TWed2k - 軟體求助討論區 - 最近電腦出現rckywlq.exe&wjkfyup.exe

asd20235
青銅驢友

我不是專家啦...

．積分： 259
．文章： 409
．收花： 2306 支
．送花： 237 支
．比例： 0.1
．在線： 373 小時
．瀏覽： 10400 頁
．註冊： 6738 天
．失蹤： 168 天

#1 : 2008-6-3 12:54 PM 只看本作者	送花 (0) 送出中...

應該很多人都碰過這兩隻病毒吧？當然會問這個問題就是因為....中標了XD
可不可以麻煩有經驗的大大想想辦法.....
感染程序好像是被寫在開機執行檔裡，所以每次花很多功夫清掉之後，只要重開就回來了

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Ailio
版主

鸚鵡螺號艦長

今日心情

．積分： 2664
．文章： 6462
．收花： 22900 支
．送花： 4903 支
．比例： 0.21
．在線： 2826 小時
．瀏覽： 85748 頁
．註冊： 7306 天
．失蹤： 110 天
．莫名奇妙的商人星球

#2 : 2008-6-3 02:24 PM 只看本作者	送花 (3) 送出中...

註冊866天在線兩小時 @@ 文章5....
超級潛水大戶

回歸主題:
這兩支我在google都沒查到是哪之病毒產生的@@
可否提供詳細病毒的名稱因為很多檔案都是亂數產生的...

說到目前比較有名的亂數產生執行檔的病毒應該以Kavo為大宗如果是kavo
在google搜尋一下就有很多移除工具了
如果是其他病毒等有更詳細資訊才能幫忙解決了

掃毒的話可以用Cureit 這軟體是綠色板的更新病毒碼也很快
下載以後進入安全模式掃一次看看

[Ailio 在 2008-6-3 02:25 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7255 天
．失蹤： 156 天

#3 : 2008-6-5 01:34 AM 只看本作者	送花 (0) 送出中...

這應該已經是被監控的部分了如果沒記錯 explorer.exe 已經有問題了
看看別人的explorer.exe 是否大小不同如不同先將目前的停止在執行正確檔案
在利用複製將前檔案覆蓋在檢查reg中的run 或是使用autoruns試試看
說真的要有點程度才能解這毒不然利用xpe掃毒吧這是最簡單但也最不確定的方式

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

asd20235
青銅驢友

我不是專家啦...

．積分： 259
．文章： 409
．收花： 2306 支
．送花： 237 支
．比例： 0.1
．在線： 373 小時
．瀏覽： 10400 頁
．註冊： 6738 天
．失蹤： 168 天

#4 : 2008-6-5 12:47 PM 只看本作者	送花 (0) 送出中...

從手法看來的確和KAVO很像....
絕對不是亂數產生的，因為到處都是看到這個名稱
只要想用瀏覽器檢索這兩個檔案的名字，瀏覽器就會被關掉...
只要進入檔案所在的資料夾，資料夾也會被關掉...
刪除REG裡面的RUN，常駐程式會自動寫回去
想要直接用取代的，取代用的資料夾(唯讀)會被先更名，然後重新寫入
想用工作管理員直接關閉，工作管理員會先被他關掉XD
只能用結束樹狀程序，但不久之後就回來了
搜尋功能找不到....
重點是....很多電腦都淪陷了

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Ailio
版主

鸚鵡螺號艦長

今日心情

．積分： 2664
．文章： 6462
．收花： 22900 支
．送花： 4903 支
．比例： 0.21
．在線： 2826 小時
．瀏覽： 85748 頁
．註冊： 7306 天
．失蹤： 110 天
．莫名奇妙的商人星球

#5 : 2008-6-5 03:25 PM 只看本作者	送花 (0) 送出中...

沒遇過這病毒
但根據經驗
這種會中斷程序並且重新啟動的病毒
幾乎都要在安全模式而且explorer程序先關閉的狀態下
來進行刪除的動作

或是直接使用XPE , Linux LiveCD等額外的作業系統來作處理

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

asd20235
青銅驢友

我不是專家啦...

．積分： 259
．文章： 409
．收花： 2306 支
．送花： 237 支
．比例： 0.1
．在線： 373 小時
．瀏覽： 10400 頁
．註冊： 6738 天
．失蹤： 168 天

#6 : 2008-6-6 12:57 PM 只看本作者	送花 (0) 送出中...

恩，連安全模式都被鎖了，看來只有用XPE了...

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

kone
鐵驢友〔初級〕

今日心情

．積分： 44
．文章： 221
．收花： 288 支
．送花： 1424 支
．比例： 4.94
．在線： 841 小時
．瀏覽： 8320 頁
．註冊： 7249 天
．失蹤： 7 天
． TAIWAN

#7 : 2008-6-6 02:49 PM 只看本作者	送花 (0) 送出中...

將系統還原關掉 (病毒會躲在 system infomation volume)的隱藏檔啟動程式拿掉可疑程式用xpe掃吧如果安全模式進不去 ~ 修複 safeboot的註冊表應該就能進去了

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

asd20235
青銅驢友

我不是專家啦...

．積分： 259
．文章： 409
．收花： 2306 支
．送花： 237 支
．比例： 0.1
．在線： 373 小時
．瀏覽： 10400 頁
．註冊： 6738 天
．失蹤： 168 天

#8 : 2008-6-11 12:46 PM 只看本作者	送花 (0) 送出中...

引用:

kone寫到:

將系

統還原關掉 (病毒會躲在 system infomation volume)的隱藏檔啟動程式拿掉可疑程式

用xpe掃吧如果安全模式進不去 ~ 修複

safeboot的註冊表

應該就能進去了

可否麻煩解釋得清楚一點？

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7255 天
．失蹤： 156 天

#9 : 2008-6-11 10:53 PM 只看本作者	送花 (1) 送出中...

病毒會躲在 system infomation volume的隱藏檔啟動程式拿掉可疑程式
簡單說來每各磁碟區都有這資料匣而此資料匣常被利用來放還原資料及病毒主檔應該資料匣一開始並未設定權限所以都無法進入要進入請變更權限後進去裡面看有沒有.com 或是 .exe 通通砍掉有資料匣大都為無用也一併刪除
safeboot的註冊表是指你中的這種病毒無法正常進入安全模式請修正後進安全模式掃毒如果不會找 System Repair Engineer 2.5.16.900 簡稱 sreng2
該版本沒有中文或者是我沒找到
下載點
國網中心
http://twaren.dl.dler.org/928b42 ... /s/s0031/sreng2.zip
如果不能執行將檔名任意變更後執行即可
點選system repair -- Advanced Reoair---Repair Safe Mode 即可修復大部分無法進入安全模式問題
其他的功能請至行研究如真不了解再提問

Ps 如果上述回答有錯請自行忽略另外至上歉意 (應該是沒錯啦

)

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆