正流行的8tss2gwq.bat

最近幾天總是有近百個搜尋「 8tss2gwq.bat」而找到高登工作室的流量,而我並沒有教大家怎麼殺這隻毒啊?原來是有人在這一篇小紅傘AntiVir使用篇 Part I的留言裡面留了這個檔名,所以搜尋引擎就「自然產生」這個「關鍵字」了,而每天有這麼多人有這樣子的需求表示這隻毒很猖狂,所以我特別找了一下資料,希望大家可以很順利的把這隻毒清掉。

這隻毒目前網友回報許多防毒程式都無法有效清除,這也是「 kavo」系列的變種病毒,而事實上「 8tss2gwq.bat」這個檔案只是中毒之後病毒所生出來的,並不是病毒檔的木本尊,而防毒程式抓不到本尊當然就會一直出現「 8tss2gwq.bat」中毒的警示了,我們就來看一下本尊到底藏在哪裡?

本尊現身

我們還是一樣的老方法:用「DOS dir/ah」來找,找一下「c:\windows\system32」裡面有:
c:\windows\system32\jwedsfdo1.dll
c:\windows\system32\kxvo0.dll
c:\windows\system32\kxvo.exe
c:\windows\system32\j3ewro.exe
然後在每一台磁碟機的根目錄下會再生出來
autorun.inf
8tss2gwq.bat
q0rppr.exe
都是一樣的原理啦,所以清除的步驟也一樣,我就寫了一個批次檔你將這些文字複製起來,然後在「DOS視窗」的標題列按【編輯】→【貼上】就OK啦,殺完記得重開機再執行一次(一定要兩次才殺的乾淨喔),看還會不會有警告視窗出現,如果沒有就是清掉了。

c:
cd \windows\system32
attrib -s -h -r kxvo*.*
del kxvo*.*
attrib -s -h -r jwed*.*
del jwed*.*
attrib -s -h -r j3*.*
del j3*.*
cd \
attrib -s -h -r autorun.inf
del autorun.inf
attrib -s -h -r 8t*.bat
del 8t*.bat
attrib -s -h -r 8px*.bat
del 8px*.bat
attrib -s -h -r *.cmd
del *.cmd
d:
cd \
attrib -s -h -r autorun.inf
del autorun.inf
attrib -s -h -r 8t*.bat
del 8t*.bat
attrib -s -h -r 8px*.bat
del 8px*.bat
attrib -s -h -r *.cmd
del *.cmd
attrib -s -h -r q0*.exe
del q0*.exe

善後處理

  1. 無法顯示隱藏檔請看:中毒後無法顯示隱藏檔
  2. 清除垃圾檔及登錄機碼中的病毒殘留請看:CCleaner 電腦清道夫
  3. 隨身碟拒絕存取請看:USB隨身碟讀不到,怎麼辦?

9/13更新:
新的檔名又出現8pxt8tdn.bat,所以將程式碼又加了這一個檔名。