太相信防毒程式的下場
今天客戶有一台電腦的Avira小紅傘出現不能更新的狀況,查了一下防毒程式的記錄有抓到一隻隨身碟病毒,由於又送去一台新裝程式的電腦,所以就用新的電腦教客戶如何正確使用隨身碟:
2009/09/14更新:
如果你中了kavo這一系列的隨身碟病毒,請用隨身碟解毒程式 EFix解毒就OK了,還有防毒程式我目前推薦的是AVG Free 8.5中文版,改用這個就對了!
- 先按住【Shift】鍵再插入隨身碟或讀卡機。
- 打開「我的電腦」在隨身碟的代號按滑鼠右鍵選擇〔Scan selected files with AntiVir〕用小紅傘掃毒。
- 果不其然嗶嗶叫了幾聲:有抓到毒了。
- 掃完了之後移除隨身碟再重新插入(一樣按著Shift鍵)。
- 點擊隨身碟的磁碟代號,結果電腦停了一下子,然後小紅傘出現了以下的警告:抓到了一隻藏在「c:\windows\system32\drivers\klif.sys」這個檔案的病毒「RKIT/Agent4160」:
再點擊C磁碟、D磁碟都出現相同的警示,看來小紅傘這次又破功了,所以正確的隨身碟使用步驟請參考本文最後面的說明,現在就先來看一下這隻毒到底是怎麼入侵的...
找尋病毒本尊
首先由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」,輸入以下的指令:
c: cd \ dir /ah
在這裡看到了兩個有問題的檔案,日期是昨天和今天,檔名是「6vu680.com」和「autorun.inf」,再輸入
type autorun.inf
看到了autorun.inf裡面就是去執行6vu680.com,所以你點擊C磁碟就中毒了!但這不是病毒的本尊,因為這只是一個用來下載最新病毒的下載程式(Downloader),或是是Rootkit隱身的檔案,所以防毒程式抓不到!
註:autorun.inf裡面所執行的程式檔名不會固定,就是在open=後面的檔名,所以請你記住你所看到的檔名作為下面刪除的依據。
一般的病毒都喜歡藏身在「c:\windows\system32」之下,所以在用以下的指令找找看:
c: cd \windows\system32 dir /ah
看到了沒?兩個新的檔案:「uret463.exe」和「lhgjyit0.dll」,這才是真正在記憶體中的病毒程式。
再確認一下,在DOS視窗鍵入regedit開啟「登錄編輯程式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」這裡有「dorfgwe」機碼在開機時去自動執行上面找到的「uret463.exe」,至於其他的地方在沒有藏病毒檔呢?我找了一下沒發現,應該就是這兩個而已,不過那個.dll檔可能會有lhgjyit1.dll,lhgjyit2.dll...會衍生出來。
難看的防毒成績單
還是先照「將可疑檔案上傳至virustotal.com分析」這一篇的方法將開始觸發的病毒檔「6vu680.com」傳上去分析,結果還是有大半的防毒程式都還不知道這隻毒!
比較奇怪的是小紅傘知道是毒,但是擋不掉Orz!
手動解毒
如果你是第一次來到本站,建議你先看看「DOS指令 - 懷舊篇」以免誤殺無辜!
- 電腦重開機,在開機時趕緊按【F8】選擇第一個「安全模式」(如果安全模式進不去那只能有正常模式解,還是可以解掉,不過要解兩次)。
- 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
- 鍵入下列指令:
c: cd \windows\system32 attrib -s -h -r uret*.exe del uret*.exe attrib -s -h -r lhg*.dll del lhg*.dll cd \ attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 6vu*.com del 6vu*.com 〔還有你找到的其他病毒檔案也用相同方法刪除〕 d: 同以上c:作法刪除autorun.inf和6vu680.com e: f: g: 如果還有的話也一樣
註:因為在安全模式無法上網,所以請將上面的指令先存成純文字檔備用,另外這裡的檔名只是範例,請你先找出你的病毒檔名,用你找到的檔名來替換本例中的名稱。
- 用「regedit」開啟「登錄編輯式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」,在「dorfgwe」這個機碼按右鍵〔刪除〕機碼。
- 重開機進入正常模式。
還沒完喔!隨身碟裡面的罪魁禍首還沒除掉呢!
隨身碟解毒
先聲明:隨身碟的解毒是要在你的電腦沒中毒之下才有用,如果你的電腦還是在中毒狀態下的話,是解不掉的!
- 先按住【Shift】鍵再插入隨身碟或讀卡機,等到「安全地移除硬體」圖示出現後再放掉【Shift】鍵。
- 打開「我的電腦」找到隨身碟的代號,我這裡用「G」來示範。
- 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
- 鍵入以下指令:
g: dir /ah
看看有什麼隱藏檔,一般的隨身碟不應該有隱藏檔,如果有像下面的autorun.inf或是副檔名是.exe, .com, .bat, .cmd的隱藏執行檔,應該都是病毒檔。
- 用下列的指令刪除病毒檔:
attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 6vu680.com del 6vu680.com 還有其他的檔案...
- 用「安全地移除硬體」移除隨身碟,再重覆1-4的步驟,如果隱藏檔還在那就是毒還沒解掉。
最後再匯入這個「恢復顯示隱藏檔」的登錄檔,完了之後看是不是可以顯示隱藏檔了(在「五個步驟,檢查你是否中了kavo病毒」有詳細的說明),如果看到了隱藏檔毒應該是解乾淨了!
至於另外一台小紅傘不能更新病毒碼的電腦也是中了相同的毒,同樣手動解毒之後,再移除小紅傘重裝就正常了。
最後再提醒大家:目前沒有一套防毒能有效防止新病毒的!本站有許多觀念性的文章你應該要好好看一看喔!(就在防毒教室最舊的那幾篇)
2009/02/23補充:如何使用隨身碟而不怕中毒請看「隨身碟的正確使用方法」
2009/03/13補充:今天客戶有一台電腦看到新的檔名,以下是autorun.inf的內容:
[AutoRun]
;idaaak73lwmsda2Ki5fJoSq0q
open=xe9fdii1.cmd
;k7ZoJJie4kDssjqS330kO
shell\open\Command=xe9fdii1.cmd
就是這個xe9fdii1.cmd,請大家注意
另外已經很久沒用的Symantec防毒,昨天就有一台電腦還是用這個防毒,本來以為這一台一定中毒很深,結果沒有中半隻毒,所以結論還是:「防毒觀念比防毒程式有效」。
Dear 高大:
之前因為有你的分享,
我解了我電腦跟隨身碟裡的毐,
但想請問的是如果在解毐之前曾經使用USB傳輸線由手機及相機跟電腦之間做檔案的傳輸,
這樣我的手機及相機裡的記憶卡是否也會中毐呢?
我先試相機,
在命令提示字元視窗中輸入dir /ah,
有找到一個.com的檔,已成功刪除,
但後來掃毐程式跳出發現特洛依木馬病毐,
在我隨身碟的那一槽中的RECYCLER資料夾裡的info.exe,
請問我要如何刪掉它?
防毒程式抓得到就讓防毒程式來殺就好了,重要的是autorun.inf一定要手動殺掉,因為一般的防毒程式都不會殺這個
而且你autorun.inf殺掉之後,就算毒還在隨身碟裡也不會感染的
還有看一下 http://gordon168.tw/?p=226
你好高登大 最近我翻了不少你寫的舊文...
真的是 好多傢伙...但個人電腦能力有限 實在也吸收不了太多
我看了很多病毒的相關文章
這陣子也一直在用自己家裡的電腦(因為中毒了!!
有用了版大很推崇的kavo殺毒程式 eFIX殺過毒 也已可看隱藏檔
也上了很多線上掃毒掃過N次電腦了(但個人依然懷疑電腦有毒...囧
但是剛剛看了 DOS指令-懷舊篇 完後 好奇的去試了一下
看看自己C槽裡最容易藏毒的個那個system32資料夾裏的隱藏檔
赫然發現 有好多驚人的...檔案
看起來99.9%是病毒的長相的檔案...
其中也看到了 kavo.dll 和 kxuo 的檔案 而且還不只一個
每個少說都有4個以上= =...
當然 也看到了這篇文章上的uret463...
可是我照DOS指令偏上的方法打入了 attrib kavo*.* 的指令
他卻說找不到耶...
當然也試了kxuo和uret463...可是也都說找不到...
我現在滿腦子充滿疑問=0=...
1.怎麼會找不到...Orz 我沒打錯阿...
2.之前用的那麼多掃毒.防毒.殺毒程式 難道都沒用嗎~"~!?
不然怎麼還是有這麼多病毒隱藏在system裡面...Orz
另外想問 這些列出來的病毒檔案前面都有多一個的字樣
另外有些 前面是多出3碼數字 ex:749 488等等的
請問那是什麼意思阿!?
如果是 dir 出來檔名前面多了 <DIR> 那是有一些防疫程式所作出來的目錄,目的是先把檔名的位置佔住,這樣子病毒就沒辦法寫入這個檔案了
如果沒有 <DIR> 那才是真的病毒檔,不過用eFIX應該都解得掉才對啊
您好~~假設我中了隨身碟病毒,我試著用先前備份好的系統,做系統還原,這樣病毒還會存在C槽裡面嗎?(我的狀況是,MSN會跳出 解決windows live communications platform發生問題必須關閉謹此致歉 ...的訊息)謝謝您~~煩請解惑!
要看你是用什麼作的還原系統,影子系統還是沒辦法完全防毒,用Ghost或是TrueImage作的就可以
但是復原之後記得要先將毒解掉才不會在C磁碟以外的毒你一點磁碟機就又中毒了,我這裡有很多這方面的文章一定有你需要的,請你自己找
高登大哥你好,無意間看到了你的文章
小弟想請問小紅傘中文版的問題
今天小弟用數位相機的sd
卡想要將照片弄上電腦然後要去洗照片,可是小紅傘忽然報
小弟的SD卡的DMIC這個東西有毒,可是小弟的相
機卡是前幾天才用續約拿到的數位相機包含在裡面的新卡片耶
小弟是先用略過
和一律忽略這2個選項,因為怕刪掉會造成問題
有GOOGLE一下,有人刪掉結果照片就都不見了
可是卡片裡面都會跑出一個資料夾,公司nva的檔案
資料夾,
然後每一個資料夾裡面都會跑出一個應用程式
(跟資料夾名稱一樣的白色框框應用程式)
例如資料夾名稱是111 (111.exe白色框框應用程式)
現在小紅傘裡面的隔離區裡有
(1)windows\system32\fun.exe
(2)ALL USERS\application date\avira\antivir desktop\temp\
avscan-20111206-211840-5DAEBBBA\ARK6D.tmp
後來小紅傘還報自己的防毒軟體是病毒?
這2個都說是TR/spy.VB.HY.6特洛伊木馬程式
請問高登大哥,小弟現在應該怎麼處理
這2個東西都是病毒嗎?
另外小紅傘的略過和一律忽略是代表什麼意思呢?
希望高登大哥如果有空能幫忙小弟一下謝謝你
你的情況很明顯就是中毒,而且毒已經在記憶體裡面小紅傘無法有效阻擋它。
解決的方法就是換別牌的防毒軟體,我這裡有介紹AVG, avast 或者是Panda都有免費版不不妨試試看。
同時也歡迎你將可以抓到毒的防毒軟體回報給大家
高登大哥謝謝你的回答,那我現在相機卡應該如何處理呢?
因為裡面有很多珍貴照片,實在是不想用格式化
中毒這樣電腦中的照片和東西會不會被駭或是被盜用啊?
那我現在是應該先移除掉小紅傘然後先裝AVG,avast
或者是Panda掃毒是嗎?那相機卡也要插著掃嗎?
另外請教高登大哥,以後要如何才能知道自己的電腦到底
有沒有中毒?因為有時候防毒軟體不一定每個毒都會查的出來
要如何自我檢查和防護呢?
不好意思我對防毒方面實在不太懂還請高登大哥指教
記憶卡先不要插,移除小紅傘裝其他防毒,掃毒,之後再插拔記憶卡,第一次一定會抓到毒,解毒後再移除記憶卡重插,如果不再跑出來中毒的訊息應該就是解掉了,還有也要檢查記憶卡裡面有沒有奇怪的檔案
以上是處理的步驟,如果沒把握就花錢請人家處理,中毒有可能電腦裡面的資料會被偷,但是他們比較在意的是你的帳號密碼,因為可以用你的名義再去害別人,這些我都有很詳細的說明,你好好看完我的每一篇防毒教室裡面的文章應該會有很大的收穫
高登大哥你好,我有換AVG防毒掃了一次電腦
電腦裡有windows live\installer\msnpp.exe
掃了相機卡發現有autorun.inf這個東西
然後其他的幾片相機卡通通都中,
有(DCIM.exe)
(misc.exe)
(RECYCLER\IFNO.exe)
(COPY.EXE)
(HOST.EXE)
這幾個都是跟相機卡裡面資料夾相同名稱的
還有一個是
(RECYCLER\S-534228199522908240758988-
879315005-3665\jwgkvsq.vmx)
目前小弟通通都移到隔離區了
移到隔離區後在重掃這些卡片都沒發現威脅了
請問高登大哥接下來應該在如何處理?
而高登大哥說的花錢請人處理是指哪一方面?
另外有辦法知道說資料或照片是否有被盜用嗎?
還有一點因為小弟的電腦配備不是很好,裝AVG
有時電腦會變慢,再裝回小紅傘大哥覺得可以嗎?
好多問題希望高登大哥勿見怪謝謝
現在擔心資料有沒有被盜已經太晚了,請更改你所有的密碼以防上進一步的損害,至於防毒小紅傘既然跟你不合就不要再用了,建議你可以改用Panda
http://cloudantivirus.com 這個舊電腦用也還不錯,我或許會再發文介紹,你不妨先用用看
高登大大你實在太厲害了!!連我這電腦白痴都可以操作成功!!非常感激你!!!
這個好像是很久前的病毒,可能你的防毒軟體要注意一下,照理講這樣的毒都就被抓光了哦