新的隨身碟病毒uret463.exe

太相信防毒程式的下場

今天客戶有一台電腦的Avira小紅傘出現不能更新的狀況,查了一下防毒程式的記錄有抓到一隻隨身碟病毒,由於又送去一台新裝程式的電腦,所以就用新的電腦教客戶如何正確使用隨身碟:

2009/09/14更新:

如果你中了kavo這一系列的隨身碟病毒,請用隨身碟解毒程式 EFix解毒就OK了,還有防毒程式我目前推薦的是AVG Free 8.5中文版,改用這個就對了!

  1. 先按住【Shift】鍵再插入隨身碟或讀卡機。
  2. 打開「我的電腦」在隨身碟的代號按滑鼠右鍵選擇〔Scan selected files with AntiVir〕用小紅傘掃毒。
  3. 果不其然嗶嗶叫了幾聲:有抓到毒了。
  4. 掃完了之後移除隨身碟再重新插入(一樣按著Shift鍵)。
  5. 點擊隨身碟的磁碟代號,結果電腦停了一下子,然後小紅傘出現了以下的警告:抓到了一隻藏在「c:\windows\system32\drivers\klif.sys」這個檔案的病毒「RKIT/Agent4160」:
RKIT/Agent4160病毒

再點擊C磁碟、D磁碟都出現相同的警示,看來小紅傘這次又破功了,所以正確的隨身碟使用步驟請參考本文最後面的說明,現在就先來看一下這隻毒到底是怎麼入侵的...

找尋病毒本尊

首先由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」,輸入以下的指令:

c:
cd \
dir /ah
RKIT/Agent4160病毒
點圖可放大

在這裡看到了兩個有問題的檔案,日期是昨天和今天,檔名是「6vu680.com」和「autorun.inf」,再輸入

type autorun.inf

看到了autorun.inf裡面就是去執行6vu680.com,所以你點擊C磁碟就中毒了!但這不是病毒的本尊,因為這只是一個用來下載最新病毒的下載程式(Downloader),或是是Rootkit隱身的檔案,所以防毒程式抓不到!

註:autorun.inf裡面所執行的程式檔名不會固定,就是在open=後面的檔名,所以請你記住你所看到的檔名作為下面刪除的依據。

一般的病毒都喜歡藏身在「c:\windows\system32」之下,所以在用以下的指令找找看:

c:
cd \windows\system32
dir /ah

看到了沒?兩個新的檔案:「uret463.exe」和「lhgjyit0.dll」,這才是真正在記憶體中的病毒程式。

RKIT/Agent4160病毒
點圖可放大

再確認一下,在DOS視窗鍵入regedit開啟「登錄編輯程式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」這裡有「dorfgwe」機碼在開機時去自動執行上面找到的「uret463.exe」,至於其他的地方在沒有藏病毒檔呢?我找了一下沒發現,應該就是這兩個而已,不過那個.dll檔可能會有lhgjyit1.dll,lhgjyit2.dll...會衍生出來。

RKIT/Agent4160病毒
點圖可放大

難看的防毒成績單

還是先照「將可疑檔案上傳至virustotal.com分析」這一篇的方法將開始觸發的病毒檔「6vu680.com」傳上去分析,結果還是有大半的防毒程式都還不知道這隻毒!

RKIT/Agent4160病毒
點圖可放大

比較奇怪的是小紅傘知道是毒,但是擋不掉Orz!

手動解毒

如果你是第一次來到本站,建議你先看看「DOS指令 - 懷舊篇」以免誤殺無辜!

  1. 電腦重開機,在開機時趕緊按【F8】選擇第一個「安全模式」(如果安全模式進不去那只能有正常模式解,還是可以解掉,不過要解兩次)。
  2. 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
  3. 鍵入下列指令:
    c:
    cd \windows\system32
    attrib -s -h -r uret*.exe
    del uret*.exe
    attrib -s -h -r lhg*.dll
    del lhg*.dll
    cd \
    attrib -s -h -r autorun.inf
    del autorun.inf
    attrib -s -h -r 6vu*.com
    del 6vu*.com
    〔還有你找到的其他病毒檔案也用相同方法刪除〕
    d: 同以上c:作法刪除autorun.inf和6vu680.com
    e: f: g: 如果還有的話也一樣
    

    註:因為在安全模式無法上網,所以請將上面的指令先存成純文字檔備用,另外這裡的檔名只是範例,請你先找出你的病毒檔名,用你找到的檔名來替換本例中的名稱。

  4. 用「regedit」開啟「登錄編輯式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」,在「dorfgwe」這個機碼按右鍵〔刪除〕機碼。
  5. 重開機進入正常模式。

還沒完喔!隨身碟裡面的罪魁禍首還沒除掉呢!

隨身碟解毒

先聲明:隨身碟的解毒是要在你的電腦沒中毒之下才有用,如果你的電腦還是在中毒狀態下的話,是解不掉的!

  1. 先按住【Shift】鍵再插入隨身碟或讀卡機,等到「安全地移除硬體」圖示出現後再放掉【Shift】鍵。
  2. 打開「我的電腦」找到隨身碟的代號,我這裡用「G」來示範。
  3. 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
  4. 鍵入以下指令:
    g:
    dir /ah
    

    看看有什麼隱藏檔,一般的隨身碟不應該有隱藏檔,如果有像下面的autorun.inf或是副檔名是.exe, .com, .bat, .cmd的隱藏執行檔,應該都是病毒檔。

  5. 用下列的指令刪除病毒檔:
    attrib -s -h -r autorun.inf
    del autorun.inf
    attrib -s -h -r 6vu680.com
    del 6vu680.com
    還有其他的檔案...
    
  6. 用「安全地移除硬體」移除隨身碟,再重覆1-4的步驟,如果隱藏檔還在那就是毒還沒解掉。
RKIT/Agent4160病毒
點圖可放大

最後再匯入這個「恢復顯示隱藏檔」的登錄檔,完了之後看是不是可以顯示隱藏檔了(在「五個步驟,檢查你是否中了kavo病毒」有詳細的說明),如果看到了隱藏檔毒應該是解乾淨了!

至於另外一台小紅傘不能更新病毒碼的電腦也是中了相同的毒,同樣手動解毒之後,再移除小紅傘重裝就正常了。

最後再提醒大家:目前沒有一套防毒能有效防止新病毒的!本站有許多觀念性的文章你應該要好好看一看喔!(就在防毒教室最舊的那幾篇)

2009/02/23補充:如何使用隨身碟而不怕中毒請看「隨身碟的正確使用方法

2009/03/13補充:今天客戶有一台電腦看到新的檔名,以下是autorun.inf的內容:

[AutoRun]
;idaaak73lwmsda2Ki5fJoSq0q
open=xe9fdii1.cmd
;k7ZoJJie4kDssjqS330kO
shell\open\Command=xe9fdii1.cmd

就是這個xe9fdii1.cmd,請大家注意

另外已經很久沒用的Symantec防毒,昨天就有一台電腦還是用這個防毒,本來以為這一台一定中毒很深,結果沒有中半隻毒,所以結論還是:「防毒觀念比防毒程式有效」。

128 則留言

  1. Dear 高大:
    之前因為有你的分享,
    我解了我電腦跟隨身碟裡的毐,
    但想請問的是如果在解毐之前曾經使用USB傳輸線由手機及相機跟電腦之間做檔案的傳輸,
    這樣我的手機及相機裡的記憶卡是否也會中毐呢?
    我先試相機,
    在命令提示字元視窗中輸入dir /ah,
    有找到一個.com的檔,已成功刪除,
    但後來掃毐程式跳出發現特洛依木馬病毐,
    在我隨身碟的那一槽中的RECYCLER資料夾裡的info.exe,
    請問我要如何刪掉它?

  2. 你好高登大 最近我翻了不少你寫的舊文...
    真的是 好多傢伙...但個人電腦能力有限 實在也吸收不了太多

    我看了很多病毒的相關文章
    這陣子也一直在用自己家裡的電腦(因為中毒了!!
    有用了版大很推崇的kavo殺毒程式 eFIX殺過毒 也已可看隱藏檔
    也上了很多線上掃毒掃過N次電腦了(但個人依然懷疑電腦有毒...囧
    但是剛剛看了 DOS指令-懷舊篇 完後 好奇的去試了一下
    看看自己C槽裡最容易藏毒的個那個system32資料夾裏的隱藏檔
    赫然發現 有好多驚人的...檔案
    看起來99.9%是病毒的長相的檔案...
    其中也看到了 kavo.dll 和 kxuo 的檔案 而且還不只一個
    每個少說都有4個以上= =...
    當然 也看到了這篇文章上的uret463...
    可是我照DOS指令偏上的方法打入了 attrib kavo*.* 的指令
    他卻說找不到耶...
    當然也試了kxuo和uret463...可是也都說找不到...

    我現在滿腦子充滿疑問=0=...
    1.怎麼會找不到...Orz 我沒打錯阿...
    2.之前用的那麼多掃毒.防毒.殺毒程式 難道都沒用嗎~"~!?
    不然怎麼還是有這麼多病毒隱藏在system裡面...Orz
    另外想問 這些列出來的病毒檔案前面都有多一個的字樣
    另外有些 前面是多出3碼數字 ex:749 488等等的
    請問那是什麼意思阿!?

    • 如果是 dir 出來檔名前面多了 <DIR> 那是有一些防疫程式所作出來的目錄,目的是先把檔名的位置佔住,這樣子病毒就沒辦法寫入這個檔案了
      如果沒有 <DIR> 那才是真的病毒檔,不過用eFIX應該都解得掉才對啊

  3. 您好~~假設我中了隨身碟病毒,我試著用先前備份好的系統,做系統還原,這樣病毒還會存在C槽裡面嗎?(我的狀況是,MSN會跳出 解決windows live communications platform發生問題必須關閉謹此致歉 ...的訊息)謝謝您~~煩請解惑!

    • 要看你是用什麼作的還原系統,影子系統還是沒辦法完全防毒,用Ghost或是TrueImage作的就可以
      但是復原之後記得要先將毒解掉才不會在C磁碟以外的毒你一點磁碟機就又中毒了,我這裡有很多這方面的文章一定有你需要的,請你自己找

  4. 高登大哥你好,無意間看到了你的文章
    小弟想請問小紅傘中文版的問題
    今天小弟用數位相機的sd
    卡想要將照片弄上電腦然後要去洗照片,可是小紅傘忽然報
    小弟的SD卡的DMIC這個東西有毒,可是小弟的相
    機卡是前幾天才用續約拿到的數位相機包含在裡面的新卡片耶

    小弟是先用略過
    和一律忽略這2個選項,因為怕刪掉會造成問題
    有GOOGLE一下,有人刪掉結果照片就都不見了
    可是卡片裡面都會跑出一個資料夾,公司nva的檔案
    資料夾,
    然後每一個資料夾裡面都會跑出一個應用程式
    (跟資料夾名稱一樣的白色框框應用程式)
    例如資料夾名稱是111 (111.exe白色框框應用程式)
    現在小紅傘裡面的隔離區裡有
    (1)windows\system32\fun.exe
    (2)ALL USERS\application date\avira\antivir desktop\temp\
    avscan-20111206-211840-5DAEBBBA\ARK6D.tmp
    後來小紅傘還報自己的防毒軟體是病毒?
    這2個都說是TR/spy.VB.HY.6特洛伊木馬程式
    請問高登大哥,小弟現在應該怎麼處理
    這2個東西都是病毒嗎?
    另外小紅傘的略過和一律忽略是代表什麼意思呢?
    希望高登大哥如果有空能幫忙小弟一下謝謝你

    • 你的情況很明顯就是中毒,而且毒已經在記憶體裡面小紅傘無法有效阻擋它。
      解決的方法就是換別牌的防毒軟體,我這裡有介紹AVG, avast 或者是Panda都有免費版不不妨試試看。
      同時也歡迎你將可以抓到毒的防毒軟體回報給大家

      • 高登大哥謝謝你的回答,那我現在相機卡應該如何處理呢?
        因為裡面有很多珍貴照片,實在是不想用格式化
        中毒這樣電腦中的照片和東西會不會被駭或是被盜用啊?
        那我現在是應該先移除掉小紅傘然後先裝AVG,avast
        或者是Panda掃毒是嗎?那相機卡也要插著掃嗎?
        另外請教高登大哥,以後要如何才能知道自己的電腦到底
        有沒有中毒?因為有時候防毒軟體不一定每個毒都會查的出來
        要如何自我檢查和防護呢?
        不好意思我對防毒方面實在不太懂還請高登大哥指教

        • 記憶卡先不要插,移除小紅傘裝其他防毒,掃毒,之後再插拔記憶卡,第一次一定會抓到毒,解毒後再移除記憶卡重插,如果不再跑出來中毒的訊息應該就是解掉了,還有也要檢查記憶卡裡面有沒有奇怪的檔案
          以上是處理的步驟,如果沒把握就花錢請人家處理,中毒有可能電腦裡面的資料會被偷,但是他們比較在意的是你的帳號密碼,因為可以用你的名義再去害別人,這些我都有很詳細的說明,你好好看完我的每一篇防毒教室裡面的文章應該會有很大的收穫

          • 高登大哥你好,我有換AVG防毒掃了一次電腦
            電腦裡有windows live\installer\msnpp.exe
            掃了相機卡發現有autorun.inf這個東西
            然後其他的幾片相機卡通通都中,
            有(DCIM.exe)
            (misc.exe)
            (RECYCLER\IFNO.exe)
            (COPY.EXE)
            (HOST.EXE)
            這幾個都是跟相機卡裡面資料夾相同名稱的
            還有一個是
            (RECYCLER\S-534228199522908240758988-
            879315005-3665\jwgkvsq.vmx)
            目前小弟通通都移到隔離區了
            移到隔離區後在重掃這些卡片都沒發現威脅了
            請問高登大哥接下來應該在如何處理?
            而高登大哥說的花錢請人處理是指哪一方面?
            另外有辦法知道說資料或照片是否有被盜用嗎?
            還有一點因為小弟的電腦配備不是很好,裝AVG
            有時電腦會變慢,再裝回小紅傘大哥覺得可以嗎?
            好多問題希望高登大哥勿見怪謝謝

          • 現在擔心資料有沒有被盜已經太晚了,請更改你所有的密碼以防上進一步的損害,至於防毒小紅傘既然跟你不合就不要再用了,建議你可以改用Panda
            http://cloudantivirus.com 這個舊電腦用也還不錯,我或許會再發文介紹,你不妨先用用看

高登 發表迴響取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料