»
遊客:
加入
|
登入
(帳號有問題請連絡TWed2k@gmail.com)
TWed2k
»
軟體求助討論區
» [求助][問題]隨著隨身碟流竄的病毒
可打印版本
|
推薦給朋友
|
訂閱主題
|
收藏主題
|
純文字版
論壇跳轉 ...
主題:
[求助]
[求助][問題]隨著隨身碟流竄的病毒
字型大小:
小
|
中
|
大
|
巨
←
→
mmcatdog
銀驢友〔高級〕
. 積分:
887
. 文章:
3982
. 收花: 6309 支
. 送花: 763 支
. 比例: 0.12
. 在線: 378 小時
. 瀏覽: 43431 頁
. 註冊:
7404
天
. 失蹤:
45
天
#1 : 2006-12-28 11:15 PM
只看本作者
送花
(0)
送出中...
目前電腦中各磁碟機會出現無法利用一般流程開啟(點兩下) 並且在該磁碟機中會出現
setup.exe autorun.inf 且滑鼠右鍵功能件會出現auto的選項
登入檔中也會出現 spoclsv.exe的檔案(位置位於%windir%system32\drivers)
重點來了
這病毒為何名稱
為何這病毒存在後無法正常開啟設定顯示隱藏檔及系統檔的選項(是併發現象嗎)
有沒有辦法修正回原設定
有沒有解毒方法
目前pccillin 2007 及 symantec scs 10.0.1.0.396 接無法正常判別
[mmcatdog 在 2006-12-28 11:24 PM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
sueice
銀驢友〔中級〕
. 積分:
698
. 文章:
895
. 收花: 6308 支
. 送花: 904 支
. 比例: 0.14
. 在線: 2867 小時
. 瀏覽: 17992 頁
. 註冊:
7222
天
. 失蹤:
4408
天
#2 : 2006-12-29 12:26 AM
只看本作者
送花
(6)
送出中...
http://www.swps.ptc.edu.tw/plog/ ... eId=33&blogId=1
http://www.trendmicro.com/vinfo/ ... sp?VName=WORM_VB.YQ
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=10273
http://blog.pixnet.net/offices2000/post/252023
參考這幾篇試試
在插入隨身碟後,點選磁碟機
Kaspersky(卡巴斯基防毒程式) 會發現C:windowssystem32driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj,解決方式經剛式老師提供,摘錄於此,請各位老師多多利用!
症狀
1.插入隨身碟後,點選磁碟機 Kaspersky(卡巴斯基防毒程式) 會發現C:windowssystem32driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
2.在windows xp執行時,按ctrl+alt+del,選「處理程序」,裡面有inetsrv正在執行
事實上在 c:windowssystem32 裡頭根本找不到 driveinfo.exe,而是躲在隨身碟的 Recycled 目錄下,裡面有三個檔案,分別是:1.driveinfo.exe 2.driveinfo.sdc 3.voinfo.dll
另外在隨身碟的根目錄會新增一個檔案 autorun.inf,內容是:
[AutoRun]
Open=.RecycledDriveinfo.exe
ShellOpenCommand=.RecycledDriveinfo.exe
手動解除方法:
1.下載unlocker,可用yahoo搜尋,關鍵字「unlocker」,選2.PChome Online 網路家庭-下載網址:http://toget.pchome.com.tw/intro/utility_file/utility_file_view/23922.html,完成後並安裝。
1-1記得拔掉網路線
2.按ctrl+alt+del鍵後,將「處理程序」中的「 inetsrv.exe」右鍵,結束處理程序。
3.進入 c:windowssystem32,在inetsrv.*及inetsrv子目錄上按右鍵→unlocker→刪除→全部解除。
4.按「開始」→「執行」→輸入「regedit」,接著按「編輯」→「尋找」ctrl+F,輸入 inetsrv 及 driveinfo ,將全部有這些的機碼都刪除。(搜尋到後,在右半邊的視窗中,有相關字眼的部份按右鍵→刪除,或直接按del),【搜尋下一個可直接按F3】。
6.隨身碟接上 PC 後,不要用雙擊點選磁碟機的方式,使用檔案總管(開始→程式集→附屬應用程式)展開,就不會執行 inetsrv.exe。
7.取消隱藏保護的作業系統檔案:在檔案總管→工具→資料夾選項→檢視→取消「隱藏保護的作業系統檔案」勾選,這樣才看得到接下來的檔案(可於刪除相關檔案後,再勾選)
8.這個時候將隨身碟裡面的 Recycled (整個目錄或只刪driveinfo.exe driveinfo.sdc voinfo.dll)、 autorun.inf 刪除即可。
9.重開機
10.再檢查一下,是否還有這些檔案
11.完成
[sueice 在 2006-12-29 12:28 AM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
mmcatdog
銀驢友〔高級〕
. 積分:
887
. 文章:
3982
. 收花: 6309 支
. 送花: 763 支
. 比例: 0.12
. 在線: 378 小時
. 瀏覽: 43431 頁
. 註冊:
7404
天
. 失蹤:
45
天
#3 : 2006-12-31 07:21 PM
只看本作者
送花
(0)
送出中...
可惜並非你所說的病毒
你所說的病毒 最大特徵就是會出現磁碟機沒有磁片
而且也沒有我說的在各磁碟系統中出現 autorun.inf 與 setup.exe
更不會有我說的將隱藏檔案設定固定成無法顯示
氣死了 打了一長串 解毒及測試報告 竟然全消失
簡單說一下
掃毒軟體
scs3.01/nod32 2.5/pcc2007 掃不到
目前只有卡巴最新病毒檔可掃到 但有些部分沒有修正 只掃病毒
有問題 自行pm 我在說明
[mmcatdog 在 2007-1-1 09:57 PM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
Ralse
金驢友〔中級〕
今日心情
. 積分:
2200
. 文章:
3900
. 收花: 19823 支
. 送花: 34433 支
. 比例: 1.74
. 在線: 4350 小時
. 瀏覽: 39325 頁
. 註冊:
7445
天
. 失蹤:
1
天
#4 : 2007-2-11 10:46 PM
只看本作者
送花
(0)
送出中...
nod32 2.7可以偵測並刪除..XD
NOD改版速度越來越快了..
這個病毒通稱雪莉
google很多資料可查
如果用 我的電腦 打開磁區會錯誤的話,可以用檔案總管進去瀏覽..^^..
要修復,只要scandisk跟chkdsk後就可以正常從我的電腦開啟了..
不過如果不是大的外接硬碟中毒或者資料不多的話..format最省事啦XD
做scandisk跟chkdsk對外接硬碟蠻花時間的..呵呵
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
NeoBetas
金驢友〔初級〕
. 積分:
1871
. 精華:
1
. 文章:
3077
. 收花: 16062 支
. 送花: 14188 支
. 比例: 0.88
. 在線: 1461 小時
. 瀏覽: 31849 頁
. 註冊:
7262
天
. 失蹤:
3804
天
#5 : 2007-2-12 08:36 AM
只看本作者
送花
(0)
送出中...
引用:
Ralse
寫到:
這個病毒通稱雪莉...
像柯南裡面的小哀那樣會自己變不見?
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
快速回覆
表情符號
更多 Smilies
字型大小 :
小
|
中
|
大
|
巨
[完成後可按 Ctrl+Enter 發佈]
溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別
關閉
表情符號
關閉
Discuz! 代碼
使用個人簽名
接收新回覆信件通知
發表時自動複製內容
[立即複製]
(IE only)
論壇跳轉 ...
所在時區為 GMT+8, 現在時間是 2024-11-27 08:43 AM
清除 Cookies
-
連絡我們
-
TWed2k
© 2001-2046
-
純文字版
-
說明
Discuz!
0.1
| Processed in 0.041502 second(s), 8 queries , Qzip disabled