TWed2k - 軟體求助討論區 - [求助][問題]隨著隨身碟流竄的病毒

sueice
銀驢友〔中級〕

．積分： 698
．文章： 895
．收花： 6308 支
．送花： 904 支
．比例： 0.14
．在線： 2867 小時
．瀏覽： 17992 頁
．註冊： 7222 天
．失蹤： 4408 天

#1 : 2006-12-29 12:26 AM 全部回覆	送花 (6) 送出中...

http://www.swps.ptc.edu.tw/plog/ ... eId=33&blogId=1
http://www.trendmicro.com/vinfo/ ... sp?VName=WORM_VB.YQ
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=10273
http://blog.pixnet.net/offices2000/post/252023
參考這幾篇試試
在插入隨身碟後，點選磁碟機
Kaspersky(卡巴斯基防毒程式) 會發現C:windowssystem32driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj，解決方式經剛式老師提供，摘錄於此，請各位老師多多利用！

症狀
1.插入隨身碟後，點選磁碟機 Kaspersky(卡巴斯基防毒程式) 會發現C:windowssystem32driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
2.在windows xp執行時，按ctrl+alt+del，選「處理程序」，裡面有inetsrv正在執行
事實上在 c:windowssystem32 裡頭根本找不到 driveinfo.exe，而是躲在隨身碟的 Recycled 目錄下，裡面有三個檔案，分別是：1.driveinfo.exe 2.driveinfo.sdc 3.voinfo.dll
另外在隨身碟的根目錄會新增一個檔案 autorun.inf，內容是：
[AutoRun]
Open=.RecycledDriveinfo.exe
ShellOpenCommand=.RecycledDriveinfo.exe

手動解除方法：
1.下載unlocker，可用yahoo搜尋，關鍵字「unlocker」，選2.PChome Online 網路家庭-下載網址：http://toget.pchome.com.tw/intro/utility_file/utility_file_view/23922.html，完成後並安裝。
1-1記得拔掉網路線
2.按ctrl+alt+del鍵後，將「處理程序」中的「 inetsrv.exe」右鍵，結束處理程序。
3.進入 c:windowssystem32，在inetsrv.*及inetsrv子目錄上按右鍵→unlocker→刪除→全部解除。
4.按「開始」→「執行」→輸入「regedit」，接著按「編輯」→「尋找」ctrl+F，輸入 inetsrv 及 driveinfo ，將全部有這些的機碼都刪除。(搜尋到後，在右半邊的視窗中，有相關字眼的部份按右鍵→刪除，或直接按del)，【搜尋下一個可直接按F3】。
6.隨身碟接上 PC 後，不要用雙擊點選磁碟機的方式，使用檔案總管(開始→程式集→附屬應用程式)展開，就不會執行 inetsrv.exe。
7.取消隱藏保護的作業系統檔案：在檔案總管→工具→資料夾選項→檢視→取消「隱藏保護的作業系統檔案」勾選，這樣才看得到接下來的檔案(可於刪除相關檔案後，再勾選)
8.這個時候將隨身碟裡面的 Recycled (整個目錄或只刪driveinfo.exe driveinfo.sdc voinfo.dll)、 autorun.inf 刪除即可。
9.重開機
10.再檢查一下，是否還有這些檔案
11.完成

[sueice 在 2006-12-29 12:28 AM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆