2010/10/17

難搞的MSN病毒

昨日去幫長輩掃毒,他MSN不斷的向連絡人傳送網址,訊息如下:
foto http://web-facebook.com/view_imgs.php?=xxxx@xxx.xxx

一開始先使用諾頓掃瞄,但掃不到病毒,決定先派 Malwarebytes' Anti-Malware 上場處理,但幾經掃瞄,都掃不到,且該程式掃到一辦都會當掉,不論是否有停掉不必要的程序,或是進安全模式階相同,原因可能是作業系統上已存在的諾頓掃毒軟體所致,但諾頓並未發現該病毒,在未處理到該病毒前,決定先不關閉諾頓,以免產生更大風險。
為怕系統被修改後,產生其他問題,改以作業系統廠商微軟,所出的【惡意軟體移除工具(KB890830)】工具,最新版本3.12,執行後,卻掃不到任何Malware,故改請卡車司機上場。
改請卡車司機的掃Malware軟體( Kaspersky Virus Removal Tool 2010 )上場,但這個工具,執行後需先更新資料庫,故無法在安全模式下執行,執行完成後,雖然有找到,但移除重新啟動系統後,產生了無法登入系統的狀況,嚴判應該是該工具對系統登錄有進行修正所致,改以上次良好設定即可進入系統。
但這時手動查詢了登錄中的HKLM與HKCU下的RUN,逐一查詢後,發現了幾個可疑的登錄,將不必要的記錄移除後,剩下唯一的問題就是NVIDIA driver monitor的記錄,查了一下該系統硬體上,並沒有任何的NVIDIA 晶片,顯示卡晶片也非NVIDIA ,為什麼會有NVIDIA driver monitor?原來這就是元兇,二話不說,先停用工作管理員中該登錄值所指的Process,C:\WINDOWS\nvsvc32.exe,再將該登錄記錄全刪除,重新啟動後,為避免病毒再發生,下載執行EFix,按【自訂腳本】,再輸入以下====之間的指令,不含====

=============================================================
MOVE FILE::
C:\Program Files\service manager2\servicemng2.exe
C:\WINDOWS\jusched.exe
C:\WINDOWS\nvsvc32.exe


Mod REG::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Java developer Script Browse"=-
"NVIDIA driver monitor"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Java developer Script Browse"=-
"NVIDIA driver monitor"=-

REBOOT::
=============================================================
執行完後重新啟動,再所有程序都完成後,手動再進行重開機,並確認C:\WINDOWS\nvsvc32.exe未再自動產生,且網路與MSN均可正常運作後,即完成此次抓毒動作。

目前市面上掃毒不論是否免費,Kaspersky、Malwarebytes、微軟與諾頓,對Malware都沒有很大的幫助,反而是要手動一個個去將系統中的問題一個個抓出來比對查詢,還是要對系統多多瞭解,才知道怎麼查,怎麼處理。

感到反應似乎沒有以往好,這次處理過程花了5個小時,歲月不饒人阿............