1.病毒特徵:(包含其他變種) (1) 會在C:\windows\system32\driver目錄下安插spoclsv.exe這個檔案 (windows 2000 系統則是在 c:\winnt\sysem32\driver) (2) 系統使用會變慢,而在呼叫工作管理員或是regedit檔時 開啟視窗以後會馬上消失 (3) 產生大量的disktop_.ini檔 (4) 在各個磁區的根目錄下會產生隱藏的autorun.inf 及 setup.exe 檔 (5) 使用 Symantec Antivirus 企業版用戶會發現防毒無法作用 其中在C:\Program Files\Symantec AntiVirus\的 VPC32.exe 及 VPTray.exe 這兩個檔案會被移至 C:\Documents and Settings\(使用者)\ ,並在檔案後再加上.exe (6) 會以"網路上的芳鄰"的方式向外傳播 (7) 會感染系統內所有.exe 的執行檔 以上特徵除了第一項,第二及最後一項為必定發生的情況,其他則視感染的狀況 "並不一定會出現"!! 2.解決方式: A: 自力解決 1.將系統開至安全模式 2.點開我的電腦 在上方"工具"內點選 資料夾選項 3.在"檢視"裡面 將 □ 隱藏已知檔暗類型的副檔名 以及 □ 隱藏保護的作業系統檔案(建議使用) 把前面方框裡的打勾取消,並將 隱藏檔案及資料夾 底下的選項 選至 ◎ 顯示所有檔案及資料夾 做完上述步驟請按 套用 及 確定 4.點開各個磁區 刪除各個硬碟底下的 autorun.inf 及 setup.exe 這兩個檔案 (p.s 若這兩個檔案不刪除,之後在刪除spoclsv.exe 及刪除reg檔後 重開機又會重新出現) 若找不到(看不到)這兩個檔案 請看第五點,若已找到並刪除請至第六 5.點選"開始" 選至 "執行" 鍵入 cmd C:\Documents and Settings\Administrator> 打上 cd\ 按 ener C:\> 打上 attrib auorun.inf -r -s -h 按 enter C:\> 打上 attrib seup.exe -r -s -h 按 enter (若上面兩個指令按enter以後出現找不到檔案請直接跳第六點) C:\> 打上 del autorun.inf C:\> 打上 del setup.exe 這樣就可以將這兩個頑強的檔案清除,請記住,若有其他顆硬碟也請 比照此方式處理 舉個例子,若系統內還有個D槽 ,請在 C:\> 打上 d: 按 enter 就會變成 D:\> 之後再重複做 attrib 這兩行指令和del的兩行指令 6.在我的電腦 C 磁碟 找到 windows資料夾(win2000為WINNT) 裡面的system32點進去 再找到 driver這個資料夾,看到裡面有個 spoclsv.exe 這個檔案,不要猶豫,砍了就對了 7. 點選 開始\執行 打上regedit 按 enter 在上方 編輯 點到"尋找" 打上spoclsv.exe 尋找 如果有找到的,請將右半邊視窗上的這些數值把滑鼠移到上面按右鍵 選刪除 8. 點選 開始\搜尋 檔案或資料夾 選到 搜尋所有檔案及資料夾 搜尋的檔名為 deskop_.ini 找到就馬上砍掉 (請記得進階選項裡要把 "搜尋隱藏檔案及資料夾" 這個選項打勾) 執行完上述的步驟以後,就可以防止病毒再次生成,請重新開機以後更新 您的防毒軟體到最新,再回到安全模式做一次全系統的完整掃描 若您使用的是 Symantec AntiVirus 企業版的朋友 請先不要急著重新開機,先將C:\Documents and Settings\(使用者)\ 內的 VPC32.exe.exe 及 VPTray.exe.exe 移回 C:\Program Files\Symantec AntiVirus\內 並把檔名改回 VPC32.exe , VPTray.exe 再重新開機更新防毒 (需更新至1/11以後的病毒碼) B.懶人方法 1.下載http://download.rising.com.cn/zsgj/NimayaKiller.scr 2.執行方法A的1~3步驟 3.點兩下去執行這套軟體,若點兩下出現亂碼的,請將檔名從 NimayaKiller.scr 改成 NimayaKiller.bat 再去執行scan 此上述兩個方法小弟已解完二十多台感染型病毒的電腦且未復發 在此貢獻一下心得,歡迎大家多多指教批評,謝謝!! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.228.169.218 ※ 編輯: OortCloud 來自: 61.228.169.218 (01/12 22:24) ※ 編輯: OortCloud 來自: 61.228.169.218 (01/12 22:54)