病毒:Virus.Win32.Small.r
病徵:1.隨身碟拒絕存取 or 難以移除
2.隨身碟內出現autorun.inf、RECYCLER資料夾)
(autorun.inf內容:
open=
shellopenCommand=RECYCLERINFO.exe
shellopenDefault=1
shellexploreCommand=RECYCLERINFO.exe
Ps. 有時這兩個隱藏檔會一閃即逝,請執行cmd,
輸入對應磁碟機代碼後(如 e: d:),
輸入dir /a:h 檢查
3.系統C槽system資料夾出現:_sv_CMD_ (隱藏資料夾)
svchost.exe (隱藏作業系統檔)
ps.上述執行檔無公司、版本、建立日期與中毒時間相近
※處理(感染病毒之電腦):
1.在安全模式下,強制關閉(local machine) svchost.exe
(我選擇使用記憶體較少(大約1000kb))
2.先視窗"工具"-"資料夾選項"->"檢視"-"進階設定"
把"隱藏保護的作業系統檔(建議使用)"選項勾掉
選"顯示所有檔案和資料夾"
到"C:\WINDWOS\SYSTEM\"目錄下,刪除_sv_CMD_ (隱藏資料夾)、svchost.exe (隱藏作業系統檔)
3.執行regedit,尋找Userinit
“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”
把Userinit值後面添加的“C:\WINDOWS\SYSTEM\svchost.exe”删除(請勿刪除整段,否則將陷入無窮盡的登入登出地獄)
4.再用編輯的尋找把有關recycler的值都刪掉
繼續尋找INFO.exe、Driveinfo.exe且刪除。
其他:最後使用防毒軟體或線上掃毒清除感染病毒的檔案
※處理(感染病毒之隨身碟):
1.先把自動播放關閉(可利用軟體或使用gpedit.msc這個指令)
2.插入隨身碟,注意:要用檔案總管去開這個隨身碟,不可以直接雙點二下(使用一些軟體(如winrar)去開啟檔案)
3.先視窗"工具"-"資料夾選項"->"檢視"-"進階設定"
把"隱藏保護的作業系統檔(建議使用)"選項勾掉
選"顯示所有檔案和資料夾"
之後會看到不屬於你資料夾的檔案和資料夾(autorun.inf,recycler,Recycler)
將這二個檔案刪除(注意:如果是隨身硬碟的話,recycler有可能是系統檔案,請確認資料夾內容再刪除)
刪除後,隨身碟己經可正常讀取
參考資料:
台大bbs站 AntiVirus版(telnet://ptt.cc/)
http://www.cshs.kh.edu.tw/main2.htm
No comments:
Post a Comment