Adware.CDN

  今天在幫客戶清木馬病毒時,根據我之前的解毒教學「電腦中毒了要怎麼辦?處理流程教學總整理」操作,先關掉「系統還原」、觀察「工作管理員」、「更新病毒碼」、「檢查登錄表」,「先用防毒軟體掃」,「再用Lavasoft的Adaware掃」,最後掃出一堆木馬病毒,也都成功的解掉了,不過到最後,發現到Adaware一直搞不定Adware.CDN這一隻,每次清完重新開機它又再一次的跑出來,進入Windows保護模式下去殺,開機後也又再跑出來,下列就是這位仁兄
  「c:\windows\system32\drivers\cdnprot.sys 」,真的可以稱它是打不死的小強。

  每次清病毒總是會有這種情況,就是總是會有那一、兩隻會清不掉的。

我的處理步驟

  像這樣的情況就是處理流程教學文章中「特殊情況」,我面對這樣的情況,就會先上網找一下這個病毒的相關資料,如這個例子「cdnprot.sys」,
   我就會在Yahoo或是Google輸入關鍵字「cdnprot.sys symantec」,我在cdnprot的後面輸入symantec就希望找到的是symantec專業的資料,這個cdnprot.sys的例子,似乎找不太到Symantec的專業資料,大部份都是求救的苦主所Po出來的文章,

  其中我用Yahoo搜尋到
http://www.chinahtml.com/network/3/2006/11655599809365_3.shtml
這個網站,根據這個網站我們知道這部電腦中的木馬病毒是一個叫「CNNIC中文上網官方版軟件」的流氓軟件,像這樣的軟體都是跟著其它的軟體一起安裝到你的電腦中,且它安裝時是沒有任何提示的,就算你到「新增或移除程式」裡去移除它,你也移除不了它,這就是為什麼它叫「流氓」軟體的原因,因為安裝之後,就趕不走了。

  在這篇文章中,也提到了解毒的步驟,如下:

  1. 進入Windows的「復原主控台」將c:\windows\system32\drivers裡的cdnprot.sys及cdntran.sys刪除。

  2. 進入「Windows安全模式」裡,輸入regedit命令,將
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdnprot]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdntran]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]子鍵下的鍵值"CDNUP.EXE"刪除。

  在我這邊的操作,我發現到我這部中毒的電腦的HKEY_LOCAL_MACHINE裡的RUN並沒有CDNUP.EXE這個鍵值(也許是一開始時,我就把它給移除了),所以其它動作就算都做了,這個cdnprot.sys檔案在每次開機之後,也是一樣再度跑出來,它教的方法對我們這個情況似乎沒有用。

  解毒就是這樣,別人有用的方法套用到你這邊來不一定就有管用,所以我們只能根據有限的線索來想一些辦法,cdnprot.sys每次開機都會一再的跑出來,就代表有某個執行檔會在每次的開機後自動執行然後產生出這個檔案,我們由這個網站得知,這個執行檔的名字有可能叫做「CDNUP.EXE」,雖然它並沒有在登錄表的Run出現,但我們還是可以試著去找看看電腦的檔案裡,到底有沒有這號人物的存在,如果它是存在的,直接直搗龍穴殺掉它也是可以的。

  關於找檔案的方法,我習慣使用「命令提示字元」,進入「命令提示字元」後,

  我先輸入「cd\」,切回到C磁碟的根目錄,然後輸入「dir cdnup.exe /s/a」來找在C磁碟裡所有的地方(包括隱藏檔),有沒有cdnup.exe的存在。(/s代表搜尋所有的資料夾,/a代表隱藏檔也要檢查)。

  最後在
C:\Documents and Settings\使用者帳號\Local Setting\temp\CdnCli裡找到cdnup.exe, 而且在temp裡除了CdnCli這個東西之外,也意外發現其它好多的病毒程式,如02355527.exe一堆八位數檔名的執行檔,我除了將這個使用者帳號temp裡的東西全清掉之外,也去檢查了其它使用者帳號裡的temp,也一起都清乾淨了,你會發現有些檔案「正在使用中」而殺不掉,這時你就可以切換到「Windows安全模式」下去殺。

  最後重新開機後,發現這個cdnprot.sys檔案,還在....(雖然清了這麼多有問題的東西)

  我最後在「命令提示字元」裡,先「cd\」,再輸入「dir cdn*.* /s/a」 ,我想了解一下,到底電腦裡面還有哪些是cdn開頭的檔案,後來也是找出了五、六個有問題的地方,其中有個比較特別的地方是「RECYCLED」,它躲在資源回收桶裡,我最後將這些cdn開頭的檔案清除了之後,全新開機,這個cdnprot.sys就沒有再出現過了。

  最後一個步驟,就是利用Lavasoft的Adaware,之前一直除不掉的Adware.CDN,由於我們已經將來源的檔案解決了,所以這一次Adaware就成功的將Adware.CDN清除掉了,而且重新開機後也沒有再復發。

Posted by 唐先生 at 痞客邦 PIXNET Guestbook(0) 人氣()