W32.Virut.CF

早幾天我的電腦出現了問題。初時都感到十分奇怪，好幾個程式被 Norton Internet Security 2009 評為中了 Suspicious.MH690.A 而被移除，之後連 rundll32.exe 也都被移除了。最後甚至連 winlogon.exe 也都無故提示要連線至中國的網站（還好我的防火牆是手動設定的，用 whois 查看對方的 IP 後，我便攔截了）。

看來是中毒了。

上星期三清晨才執行過 Windows Update，最近也都用 Spybot-S&D 和 NIS2009 掃瞄過電腦，也都沒有甚麼異樣。但還是趕緊的更新後再掃瞄多次。

NIS2009 沒有甚麼結果（好像只有幾個 Suspicious.MH690.A），而 Spybot-S&D 則在 Registry 中找到 Win32.Delf.uc。跟著當然是除掉它們啦。

但電腦還是繼續出問題。

按照掃瞄結果，看來是有 Windows 系統檔案中了毒，救也救不了，因為中了毒的檔案都被移除了。嘗試從 WINDOWS\ServicePackFiles\i386 中複製也都不太成功。想了想，把個人檔案備份好之後便由上個月的 Ghost image 覆蓋過來。（其實還試過執行 Malicious Software Removal Tool，但執行了一段短時間，這小工具就好像停止不能繼續掃瞄。初時用上個月的 Ghost image 時執行更新也都有問題，因而嘗試格式化重裝 Windows。可是有太多的程式和設定要做，還是選擇了那 Ghost image。還好，最後經反覆嘗試也能成功更新了。）

覆蓋之後便立即執行 Windows Update，更新 NIS2009 和 Spybot-S&D。更新好後便重新開機並進入安全模式，再用 NIS2009 和 Spybot-S&D 掃瞄所有檔案。

最後終於找到原兇了──W32.Virut.CF，總共 593 個應用程式（.EXE）檔案受感染而被移除。

其實也不明白為何自己的電腦會中毒的，我向來都有執行 Windows 更新，上網也頗為謹慎，防火牆也是手動設定，認清楚才讓程式上網，大約一個星期都會執行完整掃瞄一次....。直至我預備寫這篇 Blog 的時候，搜尋到這篇──N360 V3 Getting its but kicked by W32.Spybot.worm & W32.virut.CF，我才恍然大悟。

除了日常用的 Windows XP 之外，上星期我也開始試玩 Windows 7。而我在 Windows 7 中所安裝的防毒和防火牆軟件，正是 Norton 360 Version 3.0 Beta！

後記：
那篇文章的樓主還發了另一帖子，有人回答說是「I found N360 V3 would detect but still allow the Process to start and file to run, and the infection started.」，但這還解釋不到為何我連 Windows XP 也都中毒。我懷疑這病毒出現初期，可能連 NIS2009 也是同樣地容許它執行，所以連 WinXP 也都有系統檔案中毒。另外，若不幸地中了這類會改寫檔案的病毒，最佳，最安全和最快捷的處理方法是格式化硬碟再重裝 Windows。

延伸閱讀：
Symantec Security Response Blog：W32.Virut.CF—Collateral Damage
Symantec Security Response：W32.Virut.CF
miekiemoes' Blog：Virut and other File infectors - Throwing in the Towel?
BleepingComputer.com forum：win32.delf.uc and win32.jolee.K, and possibly others :(, tried spybot and malwarebytes, malware still remains