RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助] autorun.inf病毒清不掉   字型大小:||| 
Ailio
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
鸚鵡螺號 艦長

十週年紀念徽章(五級)  

今日心情

 . 積分: 2664
 . 文章: 6462
 . 收花: 22900 支
 . 送花: 4903 支
 . 比例: 0.21
 . 在線: 2826 小時
 . 瀏覽: 85748 頁
 . 註冊: 7449
 . 失蹤: 116
 . 莫名奇妙的商人星球
#1 : 2010-6-24 12:35 AM     全部回覆 引言回覆

你的隨身碟 有清過嗎?

隨身碟病毒可怕之處就在於  主機 隨身碟 x N

如果沒清乾淨 隨便一插就掛點

目前有些有變種 會暗藏在其他檔案中

讓你砍了分身 本體還在

一般大概就是 Efix跑一次(最好是安全模式下)

然後馬上重開機 然後再跑一次Efix 另外使用dr.web 去掃windows資料夾

一般本體都是偽裝在System32 or help 資料夾底下 帶有 a s h 屬性

dr.web幾乎都掃的到

有把本體掃掉的話應該就不會復發

至於隨身碟 可以先安裝 微軟更新程式

http://support.microsoft.com/?kbid=971029

這個更新程式 會把USB的autoplay 廢掉
(插入USB只會出現 瀏覽 複製圖片 等功能 預設的執行 將不會出現)

至於日後的防範 目前免費版的Avast 小紅傘 對於隨身碟病毒 都還算蠻有效的
(前題是 電腦本身的病毒本體要先處理掉)

打了很多 我打個簡要步驟好了

安全模式跑efix => 重開 => 安全模式跑efix => 接著跑dr.web 指定掃描windows資料夾(含子資料夾) => 安裝更新廢掉USB autoplay => 安裝防毒避免又中獎

基本上那個更新是蠻建議裝的 因為Windows7 也是用類似機制 所以Win7上的隨身碟病毒

比較沒這麼嚴重(後來都演變成不是autoplay 而是偽裝成資料夾 讓使用者自己去點病毒)

如果要避免新型態的 建議把 隱藏檔還有副檔名 預設顯示

就會看到 xxx資料夾.com (或是.exe) 不然就是看到原本的檔案或資料夾都被隱藏

然後多了一堆同名的病毒假檔

如果是公用電腦 平時不會讓人去裝軟體跟修改設定的話

建議可以用Returnil 這類影子系統 然後把桌面 我的文件 我的最愛 資料夾 移出C槽

這樣C就不怕被病毒入侵 重開機就沒事

當然 隨身碟如果中鏢 只要插就會中 但是至少對Mis來說 專注力就可以放在隨身碟

而公用電腦 只要重開機就好(尤其事多台都中又沒時間馬上處理 就是叫他們馬上重開 然後先不要用隨身碟)

[Ailio 在  2010-6-24 12:40 AM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ailio
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
鸚鵡螺號 艦長

十週年紀念徽章(五級)  

今日心情

 . 積分: 2664
 . 文章: 6462
 . 收花: 22900 支
 . 送花: 4903 支
 . 比例: 0.21
 . 在線: 2826 小時
 . 瀏覽: 85748 頁
 . 註冊: 7449
 . 失蹤: 116
 . 莫名奇妙的商人星球
#2 : 2010-6-24 12:26 PM     全部回覆 引言回覆

安全模式最主要的目的 是因為 避免病毒潛藏在某服務中 或是在你開機的時候 病毒也同時執行了

病毒其實就是一個程式

他可以不斷複製自己 所以有時候砍得只是分身

至於如何知道電腦有沒有毒 只能靠經驗判斷 跟 掃毒軟體了
(或是由一些徵兆 去google)

如果真的有超有效的辦法 那..防毒軟體廠商應該就不用混了

一般我個人大概都是 efix跑完 Dr.web 跑整個硬碟 跑完

都沒警報 就算這台沒問題了(沒其他徵兆的話)

至於隨身碟病毒 建議用Linux or XPE等環境 把隨身碟都放進去 清一清不明執行檔

還有autorun等東西

避免一直重複感染 處理到真的會崩潰

至於在跟目錄產生 autorun.inf 資料夾 來防範

這招對於新型的隨身碟病毒是沒用的

新型的就是上面我提過 他會把你原來的資料夾 隱藏 然後產生 同樣名稱的病毒檔

例如你一個資料夾叫做 "會議記錄" 他會把資料夾隱藏 然後產生

會議記錄.exe(檔案圖示還會故意用資料夾的樣子)

使用者下意識想點進去資料夾 就中標

至於病毒喜歡躲的資料夾 除了跟目錄

還要看一下 windows\system32 跟 windows\help

這兩個資料夾 不會有 a s h 屬性的檔案

如果有出現 95%是病毒

[Ailio 在  2010-6-24 12:33 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ailio
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
鸚鵡螺號 艦長

十週年紀念徽章(五級)  

今日心情

 . 積分: 2664
 . 文章: 6462
 . 收花: 22900 支
 . 送花: 4903 支
 . 比例: 0.21
 . 在線: 2826 小時
 . 瀏覽: 85748 頁
 . 註冊: 7449
 . 失蹤: 116
 . 莫名奇妙的商人星球
#3 : 2010-6-24 05:06 PM     全部回覆 引言回覆

兩個檔案 打包 丟上來看看吧

看看掃毒軟體 給他的名稱是什麼 然後Google找病毒特徵

去把他清乾淨了

感覺上 病毒本體沒被抓到



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ailio
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
鸚鵡螺號 艦長

十週年紀念徽章(五級)  

今日心情

 . 積分: 2664
 . 文章: 6462
 . 收花: 22900 支
 . 送花: 4903 支
 . 比例: 0.21
 . 在線: 2826 小時
 . 瀏覽: 85748 頁
 . 註冊: 7449
 . 失蹤: 116
 . 莫名奇妙的商人星球
#4 : 2010-6-24 05:53 PM     全部回覆 引言回覆

應該是腳本問題吧

Efix其實就是一堆腳本(自動去某資料夾 找符合條件就刪除 或是移動)

之所以要Efix + dr.web就是因為 怕病毒本體是在腳本以外的地方

怕有漏網之魚 重開機又發作



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ailio
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
鸚鵡螺號 艦長

十週年紀念徽章(五級)  

今日心情

 . 積分: 2664
 . 文章: 6462
 . 收花: 22900 支
 . 送花: 4903 支
 . 比例: 0.21
 . 在線: 2826 小時
 . 瀏覽: 85748 頁
 . 註冊: 7449
 . 失蹤: 116
 . 莫名奇妙的商人星球
#5 : 2010-6-25 12:34 PM     全部回覆 引言回覆

理論上不會

因為就像上面有說過 System32下面不會有 ash屬性的檔案

引此腳本可以判斷有 a s h就砍掉

所以除非真的很剛好有某程式 符合腳本的內容

不然應該是不會有問題的

但是因為沒人敢打包票不會誤刪檔案

所以combofix 跟 efix 都打了一些很嚇人的 警告標語



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-22 07:09 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.024261 second(s), 7 queries , Qzip disabled