隨身碟怪怪的（疑似中毒）
 

我的隨身碟今天在更新軟體的時候出現了以下的問題...

1.隨身碟裡的檔案變成這樣：

重新整理後隱藏的檔案不見了，但如果設定成顯示隱藏的檔案就會再跑出來，重新整理後又不見了，顯示隱藏檔案的設定也變回不顯示...

2.點隨身碟裡任何一個資料夾會在新視窗顯示，而不是同一個視窗

3.退出隨身碟時，一直顯示隨身碟正在使用中

請大家幫幫忙，謝謝:on_28:

-----

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 下午 11:51:40, on 2012/2/17
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe
C:\Program Files\CyberLink\PowerDVD12\PowerDVD12Agent.exe
C:\Program Files\FlashGet Network\FlashGet 3\mxhelper.exe
D:\PPS.tv\PPStream\ppsap.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\Important\svchost.exe
C:\Windows\Explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [IME14 CHT Setup] C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PowerDVD12DMREngine] "C:\Program Files\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe"
O4 - HKLM\..\Run: [PowerDVD12Agent] "C:\Program Files\CyberLink\PowerDVD12\PowerDVD12Agent.exe"
O4 - HKLM\..\Run: [svchost] C:\Windows\system32\Important\svchost.exe
O4 - HKCU\..\Run: [FlashGetBHO] "C:\Program Files\FlashGet Network\FlashGet 3\mxhelper.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Administrator\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [PPS Accelerator] D:\PPS.tv\PPStream\ppsap.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: 使用快車3下載 - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\GetUrl.htm
O8 - Extra context menu item: 使用快車3下載全部鏈結 - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
O8 - Extra context menu item: 傳送至 OneNote(&N) - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: 透過Mipony下載 - file://C:\Program Files\MiPony\Browser\IEContext.htm
O9 - Extra button: 傳送至 OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: 傳送至 OneNote(&N) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote 連結筆記(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote 連結筆記(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D11F951-8BA6-4C0A-A5AF-053BA5544348}: NameServer = 8.8.8.8,8.8.4.4
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: CLHNServiceForPowerDVD12 - CyberLink Corp. - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMP\CLHNServer\CLHNServiceForPowerDVD12.exe
O23 - Service: CyberLink PowerDVD 12 Media Server Monitor Service - CyberLink - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMS\CLMSMonitorServicePDVD12.exe
O23 - Service: CyberLink PowerDVD 12 Media Server Service - CyberLink - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMS\CLMSServerPDVD12.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

--
End of file - 7508 bytes

這確定中毒 ...

1.修改隱藏當/系統檔檢視，會改回去。
2.有看到同，主檔名相同的兩種檔案，一個是 .exe 另一個是隱藏資料夾。


主檔名相同的兩種檔案，一個是 .exe 另一個是隱藏資料夾

隱藏資料夾的才是原來的正常檔案，那的 XXX.exe 是病毒檔，是一種用來偽裝
原來的資料夾，當你點選未中毒資料夾越多，這種偽裝的資料夾也越多 ...

根據使用手動的病毒移除工具的經驗，可以使用以下兩種來作清除。
請找 EFIX 跟 Dr.Web CureIt!® 手動清毒工具

這兩種工具試試看，可以的話進入安全模式作檢查。

getter 大介紹的這兩種都相當好用，但是 EFIX 似乎許久都沒再做更新了，而 Dr.Web CureIt! 每日都有在更新病毒庫，解毒能力也非常不錯喔！

比較典型的usb病毒
2樓已經介紹原理了
此病毒沒有什麽實質危害，比較偏向于惡搞型病毒

可以選擇不予理會，把exe全部刪除，然後隱藏文件恢復就可以

不建議『不予理會』的這個方式 ...

這個病毒，有極高機率會讓電腦變慢 ... 程式出現錯誤 ... 該程式有不明的後門功能 ...

隨身碟出現病毒檔案，加上樓主企圖取使用顯示隱藏檔檢視被病毒改回，檢視資料夾
被改成在開新視窗 ...，這表示 Windows 系統以被該病毒入侵，建議作使用上述工具
作詳盡的病毒檢測與移除。有疑慮者，可以多用幾套病毒檢測工具進行重複檢測 ...

若是仍有疑慮，請使用 PE 開機光碟開機，把所有的硬碟、隨身碟 '\' 目錄位址的
Autorun.inf 、隱藏起來的 *.exe、*.com、*.bat、*.cmd、*.vba、*.vbs
檔案刪除，再進行系統的重新安裝。

將隱藏的檔案刪除後它還會自己跑出來...

使用了getter大介紹的軟體後還是一樣..:on_72:

隱藏的檔案? 跟你一開始貼的照片一樣？

選擇檢視隱藏檔 ... 還會被改回去成不檢視嗎？

還有那個跟被病毒設定成隱藏的資料夾同名的 *.exe ?

如『文書』還有一個『文書.exe』

還有那個 *.exe 表示病毒並未清除乾淨，沒有的話只有隱藏的資料夾 ...

抱歉，病毒清除工具，不會去修改資料夾或是檔案屬性，要自己手動改回來 ...



有些被病毒修改的檢視方式、操作習慣也不會被修復 ... 這個部份也要手動改回
如，點隨身碟裡任何一個資料夾會在新視窗顯示，而不是同一個視窗



自己不確定的話在貼張圖上來 ...
--------------------------------------------------------------------
這個病毒是偽裝成為資料夾，被設定成隱藏的資料夾才是原本的資料夾 ...

這隻病毒要從檔案總管看是否為病毒，要有技巧，必須以詳細檢視的方式
在這個模式下，會列出檔案的大小與類型，資料夾在類型的地方為『檔案資料夾』不
會有大小 ... ，那個有與隱藏的資料夾的 *.exe 檔則有 105 KB，類型為『應用程式』
， 很明顯是病毒的偽裝檔案，以圖示去欺騙使用者以為是資料夾 ...



借你貼的圖一用





還有會有重複感染的問題，還有別隻隨身碟嗎 ？ 不把所有的隨身(硬)碟、主機硬碟、Windows
的病毒清乾淨的話一直重複反覆發作喔 ...

這一隻病毒除了利用 Autorun.inf 來載入外，亦利用偽裝成資料夾的病毒檔案來欺騙使用者點兩下
載入...，縱使用了某些方式徹底停用 Autorun.inf，還是會有被欺騙的風險，可以利用系統的檢視
副檔名、 檔案總管的『詳細資料』的檢視，只要看到這種的想一下大該就不容易被騙到 ...

噢... 今天開機就好了...

原來是要重新開機

謝謝getter大的解答:on_28:

有關重新開機的部份 ...

主要這些手動清除工具是有去刪除病毒在 Windows 登錄檔的一些設定
如被鎖定檢視隱藏檔功能程式、病毒載入點、病毒的註冊在服務的機制 ...

當 Windows 登錄檔有修改時，要有修改(修復)後的效果，大多數要重
新開機才會生效。