清除 MSN 病毒 imag091307.zip
好幾個朋友昨晚開始中了該病毒,但由於是新型變種木馬,網路上都沒有相關技術文件,使用之前類似案例的解決方法卻又完全無效,一直到今天才終於有解決方案出來。
我不是相關技術人員,此方法透過網路尋獲,並試著以較簡單的方法敘述出來,讓各位可以在不求助懂電腦朋友的情況下解決該問題。若你有看到朋友送出傳送該檔的訊息,代表對方已經中毒,那就順便把這篇文章貼給他看,以免災情持續擴大!
適用狀況
==========
收到 MSN 好友傳送檔名為 imag091307.zip 的壓縮檔,並執行了裡面的病毒文件,感染後會自動透過 MSN 發送誘惑的文字訊息以及傳送同一檔案給其它好友。
病毒名稱:Backdoor.Win32.SdBot.bze
傳送檔案:imag091307.zip
發現時間:2007 年 9 月
傳播方式:透過 MSN 傳播
解決方法五步驟
==========
1. 刪除病毒在開機時自動執行的指令
按 [開始] > [執行],輸入 regedit 並按 [確定] 進入「登錄編輯程式」
從左方層層目錄找尋以下資料夾:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
點選進入 Run 目錄後,在右側出現的一堆項目中找尋「winlogon」,
找到後在「winlogon」上面點選右鍵選擇 [刪除]
2. 重新啟動電腦
完成第一步驟後,病毒在開機時就不會自動載入,
現在按 [開始] > [電腦關機] > [重新啟動],重開機後病毒便不會執行
3. 刪除病毒檔案
但只讓病毒不會執行沒有用,我們還要把它們清乾淨。
從 [我的電腦] 進入以下目錄,系統可能會要求您顯示隱藏檔案:
C:\WINDOWS\system32\dllcache\winlogon.exe
(dllcache 資料夾名稱會是藍色的,還滿好找的)
C:\WINDOWS\imag091307.zip
找出以上兩個檔案,並刪除之。檔案有點多,需要點耐心。
如果看不到 dllcache 資料夾,請作以下設定:
在 [我的電腦] 視窗上面的選單點選 [工具] > [資料夾選項],
然後選擇 [檢視] 頁籤,下方會有「進階設定」,將捲軸拉到最底。然後會看到以下幾行設定選項:
☑ 隱藏保護的作業系統檔案 (建議使用) – 取消勾選
隱藏檔案和資料夾
● 不顯示隱藏的檔案和資料夾
○ 顯示所有檔案和資料夾 — 改選這個可能會跳出警告視窗,提醒你刪除這些檔案可能有危險,按 [確定] 即可,
完成設定更改後,就能找到上面要你刪除的兩個檔案,然後殺掉它們。殺掉後再回到 [資料夾選項] 的地方,將你剛才更改的設定調回來。
4. 修改防火牆設定
從 [控制台] > [Windows 防火牆],選擇 [例外] 頁籤,
在「程式和服務」清單中,找出 Windows Sharing,選取並點選 [刪除]
5. 重新設定登錄檔資料
再次按 [開始] > [執行],輸入 regedit 並按 [確定] 進入「登錄編輯程式」
從左方層層目錄找尋以下資料夾:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
點選進入 Run 目錄後,在右側的「WaitToKillServiceTimeout」上點兩下,
畫面上會跳出一個「編輯字串」小視窗,將「數值資料」改為 200000 後按 [確定]
如此便可完成 imag091307.zip 病毒的解毒作業嘍!
參考技術文件
==========
【CISRT2007169】透過 MSN 傳播的 IRCBot imag091307.zip winlogon.exe
最後還是要宣導給大家知道, 請勿隨意收取 MSN 檔案(尤其是 photo 或 img 等類似擋名)或連結(突然跳出一個連結夾帶幾句英文訊息),絕對先與對方確認清楚以免中毒。即使收到並且打開壓縮檔後,若見到是不對勁的檔案(例如 *.scr 檔)更不要點選,立即刪除。
若真的很不幸中毒了,第一時間先在顯示名稱及狀態警告朋友不要接收你傳送的檔案(或乾脆登出)。然後依照收到的檔案名稱,透過 Google 搜尋解毒方式,該病毒有非常多種變種型態,雖然類似但解毒方法皆不同。
留言列表