ㄚ清房地產物業專業整合服務網

好幾個朋友昨晚開始中了該病毒，但由於是新型變種木馬，網路上都沒有相關技術文件，使用之前類似案例的解決方法卻又完全無效，一直到今天才終於有解決方案出來。

我不是相關技術人員，此方法透過網路尋獲，並試著以較簡單的方法敘述出來，讓各位可以在不求助懂電腦朋友的情況下解決該問題。若你有看到朋友送出傳送該檔的訊息，代表對方已經中毒，那就順便把這篇文章貼給他看，以免災情持續擴大！

適用狀況
==========

收到 MSN 好友傳送檔名為 imag091307.zip 的壓縮檔，並執行了裡面的病毒文件，感染後會自動透過 MSN 發送誘惑的文字訊息以及傳送同一檔案給其它好友。

病毒名稱：Backdoor.Win32.SdBot.bze
傳送檔案：imag091307.zip
發現時間：2007 年 9 月
傳播方式：透過 MSN 傳播

解決方法五步驟
==========

1. 刪除病毒在開機時自動執行的指令

按 [開始] > [執行]，輸入 regedit 並按 [確定] 進入「登錄編輯程式」
從左方層層目錄找尋以下資料夾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

點選進入 Run 目錄後，在右側出現的一堆項目中找尋「winlogon」，
找到後在「winlogon」上面點選右鍵選擇 [刪除]

2. 重新啟動電腦

完成第一步驟後，病毒在開機時就不會自動載入，
現在按 [開始] > [電腦關機] > [重新啟動]，重開機後病毒便不會執行

3. 刪除病毒檔案

但只讓病毒不會執行沒有用，我們還要把它們清乾淨。
從 [我的電腦] 進入以下目錄，系統可能會要求您顯示隱藏檔案：

C:\WINDOWS\system32\dllcache\winlogon.exe
（dllcache 資料夾名稱會是藍色的，還滿好找的）
C:\WINDOWS\imag091307.zip

找出以上兩個檔案，並刪除之。檔案有點多，需要點耐心。

如果看不到 dllcache 資料夾，請作以下設定：

在 [我的電腦] 視窗上面的選單點選 [工具] > [資料夾選項]，
然後選擇 [檢視] 頁籤，下方會有「進階設定」，將捲軸拉到最底。

然後會看到以下幾行設定選項：

☑ 隱藏保護的作業系統檔案 (建議使用) – 取消勾選
隱藏檔案和資料夾
● 不顯示隱藏的檔案和資料夾
○ 顯示所有檔案和資料夾 — 改選這個

可能會跳出警告視窗，提醒你刪除這些檔案可能有危險，按 [確定] 即可，
完成設定更改後，就能找到上面要你刪除的兩個檔案，然後殺掉它們。

殺掉後再回到 [資料夾選項] 的地方，將你剛才更改的設定調回來。

4. 修改防火牆設定

從 [控制台] > [Windows 防火牆]，選擇 [例外] 頁籤，
在「程式和服務」清單中，找出 Windows Sharing，選取並點選 [刪除]

5. 重新設定登錄檔資料

再次按 [開始] > [執行]，輸入 regedit 並按 [確定] 進入「登錄編輯程式」
從左方層層目錄找尋以下資料夾：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

點選進入 Run 目錄後，在右側的「WaitToKillServiceTimeout」上點兩下，
畫面上會跳出一個「編輯字串」小視窗，將「數值資料」改為 200000 後按 [確定]

如此便可完成 imag091307.zip 病毒的解毒作業嘍！

參考技術文件
==========

【CISRT2007169】透過 MSN 傳播的 IRCBot imag091307.zip winlogon.exe

最後還是要宣導給大家知道， 請勿隨意收取 MSN 檔案（尤其是 photo 或 img 等類似擋名）或連結（突然跳出一個連結夾帶幾句英文訊息），絕對先與對方確認清楚以免中毒。即使收到並且打開壓縮檔後，若見到是不對勁的檔案（例如 *.scr 檔）更不要點選，立即刪除。

若真的很不幸中毒了，第一時間先在顯示名稱及狀態警告朋友不要接收你傳送的檔案（或乾脆登出）。然後依照收到的檔案名稱，透過 Google 搜尋解毒方式，該病毒有非常多種變種型態，雖然類似但解毒方法皆不同。