總是在最忙的時候,遇到突發狀況。本想只是找些資料,google不到滿意的,只好身勇敢直前的衝鋒陷陣了,往百度首頁進軍,沒想到才一點,防毒軟體就響了,果然是支很威的病毒:Smart Fortress 2012,它還模擬成一支防毒軟體,真讓我傻眼,我根本沒裝過更沒聽過這鳥軟體,它居然大剌剌的想騙我。
Smart Fortress 2012 是一支"假防毒"軟體,也就是一個偽裝成防毒軟體的惡意程式,典型的感染症狀就是它會突然出現,假裝幫你掃描電腦,然後你就會發現它跟你說電腦中了很多毒,然後再騙你去買他的防毒軟體。既然電腦已經被感染了,在把它移除前,請不要再用你那台電腦處理任何私密訊息,但是說真的它跳出來執行時,會試著阻擋你很多程式的運作,阻止你移除它,所以幾乎也無法做任何事。
我第一個想法就是重開機,按F8進入安全模式,然後再來移除病毒,沒想到它居然會阻擋進入安全模式.....e04
只好google一下,又要找資料了 建議作法:
到國外的惡意軟體防護程式Malwarebytes Anti-Malware可以移除這個假防毒,不過過程很複雜,請依他們官網教的底下步驟一步一步做:
http://forums.malwarebytes.org/index.php?showtopic=107384
網路的簡單作法:
http://deletemalware.blogspot.com/2012/02/how-to-remove-smart-fortress-2012.html
http://www.deletevirus.net/smart-fortress-2012-malware-symptoms/
1. 對假防毒軟體填入序號,進行"註冊"的動作。
開啟假防毒的使用介面,點選右上角"Registration"(註冊)按鈕,進行註冊。 在跳出的註冊視窗中,輸入此序號(AA39754E-715219CE),然後點選"Activate"(啟用)按鈕,接著會跳出一個對話方塊,告知你註冊成功,點選"OK"即可。 在"註冊"後,它應該就會停止阻擋你將他移除.......說真的我沒勇氣執行此步驟,都已經知道它是病毒,還要點它的按鈕.....
2. 下載免費惡意軟體移除程式將他移除
2.1 請到此網址(http://www.malwarebytes.org/products/malwarebytes_free),下載免費版Malwarebytes Anti-Malware的安裝程式到你桌面
2.2 執行安裝,在安裝過程的最後,記得勾選[Update Malwarebytes' Anti-Malware](更新程式)和[Launch Malwarebytes' Anti-Malware](啟動程式)這兩個選項
2.3 執行完整掃描,把掃瞄到的惡意程式通通移除(這邊要注意啊,不然又會陷入以前的一個大災難,我的os是xp)
2.4 重新開機
2.5 進入安全模式用防毒軟體對你的電腦再進行一次"完整掃描",以防還有其他的病毒藏匿。
我最後的作法:
1. 仔細研究Malwarebytes 官網文章
發現此病毒會在 C:\Documents and Settings\All Users\Application Data\ 目錄,隨邊亂數創立一個目錄,以及放入一個和目錄一樣名字的exe檔
Note: 請記得此檔名的前五位字元(後面刪除註冊變數用的)。
2. 我沒勇氣執行簡單作法第一步,只好再開機登入時,搶時間開啟工作管理員,將那支亂數又臭又長的程式,強制它結束工作。
3. 砍掉底下這幾個東西
C:\Documents and Settings\All Users\Application Data\529C50F6007459265E197DE0D151FC4E 目錄(亂數名字,每次不一樣)
C:\Documents and Settings\{username}\Desktop 一個Smart Fortress 2012.lnk
C:\Documents and Settings\{username}\Start Menu\Programs\Smart Fortress 2012
4. 開始\執行\regedit
找亂數檔名的前五位字元,將找到的機碼刪除
找Smart Fortress,將找到的機碼刪除
5. 下載Malwarebytes Anti-Malware安裝,執行完整掃描
6. 最後重開,進入安全模式,完整掃毒一次
掃毒完後,這幾天還是覺得怪怪的,有些特定網站無法登入,尤其是使用https訪問的網站,甚至連Google docs也無法使用,只好開始找原因,最後發現原來是C:\WINDOWS\system32\drivers\etc\hosts的內容被改掉了
要修改hosts,請先點檔案,按右鍵選內容,將唯讀的屬性取消,修改完後,請將唯讀屬性設定回來。
正常檔案內容是空的,或是包含下面兩行
# 127.0.0.1 localhost
# ::1 localhost
被偷新增兩行
93.113.196.128 www.google.com
93.113.196.129 www.bing.com
google, bing 都被導向了
把這兩行刪除就行了
留言列表