November 9, 2009
鼓勵此網誌:4
在發文之前,先向常到本格的網友們說聲抱歉,近幾個月來,因為工作實在是太忙了,格子都荒廢了 
年初的不景氣,原本以為今年可以好好做研發,沒想到八月以來的接單量,已達平常一整年的接單量
人總是愈忙時事情愈多,除了工作忙,親友電腦也很常發生問題,大多是 USB 隨身碟病毒及線上遊戲外掛木馬病毒每隔一到兩週,就會遇到新病毒。
大部分的狀況下,我使用「眼睛掃毒、手動刪毒 Part1」就可以清除病毒,沒想到,最近遇到殺雞取卵的病毒,竟然把 C 槽根目錄的開機隱藏檔全數刪除,只留下 autorun.inf 及 RV36M1F9.exe,我不能確定是否是這個病毒檔把 C 槽開機檔刪除,因為該系統不只這個病毒。
因為開機檔已被刪除,無法開機,也就無法使用刪毒的兩大利器
* AutoRuns
* Process Explorer
在不想拆電腦取出硬碟,裝到別台電腦,重新蓋寫 C 槽開機檔的情況下,可以選擇 Windows XPE 或是 Linux LiveCD。這次我使用剛出爐的 Ubuntu 9.10
使用 ubuntu LiveCD 開機後,先將硬碟內的 autorun.inf 及根目錄下的病毒檔刪除,再將別台電腦的開機檔蓋回,很快就可以完成。在操作上,只要熟悉檔案總管,在 ubuntu 與 Windows 下應該沒什麼差別。接到先到系統碟的 \WINDOWS\system32\ 按日期排序,把本月份的 .dll 檔(98%是病毒檔)全數更名後,再重開機。
重開機後,系統還是怪怪的,雖然在之前已安裝了 AVG Free,但系統還是中毒了
在可以開機後,還是使用 Process Explorer/AutoRuns 來徹底檢查一下
很快就找到幾個藏在
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
內的隨身碟病毒,由它記錄的檔案路徑,把病毒檔一一刪除。
但 最後仍有 C:\WINDOWS\AhnRpta.exe 這個怪病毒一直在執行的狀態,用 Process Explorer 刪了,檔案也刪了,仍會自動產生並執行。比對檔案 AhnRpta.exe 與 notepad.exe 的檔案大小、日期及內容都一模一樣,可見病毒本身應該是藏在其他的地方。
問一下 google 大神,查查 AhnRpta.exe 看到它原來是藏在 explorer.exe (Windows Shell) 內,於是使用 AutoRuns 切到 Explorer 頁面 (大部分的 USB 病毒及木馬都在 Logon 頁面可以找到,比較少留意到這一頁
)
找到 [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
內有病毒掛載的 dll,掛在此設定的 dll,可以在每次使用 Win 鍵叫出開始選單去啟動程式,或是由檔案管理員執行程式,都會一併「通知」這些 dll 看有沒有「特別的」服務需要一起做。
用 Process Explorer 把 explorer.exe 關閉,再由 AutoRuns 切到 Explorer 頁面取消勾選這些病毒 dll,最後再將病毒 C:\WINDOWS\system32\softqq1.dll (還有 softqq0/2/3.dll) 及 C:\WINDOWS\AhnRpta.exe 刪除,就可以清掉它了。
這次總共處理兩台電腦、八顆隨身碟及手機記憶卡,以下是病毒檔列表:
AhnRpta.exe aqoeerw.exe avgrsstx.dll bnmkue0.dll bnmkue1.dll clxam6r6.exe dsty.com g9rv.exe k9cuos2q.exe nskmu.exe nt6ry3bn.cmd RV36M1F9.exe softqq0.dll softqq1.dll softqq2.dll softqq3.dll tudqrfw.exe
清毒的過程,有玩了一下 Ubuntu ,發現在系統(System->Administration->USB Startup Disk Creator)選單內就可以建立 LiveUSB
在 產生啟動磁片視窗內,選擇 USB 分割及想要保留 USB 可用空間的大小,其他的空間,會由 ubuntu 放置系統分割檔(filesystem.squashfs)以及可另外安裝應用程式及設定的可讀寫磁區檔(casper-rw)。設定好,按下 [產生啟動磁片] 鈕,等個幾分鐘,完成後,會看到以下視窗。
這個 USB 就可以在支援 USB 開機的系統直接開機進入 Ubuntu
只可惜,我自己的 adata 8G 隨身碟,處理後,竟然找不到一台電腦可以用它開
現在的電腦記憶體都不小,不知道有沒有 Live Linux 在一開始就先割個1G的 RAMDisk 把系統分割檔直接 COPY 過去再掛載,這樣使用 LiveCD 就不會一直聽到光碟機慘叫了
本來題目先定了「Ubuntu 想試玩 Linux 的最佳選擇也是拯救 Windows 系統的好工具」但寫完覺得文不對題
可能是太久沒寫文了... 寫得很不順... 加上可以寫的時間不多... 貼圖不夠完整... 請多多見諒
2009-11-16 上週五又遇到一台筆電,發生同樣的狀況,原本以為同樣的步驟可以解決,後來才發現,還需要注意以下:
[boot loader]
timeout=0
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /pae
年初的不景氣,原本以為今年可以好好做研發,沒想到八月以來的接單量,已達平常一整年的接單量
人總是愈忙時事情愈多,除了工作忙,親友電腦也很常發生問題,大多是 USB 隨身碟病毒及線上遊戲外掛木馬病毒每隔一到兩週,就會遇到新病毒。
大部分的狀況下,我使用「眼睛掃毒、手動刪毒 Part1」就可以清除病毒,沒想到,最近遇到殺雞取卵的病毒,竟然把 C 槽根目錄的開機隱藏檔全數刪除,只留下 autorun.inf 及 RV36M1F9.exe,我不能確定是否是這個病毒檔把 C 槽開機檔刪除,因為該系統不只這個病毒。
因為開機檔已被刪除,無法開機,也就無法使用刪毒的兩大利器
* AutoRuns
* Process Explorer
在不想拆電腦取出硬碟,裝到別台電腦,重新蓋寫 C 槽開機檔的情況下,可以選擇 Windows XPE 或是 Linux LiveCD。這次我使用剛出爐的 Ubuntu 9.10
使用 ubuntu LiveCD 開機後,先將硬碟內的 autorun.inf 及根目錄下的病毒檔刪除,再將別台電腦的開機檔蓋回,很快就可以完成。在操作上,只要熟悉檔案總管,在 ubuntu 與 Windows 下應該沒什麼差別。接到先到系統碟的 \WINDOWS\system32\ 按日期排序,把本月份的 .dll 檔(98%是病毒檔)全數更名後,再重開機。
重開機後,系統還是怪怪的,雖然在之前已安裝了 AVG Free,但系統還是中毒了
在可以開機後,還是使用 Process Explorer/AutoRuns 來徹底檢查一下
很快就找到幾個藏在[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
內的隨身碟病毒,由它記錄的檔案路徑,把病毒檔一一刪除。
但 最後仍有 C:\WINDOWS\AhnRpta.exe 這個怪病毒一直在執行的狀態,用 Process Explorer 刪了,檔案也刪了,仍會自動產生並執行。比對檔案 AhnRpta.exe 與 notepad.exe 的檔案大小、日期及內容都一模一樣,可見病毒本身應該是藏在其他的地方。
問一下 google 大神,查查 AhnRpta.exe 看到它原來是藏在 explorer.exe (Windows Shell) 內,於是使用 AutoRuns 切到 Explorer 頁面 (大部分的 USB 病毒及木馬都在 Logon 頁面可以找到,比較少留意到這一頁
)找到 [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
內有病毒掛載的 dll,掛在此設定的 dll,可以在每次使用 Win 鍵叫出開始選單去啟動程式,或是由檔案管理員執行程式,都會一併「通知」這些 dll 看有沒有「特別的」服務需要一起做。
用 Process Explorer 把 explorer.exe 關閉,再由 AutoRuns 切到 Explorer 頁面取消勾選這些病毒 dll,最後再將病毒 C:\WINDOWS\system32\softqq1.dll (還有 softqq0/2/3.dll) 及 C:\WINDOWS\AhnRpta.exe 刪除,就可以清掉它了。
這次總共處理兩台電腦、八顆隨身碟及手機記憶卡,以下是病毒檔列表:
AhnRpta.exe aqoeerw.exe avgrsstx.dll bnmkue0.dll bnmkue1.dll clxam6r6.exe dsty.com g9rv.exe k9cuos2q.exe nskmu.exe nt6ry3bn.cmd RV36M1F9.exe softqq0.dll softqq1.dll softqq2.dll softqq3.dll tudqrfw.exe
清毒的過程,有玩了一下 Ubuntu ,發現在系統(System->Administration->USB Startup Disk Creator)選單內就可以建立 LiveUSB
在 產生啟動磁片視窗內,選擇 USB 分割及想要保留 USB 可用空間的大小,其他的空間,會由 ubuntu 放置系統分割檔(filesystem.squashfs)以及可另外安裝應用程式及設定的可讀寫磁區檔(casper-rw)。設定好,按下 [產生啟動磁片] 鈕,等個幾分鐘,完成後,會看到以下視窗。
這個 USB 就可以在支援 USB 開機的系統直接開機進入 Ubuntu
只可惜,我自己的 adata 8G 隨身碟,處理後,竟然找不到一台電腦可以用它開
現在的電腦記憶體都不小,不知道有沒有 Live Linux 在一開始就先割個1G的 RAMDisk 把系統分割檔直接 COPY 過去再掛載,這樣使用 LiveCD 就不會一直聽到光碟機慘叫了
本來題目先定了「Ubuntu 想試玩 Linux 的最佳選擇也是拯救 Windows 系統的好工具」但寫完覺得文不對題
可能是太久沒寫文了... 寫得很不順... 加上可以寫的時間不多... 貼圖不夠完整... 請多多見諒 2009-11-16 上週五又遇到一台筆電,發生同樣的狀況,原本以為同樣的步驟可以解決,後來才發現,還需要注意以下:
- 如果是像筆電前置還原分割區, 則l由別台 COPY 來的 boot.ini 內的 multi(0)disk(0)rdisk(0)partition(1) 可能需要調整成 partition(2)
- NTDETECT.COM 及 ntldr 這兩個開機檔,不同的 XP 版本(Home/Pro/MediaCenter) 可能略有不同,如果 \WINDOWS\I386\ 目錄還在的話,在該目錄內,可以找到該 XP 版本的 NTDETECT.COM 及 ntldr
[boot loader]
timeout=0
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /pae
誰推薦這篇文章:
