案,
所以它无法建立它自己的病毒档,
因此无法感染其它档案了
它要感染exe档是在修改完desktop.ini后才会..
更何况可以感染的程式已经被你优先建立在那边了..
它应该无法写入..
所以现在它的威胁就只有会改掉你的desktop.ini...
「被病毒感染的exe档特征」
通常为程式执行档、大型游戏的执行档
(奇怪的是小游戏的执行档似乎不太会中奖)
程式执行档执行后电脑会「非常lag」,开启非常慢..非常慢。
游戏执行档的话会跳出一片黑的视窗,或出现读取错误,
然后关闭。也可能很LAG但也可能完全不LAG..
「最后修改日期」"可能"被修改过。
步骤1-检查
参照一开始的「特征」栏,过滤掉不需检查的EXE档
当然最好整个电脑所有的exe档都执行检查一次..
对你要检查的程式按滑鼠右键,选内容。
查看「修改日期」,和建立日期,
如果显示的是你中毒那天或到解毒完之前的日期内的时间
有很大的可能此档案已经中毒。
但就算修改日期和建立日期没更动的档案也可能被感染,
因此此法只是让你先过滤一下。
如果到这里,你检查的那个档案你觉得不要也没关系,
就直接删除它吧。如果你一定要确认它是否完好,
请有心理准备..手脚要快喔!
步骤2-执行档案
点两下档案,执行它。
如果出现被感染特征,电脑非常LAG无法动弹..
请以最快的速度按下电脑主机上的重开机按钮,
没有该按钮的直接按开关机钮!
这是为了防止病毒继续感染资料...
重开机后,将确定中奖的该档案删除。
接着动手修复desktop.ini。
如果你手脚够快,
你的开始工具列里应该只有一两个项目,被取消了隐藏。
而此病毒一定要全数取消隐藏后才会写入资料..
不过为了确保安全可以一样执行该档案进去确定一下,
确定没被改后,对档案点滑鼠右键一样选择隐藏就好了。
它一开始会先从「启动」这个项目开始改,
接下来改「程式集」的项目
接下来才是「附属应用程式」
至于那些我的最爱啦..我的文件啦的,
最后才去改...
所以只要你手脚够快,
基本上不会搞到需要在去改我的最爱那些资料夹里的desktop.ini的。
步骤3-
改完后再执行下一个exe档..重复步骤1、步骤2,
将被感染的档案一一处理掉(要清空资源回收桶喔),
等完全清除完毕,又有更新完sp2的话,你就不会再中奖啰!^_^
步骤4
还剩下的正常档案建议烧光碟备份起来,
以后需要时就可以复制贴回去...
