圖文版: http://dcaid.com/article/article.asp?tid=123 最近有朋友拿來電給我，說不能上網，我請他先掃毒，結果掃出一些病毒， 大部分病毒都順利解決，但唯獨剩下一個名為info stealer.gampass （hsvwer9.dll）沒辦法清除。 一開始想從安全模式直接殺掉就算好了，結果沒想到在安全模式中也沒法 刪除，在registery中也沒有直接用此dll的記錄，這下麻煩了，觀察一下 不能上網的特性，可以對外Ping，但尾碼多了一個 ? (還蠻有趣的) ，資 料上說明此病毒會在TCP/IP中加入病毒來竊取使用者的帳號密碼，發病時 會讓使用者無法上網。 http://www.dcaid.com/article/Image/20070806/Infostealer.Gampass.jpg 這下有趣了，這隻病毒目前已經許多網站已被入侵並在網頁中植入大約像這 樣的一段程式碼： [Added process] C:\WINDOWS\avp.exe [Added service] NAME: VGADown DISPLAY: Audio Adapter FILE: C:\WINDOWS\avp.exe [Added LSP] ID: 1012 NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\hsvwer9.dll) ID: 1013 NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\hsvwer9.dll) 所以簡單的方法根本不能對其根治，要解此病毒，一定要先下載Winsock DLL 移除程式LSPFix及Winsock修復工具WinsockxpFix 兩個工具，如果沒有可按此 下載(http://www.dcaid.com/article/File/20070806_tools.zip)。 1. 下載後先把工具解壓縮，放在隨身碟中待命 2. 在Windows開機時的瞬間按F8進入安全模式 3. IP如果不是自動取得，怕自己忘記設定時請先把設定記錄下來 4. 執行LPIFix.exe，把選項“I Know What I'm Doing”，然後選擇左方視窗 中的hsvwer9.dll，按箭頭令其移到右方視窗（不要動其他文件，　動了出 問題別找我），然後選“Finish”。 http://www.dcaid.com/article/Image/20070806/step_1.jpg 5. 隨後會出現確認的訊息視窗： http://www.dcaid.com/article/Image/20070806/step_2.jpg 6. 再一次重開機，再次利用F8進入安全模式 7. 打開檔案總管，工具→資料夾選項 http://www.dcaid.com/article/Image/20070806/step_3.jpg 8. 在檢視那一頁中，隱藏檔案和資料夾的選項選擇：“顯示所有檔案與資料夾” http://www.dcaid.com/article/Image/20070806/step_4.jpg 9. 然後進入Windows目錄中的Sytem32目錄，刪除hsvwer9.dll，小心別誤刪其他 正常的檔案 http://www.dcaid.com/article/Image/20070806/step_5.jpg 10. 重新開機後，會發現病毒已經清除，但還是不能上網，因為一開始的Winsock 移除程式把相關的登錄移除，現在要利用另一程式WinsockxpFix.exe進行修 復，修復完成後再一次重開機，把相關設定設好就可正常上網了。 在我參考的文章中還有提到avp.exe，但這我後來查了一下，似乎是另一個病毒， 但威脅性較低，似乎也已經給Norton自動殺了，所以找不到他的存在，不過很多 情況因人而異，大家小心點應對就好。 請大家務必要做好Windows Update，病毒碼更新的動作，也不要以為他會自動幫 你更新，有時防毒軟體更新頻率沒有那麼高，就這麼中標了。 參考連結中有列出一些被植入此病毒的網站，瀏覽時要小心。 本文參考自：http://tinyurl.com/yove8o 謝謝閱讀. -- 歡迎參觀我的網站: http://www.dcaid.com/ 旅遊/攝影/電腦/數位相機的介紹, 教學, 評測的網站, 慢慢成長中... ~ :) --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.116.140 ※ 編輯: kitleong 來自: 140.112.116.136 (08/06 17:33) ※ kitleong:轉錄至看板 PT_TA 08/06 17:55