iT邦幫忙

5

不算是病毒的U盤病毒

這個病毒讓我搞了好久, 測試過手邊的防毒軟體都無法掃描到(趨勢,360,McAfee等)
原來他不算是病毒...?
某天, 有個USER拿了隨身碟來找我, 說隨身碟怪怪的, 每次都要再點一次隨身碟才能讀資料..
接上我的電腦後, 看到的畫面如下
圖一

USER只看到一個隨身碟的捷徑,
只要點選捷徑, 仍然可以正常存取原本隨身碟中的檔案或資料夾,
大家看到這, 可能會認為是Autorun.ini 在作怪,但其實不是,
這個Autorun.ini是特別安裝防毒軟體種的防護, 接到我的電腦並不會自動執行,

嘗試解毒動作

  1. 刪除該捷徑目的端的執行程式(src)
  2. REGEDIT 打開 RUN 資料夾, 發現沒有相關的資料
  3. 刪除除了隱藏資料夾以外的資料(該隱藏資料夾是"沒有名稱的")
  4. 把隱藏資料夾內的資料都撈回到隨身碟根目錄下
  5. 刪除隱藏資料夾
    重新把隨身碟拔除後重新開機,
    開機後把隨身碟接上電腦,
    果然又再次發生...,此時使用趨勢,360等防毒軟體掃描病毒及木馬都無法找到病毒,
    使用REGEDIT去看RUN卻又沒有相關病毒的程式執行..
    就在摸不著頭緒下, 亂找了一通後發現一個有趣的狀況,

再登錄檔中發現到, 有一個不常見的地方放了這一個算是病毒的捷徑

可以發現到, 它是寫在 policeies 底下...
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policeies\explorer\Run)
原來它是屬於"規則",所以她不需要常駐在記憶體中, 只要有USB插入, WINDOWS就會"依規則"去跑這個SCR...

最後做法,
如上述解毒方法後, 再把登錄檔中的policeies\explorer\Run清空(基本上RUN是病毒建立的)
解決了這個問題.

以上病毒解決步驟供大家參考


2 則留言

0
u8526425
iT邦大師 1 級 ‧ 2014-03-28 09:16:57

把scr檔案塞到temp資料夾
就是典型的病毒了
正常在這一段就要擋下來
建議把檔案送到原廠分析
一兩天後防毒就可以自動處理

今年我已經提交四五個給防毒原廠

0
a5208585
iT邦新手 5 級 ‧ 2014-04-28 13:53:35

COMODO ESM是一套協助企業資訊管理者輕鬆管理所有系統及安全的管理工具,透過COMODO ESM可以輕鬆掌握企業所有系統的軟硬體資訊、系統效能監控及系統安全防護,COMODO ESM新世代企業資訊管理系統可以一次解決您的電腦管理問題,使用COMODO的企業客戶若發生電腦系統中毒時,可立即啟動7x24線上支援,若COMODO技術支援無法協助將病毒清除,COMODO提供NT$150,000無病毒保證金給 貴公司。台北 (02)2693-2726 新竹(03)657-8189 高雄 (07)235-0161

我要留言

立即登入留言