昨天去影印又中標,這個病毒還蠻有趣的,作法和以前的病毒不太一樣,讓我剛開始被耍了一圈。
Name:Notepad.exe
Size:1514482 bytes
MD5:9cbddaab35183dea768d5dac8a212b5a
SHA1:20ea31c8a3954600ae6e30a9d88c58097ec87bd1
BitDefender:Trojan.Spy.Agent.NXS
McAfee:W32/Autorun.worm.dq.gen
Microsoft:TrojanDropper:Win32/Regul.B
中毒後隨身跌除了會有 autotrun.inf 和 Notepad.exe 以外,還會將所有隨身碟中的資料夾隱藏,並建立與資料夾相同名稱的執行檔,執行檔的圖示和資料夾一模一樣(也可能不是檔案,而是透過 autorun.inf 改的,因為 attrib 掃不到),若沒有設定顯示附檔名是看不出差別的。
Notepad.exe 會在 system32 建立一些檔案:
C:WINDOWSsystem3210A216com.run
C:WINDOWSsystem3210A216dp1.fne
C:WINDOWSsystem3210A216eAPI.fne
C:WINDOWSsystem3210A216internet.fne
C:WINDOWSsystem3210A216krnln.fnr
C:WINDOWSsystem3210A216RegEx.fnr
C:WINDOWSsystem3210A216shell.fne
C:WINDOWSsystem3210A216spec.fne
C:WINDOWSsystem3236D0F12ADE6B.EXE
C:WINDOWSsystem32B55985�f10.inf
C:WINDOWSsystem32B5598516eb.EDT
C:WINDOWSsystem32B5598516eb.inf紅色標示的是中毒過後主要的病毒執行檔,病毒名稱可能是亂數產生,會在開機時自動執行。
解毒時先開啟工作管理員,將上述紅色的執行檔強制中斷,再開啟 msconfig 取消開機自動執行 (下圖)。
最後進入 system32 資料夾,將三個由病毒建立的資料夾刪除。三個資料夾都設定隱藏,而且名稱都是亂數,可以參考上面的列表找到病毒所在的資料夾。
無法刪除檔案或資料夾,可以使用 attrib 來重新設定檔案屬性,如果想偷懶可以使用 EFix 來解毒。
ps. 這次 KAV 還沒有病毒碼耶,難道病毒是 M$ 和 MacAfee 寫的嗎? XD
可能是我懶性發作,我都直接用Mac讀一讀之後,發現有怪異檔案就 rm -rf …Orz
病毒好多啊…Orz
病毒跟著防毒技術一起進步……..(拖走)
改用linux吧,雖然我也不敢保證說linux以後不會有病毒,至少MacOSX有的機率比linux高很多XD (以市佔率而言 XDXD)
你好~我的狀況跟妳一樣,應該也是中毒,但是卻找不到你所說的那些執行檔及檔案~真是慘阿~
那個病毒好像有很多版本 @@a
請問造上面的步驟完成後
病毒是已經刪除?
還是保留?
插入隨身碟並毒會跑進去嗎?
麻煩幫解答一下
上面的步驟做完,基本上電腦上應該已經沒有病毒了。隨身碟如果不確定有沒有病毒,可以參考下面幾篇文章檢查:
http://0rz.tw/544NY
看來病毒是升級了~今天的我,除了刪除autorun.inf 以及 RECYCLER外,沒有出現Notepad.exe ,但是隨身碟中的資料夾有被隱藏的,也被建立與資料夾相同名稱的執行檔,隨身碟格式化後,依然被偵測出病毒,而且隨身碟中依然跑出莫名的資料夾。
在windows中並沒有上述的檔案,而是其他的「數字」資料夾。
現在不敢帶著這樣的隨身碟亂跑,也不知道筆電本身有沒有中毒,不知版主是否有相關的資訊可以提供呢?~/_~泣~