September 18,2008
外行人筆記: 掃毒工具與病毒檔
起因:
-同事發現自己的 USB 被感染
-複製貼上功能無法使用 (按右鍵的選單 & 快速鍵皆無法使用)
掃毒/解毒工具:
-USB Cleaner
-Trojan Remover: FastScan->Trojan Remover
-KavoRemove: KavoRemove->FixReg(->恢復隱藏檔機碼)
-PowerRmv
-同事發現自己的 USB 被感染
-複製貼上功能無法使用 (按右鍵的選單 & 快速鍵皆無法使用)
掃毒/解毒工具:
-USB Cleaner
-Trojan Remover: FastScan->Trojan Remover
-KavoRemove: KavoRemove->FixReg(->恢復隱藏檔機碼)
-PowerRmv
病毒檔:
(僅列出個人已知的檔案)
-tj8odymw.exe
-8tss2gwq.bat
-路徑: x:\system volume information\_restore(xxxxxxxxxxx )
--x: 是指磁碟槽, 含隨身碟或硬碟
-路徑: c:\windows\system32\
--jwedsfdo*.dll
--kxvo*.dll
--kxvo.exe
--j3ewro.exe
以上資訊來自: 手动移除USB木马
(僅列出個人已知的檔案)
-tj8odymw.exe
-8tss2gwq.bat
-路徑: x:\system volume information\_restore(xxxxxxxxxxx )
--x: 是指磁碟槽, 含隨身碟或硬碟
-路徑: c:\windows\system32\
--jwedsfdo*.dll
--kxvo*.dll
--kxvo.exe
--j3ewro.exe
以上資訊來自: 手动移除USB木马
诺顿等杀毒软件无法发现这种USB木马,但是可以通过手动来移除。
1、禁用Autorun
在“组策略”-“管理模板”-“系统”中启用“关闭自动播放”功能,并且是针对所有驱动器。
2、显示所有隐藏和系统文件
可以通过修改注册表来实现,HKEY_LOCAL_MACHINE\Software\Microsoft \windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL, 更改"CheckedValue" 为'1 ',或者是重命名“showall”,这样木马就找不到这个项了。
3、移除 x:\system volume information\_restore(xxxxxxxxxxx )
x: 是指驱动器盘符,如:c: d: e: 等
4、移除所有驱动器中的'autorun.inf' 文件
5、移除奇怪的*.exe , *.bat 文件(它们都是隐藏的)
例如:8tss2gwq.bat, tj8odymw.exe等。
6、移除c:\windows\system32\jwedsfdo*.dll; kxvo*.dll; kxvo.exe; j3ewro.exe (它们也是隐藏的)
引用URL
http://cgi.blog.roodo.com/trackback/7202345
回應文章 
撿到頭香~
(文章裡頭所講的不在魚兒的理解範圍內,我承認單純是為頭香而留言)
(文章裡頭所講的不在魚兒的理解範圍內,我承認單純是為頭香而留言)
Posted by 魚兒
at September 18,2008 12:03
呃啊~~~頭香被路"魚"撿走了 Orz...
Posted by 小小肥
at September 18,2008 12:17
to 魚兒
其實我也是電腦小白
但是總不能一直麻煩同事
所以中毒的時候還是要拜一下孤狗大神
然後順手做一下筆記...
to LLF
噗!
沒有順便提供一下解毒或防毒的補充說明啊?
其實我也是電腦小白
但是總不能一直麻煩同事
所以中毒的時候還是要拜一下孤狗大神
然後順手做一下筆記...
to LLF
噗!
沒有順便提供一下解毒或防毒的補充說明啊?
Posted by hikawac
at September 18,2008 12:56
>>複製貼上功能無法使用
深深懷疑你是撿到 ma 用的測試機~~"
最快的方法就是 ghost 啦...
深深懷疑你是撿到 ma 用的測試機~~"
最快的方法就是 ghost 啦...
Posted by jcool
at September 18,2008 13:23
Try 病毒防護【重灌狂人】
http://briian.com/?cat=16
PS. I haven't had virus in the last 6 years,
so don't know if 重灌狂人 is still good.
http://briian.com/?cat=16
PS. I haven't had virus in the last 6 years,
so don't know if 重灌狂人 is still good.
Posted by YY
at September 18,2008 13:26
>最快的方法就是 ghost 啦...
她不知道啥是ghost辣~"~
她不知道啥是ghost辣~"~
Posted by 麥克連
at September 18,2008 13:54
順著魚兒 加一票
冰川姑娘是電腦高人
冰川姑娘是電腦高人
Posted by 小王子
at September 18,2008 16:29
to jcool & YY
謝謝二位建議
敝公司並沒有做ghost
反正是公司機器
只要不交叉感染回我的私人電腦
我就盡人事聽天命啦
ps.是公司其他同事的電腦有毒, 大家用usb copy來copy去
就中了... XD
to 阿連
我當然知道什麼是 ghost
就是把電腦設定調整的跟鬼一樣虛無縹緲
然後病毒就會被嚇跑
對吧?
噗!
to 披頭王
那尾魚游走很久了
你來遲一步...
噗
絕對不是高人
只是懂得照三餐拜神... :P
謝謝二位建議
敝公司並沒有做ghost
反正是公司機器
只要不交叉感染回我的私人電腦
我就盡人事聽天命啦
ps.是公司其他同事的電腦有毒, 大家用usb copy來copy去
就中了... XD
to 阿連
我當然知道什麼是 ghost
就是把電腦設定調整的跟鬼一樣虛無縹緲
然後病毒就會被嚇跑
對吧?
噗!
to 披頭王
那尾魚游走很久了
你來遲一步...
噗
絕對不是高人
只是懂得照三餐拜神... :P
Posted by hikawac
at September 19,2008 12:03
>-tj8odymw.exe
>-8tss2gwq.bat
這兩個有時候會以.com的類型出現,還有一個 ntdelect.com通常是以資料夾的型態出現,這些應該都可以用 kavo killer 刪掉吧^^!
搞不定的話就要用手動了,不過要注意的是有一個系統檔是 ntdetect.com,跟病毒 ntdelect.com長得很像,不要刪錯了,不然會造成系統一直重開機...
這個近似廢言的補充,特務蛙您還滿意嗎? XD
>-8tss2gwq.bat
這兩個有時候會以.com的類型出現,還有一個 ntdelect.com通常是以資料夾的型態出現,這些應該都可以用 kavo killer 刪掉吧^^!
搞不定的話就要用手動了,不過要注意的是有一個系統檔是 ntdetect.com,跟病毒 ntdelect.com長得很像,不要刪錯了,不然會造成系統一直重開機...
這個近似廢言的補充,特務蛙您還滿意嗎? XD
Posted by 小小肥
at September 19,2008 13:02
>這兩個有時候會以.com的類型出現,還有一個 ntdelect.com通常是以資料夾的型態出現
>有一個系統檔是 ntdetect.com,跟病毒 ntdelect.com長得很像
重點來了
很詭異的是
跑完 KavoRmv 的時候, 會自動產生幾個跟病毒檔名一樣的資料夾, 如 ntdelect.com 或 kxvo.com...
但資料夾裡面是空的
我同事說...
那是 Kavo killer 故意以病毒檔的檔名做一個空的資料夾, 是要騙過那些病毒用的, 叫我不要刪...
聽起來跟你講的不太一樣
請問您的建議是?
(>這個近似廢言的補充,特務蛙您還滿意嗎?
一點都不廢言
很有用啊!!)
>有一個系統檔是 ntdetect.com,跟病毒 ntdelect.com長得很像
重點來了
很詭異的是
跑完 KavoRmv 的時候, 會自動產生幾個跟病毒檔名一樣的資料夾, 如 ntdelect.com 或 kxvo.com...
但資料夾裡面是空的
我同事說...
那是 Kavo killer 故意以病毒檔的檔名做一個空的資料夾, 是要騙過那些病毒用的, 叫我不要刪...
聽起來跟你講的不太一樣
請問您的建議是?
(>這個近似廢言的補充,特務蛙您還滿意嗎?
一點都不廢言
很有用啊!!)
Posted by hikawac
at September 19,2008 13:59
>>聽起來跟你講的不太一樣
資料夾留著無所謂, 肥爺意思應該是不要刪到 ntdetect.com 這個系統檔就是了... ~~"
資料夾留著無所謂, 肥爺意思應該是不要刪到 ntdetect.com 這個系統檔就是了... ~~"
Posted by jcool
at September 19,2008 14:15
>資料夾留著無所謂, 肥爺意思應該是不要刪到 ntdetect.com 這個系統檔就是了... ~~"
jcool英明 XD
如果確定是 kavo產生的就ok,如果不確定...嘿嘿嘿!
自動執行的毒也是這樣囉,Autorun.inf,通常usb的免疫程式也會生這個出來...不過,當我不確定是誰生的,殺無赦~~~頂多殺完再裝上 ^^
另外...我現在很龜毛的把確定乾淨的軟體安裝檔 *.exe 都改成 *.1x1 ,這樣要裝的時候複製一個把檔名改回 *.exe,很駝鳥的認為這樣子應該就不會感染到病毒了,很閒的人參考一下吧 XD
jcool英明 XD
如果確定是 kavo產生的就ok,如果不確定...嘿嘿嘿!
自動執行的毒也是這樣囉,Autorun.inf,通常usb的免疫程式也會生這個出來...不過,當我不確定是誰生的,殺無赦~~~頂多殺完再裝上 ^^
另外...我現在很龜毛的把確定乾淨的軟體安裝檔 *.exe 都改成 *.1x1 ,這樣要裝的時候複製一個把檔名改回 *.exe,很駝鳥的認為這樣子應該就不會感染到病毒了,很閒的人參考一下吧 XD
Posted by 小小肥
at September 19,2008 14:48
to jcool
謝啦
to 小小肥
>很龜毛的把確定乾淨的軟體安裝檔 *.exe 都改成 *.1x1 ,這樣要裝的時候複製一個把檔名改回 *.exe
這...
一個一個改?
會不會太厚工? o_O
謝啦
to 小小肥
>很龜毛的把確定乾淨的軟體安裝檔 *.exe 都改成 *.1x1 ,這樣要裝的時候複製一個把檔名改回 *.exe
這...
一個一個改?
會不會太厚工? o_O
Posted by hikawac
at September 22,2008 11:21
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/rss.gif "Syndicate RSS feed"){kind=small}
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/atom.gif "Syndicate ATOM feed"){kind=small}
