記得很清楚﹐ 三月二十二日當天﹐ 我在網路上遊耍﹐ 看到一個廣告“ Internet Explorer 8 Provided by Yahoo", 我想我的 IE 也該晉級了﹐雖然不是直接由微軟的網站提供軟件﹐ Yahoo 說來 也是一個可以信任﹐ well-respected 的公司﹐所以就毫不猶豫的下載 IE8 軟件﹐那知惡夢從此開始。雖然我並不確定毒虫是否伴隨軟件而進駐我的電腦﹐ 但 install 完以後﹐ 電腦開始出現大問題。 隨之而來還有一些怪異的跡象﹕

1) 。每到 Yahoo 或 Google 做搜索﹐便被轉接到別的網站﹐並且有一大堆有的沒有的廣告蹦出來 (pop-up) 干擾你的搜索

2) 。 有一個叫” Windows Online Protection Tool" 的“蹦出來”總如影隨形的跟著我。 它假冒由 Microsoft 公司提供﹐叫你下載他們的軟件以保護你的電腦﹐如果你真的按鍵下載﹐那你就中毒了。 但即使你沒有下載這個廣告提供的軟件 你只要看到它出現﹐ 那表示有 Trojan 已經植入你的電腦內了。  

3) 。 總是有一個螢幕突然出現﹐ 要求 scan 你的 HardDrive ﹐並用一些可疑的數據來嚇你。 比如說﹐我的電腦並沒有 D:\, 它竟然向我報告﹐ 我的 D:\ 有 127 個檔案中毒。如果看到這個就把它關掉。

4) 。不管到那一個網站﹐總會看到一個叫 Clicksor.com 提供的廣告﹐它會遮掉那個網站本來的廣告圖﹐ 用它自己的 廣告圖取而代之﹐ 這是一隻叫 Clicksor 的 Trojan

5). 。電腦出現轟轟隆隆的怪聲﹐一兩分鐘後自動停掉﹐ 然後﹐沒有預警的會再出現。

6) 。 電腦變得緩慢﹐ 讓我抓狂。

7) 。出現一些從來沒見過﹐也從沒建立的檔案夾和檔案

我當然知道我中毒了。 我執行 我的防毒軟件 Norton, Mcafee 和 Avast ﹐ 它們全告訴我我的電腦沒有問題。 但是我知道我的電腦問題很大。

我於是嘗試下載 MalwareBytes Anti-Malware, SpywareDoctor, Spybot S&D ﹐這些是被推薦專門用來殺 spyware 的軟件﹐但是我電腦內的 Trojan 把這些網站霸住 (block 住 ) ﹐我根本到不了那些網站﹐更遑論下載它們的軟體。我也想重新 install 正版的 IE8, 但是我的電腦不讓我下載。於是我便 uninstall 那個冒牌惹禍的 IE8, 回去使用我原來的 IE7. 奇的是﹐ IE8 的可執行檔案 iexplore.exe 是儲存在 C:\Program File\Internet Explorer, 而 IE7 的可執行檔案存在 C:\Windows\ie7 內﹐ 我已經 uninstall IE8 了﹐ 為何 C:\Program File\Internet Explorer 內的 iexplore.exe 繼續在執行任務呢﹖

後來﹐我想到多年前我曾下載一個軟件叫 Hijackthis ﹐用來過慮和掃除可疑的檔案﹐很久沒用了﹐ 就拿出來試試看。這個軟件固然可以過慮“可疑”的檔案﹐ 但 這些被篩選出來檔案是否“可疑”到本身就是 virus, 就要看你個人的判斷了。 如果無端消除這些檔案﹐你很可能消除到正牌有用的軟件或系統檔案﹐最後遭受當機的命運。

我利用 Hijackthis 消除很多可疑檔案和 Registry Key 。 我也發現一個奇特的現象﹐ 那就是有一個我沒有設立的 DNSserver, 竟然在我的電腦內註冊。怪不得我還沒到我想去的網站﹐便被轉移到另外一些廣告的網站。因為我在網路上的進進出出全都要經過這個冒牌的 DNSserver ﹐是它做的手腳﹐想到我信用卡﹐銀行帳號密碼﹐還有個人訊息﹐ 甚至整個電腦全被它掌控﹐ 我就毛骨聳然。 怪不得這個電腦只有我在用﹐ 卻在 C:\Document and Settings 內無端出現另外四個使用者的檔案夾。。。

顯然﹐ 這絕對不會只有一隻 Trojan ﹐ 可能好幾隻。 它們不但頂冒了我的 DNS Server ﹐ 還將病毒的檔案命名為跟系統檔案一樣的名字﹐ 例如﹐ iexplore.exe, explorer.exe 難怪﹐ Norton, Mcafee, Avast 全無法篩檢出病毒。

主意打定﹐ 我就嘗試一些步驟

1) 。 到 Start -> Run ﹐ 打入﹕ CMD, 等 DOS Prompt 的螢幕出現後﹐打入 IPCONFIG\ALL. 果然﹐ 我的 DNS Server 的 IP address 已經被更改了。改成 93 . 188 . 166 . 105 。 我就關機﹐ 從新設定 我的 router ﹐ 並把 router 插頭拔掉。然後再插回去﹐ 電腦重新打開﹐ 再到 DOS Prompt ﹐ 用 IPCONFIG\ALL 檢查我的 DNS Server. 果然﹐它已經改回正常的 IP 位址 , 192 . 168 . 0 . 1

2) 。很多含著劇毒的 Trojan ﹐會非常聰明的以系統檔案的名稱命名﹐所以防毒軟體根本勘察不出來﹐但是﹐它們卻隱藏在另外的檔案夾內﹐檔案的大小也與正牌的檔案不同。我只好一一的把可疑的檔案抓出來﹐上網查它們正確的大小和所在﹐然後把可疑的檔案刪掉

3) 。 做完了前面的步驟﹐ 再下載 Spybot - Search & Destroy ( 這次﹐ 因為我的 DNS Server 已經回歸正常﹐所以下載成功 ) ﹐把整個電腦大掃除一番﹐總共發現到有 89 個檔案受病毒感染﹐ 清洗乾淨。 至今兩天了﹐ 謝天謝地沒再出現問題。