PTT數位生活區 / AntiVirus (防毒)

[分享] 最近的隨身碟變種解法

看板AntiVirus (防毒)作者 (show more we can do)時間17年前 (2009/03/10 14:39), 編輯推噓4(4014)
留言18則, 6人參與, 最新討論串1/3 (看更多)
大致上會出現以下幾種狀態 1.隨身碟出現隱藏資料夾 ex A變成A隱藏 並出現A的執行檔 點下去A的執行檔就中毒 手動刪除A的執行檔也中毒 2.出現{{{或是}}}的資料夾 3.system32出現三個隱藏資料夾 2009/03/05最新版的EF會刪除其中一個BE19**(四個數字) 但是另外兩個不會刪除 一個叫做AD**** 另外一個叫做****A 這三個資料夾我認為都是病毒 不過EF似乎只確認其中一個是病毒 dllcache應該是正確的資料夾 4.會出現recycle.exe 而且圖示跟"真的"一樣 5.(這點不太確定) RECYCLER System Volume Information 會出現tracking跟 跟RP*(數字一堆 從個位數到10位數都有) 裡面放滿有的沒的一串dll跟雜七雜八 什麼snapshot之類的 刪除也會出現 目前無解 不確定是不是病毒 6.windows有一個QTFont.qfn system32有一個wpa.dbl 這兩個我也沒辦法確定是不是毒 目前大部分的資料我都是用最新版的unlocker刪光光 有誤或有其他建議心得也歡迎分享討論:) -- http://tw.youtube.com/watch?v=L1wXxQ0zbgk The World Is Not Enough -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.221.173.34 ※ 編輯: Attui 來自: 61.221.173.34 (03/10 14:40)
03/10 15:06, , 1F
這隻病毒處理過,因為WOWUSB已經擋不下了,所以改用病毒防禦
03/10 15:06, 1F
03/10 15:06, , 2F
哪個 @@?
03/10 15:06, 2F
03/10 15:07, , 3F
者,卸載服務後強制刪除,在system有隨機的大於數字檔案夾,
03/10 15:07, 3F
03/10 15:08, , 4F
刪除之後再查詢所有啟動項目,確定沒事之後再用ccleaner刪除
03/10 15:08, 4F
03/10 15:08, , 5F
棄置的機碼,再使用efix和combofix再掃一次。
03/10 15:08, 5F
03/10 15:27, , 6F
5.的[System Volume Information]是系統還原
03/10 15:27, 6F
03/10 15:27, , 7F
[RECYCLER]是資原回收筒
03/10 15:27, 7F
03/10 15:27, , 8F
上面那個關掉系統還原就好,下面那個可以刪 不過只要下次
03/10 15:27, 8F
03/10 15:28, , 9F
你有在那個磁碟機底下刪過東西就會再出現
03/10 15:28, 9F
03/10 16:07, , 10F
@@ 我一直以為我關閉系統還原了 請問怎麼關閉 ?
03/10 16:07, 10F
03/10 16:55, , 11F
請問一下 一直出現exe要怎麼解決呢?
03/10 16:55, 11F
03/10 16:58, , 12F
回樓上上,我的電腦上按右鍵>內容>系統還原
03/10 16:58, 12F
03/10 17:18, , 13F
這和kavo沒有關係啦...一個用de..什麼寫得忘了大概,這個用
03/10 17:18, 13F
03/10 17:19, , 14F
E語言寫的.
03/10 17:19, 14F
03/10 17:20, , 15F
kavo之所以叫kavo是因為他所建立的惡意程式檔案名稱一直取
03/10 17:20, 15F
03/10 17:21, , 16F
名kavo.exe所以叫kavo.
03/10 17:21, 16F
03/10 18:07, , 17F
不好意思 對病毒不是很懂 XD
03/10 18:07, 17F
03/10 18:24, , 18F
已修正 謝謝j大分享 <(_ _)>
03/10 18:24, 18F
更多 Attui 的文章
文章代碼(AID): #19jWiHbY (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 Attui 的文章
文章代碼(AID): #19jWiHbY (AntiVirus)