清除 MSN 病毒 imag091307.zip



分類:簡易教學

2007/09/19 16:47





好幾個朋友昨晚開始中了該病毒,但由於是新型變種木馬,網路上都沒有相關技術文件,使用之前類似案例的解決方法卻又完全無效,一直到今天才終於有解決方案出來。


我不是相關技術人員,此方法透過網路尋獲,並試著以較簡單的方法敘述出來,讓各位可以在不求助懂電腦朋友的情況下解決該問題。若你有看到朋友送出傳送該檔的訊息,代表對方已經中毒,那就順便把這篇文章貼給他看,以免災情持續擴大!


適用狀況
==========


收到 MSN 好友傳送檔名為 imag091307.zip 的壓縮檔,並執行了裡面的病毒文件,感染後會自動透過 MSN 發送誘惑的文字訊息以及傳送同一檔案給其它好友。


病毒名稱:Backdoor.Win32.SdBot.bze
傳送檔案:imag091307.zip
發現時間:2007 年 9 月
傳播方式:透過 MSN 傳播


解決方法五步驟
==========


1. 刪除病毒在開機時自動執行的指令


按 [開始] > [執行],輸入 regedit 並按 [確定] 進入「登錄編輯程式」
從左方層層目錄找尋以下資料夾:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


點選進入 Run 目錄後,在右側出現的一堆項目中找尋「winlogon」,
找到後在「winlogon」上面點選右鍵選擇 [刪除]


2. 重新啟動電腦


完成第一步驟後,病毒在開機時就不會自動載入,
現在按 [開始] > [電腦關機] > [重新啟動],重開機後病毒便不會執行


3. 刪除病毒檔案


但只讓病毒不會執行沒有用,我們還要把它們清乾淨。
從 [我的電腦] 進入以下目錄,系統可能會要求您顯示隱藏檔案:


C:\WINDOWS\system32\dllcache\winlogon.exe
(dllcache 資料夾名稱會是藍色的,還滿好找的)
C:\WINDOWS\imag091307.zip


找出以上兩個檔案,並刪除之。檔案有點多,需要點耐心。



如果看不到 dllcache 資料夾,請作以下設定:


在 [我的電腦] 視窗上面的選單點選 [工具] > [資料夾選項],
然後選擇 [檢視] 頁籤,下方會有「進階設定」,將捲軸拉到最底。


然後會看到以下幾行設定選項:


☑ 隱藏保護的作業系統檔案 (建議使用) – 取消勾選
隱藏檔案和資料夾
● 不顯示隱藏的檔案和資料夾
○ 顯示所有檔案和資料夾 — 改選這個


可能會跳出警告視窗,提醒你刪除這些檔案可能有危險,按 [確定] 即可,
完成設定更改後,就能找到上面要你刪除的兩個檔案,然後殺掉它們。


殺掉後再回到 [資料夾選項] 的地方,將你剛才更改的設定調回來。



4. 修改防火牆設定


從 [控制台] > [Windows 防火牆],選擇 [例外] 頁籤,
在「程式和服務」清單中,找出 Windows Sharing,選取並點選 [刪除]


5. 重新設定登錄檔資料


再次按 [開始] > [執行],輸入 regedit 並按 [確定] 進入「登錄編輯程式」
從左方層層目錄找尋以下資料夾:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]


點選進入 Run 目錄後,在右側的「WaitToKillServiceTimeout」上點兩下,
畫面上會跳出一個「編輯字串」小視窗,將「數值資料」改為 200000 後按 [確定]


如此便可完成 imag091307.zip 病毒的解毒作業嘍!


參考技術文件
==========


【CISRT2007169】透過 MSN 傳播的 IRCBot imag091307.zip winlogon.exe


最後還是要宣導給大家知道, 請勿隨意收取 MSN 檔案(尤其是 photo 或 img 等類似擋名)或連結(突然跳出一個連結夾帶幾句英文訊息),絕對先與對方確認清楚以免中毒。即使收到並且打開壓縮檔後,若見到是不對勁的檔案(例如 *.scr 檔)更不要點選,立即刪除。


若真的很不幸中毒了,第一時間先在顯示名稱及狀態警告朋友不要接收你傳送的檔案(或乾脆登出)。然後依照收到的檔案名稱,透過 Google 搜尋解毒方式,該病毒有非常多種變種型態,雖然類似但解毒方法皆不同。




arrow
arrow
    全站熱搜
    創作者介紹
    創作者 專案開發ㄚ清 的頭像
    專案開發ㄚ清

    ㄚ清房地產物業專業整合服務網

    專案開發ㄚ清 發表在 痞客邦 留言(0) 人氣()