過去兩天與這個病毒纏鬥不休,現在將它徹底翦除,心情大快!特此誌之。
幾天前,忘了是要幹什麼,下載了某個小程式並執行。跑出一個很「正派」的安裝畫面,像是外掛的播放器之類的,也沒想太多,就安裝了。後來發現資料夾裡面什麼都沒有,我才驚覺有詐,即刻解除安裝,並將之刪除。
後來,我的「小紅傘」(Avira Antivir)就常常亂叫,說是有木馬。受感染的檔案,刪也刪不掉,點進「小紅傘」警告視窗裡的「病毒資訊」,又什麼都找不到(真是搞笑)。google警告視窗中列出的病毒,也找不到詳細的說明。幾次之後,發現中毒的檔案,都是在暫存資料夾(Temp)裡的tmp(*).tmp檔,那個(*)是不定的數字,例如有時是tmp3.tmp,有時是tmp5.tmp;另外就是在火狐的components資料夾裡,跑出一個iamfamous.dll的感染檔。以這些為關鍵字,慢慢找出一些蛛絲馬跡,後來才確定,我中的應該就是W32.Tidserv病毒。
可能是我早就將該「軟體」給移除掉了,而且有些作用可能被「小紅傘」給擋了下來,所以我的「症狀」,和一般敘述的不完全一樣。進行了不少次殺毒手續,但每次一開啟「我的電腦」,「小紅傘」的警示聲仍是連環響起,弄得我心力交瘁。
還好我的電腦是「雙作業系統」,一個是XP,一個是幾乎不用的Vista,有幾次我瘋狂砍殺疑似忠毒檔案,卻誤殺忠良,導致無法開機,是靠著備用的Vista,才免除掉重灌的危機。
而且,有些刪不掉的檔案,在另一個作業系統才刪得掉(當然,進入安全模式也可以)。最後,我是從Vista刪掉XP系統Temp裡中毒的tmp檔和components的iamfamous.dll,以及每個磁碟根目錄中的autorun.inf和recycled目錄的boot.com,回到XP安全模式,用avenger這個小軟體強刪機碼:HKLM\system\currentcontrolset\services\msqpdxserv.sys,才將這隻頑強的Rootkit掃蕩殆盡。
曾被我誤傷的忠良,是advapi32.dll ,還好我只是將其更名,所以在無法開機後,從Vista中將其恢復原名,XP又可正常開機。但我還是有點擔心,這個advapi32.dll 會不會像是已死的異形一般,不久後從它之中又生出新的異形?屆時我的這個殺毒記,又得開拍續集了。
0 意見:
張貼留言