一開機會有一個Update的視窗跑出來?

適用範圍: Windows XP、Windows 2000(這是2003年的病毒案例,現在應該沒什麼發生的機率)

問題:

我最近一進入系統,總是有一個 update 的視窗跑出來,都是白白的,裡面還有一個status的視窗,雖然沒多久就它自己消失了,電腦好像用起來也沒什麼不對,不過,以前都不會有這現象,請問要如何取消個視窗?

我是用 Windows 2000 Professional

回答:

這是病毒的一種,它是屬於木馬程式的一種(後門程式,有人叫他做 IRC.TRojan,靠 IRC 聊天程式傳播),它利用mIRC進行攻擊,他會把 mIRC (註一)改造成自己的攻擊平台,中毒的電腦會不斷對外發送病毒,你應該會感覺到啟動速度變慢、關機速度也比以往稍長,網路連線速度也比以往慢,等等症狀。

即使你沒有安裝mIRC這套軟體,這個病毒也會不斷測試取得你 Administrator 帳號權限之後,值入改裝過的mIRC程式,將你的電腦作為散播病毒的跳板。

我不是電腦病毒專家,解除這類木馬程式不是我的專業,我在這邊所提供的方法,只是我自己的測試經驗,僅能提供你應急。

如果各位的電腦已經出現今天這個問題所說的現象,可以依照我的方法將必毒移除,但是,務必請你再配合掃毒軟體做一次全面性的掃描,因為解毒真的不是我的專業,我怕我的測試會有不周詳的地方。

沒有安裝防毒軟體的人,請儘快安裝,或是你的病毒定義更新已經到期了,請儘快付費更新,這類軟體的錢不要省,也不能省,就當作是每年為你的電腦買一次保險吧。

一、更改 Administrator 帳號密碼

很多人還是沒有安全的觀念,為了省事,就不願意把Administrator帳號設密碼,或是只是這了一組很簡單的密碼,這就等於給了後門程式機會,很容易就猜中你的系統管理員密碼,當然就可以隨心所欲的值入程式。

這隻病毒IRC.Trojan會以以下幾組一般人最常用的密碼來測試Administrator這個帳號的密碼,如果你正好習慣用這些密碼當作是Administrator的密碼,這種習慣要改掉。

空白
Administrator
test
test123
temp
temp123
pass
password
admin
root
changeme
admin
123456
654321
abc123
red123
admin123
qwerty
asdf
password123
secret
qwertyuiop
12345
54321

另外,如果你正好有帳號名稱是test,他也會以以上的密碼去測你test這個帳號。所以從這裡我們可以學到兩件事:一、不要使用好猜的密碼。二、不要建立易猜的帳號名稱,好比 test。

二、刪除登錄中的病毒項目

執行regedit,到 :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run

檢查資料中是不是有 explorer.exe 的字串,有的話整個刪除。 (所有有explorer.exe 敘述的都刪除,這是一開機就執行病毒檔 explorer.exe,他冒充檔案總管的名稱)

三、刪除病毒檔案

因為有些病毒檔案是以隱藏檔的型態存在,所以請開啟檔案總管顯示隱藏檔與系統檔的功能,否則看不到這些檔案。(註二)

搜尋 explorer.exe( 開始>>搜尋>>檔案或資料夾....),接著你可能會找到好幾個 叫做 explorer.exe 的檔案,請留意,只有小寫的 explorer.exe 跟檔案前面圖示淡淡的那個(表示隱藏檔),才是病毒,如果前面圖示是檔案總管或是我的電腦的圖示,那是真的檔案總管,不是病毒,不能刪。

刪除的時候,如果出現explorer.exe正在使用中拒絕存取的話,同時按下 ctrl  alt  del 三鍵,到:工作管理員>>處理程序>>找到 explorer.exe,按結束處理程序(如果出現數個 explorer.exe,選佔用記憶體最大的那個),終止他之後,你就可以刪除了。

另外,再去搜尋以下檔案,有的話全刪除(不一定全部都有,因為病毒不見得全部丟進來)

v32driver.bat
iiscache.dll (隱藏檔)
win32.exe
zxtt.exe
STDE9.EXE(主程式)
str.vxd(隱藏檔)
web.swf(隱藏檔)
symbiox.dll
mirc*.* (經變造的mirc程式,* 表示萬用字元,mirc*.* 就是表示搜尋所有以 mIRC 開頭的檔案)

再檢查 C:\WINNT\Fonts\(註三)下是否藏有病毒,這必須到 command 模式下檢查,因為在檔案總管中,除了字型檔之外,是不會顯示其他類型的檔案。Fonts目錄下應該只有字型檔(就是副檔名是TTF、TTC、FON 的檔案)不會有其他的東西,若有請刪除。

開始>>執行>>輸入cmd 按確定,以便進入命令模式,切到Fonts目錄的方法是輸入以下按 Enter:

cd\winnt\fonts

執行 dir 指令,檢查是否有字型檔(TTF、TTC、FON)以外的檔案,dir 指令可以列出這個目錄裡的所有檔案,我們可以外加/w/p 參數以方便畫面的瀏覽:

dir/w/p

有其他檔案的話,利用del 指令刪除之,Fonts資料夾僅需留字型檔。 del 指令如何刪除檔案?

例如我要刪除str.vxd,就是鍵入 del str.vxd 按Enter,依此類推,Fonts 下被值入的非字型檔檔案數可能很多,請耐心刪除。

四、重新開機,測試是否恢復正常,儘速使用防毒軟體配合最新病毒碼掃毒,再進行一次確認,這個病毒不算是最新,防毒軟體應該都可測試得出來。

註一:

mIRC 是一套使用非常廣泛、知名的的即時聊天軟體,mIRC 本身並不是病毒,不過這個後門程式會假借 mIRC 傳播,是病毒改造過後植入你電腦的 mIRC 程式,與原本的 mIRC 已不相同,請不要不明究裡的認為 mIRC 一定是病毒,希望讀者明辨。

註二:

如何顯示隱藏檔與副檔名?以 Windows 2000 檔案總管為例,開啟檔案總管後,到「工具」>>「資料夾選項」>>「檢視」:

  • 不勾:隱藏已知檔案類型的副檔名

  • 不勾:隱藏保護的作業系統檔案

  • 在「隱藏檔案和資料夾」設為:顯示所有檔案和資料夾。

註三:

如果你沒有變更過作業系統預設安裝路徑的話,Windows 2000 應該是 C:\WINNT\Fonts\,Windows XP 則是 C:\Windows\Fonts\

chengbin 發表在 痞客邦 PIXNET 留言(0) 人氣()