close

接上一篇

以上是該防毒軟體所提出的解毒方式,也可以試試看以下手動的方式:

 

若是有使用金山毒霸掃毒那您會得到更快的解決方式,直接跳到 setup6.(非置入式行銷喔)是經過多人測試所得到的結果

 

將網路上找到要刪除的進程、程式、登錄檔紀錄如下:
解毒步驟:

step1. 開機按F8進入安全模式
step2. 刪進程 - 開啟工作管理員 ,在處理程序找可疑的exe程式,把它結束
step3. 刪除病毒寫入的登錄檔資料
step4. 刪除病毒產生的檔案
step5. 確認步驟都完成了以後重新啟動電腦,沒有再出現畫面就是完成了。
step6. 恢復隱藏檔及開始功能表

推薦可以使用kvtool先掃過一次,把其他可能的隨身碟病毒處理掉。
※如果工作管理員不能用,kvtool也可以將其恢復。

 

 

刪除可疑的程序(Process)

簡單來說就是工作管理員,切換到處理程序,CPU或記憶體高的程序,又是亂碼或沒意義的exe檔,就強制關閉吧。

刪除病毒所改的登錄檔(Regedit)

進入登錄編輯程式(開始/執行 regedit)後,找到這些登錄檔資料後,把右方的選項刪除。也就是到了目錄後,把下面底線的項目刪除。
例如:進到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 後,把右方名稱為 Use FormSuggest 資料按右鍵刪除。


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'Yes'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"CertificateRevocation" = '0'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"WarnonBadCertRecving" = '0'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop"NoChangingWallPaper" = '1'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations"LowRiskFileTypes" = '.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments"SaveZoneInformation" = '1'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDesktop" = '1'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr" = '1'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ".exe" ※可疑的、亂碼的exe啟動資料就刪掉吧
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ""


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system"DisableTaskMgr" = '1'


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" = '0'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = '0'

 

 

刪除病毒所生成的病毒檔

病毒會在桌面上、快速啟動、以及開始選單程式集內,將下列資料夾下可疑exe檔及system fix的捷徑刪除


首先要能看到隱藏檔,也就是 工具/資料夾選項 檢視
勾選
顯示所有檔案和資料夾
顯示系統資料夾的內容

取消勾選
隱藏保付的作業系統檔案
隱藏已知檔案類型的副檔名

開始刪檔

使用者資料夾
XP、2000預設在C:\Documents and Settings\使用者名稱
windows 7、vista 預設在C:\Users\使用者名稱
請刪除底下的怪異檔名.exe,例如poraehhcngan.exe

 

暫存檔
XP、2000預設在C:\Documents and Settings\使用者名稱\LOCAL SETTINGS\Temp
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local\Temp
裡面的smtemp資料夾請刪除

 


刪除外掛
XP、2000預設在C:\Documents and Settings\使用者名稱\Local Settings\Application Data
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local
這邊我忘記刪除什麼資料了,但是記得IE要清除網頁暫存檔。

 

刪除開始功能表程式集下的System Fix
簡單來說這邊就是進入使用者資料夾,記得將隱藏的檔案、資料夾開啟(工具/資料夾選項/檢視)
XP、2000預設在C:\Documents and Settings\使用者名稱\「開始」功能表 \ 程式集
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local\AppData\Roaming\Microsoft\Windows\Start Menu
C:\Users\使用者名稱\AppData\Roaming\Microsoft\Windows\Start Menu\Programs (因為職員是xp系統,w7不確定會在哪生成,如果有發現在請網友們提供啦,左邊是我猜測的位置)

Remove Folders and Files
%LocalAppData%\[random]
%LocalAppData%\[random].exe
%LocalAppData%\~[random]
%LocalAppData%\~[random]
%StartMenu%\Programs\System Fix
%Temp%\smtmp
%UserProfile%\Desktop\System Fix.lnk
File Location Notes:

簡單來說這邊就是進入使用者資料夾,記得將隱藏的檔案、資料夾開啟(工具/資料夾選項/檢視)
%UserProfile% 預設this is C:\Documents and Settings\[Current User] for Windows 2000/XP, C:\Users\[Current User] for Windows Vista/7, and c:\winnt\profiles\[Current User] for Windows NT.

%Temp% refers to the Windows Temp folder. By default, this is C:\Windows\Temp for Windows 95/98/ME, C:\DOCUMENTS AND SETTINGS\[Current User]\LOCAL SETTINGS\Temp for Windows 2000/XP, and C:\Users\[Current User]\AppData\Local\Temp for Windows Vista and Windows 7.

%LocalAppData% refers to the current users Local settings Application Data folder. By default, this is C:\Documents and Settings\[Current User]\Local Settings\Application Data for Windows 2000/XP. For Windows Vista and Windows 7 it is C:\Users\[Current User]\AppData\Local.

%StartMenu% refers to the Windows Start Menu. For Windows 95/98/ME it refers to C:\windows\start menu\, for Windows XP, Vista, NT, 2000 and 2003 it refers to C:\Documents and Settings\[Current User]\Start Menu\, and for Windows Vista/7 it is C:\Users\[Current User]\AppData\Roaming\Microsoft\Windows\Start Menu.

 

其中掃毒程式掃出來的資訊,我也貼在這,一併刪除,這些就是我這次案例病毒的藏身處(但要先開啟隱藏)
c:\documents and settings\all users\application data\poraehhcngan.exe ---- Startup

c:\documents and settings\all users\application data\dyiajiwxvoeua.exe ---- Startup

C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\system fix\system fix.lnk ---- General

C:\Documents and Settings\All Users\Application Data\vUeZCuomoZnhZp.exe ---- General

C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\system fix\uninstall system fix.lnk ---- General

C:\Documents and Settings\使用者名稱\桌面\system fix.lnk ---- General

C:\Documents and Settings\使用者名稱\Application Data\microsoft\internet explorer\quick launch\system fix.lnk ---- General

C:\Documents and Settings\All Users\Application Data\vUeZCuomoZnhZp.exe ---- General

C:\Documents and Settings\使用者名稱\Local Settings\Temp\smtmp\2\System Fix.lnk ---- General  ※將smtmp使用搜尋.lnk,將所有System Fix.lnk刪除

 

 

Setup 6. 

恢復隱藏檔(取消隱藏) - 使用金山毒霸後直接從這裡開始處理

基本上根目錄都所有檔案都取消隱藏,有一些系統資料夾本來就不能取消隱藏了,所以就放心的全部取消隱藏吧。

程式集(XP)不見的話就進到:
C:\Documents and Settings\All Users\「開始」功能表\程式集\
以及
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集
將所有資料選起來點選右鍵內容 / 取消勾選隱藏

快速啟動消失(開始右邊那些小按鈕)恢復:
進到下列位置,也是取消隱藏
C:\Documents and Settings\使用者名稱\Application Data\Microsoft\Internet Explorer\Quick Launch

我的最愛恢復:
進入C:\Documents and Settings\使用者名稱\Favorites
全選取消隱藏

控制台、執行等恢復:
開始按鈕 點選右鍵 / 內容 / 「開始」功能表
選 自訂 / 進階
將啟動功能表項目的資料勾選起來。

應該到目前為止步驟都對就能處理完畢了。
處理那該死的system fix成功!

 

修復開始功能表

經網友找來資料,temp底下的smtmp就是開始功能表的捷徑被病毒移動的位置。
所以將System Fix.lnk刪除以後即可進行恢復。
底下內容從 http://www.bleepingcomputer.com/forums/topic405109.html 整理

temp/smtmp底下對應原始位置

在執行方塊輸入 %Temp%\smtmp\1:

找到 smtmp 資料夾點擊進入,找到 1 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面

Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista and Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu

在執行方塊輸入 %Temp%\smtmp\2\:
找到 smtmp 資料夾點擊進入,找到 2 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面 


Windows XP: C:\Documents and Settings\ \Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista and Windows 7: C:\Users\ \AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

在執行方塊輸入 %Temp%\smtmp\3\:(XP無此路徑,只適用WIN7)
找到 smtmp 資料夾點擊進入,找到 3 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面  


Windows XP: Does not exist in XP. Therefore do not be concerned if %Temp%\smtmp\3 does not exist on Windows XP.
Windows Vista and Windows 7: C:\Users\ \AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

在執行方塊輸入 %Temp%\smtmp\4\:
找到 smtmp 資料夾點擊進入,找到 4 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面  
Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista and Windows 7: C:\Users\Public\Desktop

備註:

進入%Temp%\smtmp\ 之後不一定會看到 3和4的資料夾,大部分只看的到 1 和 2 的資料夾!!!

 

 

 

開始功能表恢復程式

 

 

登錄檔修復

因為有網友提到無法進入桌面,加上可能看倌不小心誤殺,就把找來的兩個登錄檔修復軟體留在這:

系統工具【Glary Registry Repair】登錄檔清除、修復、最佳化軟體
http://steachs.com/archives/1697#more-1697

Eusing Free Registry Cleaner
http://asiloop.com/eusing_free_registry_cleaner

 

其他處置
檢測可疑的開機程序(程式),這邊推薦使用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip (官方載點)
一樣勾選或右鍵刪除即可。

如果使用系統還原,請務必先將啟動的可疑程序先拿掉。
拿掉以後在開始系統還原,還原後逐一檢查system fix病毒的存放位置檢查是否還有存留。

這樣應該就能根除病毒了。
最後還是推薦使用金山毒霸,畢竟動登錄檔很難查,難免誤刪。

arrow
arrow
    全站熱搜

    貓爪阿信 發表在 痞客邦 留言(0) 人氣()