iT邦幫忙

0

硬碟多出隱藏目錄 rane ,內有 kure.exe 有人遇過嗎?

硬碟多出隱藏目錄 rane ,內有 kure.exe 有時會變成 ZELJKO.EXE ,請問如何解決,

已用 SEP 和小雨傘,但沒掃到...幫個忙吧,謝謝。

6
shunyuan
iT邦研究生 1 級 ‧ 2010-06-24 14:16:04

shake提到:
內有 kure.exe

中毒了,你在 Google 搜尋 kure.exe 可以找到一堆如何移除的方法。

shake iT邦新手 5 級 ‧ 2010-06-24 14:19:28 檢舉

不好意思,已在google 找過,並沒找到一堆方式,懇賜網址,謝謝。

shunyuan iT邦研究生 1 級 ‧ 2010-06-24 16:53:34 檢舉

直接把網路上看到的清除方法,貼在下面:

GEURGE.EXE Removal instructions:

1.Use Task Manager to terminate GEURGE.EXE programs process.

2.Delete the original GEURGE.EXE files and GEURGE.EXE created files.

3.Delete the system registry key parameter GEURGE.EXE created.

4.Delete the IE temporary files (%Temp%).

5.Update your antivirus databases and perform a full scan of the computer.

Operate System Platform reported:

Windows 98

Windows XP

Windows Server 2003

Windows 7

shake iT邦新手 5 級 ‧ 2010-06-24 17:32:39 檢舉

謝謝您的回覆,

不過您回的是 GEURGE.EXE ,而我問的 kure.exe ,
http://www.tongjimba.com/exeviruses/7346.html 所列出關聯的檔案我都沒有,
http://www.tongjimba.com/exeviruses/7163.html 所列出的kure.exe 我也沒有。

kuree.exe (ZELJKO.EXE) 這個程式是在 net use z: \\server\sharefolder 時才會產生在 \\server\sharefolder 內, 當把c:\Documents and Settings\使用者\Application Data\mrpky.exe 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的 taskman 也指向C:\Documents and Settings\使用者\Application Data\mrpky.exe 這兩個移除重開機後,才恢復正常,kure.exe 不會再產生,看來這些是有關聯的。

謝謝您。

10
nikwu43
iT邦好手 1 級 ‧ 2010-06-24 14:31:06

先去抓Dr.Web CureIT!

再重開機進入安全模式用上面那個掃毒...
打完收工.....

看更多先前的回應...收起先前的回應...
shake iT邦新手 5 級 ‧ 2010-06-24 14:46:55 檢舉

謝謝您的回應,

剛用command prompt 在 C:\Documents and Settings\使用者\Application Data 目錄發現隱藏檔 mrpky.exe,同時 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的 taskman 也指向C:\Documents and Settings\使用者\Application Data\mrpky.exe,將這兩個移除重開機後,已恢復正常。

謝謝各位。

ehawk iT邦研究生 1 級 ‧ 2010-06-25 11:24:50 檢舉

不要輕忽這新玩意兒,以下這些都是它:
ZELJKO.EXE
LASVEGAS48[1].EXE
MRPKY.EXE
3283392.EXE
89239.EXE
008.EXE
79530372.EXE

檔案大小可能是:
68,608 bytes
71,680 bytes
71,168 bytes
69,632 bytes

shunyuan大提供標準解法,似乎你忽略掉了以下兩步:
4.Delete the IE temporary files (%Temp%).
5.Update your antivirus databases and perform a full scan of the computer.

新型病毒並非每個防毒軟體都有效,建議你不彷下個新版Combofix來試試或使用Microsoft Security Essentials(它也有線上掃描連同移除病毒)。

shake iT邦新手 5 級 ‧ 2010-06-25 14:00:00 檢舉

謝謝您的回應,

清除這些程式時,都會在Command Prompt 模式下刪除 Documents and Settings\帳號\Local Settings\Temp 下的檔案(含隱藏檔),防毒軟體也會先更新。

由於有保留kure.exe和mrpky.exe ,今天特用 F-Secure 和 ESET 線上掃瞄皆能偵測到,先前用 SEP 和小雨傘 ,則沒偵測到。

小雨傘免費版偵測率低,務必搭配第二套,或是做好『習慣』

4
yamotai
iT邦新手 5 級 ‧ 2010-06-27 16:40:00

建議您可過以下步驟:

可以先上網查詢此程式是不是為常見的病毒,例如Prevx網站或是ThreatExpert等,利用Virus Total分析看看目前有哪幾家防毒軟體判斷為惡意程式,

如果判斷為惡意程式,首要動作還是要先清除TEMP或是IE暫存資料、關閉系統還原,

請將防毒軟體病毒碼更新到最新,如果所使用的防毒軟體偵測不到,可使用目前能偵測到此病毒類型的其他防毒軟體線上掃描,

在登錄編輯程式中搜尋此程式是不是有寫在哪些機碼裡面,如開機執行或是附加在其他正常機碼後,在登錄編輯程式中將惡意機碼刪除,再做此動作前請先備份機碼,避免誤刪造成系統異常,

最後請進行全系統掃描,避免還有其他未發現的病毒。

我要發表回答

立即登入回答