刪除8tss2gwq.bat病毒的方法

正流行的8tss2gwq.bat

最近幾天總是有近百個搜尋「 8tss2gwq.bat」而找到高登工作室的流量,而我並沒有教大家怎麼殺這隻毒啊?原來是有人在這一篇小紅傘AntiVir使用篇 Part I的留言裡面留了這個檔名,所以搜尋引擎就「自然產生」這個「關鍵字」了,而每天有這麼多人有這樣子的需求表示這隻毒很猖狂,所以我特別找了一下資料,希望大家可以很順利的把這隻毒清掉。

這隻毒目前網友回報許多防毒程式都無法有效清除,這也是「 kavo」系列的變種病毒,而事實上「 8tss2gwq.bat」這個檔案只是中毒之後病毒所生出來的,並不是病毒檔的木本尊,而防毒程式抓不到本尊當然就會一直出現「 8tss2gwq.bat」中毒的警示了,我們就來看一下本尊到底藏在哪裡?

本尊現身

我們還是一樣的老方法:用「DOS dir/ah」來找,找一下「c:\windows\system32」裡面有:
c:\windows\system32\jwedsfdo1.dll
c:\windows\system32\kxvo0.dll
c:\windows\system32\kxvo.exe
c:\windows\system32\j3ewro.exe
然後在每一台磁碟機的根目錄下會再生出來
autorun.inf
8tss2gwq.bat
q0rppr.exe
都是一樣的原理啦,所以清除的步驟也一樣,我就寫了一個批次檔你將這些文字複製起來,然後在「DOS視窗」的標題列按【編輯】→【貼上】就OK啦,殺完記得重開機再執行一次(一定要兩次才殺的乾淨喔),看還會不會有警告視窗出現,如果沒有就是清掉了。

c:
cd \windows\system32
attrib -s -h -r kxvo*.*
del kxvo*.*
attrib -s -h -r jwed*.*
del jwed*.*
attrib -s -h -r j3*.*
del j3*.*
cd \
attrib -s -h -r autorun.inf
del autorun.inf
attrib -s -h -r 8t*.bat
del 8t*.bat
attrib -s -h -r 8px*.bat
del 8px*.bat
attrib -s -h -r *.cmd
del *.cmd
d:
cd \
attrib -s -h -r autorun.inf
del autorun.inf
attrib -s -h -r 8t*.bat
del 8t*.bat
attrib -s -h -r 8px*.bat
del 8px*.bat
attrib -s -h -r *.cmd
del *.cmd
attrib -s -h -r q0*.exe
del q0*.exe

善後處理

  1. 無法顯示隱藏檔請看:中毒後無法顯示隱藏檔
  2. 清除垃圾檔及登錄機碼中的病毒殘留請看:CCleaner 電腦清道夫
  3. 隨身碟拒絕存取請看:USB隨身碟讀不到,怎麼辦?

9/13更新:
新的檔名又出現8pxt8tdn.bat,所以將程式碼又加了這一個檔名。

21 則留言

  1. q0rppr.exe是病毒?如何清除

    版主回應:
    看檔名應該是病毒沒錯,一樣看檔案的位置在哪裡,然後下
    attrib -s -h -r q0rppr.exe
    del q0rppr.exe

  2. 謝謝版主,讓我學到寶貴的一課,在下之前在nova工作,後來幫朋友組裝電腦或是解毒,而解毒的方法只有從灌一途,沒想到最後連自己的工具都中毒了,很困擾的是連自己家裡的電腦全部都被感染了,病毒真可怕,而且之前電腦有做ghost還原技嘉主機板內建的,沒想到還是清不掉不知是為何?

    看了你的文章讓我又多學到一點^^目前剛生大一,在想人生的出路我讀的科系是資訊工程,不知是否會學到怎麼解毒?因為對電腦還蠻有興趣的,而且覺得還蠻實際的說~~!之前在工作中學到的只是對一些硬體的了解以及行銷,對於軟體部分還是一知半解,站長有及時通嗎?希望有空可以和您請教~~^^

    目前重的毒好像都是新型病毒,而且有顯示可是都不能移除,我自己是用avast的防毒軟體~~!
    請教一下謂何防毒軟體還會被人破解有破解版的??
    既然都有辦法破解了那防毒效果是否會令人懷疑?

    版主回應:
    所謂破解版的只是不想花錢買的方法,只要能更新效果是一樣的,
    還有我不用即時通,你多看我的文就知道我的好惡了,不要跟我說Yahoo

  3. 大大請問這要怎樣處理勒?

    我已經照上面說的做

    編輯>貼上

    他是跑了..但我看了一下

    kavo那邊寫存取被拒..感覺好像沒有弄掉..

    該怎麼做勒?

    版主回應:
    第一次會有檔案存取被拒,所以要重開機執行第二次

  4. 這樣光刪檔案有可能會刪不乾淨唷!!!
    登入檔也要處理才乾淨,不然過陣子他又出來搗蛋了!!
    提供個乾淨的步驟。^_^

    1、刪除的檔案前先去工作管理員關閉下列執行的EXE
    explorer.exe
    rundll32.exe
    iexplore.exe
    kavo.exe
    taso.exe
    poor.exe
    fly.exe

    2、關閉後來刪下列存在的檔案

    C:WINDOWSsystem32kavo.exe
    C:WINDOWSsystem32kavo*
    C:WINDOWSsystem32poor.exe
    C:WINDOWSpoor.exe
    C:WINDOWSsystem32poor32.dll
    C:WINDOWSpoor32.dll
    C:WINDOWSsystem32fly.exe
    C:WINDOWSfly.exe
    C:WINDOWSsystem32fly32.dll
    C:WINDOWSfly32.dll
    C:Documents and SettingsAdministratorLocal SettingsTemp*.dll
    C:Documents and SettingsAdministratorLocal SettingsTemptaso*
    C:WINDOWSTEMPtaso*
    C:WINDOWSTEMP*.dll
    

    3、regedit內移除下面的啟動(Run內)登錄項目名稱
    kava
    tasa

    4、執行這段reg 登錄檔
    內容:

    REGEDIT4
    
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
    "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51105"
    
    [HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
    "DebugOptions"="2048"
    "Documents"=""
    "DosPrint"="no"
    "load"=""
    "NetMessage"="no"
    "NullPort"="None"
    "Programs"="com exe bat pif cmd"
    
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
    
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
    

    5、一定要移除的登錄檔

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunkava
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunkava
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuntasa
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRuntasa
    

    6、每個硬碟根目錄下要刪除的檔案
    autorun.inf
    ntdelect.com

    以上提供給大家參考。^_^

    痾~我其實是要來打廣告的~XD

    敗家誌°
    http://blog.joytown.tw
    歡迎大家有空來看看。^_^

    版主回應:
    有一些資料在延伸閱讀裡面都有,所以沒再詳細說明了,因為毒每天都不一樣,小心一點才是上策

  5. 大大~謝謝~毒解完了,但是卻不能上網,解毒之前就不行了.

    版主回應:
    在DOS指令下netsh winsock reset,重開機
    如果還不行就是有一些系統檔被病毒破壞了,一時找不到資料,等我找到再發一篇文

  6. 版主我有看網路密技王 觀於刪除暫存資料夾遺毒與自動執行命令中的指令中
    c:
    cd \
    attrib -s -h -r autorun.inf
    del autorun.inf
    attrib -s -h -r t3.com
    del t3.com
    attrib -s -h -r *.cmb
    del *.cmb
    請問在其他磁碟機底下是否可執行
    attrib -s -h -r t3.com
    del t3.com
    attrib -s -h -r *.cmb
    del *.cmb
    這4行指令
    因為我怕隨便執行電腦會出問題所以來留言請教版主

    版主回應:
    這個沒有問題的,可是你的指令有錯喔,正確的應該是:
    attrib -s -h -r autorun.inf
    del autorun.inf
    attrib -s -h -r t3*.com
    del t3*.com
    attrib -s -h -r *.cmd
    del *.cmd

  7. 謝謝版主的回覆我把書拿出來看是書上有錯
    attrib -s -h -r t3*.com
    del t3*.com
    兩行指令都少印了*
    另外請教版主會在有新的變種病毒出來時提供殺毒的DOS指令給大家先拿來解決問題嗎

    版主回應:
    這個原理只有kavo系列有效,而且檔名一直在變,我會持續發文的

  8. 版主您好,拜讀了您之前有關解隨身碟毒的大作,學會了如何刪除autorun.inf,也自行建立了另一autorun.inf檔案先佔位,以防止被病毒再度寫入,而且在家裡使用一陣子都很正常,等拿到學校使用後卻又中毒了,而且先佔位的autorun.inf檔案內容被改寫,是open=xpq63xl.exe.....,看來自行建立另一autorun.inf檔案先佔位的方法已被攻破了。

    版主回應:
    終於被攻破了,所以大家要小心!沒有一種防毒程式或方法是永久有效的
    謝謝你的告知

  9. 各位好....不只是如此,本人亦曾試過DOS模式掃毒......真的中毒過的硬碟常會在病毒活躍處莫名其妙重開機....可見來歷不明的跟太吸引人的網頁常是中毒的來源處.....上次嘗試好像對系統區這類病毒很好用,但對影音檔卻常常會誤殺正常檔案喔!

    版主回應:
    你的影音檔該不會放在system32裡面吧

  10. 小弟在這裡有個問題想提出來。
    我看了這篇和利用dos來刪毒檔的文後,如法炮製的來刪我這次中的毒。
    症頭是在"我的電腦"裡點C、D或者其他碟,會出現"開啟檔檔"的對話框
    ,而不能進去。
    而我看了文章後,用DOS進去SYSTEM32裡
    attrib -s -h -r -a jwedsfdo0 ←(我這次中的檔,小紅傘刪不掉)
    del jwedsfdo0
    存取被拒。
    我想問的是這是怎麼回事?
    用手動刪會出現有人使用的對話框,這表示對方已經在我的電腦中使用這個檔了嗎?

    C:\>cd \windows\system32\

    C:\WINDOWS\system32>attrib -s -h -a -r jwed*.*

    C:\WINDOWS\system32>del jwed*.*
    C:\WINDOWS\system32\jwedsfdo0
    存取被拒。

    • 檔案第一次殺不掉是正常的,如果連第二次也殺不掉就是沒有找到真正在開機時載入的執行檔,病毒還在你的記憶體中,所以會殺不掉
      你可以先試試重開機按F8進安全模式用小紅傘掃看看能不能解掉
      不行的話再用這一篇的方法,不過這種方法是你要對DOS指令很熟能找到真正的病毒檔的位置才有用
      另外樓上Arno Ruan所留的一些登錄機碼的地方也看一下有什麼程式在開機時就自動載入了,以上提供給你參考

  11. 請問版主

    有個路人傳程式給我

    我下載下來開啟之後就好像中毒了

    從開機會出現DOS視窗 然後說C槽裡面的笨小孩.BAT失蹤還是怎樣的

    這個要怎麼解決阿? 可以幫我處理一下嗎

    • 那個跑到開機自動執行的地方,開始->執行msconfig來把笨小孩.bat關掉,但是你還是多看一下我寫的解毒文章吧,你裡面的毒沒有解掉這些動作都是白作的

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料