一切只能說自己手賤,去下載了一個網路上加分享的程式,下載下來後解壓縮後執行,防毒軟體馬上提出警告,然而我卻以為是誤判,將防毒軟體手動關閉,造成病毒快速散佈感染,使硬碟每個分割區內的執行檔全數感染,這個病毒就是所謂的威金病毒,其實這種病毒雖然感染力很強,但是其攻擊性並不大,不難處理。
感染時的病徵:當作業系統感染此病毒後。會發現所有程式,只要有執行檔的,其圖示會改變成原本病毒所寄生的那個執行檔的圖示,如果沒有變,則是原本的圖示呈現破碎狀,並且快速感人硬碟內所有分割區的執行檔,在每個執行檔內寫入自己的執行程式碼,達到感染的目的,同時在每個資料夾、分割區底下會建立一個名為_desktop.ini的檔案,這個檔案也是要方便病毒自己繁衍的踏板,由於大量產生這樣的檔案,也如前述大量感染exe檔,所以會出現電腦CPU使用率偏高,硬碟存取頻繁,電腦速度降低的狀況,甚至若有連線網路磁碟機,也會造成網路磁碟機也遭受感染,因此首要之務必須斷網。
病毒會在作業系統建立自己的指揮部,其位置就在X:\Windows目錄底下,X代表磁碟機代號,依據每個人的安裝的分割區略有差異,但大多為C槽。病毒會在這邊建立Logo1_.exe、rundl132.exe、Dll.dll三支檔案,只要發現這三隻檔案,就代表已經中毒了。
同時病毒也會為了自己能夠被執行,會在windows開機啟動清單內加入rundl132.exe這項,方便被喚醒隨時偵測使用者有執行那些檔案,然後再進行感染。附帶一提,病毒也會在登入機碼寫入相關紀錄。
由於放任病毒執行了,所以理所當然防毒軟體也會被摧毀殆盡,防毒軟體的執行檔只要被感染了,就毫無任何防禦效果,因此不管後續再安裝防毒軟體,還是用已經安裝的防毒軟體去掃描,根本是無濟於事。
以下就是解法:
首先將電腦重開機進入安全模式,然後開啟工作管理員將Logo1_.exe、rundl132.exe這兩支程式砍掉,一定要確認沒有在執行,然後再到X:\Windows目錄底下,將Logo1_.exe、rundl132.exe、Dll.dll這三個檔案刪除,刪除完後建立三個資料夾分別都命名為Logo1_.exe、rundl132.exe、Dll.dll,並且設為唯讀,這樣病毒想在建立指揮部就沒辦法了。然後再去執行框輸入msconfig開啟後把啟動項目內看到的rundl132.exe的勾取拿掉。
完成這些動作後,在執行輸入regedit,開啟登錄檔編輯器,尋找Logo1_、rundl132關鍵字,只要有看到,就把該鍵值刪除。
再來一步是,建立一個文字檔,將文字檔貼入以下內容。
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a
如果有幾個分割區,就填入有的分割區代號,當然省事一點也可以從C填到Z。然後將文字檔儲存後改重新命名為del.bat檔,其中副檔名一定要是bat批次檔,否則無法執行。改完檔名後執行,就會大舉刪除硬碟內所有病毒建立的_desktop.ini檔,會需要一段時間,等待刪完後,再移除防毒軟體。就能夠將電腦重新開機了。
以我本身是安裝avast,所以把program files還有ProgramData內把avast的資料夾刪了,然後再到新增移除程式把殘留的防毒軟體項目移除,至於防毒軟體所在目錄依不同防毒軟體而相異,反正刪就對了。
重開機後必然還是會看到執行檔圖示怪怪的,這是正常的,因為病毒並未刪除,只是破壞病毒的指揮部而已,只要是執行檔,都還是病毒的殘餘部隊,但是沒有指揮部的病毒,已經無法再感染了。因為指揮部已經先被我們用資料夾佔領了。
這時候趕快安裝防毒軟體,我是使用avast網路安全版試用版,這樣就夠了,安裝完之後,設定防毒軟體進行開機掃描,務必讓防毒軟體掃描所有分割區,同時設定防毒軟體偵測到病毒時採用修復的動作,因為防毒軟體可以移除掉執行檔內的惡意程式碼,然後重開機讓防毒進行掃描,大致上就可以完全清除病毒。
當掃完後開機回到windows應該就會看到執行檔恢復正常了,如果還有少數還是怪怪的,那就必須再掃描一遍,直到所有病毒都被清除,這樣就解決了,同時現在電腦也對這個病毒免疫了。
韌體 (1)