引用原文…協作平台…
文章「圖片」有不能顯示時,請點協作平台…感謝…前一陣子,至同學家同學把他用好一陣子的電腦交給我,說什麼執行很慢…
當然,這是一個很好的學習機會,看看到底是搞了什麼東西進電腦裡?
這時,一定用我「防寫」的usb隨身碟,來使用常用的工具,以免到時usb隨身碟遭到波及…
開始用最常用的工具「程序檢視器」,這東西簡單又好用,又可以開關及移除一些啟動時的最佳工具…
哇咧,這是什麼東西?名稱是標「expiorer」(瀏覽器為explorer)但是出現的是筆記本的圖像…
內部名稱和描述都正確,但看起來還是有點給他怪怪的…
下圖為正確的…
再查查其他的程式…
svchost.exe執行的「路徑」都跑到不知道去哪了…怪怪…竟在「c:\windows\system」裡,當時被發現時還是隱藏起來,真是…
而且,在左下角紅框(排謝,被輸入法擋住了),也沒標名版本及公司…看來是「無名」版的…
問題是,中了這些東西連卡車司機都沒發現?一查,原來過期了…
後面把這些樣本弄到我電腦裡,avast一直狂叫,按到我的都手酸了…
一般而言左下角和版本資訊都會出現一些基本資料,但少數是沒有的,而也不是「惡意程式」(這比較少見)…
檔案總管裡,點工具,點資料夾選項,把「隱藏保護作業系統檔案」並「顯示所有檔案和資料夾」…
確定後,再重覆一次,看看是否又勾回來?
當然,不出所以料,又勾回來了,基本的「kavo」型態…
不過出動了kavo殺毒(白金版)沒多久就跳回來了,看來變種的情形愈來愈多了…
喂…同學,你的電腦「中很大」咧…
趁著還沒不見時,把下列圈起來的檔案統統改名去…
這時,用dos模式會快一些…
對了,有些惡意程式很糟…他會拿其他程式來替代userinit.exe(沒它會一直登入再登出,無法正常登入)或者當惡意程式遭到刪除,他也就一併被刪掉…
這方面到時再遇到時再做補述…(嗯,還是有哪位大哥能夠更進一步說明的?煩請指導)
當幫我同學病毒及惡意程式統統集合完時…忘了看下圖的userinit.exe還在不在…
(個人的資料、照片是都整理出來了,是有重灌的準備)
結果,下次開機就在那裡登入登出進不去了…:p,搞到最後真的只能重灌…昏…
記起了同學重灌的教訓…
又再次遇到同樣的狀況,哈…這次並沒有忘記看看userinit.exe有沒有拿掉…
果然被偷走了…趕緊補上userinit.exe…
這是正常的…(版不對不知道是否可用?不過應該會有問題吧?我是沒試sp3和sp2是否可通,沒那麼多美國時間…)
哦,對了!在執行裡打msconfig裡的「啟動」好像沒法看到userinit.exe的資訊哦!
那些中毒的檔案我也沒算共多少支…一共壓縮成二個檔…
其中一個小檔解開沒多久…avast就狂叫…
avast真的算蠻強的…不過上網還是要注意丫…
「疫苗再強,打了還是有人會感冒」!切記!
捉到假的svchost.exe,少了個版本資訊…
下圖這位是真的…
該說的都說了,來路不明的程式少用…
不明的網頁別亂點,以免電腦生病中毒丫…
如有錯誤,煩請指教!
感謝耐心觀看!
工具:程序檢視器