隨身碟怪怪的(疑似中毒)
我的隨身碟今天在更新軟體的時候出現了以下的問題...
1.隨身碟裡的檔案變成這樣: 重新整理後隱藏的檔案不見了,但如果設定成顯示隱藏的檔案就會再跑出來,重新整理後又不見了,顯示隱藏檔案的設定也變回不顯示... 2.點隨身碟裡任何一個資料夾會在新視窗顯示,而不是同一個視窗 3.退出隨身碟時,一直顯示隨身碟正在使用中 請大家幫幫忙,謝謝:on_28: ----- Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 下午 11:51:40, on 2012/2/17 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16421) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskhost.exe C:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe C:\Program Files\CyberLink\PowerDVD12\PowerDVD12Agent.exe C:\Program Files\FlashGet Network\FlashGet 3\mxhelper.exe D:\PPS.tv\PPStream\ppsap.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Windows\system32\Important\svchost.exe C:\Windows\Explorer.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Administrator\Desktop\HijackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [IME14 CHT Setup] C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [PowerDVD12DMREngine] "C:\Program Files\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe" O4 - HKLM\..\Run: [PowerDVD12Agent] "C:\Program Files\CyberLink\PowerDVD12\PowerDVD12Agent.exe" O4 - HKLM\..\Run: [svchost] C:\Windows\system32\Important\svchost.exe O4 - HKCU\..\Run: [FlashGetBHO] "C:\Program Files\FlashGet Network\FlashGet 3\mxhelper.exe" O4 - HKCU\..\Run: [Google Update] "C:\Users\Administrator\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [PPS Accelerator] D:\PPS.tv\PPStream\ppsap.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O8 - Extra context menu item: 使用快車3下載 - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\GetUrl.htm O8 - Extra context menu item: 使用快車3下載全部鏈結 - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\GetAllUrl.htm O8 - Extra context menu item: 傳送至 OneNote(&N) - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105 O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000 O8 - Extra context menu item: 透過Mipony下載 - file://C:\Program Files\MiPony\Browser\IEContext.htm O9 - Extra button: 傳送至 OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra 'Tools' menuitem: 傳送至 OneNote(&N) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra button: OneNote 連結筆記(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: OneNote 連結筆記(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O15 - ESC Trusted Zone: http://*.update.microsoft.com O17 - HKLM\System\CCS\Services\Tcpip\..\{1D11F951-8BA6-4C0A-A5AF-053BA5544348}: NameServer = 8.8.8.8,8.8.4.4 O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: CLHNServiceForPowerDVD12 - CyberLink Corp. - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMP\CLHNServer\CLHNServiceForPowerDVD12.exe O23 - Service: CyberLink PowerDVD 12 Media Server Monitor Service - CyberLink - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMS\CLMSMonitorServicePDVD12.exe O23 - Service: CyberLink PowerDVD 12 Media Server Service - CyberLink - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMS\CLMSServerPDVD12.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe -- End of file - 7508 bytes |
這確定中毒 ...
1.修改隱藏當/系統檔檢視,會改回去。 2.有看到同,主檔名相同的兩種檔案,一個是 .exe 另一個是隱藏資料夾。 主檔名相同的兩種檔案,一個是 .exe 另一個是隱藏資料夾 隱藏資料夾的才是原來的正常檔案,那的 XXX.exe 是病毒檔,是一種用來偽裝 原來的資料夾,當你點選未中毒資料夾越多,這種偽裝的資料夾也越多 ... 根據使用手動的病毒移除工具的經驗,可以使用以下兩種來作清除。 請找 EFIX 跟 Dr.Web CureIt!® 手動清毒工具 這兩種工具試試看,可以的話進入安全模式作檢查。 |
引用:
|
比較典型的usb病毒
2樓已經介紹原理了 此病毒沒有什麽實質危害,比較偏向于惡搞型病毒 可以選擇不予理會,把exe全部刪除,然後隱藏文件恢復就可以 |
不建議『不予理會』的這個方式 ...
這個病毒,有極高機率會讓電腦變慢 ... 程式出現錯誤 ... 該程式有不明的後門功能 ... 隨身碟出現病毒檔案,加上樓主企圖取使用顯示隱藏檔檢視被病毒改回,檢視資料夾 被改成在開新視窗 ...,這表示 Windows 系統以被該病毒入侵,建議作使用上述工具 作詳盡的病毒檢測與移除。有疑慮者,可以多用幾套病毒檢測工具進行重複檢測 ... 若是仍有疑慮,請使用 PE 開機光碟開機,把所有的硬碟、隨身碟 '\' 目錄位址的 Autorun.inf 、隱藏起來的 *.exe、*.com、*.bat、*.cmd、*.vba、*.vbs 檔案刪除,再進行系統的重新安裝。 |
將隱藏的檔案刪除後它還會自己跑出來...
使用了getter大介紹的軟體後還是一樣..:on_72: |
引用:
選擇檢視隱藏檔 ... 還會被改回去成不檢視嗎? 還有那個跟被病毒設定成隱藏的資料夾同名的 *.exe ? 如『文書』還有一個『文書.exe』 還有那個 *.exe 表示病毒並未清除乾淨,沒有的話只有隱藏的資料夾 ... 抱歉,病毒清除工具,不會去修改資料夾或是檔案屬性,要自己手動改回來 ... 有些被病毒修改的檢視方式、操作習慣也不會被修復 ... 這個部份也要手動改回 如,點隨身碟裡任何一個資料夾會在新視窗顯示,而不是同一個視窗 自己不確定的話在貼張圖上來 ... -------------------------------------------------------------------- 這個病毒是偽裝成為資料夾,被設定成隱藏的資料夾才是原本的資料夾 ... 這隻病毒要從檔案總管看是否為病毒,要有技巧,必須以詳細檢視的方式 在這個模式下,會列出檔案的大小與類型,資料夾在類型的地方為『檔案資料夾』不 會有大小 ... ,那個有與隱藏的資料夾的 *.exe 檔則有 105 KB,類型為『應用程式』 , 很明顯是病毒的偽裝檔案,以圖示去欺騙使用者以為是資料夾 ... 借你貼的圖一用 還有會有重複感染的問題,還有別隻隨身碟嗎 ? 不把所有的隨身(硬)碟、主機硬碟、Windows 的病毒清乾淨的話一直重複反覆發作喔 ... 這一隻病毒除了利用 Autorun.inf 來載入外,亦利用偽裝成資料夾的病毒檔案來欺騙使用者點兩下 載入...,縱使用了某些方式徹底停用 Autorun.inf,還是會有被欺騙的風險,可以利用系統的檢視 副檔名、 檔案總管的『詳細資料』的檢視,只要看到這種的想一下大該就不容易被騙到 ... |
引用:
原來是要重新開機 謝謝getter大的解答:on_28: |
引用:
主要這些手動清除工具是有去刪除病毒在 Windows 登錄檔的一些設定 如被鎖定檢視隱藏檔功能程式、病毒載入點、病毒的註冊在服務的機制 ... 當 Windows 登錄檔有修改時,要有修改(修復)後的效果,大多數要重 新開機才會生效。 |
所有時間均為台北時間。現在的時間是 06:25 AM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *