zeroxzx

　　開機一進入windows，就出現一個大大的LOGO，上面寫著「United Kingdom Police」，旁邊還有一位老阿sir，下方則是簡單列出你的電腦規格，然後說你的電腦已經怎樣怎樣的，而且還啟動NB的攝影機，自己的即時畫面就出現在最下方，看起來頗為嚇人，似乎已被全盤監控。

　　先透過命令提示字元執行登錄編輯器及服務，簡單檢視後，沒看到異常的地方，便試著執行explorer，結果阿sir又出現了…。

可以使用pe進入,如使用安全模式必須選擇使用命令提示字元.並把隱藏檔都打開才看的到...

病毒主要存在All Users\Application Data裡面，有五個xxx.dat.aaa檔外加一個rundll32.exe.aaa檔，將六個檔案移除後，接來就是清理一些殘渣。

 windwos 7 病毒存在 ProgramData

　　以我這台來說，在該USER的開始功能表裡頭的啟動有個msconfig的捷徑，圖案用的是登錄編輯器的圖示，這是其中一個啟動病毒的連結。

 　　另外一個就比較隱密，執行regedit後，找到下面兩個機碼：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

右邊找到ServiceDll的字串，值已經被改成其中一個dat檔的路徑，這也是每次執行 explorer就會呼叫病毒的原因，這邊要還原成「%SystemRoot%\system32\wbem\WMIsvc.dll」。

UKASH病毒