图文版: http://dcaid.com/article/article.asp?tid=123 最近有朋友拿来电给我，说不能上网，我请他先扫毒，结果扫出一些病毒， 大部分病毒都顺利解决，但唯独剩下一个名为info stealer.gampass （hsvwer9.dll）没办法清除。 一开始想从安全模式直接杀掉就算好了，结果没想到在安全模式中也没法 删除，在registery中也没有直接用此dll的记录，这下麻烦了，观察一下 不能上网的特性，可以对外Ping，但尾码多了一个 ? (还蛮有趣的) ，资 料上说明此病毒会在TCP/IP中加入病毒来窃取使用者的帐号密码，发病时 会让使用者无法上网。 http://www.dcaid.com/article/Image/20070806/Infostealer.Gampass.jpg 这下有趣了，这只病毒目前已经许多网站已被入侵并在网页中植入大约像这 样的一段程式码： [Added process] C:\WINDOWS\avp.exe [Added service] NAME: VGADown DISPLAY: Audio Adapter FILE: C:\WINDOWS\avp.exe [Added LSP] ID: 1012 NAME: MSAFD Tcpip [RAW/IP] (连结至 C:\WINDOWS\system32\hsvwer9.dll) ID: 1013 NAME: MSAFD Tcpip [TCP/IP] (连结至 C:\WINDOWS\system32\hsvwer9.dll) 所以简单的方法根本不能对其根治，要解此病毒，一定要先下载Winsock DLL 移除程式LSPFix及Winsock修复工具WinsockxpFix 两个工具，如果没有可按此 下载(http://www.dcaid.com/article/File/20070806_tools.zip)。 1. 下载後先把工具解压缩，放在随身碟中待命 2. 在Windows开机时的瞬间按F8进入安全模式 3. IP如果不是自动取得，怕自己忘记设定时请先把设定记录下来 4. 执行LPIFix.exe，把选项“I Know What I'm Doing”，然後选择左方视窗 中的hsvwer9.dll，按箭头令其移到右方视窗（不要动其他文件，　动了出 问题别找我），然後选“Finish”。 http://www.dcaid.com/article/Image/20070806/step_1.jpg 5. 随後会出现确认的讯息视窗： http://www.dcaid.com/article/Image/20070806/step_2.jpg 6. 再一次重开机，再次利用F8进入安全模式 7. 打开档案总管，工具→资料夹选项 http://www.dcaid.com/article/Image/20070806/step_3.jpg 8. 在检视那一页中，隐藏档案和资料夹的选项选择：“显示所有档案与资料夹” http://www.dcaid.com/article/Image/20070806/step_4.jpg 9. 然後进入Windows目录中的Sytem32目录，删除hsvwer9.dll，小心别误删其他 正常的档案 http://www.dcaid.com/article/Image/20070806/step_5.jpg 10. 重新开机後，会发现病毒已经清除，但还是不能上网，因为一开始的Winsock 移除程式把相关的登录移除，现在要利用另一程式WinsockxpFix.exe进行修 复，修复完成後再一次重开机，把相关设定设好就可正常上网了。 在我参考的文章中还有提到avp.exe，但这我後来查了一下，似乎是另一个病毒， 但威胁性较低，似乎也已经给Norton自动杀了，所以找不到他的存在，不过很多 情况因人而异，大家小心点应对就好。 请大家务必要做好Windows Update，病毒码更新的动作，也不要以为他会自动帮 你更新，有时防毒软体更新频率没有那麽高，就这麽中标了。 参考连结中有列出一些被植入此病毒的网站，浏览时要小心。 本文参考自：http://tinyurl.com/yove8o 谢谢阅读. -- 欢迎参观我的网站: http://www.dcaid.com/ 旅游/摄影/电脑/数位相机的介绍, 教学, 评测的网站, 慢慢成长中... ~ :) --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.116.140 ※ 编辑: kitleong 来自: 140.112.116.136 (08/06 17:33) ※ kitleong:转录至看板 PT_TA 08/06 17:55