症狀 :
1.無法獲得 IP , DHCP Client 這項服務無法自動啟動
2.手動啟動DHCP Cleint 成功後 , 還是會不預期的自動停止 , 需要重新再手動啟動
3.音效失去作用
4.XP下方的工作列會由藍變成灰色
起源 : 安裝某知名公司所寄送給客戶的正版幼教CD
由於上述症狀,系統多個檔案陸續受影響,ex:winlogon.exe , spoolsv.exe , lsass.exe 等,處理方法簡略如下 :
1.將此顆硬碟拆下裝至另一台電腦 , 將受感染的檔案刪除, 從別台電腦Copy蓋過
結果:又會導致C:\windows\system32 下另一個exe檔案又被感染
2.在另一台電腦裝Avast,在系統重開機的模式下,對此顆中毒的檔案進行掃毒,刪除explorer.exe,pagefile.sys及還原_restore目錄下被感染等系統相關檔案
3.結束後,將explorer.exe從乾淨電腦Copy回
4.再將此一硬碟裝回原來電腦進安全模式,執行regedit進行檢測
5.發現莫名二支程序cssrss.exe,restart.exe 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下
結果:檔案裡並沒有找到這二個檔案,所以直接進行刪除
ps. 檔案尋找前請將"隱藏保護的作業系統檔案"打勾取消,並選取"顯示所有檔案和資料夾"才可以看到很多檔案
6.並透過關鍵字在registry進行搜尋,發現HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List有"Dhcp Client"這項服務被cssrss等程式進行呼叫
結果:刪除這些字串,其它沒有的則保持不動
7.將資源回收桶內進行刪除,重新開機
8.一切回復正常,音效和IP 都順利啟動,正常運作

備註:看來此病毒來勢兇兇,有些功能可能不常使用到,所以沒察覺其服務有受影響,而由賽門鐵克找出的感染檔案根本沒多大作用,電腦一直處於感染中,並不能真的清除,只能奉勸就算來路有名的東西,也是會有病毒的,大家小心