AS-D777華碩套裝電腦 WinXP Pro 系統中毒修復筆記

s10274chen

這個case，老爸接的，那時客人叫修的時候我在學校，等到回到家，老爸跟我講，我去洗澡，客人把電腦抱來了，老爸把客人描述的故障情形跟我說一遍，大致上已經有個方向了。
就是這台電腦。


使用的主機板。

開機檢測一下，能進作業系統，但一看到桌面，才一下子，馬上電腦又自己重開了，挺慘的！
試了幾次，注意一下，都是同樣的地方，於是確定是軟體的問題囉。
後來嘗試想要進安全模式，結果進不去，畫面停格，全部黑畫面，只有左上角有個光棒在閃爍。證明安全模式可能已經被病毒鎖定了。
用PE光碟進去看，先將可疑的檔案手動刪除，或是先做修改檔名的動作（怕誤砍）。
躲在C槽的根目錄，連看都沒看過，它絕對是病毒了。



再來不是躲在system32、dllcache、drivercache底下，就是躲在使用者設定檔的目錄內。很多。
由於病毒數量實在太多了，除了這些圖片的之外，後續重開機後，病毒又再生了，處理動作也是類似，砍！砍！砍！沒有再擷圖了。
貼個幾張，其它的可以下載壓縮檔看看。





後來砍完後，也就是第一次手動+卡巴斯基的清除動作，病毒仍有部分殘餘部隊，所以一接上網路，馬上復活，系統資源被吃掉，網路速度慢，於是一不作二不休，再重開，這次管它三七二十一，進PE後，找修改時間4月27號（含）以後的檔案，全數砍了，但這樣也有誤殺，導致系統重開機後，無法順利進到桌面，直接跳藍底白字，甚至把一些系統檔還原後，出現更令人笑掉大牙的病毒，它會另作業系統出現藍底白字的當機畫面，按Ctrl+Alt+Del仍無法重開機。接著，三度進PE系統，把一些可疑病毒砍了。順便下載防毒程式，準備安裝。
安裝完後，進行掃描，一堆毒。又砍一砍。
經過不斷的開開關關，病毒總算清了大概。
也經過不斷比對正常的作業系統，做整理，期間還發生藍底白字不開機的狀況等狀況，經過不斷的排錯，總算排除了重重困難，系統修復完成。
最後，也把安全模式也修好了。
新增資料夾.rar (1.51 MB)

2010-5-1 10:33 PM 上傳

點擊文件名下載附件

現在麻煩的是，客人的主機板故障，他要決定後續的處理動作。

阿水

刪完後如果病毒會重生的話大部份只要建立一個相同名稱的資料匣就行了,不過有些病毒例外

s10274chen

病毒在昨天又有發現，於是又用了PE，進行更大規模的搜索行動，這次應該是砍乾淨了。n_067|
建立資料夾防止重生.............如果病毒控制中心沒有摧毀，在加上病毒具有高度智慧，的確還是無效，小弟我就有漏了很多地方沒去檢查，就又多做了很多步驟。

wish

最近公司同事在抱怨網路速度變很慢，我在伺服器中也看到防毒軟體在砍lsass.exe，我會把這篇轉給我們的MIS人員，謝謝你提供一篇好文章。

s10274chen

不會啦！謝謝W大。
這次的算是一個筆記，想說PO上來，大家可以注意一下，我也可以當成筆記，紀錄起來。
砍這些毒，沒有去動登錄機碼，頂多為了修復一些啟動問題（諸如安全模式被鎖定、開機到桌面後我的文件夾會自動打開），剩下的就是殺執行檔、抽換動態連結庫檔、SYS系統檔，還有驅動程式。
文章中的插圖（不是壓縮檔的圖片），只要有看到.exe的執行檔，絕大多數，全部都是病毒，甚至有些好像是控制中心。
病毒大多躲藏在根目錄、C:\windows、C:\windows\system32，甚至驅動程式所在的資料夾、動態連結庫的資料夾，使用者資料夾及其子目錄，很多，需要慢慢抓，病毒會把安全模式鎖住，需要在linux底下或是PE底下去砍。

shunxing

這隻毒已經是歷史悠久的舊病毒了....通常都是假的免費外掛裡頭....
或者是一些免費下載的程式系統~~~~
在來就是~~~它會透過P2P或是MSN..及時通等等的軟體散佈出去~~~~~
它~~跟隨身跌病毒有的比了.....好在~~我都不幫客戶坎毒的...
直接把系統重裝比較省事~~~~~畢竟~~重裝~~比你在那邊坎~~~來的快...
除非客戶真的裡面有很多重要資料~~~要解毒~~~我報的價錢~~~
在我們這邊的客戶~~聽到~~~就搬回去囉~~~~~

s10274chen

確實，解毒的時間，已經不知到可以重灌幾台電腦了，
不過也算扯平了..............他的板子毀了，剛好跟我預計要跟他報價的價格差不多。
我不管他怎樣中毒的，我只要知道他中毒的最早時間，要解，大概就不會有太大問題。

阿水

昨晚我也遇到跟你一樣的病毒...真的是重開機就又生出來了......
毒藏在太多位置了XD
找了好久才找出來......但....刪完後居然給我藍底白字的當機..............
應該有被我刪到系統檔~~~~~努力中....

shunxing

原帖由 阿水 於 2010-5-8 09:51 AM 發表 http://bbs.pigoo.com/images/common/back.gif
昨晚我也遇到跟你一樣的病毒...真的是重開機就又生出來了......
毒藏在太多位置了XD
找了好久才找出來......但....刪完後居然給我藍底白字的當機..............
應該有被我刪到系統檔~~~~~努力中.... ...

到底是有多重要的資料~~~~這樣刪毒~~~~~~~
雖然可以練練技術~~~~但也不用這麼拼吧~~~~
我除了一些簡單的毒～~其他的~~很會藏或是會直接感染系統的～~
我只遇過一次~~我就不會在玩下去~~因為~~你會發現~~~是病毒在玩你～~~~~

s10274chen

小弟我上次在砍的時候也有這樣的狀況，病毒會讓系統藍底白字，砍了竟然就不會藍底白字了。
系統檔再從別台電腦放回去就好了。

阿水

沒什麼重要資料啦~客人也說可以重灌....純粹是自己想知道毒藏在哪而以~~n_109|


回復 10# 的帖子

有空我再把毒放上來..你看看是不是和你的一樣..還滿多隻的






s10274chen大~我剛看了一下你放的圖片~~毒跟你的一樣耶~你哪時把你的客戶轉來我這的啊n_118|

s10274chen

那些都是木馬喔！
呵呵！客人的修好囉！她的電腦開不起來（原來客人是一位姊姊，好像是大三還是大四），除非她去換好主機板，然後再搬到阿水大您那邊.......好遠啊！:sam16

cch002

重灌比較快
不然真的殺不完

Dave

哇看了這篇.才能知道我懂的不多阿n_116| 學習學習n_086|