正流行的8tss2gwq.bat
最近幾天總是有近百個搜尋「 8tss2gwq.bat」而找到高登工作室的流量,而我並沒有教大家怎麼殺這隻毒啊?原來是有人在這一篇小紅傘AntiVir使用篇 Part I的留言裡面留了這個檔名,所以搜尋引擎就「自然產生」這個「關鍵字」了,而每天有這麼多人有這樣子的需求表示這隻毒很猖狂,所以我特別找了一下資料,希望大家可以很順利的把這隻毒清掉。
這隻毒目前網友回報許多防毒程式都無法有效清除,這也是「 kavo」系列的變種病毒,而事實上「 8tss2gwq.bat」這個檔案只是中毒之後病毒所生出來的,並不是病毒檔的木本尊,而防毒程式抓不到本尊當然就會一直出現「 8tss2gwq.bat」中毒的警示了,我們就來看一下本尊到底藏在哪裡?
本尊現身
我們還是一樣的老方法:用「DOS dir/ah」來找,找一下「c:\windows\system32」裡面有:
c:\windows\system32\jwedsfdo1.dll
c:\windows\system32\kxvo0.dll
c:\windows\system32\kxvo.exe
c:\windows\system32\j3ewro.exe
然後在每一台磁碟機的根目錄下會再生出來
autorun.inf
8tss2gwq.bat
q0rppr.exe
都是一樣的原理啦,所以清除的步驟也一樣,我就寫了一個批次檔你將這些文字複製起來,然後在「DOS視窗」的標題列按【編輯】→【貼上】就OK啦,殺完記得重開機再執行一次(一定要兩次才殺的乾淨喔),看還會不會有警告視窗出現,如果沒有就是清掉了。
c: cd \windows\system32 attrib -s -h -r kxvo*.* del kxvo*.* attrib -s -h -r jwed*.* del jwed*.* attrib -s -h -r j3*.* del j3*.* cd \ attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 8t*.bat del 8t*.bat attrib -s -h -r 8px*.bat del 8px*.bat attrib -s -h -r *.cmd del *.cmd d: cd \ attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 8t*.bat del 8t*.bat attrib -s -h -r 8px*.bat del 8px*.bat attrib -s -h -r *.cmd del *.cmd attrib -s -h -r q0*.exe del q0*.exe
善後處理
- 無法顯示隱藏檔請看:中毒後無法顯示隱藏檔
- 清除垃圾檔及登錄機碼中的病毒殘留請看:CCleaner 電腦清道夫
- 隨身碟拒絕存取請看:USB隨身碟讀不到,怎麼辦?
9/13更新:
新的檔名又出現8pxt8tdn.bat,所以將程式碼又加了這一個檔名。
支持網路密技王,
保證變成驅毒王!
XD....
q0rppr.exe是病毒?如何清除
高登兄:
希望您能投兔爸藍眼一票!因此特來拜訪^^"
謝謝版主,讓我學到寶貴的一課,在下之前在nova工作,後來幫朋友組裝電腦或是解毒,而解毒的方法只有從灌一途,沒想到最後連自己的工具都中毒了,很困擾的是連自己家裡的電腦全部都被感染了,病毒真可怕,而且之前電腦有做ghost還原技嘉主機板內建的,沒想到還是清不掉不知是為何?
看了你的文章讓我又多學到一點^^目前剛生大一,在想人生的出路我讀的科系是資訊工程,不知是否會學到怎麼解毒?因為對電腦還蠻有興趣的,而且覺得還蠻實際的說~~!之前在工作中學到的只是對一些硬體的了解以及行銷,對於軟體部分還是一知半解,站長有及時通嗎?希望有空可以和您請教~~^^
目前重的毒好像都是新型病毒,而且有顯示可是都不能移除,我自己是用avast的防毒軟體~~!
請教一下謂何防毒軟體還會被人破解有破解版的??
既然都有辦法破解了那防毒效果是否會令人懷疑?
大大請問這要怎樣處理勒?
我已經照上面說的做
編輯>貼上
他是跑了..但我看了一下
kavo那邊寫存取被拒..感覺好像沒有弄掉..
該怎麼做勒?
這樣光刪檔案有可能會刪不乾淨唷!!!
登入檔也要處理才乾淨,不然過陣子他又出來搗蛋了!!
提供個乾淨的步驟。^_^
1、刪除的檔案前先去工作管理員關閉下列執行的EXE
explorer.exe
rundll32.exe
iexplore.exe
kavo.exe
taso.exe
poor.exe
fly.exe
2、關閉後來刪下列存在的檔案
3、regedit內移除下面的啟動(Run內)登錄項目名稱
kava
tasa
4、執行這段reg 登錄檔
內容:
5、一定要移除的登錄檔
6、每個硬碟根目錄下要刪除的檔案
autorun.inf
ntdelect.com
以上提供給大家參考。^_^
痾~我其實是要來打廣告的~XD
敗家誌°
http://blog.joytown.tw
歡迎大家有空來看看。^_^
大大~謝謝~毒解完了,但是卻不能上網,解毒之前就不行了.
版主我有看網路密技王 觀於刪除暫存資料夾遺毒與自動執行命令中的指令中
c:
cd \
attrib -s -h -r autorun.inf
del autorun.inf
attrib -s -h -r t3.com
del t3.com
attrib -s -h -r *.cmb
del *.cmb
請問在其他磁碟機底下是否可執行
attrib -s -h -r t3.com
del t3.com
attrib -s -h -r *.cmb
del *.cmb
這4行指令
因為我怕隨便執行電腦會出問題所以來留言請教版主
謝謝版主的回覆我把書拿出來看是書上有錯
attrib -s -h -r t3*.com
del t3*.com
兩行指令都少印了*
另外請教版主會在有新的變種病毒出來時提供殺毒的DOS指令給大家先拿來解決問題嗎
版主您好,拜讀了您之前有關解隨身碟毒的大作,學會了如何刪除autorun.inf,也自行建立了另一autorun.inf檔案先佔位,以防止被病毒再度寫入,而且在家裡使用一陣子都很正常,等拿到學校使用後卻又中毒了,而且先佔位的autorun.inf檔案內容被改寫,是open=xpq63xl.exe.....,看來自行建立另一autorun.inf檔案先佔位的方法已被攻破了。
各位好....不只是如此,本人亦曾試過DOS模式掃毒......真的中毒過的硬碟常會在病毒活躍處莫名其妙重開機....可見來歷不明的跟太吸引人的網頁常是中毒的來源處.....上次嘗試好像對系統區這類病毒很好用,但對影音檔卻常常會誤殺正常檔案喔!
小弟在這裡有個問題想提出來。
我看了這篇和利用dos來刪毒檔的文後,如法炮製的來刪我這次中的毒。
症頭是在"我的電腦"裡點C、D或者其他碟,會出現"開啟檔檔"的對話框
,而不能進去。
而我看了文章後,用DOS進去SYSTEM32裡
attrib -s -h -r -a jwedsfdo0 ←(我這次中的檔,小紅傘刪不掉)
del jwedsfdo0
存取被拒。
我想問的是這是怎麼回事?
用手動刪會出現有人使用的對話框,這表示對方已經在我的電腦中使用這個檔了嗎?
C:\>cd \windows\system32\
C:\WINDOWS\system32>attrib -s -h -a -r jwed*.*
C:\WINDOWS\system32>del jwed*.*
C:\WINDOWS\system32\jwedsfdo0
存取被拒。
檔案第一次殺不掉是正常的,如果連第二次也殺不掉就是沒有找到真正在開機時載入的執行檔,病毒還在你的記憶體中,所以會殺不掉
你可以先試試重開機按F8進安全模式用小紅傘掃看看能不能解掉
不行的話再用這一篇的方法,不過這種方法是你要對DOS指令很熟能找到真正的病毒檔的位置才有用
另外樓上Arno Ruan所留的一些登錄機碼的地方也看一下有什麼程式在開機時就自動載入了,以上提供給你參考
請問版主
有個路人傳程式給我
我下載下來開啟之後就好像中毒了
從開機會出現DOS視窗 然後說C槽裡面的笨小孩.BAT失蹤還是怎樣的
這個要怎麼解決阿? 可以幫我處理一下嗎
那個跑到開機自動執行的地方,開始->執行msconfig來把笨小孩.bat關掉,但是你還是多看一下我寫的解毒文章吧,你裡面的毒沒有解掉這些動作都是白作的
我好像中win32/spy.Agent.PZ 不知道有沒有被殺掉
我家適用ESET NOD32 Antivirus(tm)
看看隱藏檔是否可以看得到, 現在中毒隱藏檔都會看不到
請問樓上的樓上有問 笨小孩.bat
雖然關掉了 \ 但要如何刪除呢 ?
用http://gordon168.tw/?p=303 這一篇的EFix應該就可以解掉了
請問一下高先生
如何清理一個叫 a variant of Win32/Pacex.Gen virus 的病毒
感謝
用抓到的檔名上Google搜尋一下比較快