RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助] [求助][問題]隨著隨身碟流竄的病毒   字型大小:||| 
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7404
 . 失蹤: 45
#1 : 2006-12-28 11:15 PM     只看本作者 引言回覆

目前電腦中各磁碟機會出現無法利用一般流程開啟(點兩下)  並且在該磁碟機中會出現
setup.exe autorun.inf 且滑鼠右鍵功能件會出現auto的選項
登入檔中也會出現 spoclsv.exe的檔案(位置位於%windir%system32\drivers)
重點來了
這病毒為何名稱
為何這病毒存在後無法正常開啟設定顯示隱藏檔及系統檔的選項(是併發現象嗎)
有沒有辦法修正回原設定
有沒有解毒方法
目前pccillin 2007 及 symantec scs 10.0.1.0.396 接無法正常判別

[mmcatdog 在  2006-12-28 11:24 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
sueice
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13


 . 積分: 698
 . 文章: 895
 . 收花: 6308 支
 . 送花: 904 支
 . 比例: 0.14
 . 在線: 2867 小時
 . 瀏覽: 17992 頁
 . 註冊: 7222
 . 失蹤: 4408
#2 : 2006-12-29 12:26 AM     只看本作者 引言回覆

http://www.swps.ptc.edu.tw/plog/ ... eId=33&blogId=1
http://www.trendmicro.com/vinfo/ ... sp?VName=WORM_VB.YQ
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=10273
http://blog.pixnet.net/offices2000/post/252023
參考這幾篇試試
在插入隨身碟後,點選磁碟機
Kaspersky(卡巴斯基防毒程式) 會發現C:windowssystem32driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj,解決方式經剛式老師提供,摘錄於此,請各位老師多多利用!

症狀
1.插入隨身碟後,點選磁碟機 Kaspersky(卡巴斯基防毒程式) 會發現C:windowssystem32driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
2.在windows xp執行時,按ctrl+alt+del,選「處理程序」,裡面有inetsrv正在執行
事實上在 c:windowssystem32 裡頭根本找不到 driveinfo.exe,而是躲在隨身碟的 Recycled 目錄下,裡面有三個檔案,分別是:1.driveinfo.exe 2.driveinfo.sdc 3.voinfo.dll
另外在隨身碟的根目錄會新增一個檔案 autorun.inf,內容是:
[AutoRun]
Open=.RecycledDriveinfo.exe
ShellOpenCommand=.RecycledDriveinfo.exe

手動解除方法:
1.下載unlocker,可用yahoo搜尋,關鍵字「unlocker」,選2.PChome Online 網路家庭-下載網址:http://toget.pchome.com.tw/intro/utility_file/utility_file_view/23922.html,完成後並安裝。
1-1記得拔掉網路線
2.按ctrl+alt+del鍵後,將「處理程序」中的「 inetsrv.exe」右鍵,結束處理程序。
3.進入 c:windowssystem32,在inetsrv.*及inetsrv子目錄上按右鍵→unlocker→刪除→全部解除。
4.按「開始」→「執行」→輸入「regedit」,接著按「編輯」→「尋找」ctrl+F,輸入 inetsrv 及 driveinfo ,將全部有這些的機碼都刪除。(搜尋到後,在右半邊的視窗中,有相關字眼的部份按右鍵→刪除,或直接按del),【搜尋下一個可直接按F3】。
6.隨身碟接上 PC 後,不要用雙擊點選磁碟機的方式,使用檔案總管(開始→程式集→附屬應用程式)展開,就不會執行 inetsrv.exe。
7.取消隱藏保護的作業系統檔案:在檔案總管→工具→資料夾選項→檢視→取消「隱藏保護的作業系統檔案」勾選,這樣才看得到接下來的檔案(可於刪除相關檔案後,再勾選)
8.這個時候將隨身碟裡面的 Recycled (整個目錄或只刪driveinfo.exe driveinfo.sdc voinfo.dll)、 autorun.inf 刪除即可。
9.重開機
10.再檢查一下,是否還有這些檔案
11.完成

[sueice 在  2006-12-29 12:28 AM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7404
 . 失蹤: 45
#3 : 2006-12-31 07:21 PM     只看本作者 引言回覆

可惜並非你所說的病毒
你所說的病毒 最大特徵就是會出現磁碟機沒有磁片
而且也沒有我說的在各磁碟系統中出現 autorun.inf 與 setup.exe
更不會有我說的將隱藏檔案設定固定成無法顯示

氣死了 打了一長串 解毒及測試報告 竟然全消失
簡單說一下
掃毒軟體
scs3.01/nod32 2.5/pcc2007 掃不到
目前只有卡巴最新病毒檔可掃到 但有些部分沒有修正 只掃病毒
有問題 自行pm 我在說明

[mmcatdog 在  2007-1-1 09:57 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ralse
金驢友〔中級〕
等級: 17等級: 17等級: 17等級: 17等級: 17


十週年紀念徽章(六級)  

今日心情

 . 積分: 2200
 . 文章: 3900
 . 收花: 19823 支
 . 送花: 34433 支
 . 比例: 1.74
 . 在線: 4350 小時
 . 瀏覽: 39325 頁
 . 註冊: 7445
 . 失蹤: 1
#4 : 2007-2-11 10:46 PM     只看本作者 引言回覆

nod32 2.7可以偵測並刪除..XD
NOD改版速度越來越快了..

這個病毒通稱雪莉
google很多資料可查

如果用 我的電腦 打開磁區會錯誤的話,可以用檔案總管進去瀏覽..^^..
要修復,只要scandisk跟chkdsk後就可以正常從我的電腦開啟了..
不過如果不是大的外接硬碟中毒或者資料不多的話..format最省事啦XD
做scandisk跟chkdsk對外接硬碟蠻花時間的..呵呵



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
NeoBetas
金驢友〔初級〕
等級: 16等級: 16等級: 16等級: 16


 . 積分: 1871
 . 精華: 1
 . 文章: 3077
 . 收花: 16062 支
 . 送花: 14188 支
 . 比例: 0.88
 . 在線: 1461 小時
 . 瀏覽: 31849 頁
 . 註冊: 7262
 . 失蹤: 3804
#5 : 2007-2-12 08:36 AM     只看本作者 引言回覆


引用:
Ralse寫到:
這個病毒通稱雪莉...

像柯南裡面的小哀那樣會自己變不見?



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-27 08:43 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.041502 second(s), 8 queries , Qzip disabled