史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)
-   -   隨身碟出現莫名其妙的資料夾(中毒) (http://forum.slime.com.tw/thread268179.html)

絕地學徒 2011-11-18 07:31 AM
隨身碟出現莫名其妙的資料夾(中毒)
 
之前在系上工作時 隨身碟中了怪怪的毒 :(

如下圖1 多出了smgbre資料夾和AUTORUN

而smgbre資料夾打開後有個怪圖示mjenjac 如圖2

每次剛插入USB 彈出的選擇視窗就會多了一個用怪圖示mjenjac來開啟資料夾

如果選下去的話 隨身碟就抓不到了:on_03:

我用殺KAVO的程式殺過還是一樣:on_77:

我網路找不到相關資訊 懇請版上高手幫我解答:on_64:


圖1

http://img140.imageshack.us/img140/115/16606556.png

圖2

http://img26.imageshack.us/img26/873/43630756.png

附上HijackThis的掃瞄結果

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 下午 02:04:14, on 2011/11/5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\easyMule\eMule.exe
C:\Program Files\Common Files\Panasonic\PHOTOfunSTUDIO AutoStart\AutoStartupService.exe
C:\WINDOWS\system32\conime.exe
D:\== 新程式 ==\HijackThis\HijackThis.exe

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: IE2EMBHO Class - {0A0DDBD3-6641-40B9-873F-BBDD26D6C14E} - C:\Program Files\easyMule\modules\IE2EM.dll
O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: Yahoo!奇摩捷徑列 - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\easyMule\eMule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Google 網頁註解... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O8 - Extra context menu item: 使用電驢下載 - C:\Program Files\easyMule\IE2EM.htm
O8 - Extra context menu item: 剪貼簿文字: 簡 > 繁 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/ClipToTrad
O8 - Extra context menu item: 剪貼簿文字: 繁 > 簡 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/ClipToSim
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 網頁: [簡體] 顯示 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/PageToSim
O8 - Extra context menu item: 網頁: [繁體] 顯示 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/PageToTrad
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://*.gogobox.com.tw (HKLM)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos...ineScanner.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 5828 bytes

wlk3773208 2012-01-31 11:21 PM
不要一看見autorun 就以為是中病毒
不是病毒

getter 2012-02-01 08:24 PM
用文字編輯器看看 autorun.inf 就知道了 ...

一般來說刻意用隱藏檔通常是病毒比較多 ...

但光碟片與U3隨身碟上面就不一定了,這通常是正常的程式 ...

試著用 EFIX大蜘蛛檢測看看

crd1871 2012-02-02 03:38 AM
嗯,迪西大說的沒錯,不認識的隱藏檔幾乎都是病毒較多說...

wlk3773208 2012-02-07 03:14 PM
如果說autorun.inf是病毒
那麼一定是隱藏屬性
可看圖 並非隱藏

getter 2012-02-09 11:03 PM
autorun.inf 本身不是病毒 ...

而是本身的內容,所指向開啟檔案,才是『 是否為病毒的關鍵 』 ...

設定成為隱藏檔,只是為了避面被發現,有的會一併鎖定一些系統功能,
如:禁止檢視隱藏檔及系統檔案,禁用登錄編輯器。

這樣想要透果修改一些規則來檢視檔案時,怎麼改都會看不到隱藏檔,那些項目
明明改了,病毒會自動改回去。

當然有些是把病毒檔案藏身在如 \Recycle 中,以規避被發現,如防毒軟體。

有些病毒是不隱藏的,而是取代原有的系統檔案或是資料夾。表面上看起來無異狀
透過一些 PE 開機光碟就可以很容易看出端倪,明明是 Windows 資料夾,被設成
隱藏檔,還多出了一個 Windwos.exe 檔案,擺明了就是病毒。

不同的 autorun.inf 病毒,有不同的現象,只能透過多套防毒軟體、多種線上掃毒確認。或是
發 E-mail 給常用的防毒軟體公司,請他們幫你鑑定。

依據樓主的圖,可以看出該檔案是隱藏檔,只是被設定成可以檢視隱藏/系統檔案的方式檢視。


autorun.inf 的自動執行功能,原本是給光碟片使用的,後來發現硬碟或隨身碟也能用,就被
一些人拿來作為載入電腦病毒的手段 ...

2009/8/24 的 Windows XP/Vista 有一個更新檔 KB971029 ,就是跟這個 autorun.inf 有關的,迪西推測應該是
關閉硬碟或隨身碟 autorun.inf 功能。

http://support.microsoft.com/kb/971029/zh-tw

wlk3773208 2012-02-10 05:39 PM
u盤木馬病毒,一定要有autorun.inf
你自己也說了要有指向,這個autorun.inf就是指向 再無其他辦法了
否則是不能運行的,除非用戶自己去主動的點

getter 2012-02-10 06:03 PM
嗤 ... 嗤 ... 嗤 ...

利用這種功能與病毒主程式合在一起產生作用,就算是病毒了 ...

多數的防毒軟體的處裡方式,只要是硬碟、隨身碟上面的 \ 的位置有,就殺無赦


所有時間均為台北時間。現在的時間是 08:53 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1