史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2011-11-18, 07:31 AM   #1
絕地學徒
長老會員
榮譽勳章
UID - 218484
在線等級: 級別:18 | 在線時長:434小時 | 升級還需:3小時級別:18 | 在線時長:434小時 | 升級還需:3小時級別:18 | 在線時長:434小時 | 升級還需:3小時
註冊日期: 2005-12-24
住址: 絕地議會
文章: 250
精華: 0
現金: 476 金幣
資產: 33087 金幣
預設 求助 - 隨身碟出現莫名其妙的資料夾(中毒)

之前在系上工作時 隨身碟中了怪怪的毒

如下圖1 多出了smgbre資料夾和AUTORUN

而smgbre資料夾打開後有個怪圖示mjenjac 如圖2

每次剛插入USB 彈出的選擇視窗就會多了一個用怪圖示mjenjac來開啟資料夾

如果選下去的話 隨身碟就抓不到了

我用殺KAVO的程式殺過還是一樣

我網路找不到相關資訊 懇請版上高手幫我解答


圖1

http://img140.imageshack.us/img140/115/16606556.png

圖2

http://img26.imageshack.us/img26/873/43630756.png

附上HijackThis的掃瞄結果

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 下午 02:04:14, on 2011/11/5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\easyMule\eMule.exe
C:\Program Files\Common Files\Panasonic\PHOTOfunSTUDIO AutoStart\AutoStartupService.exe
C:\WINDOWS\system32\conime.exe
D:\== 新程式 ==\HijackThis\HijackThis.exe

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: IE2EMBHO Class - {0A0DDBD3-6641-40B9-873F-BBDD26D6C14E} - C:\Program Files\easyMule\modules\IE2EM.dll
O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: Yahoo!奇摩捷徑列 - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\easyMule\eMule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Google 網頁註解... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O8 - Extra context menu item: 使用電驢下載 - C:\Program Files\easyMule\IE2EM.htm
O8 - Extra context menu item: 剪貼簿文字: 簡 > 繁 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/ClipToTrad
O8 - Extra context menu item: 剪貼簿文字: 繁 > 簡 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/ClipToSim
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 網頁: [簡體] 顯示 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/PageToSim
O8 - Extra context menu item: 網頁: [繁體] 顯示 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/PageToTrad
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://*.gogobox.com.tw (HKLM)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos...ineScanner.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 5828 bytes

此帖於 2011-11-19 09:35 AM 被 不飛 編輯.
__________________
http://img101.imageshack.us/img101/7155/pjtj3yy.jpg

~~願原力與我同在~~
絕地學徒 目前離線  
送花文章: 266, 收花文章: 93 篇, 收花: 178 次
回覆時引用此帖
舊 2012-01-31, 11:21 PM   #2 (permalink)
註冊會員
 
wlk3773208 的頭像
榮譽勳章
UID - 345083
在線等級: 級別:3 | 在線時長:25小時 | 升級還需:7小時級別:3 | 在線時長:25小時 | 升級還需:7小時級別:3 | 在線時長:25小時 | 升級還需:7小時
註冊日期: 2011-02-01
文章: 165
精華: 0
現金: 377 金幣
資產: 557 金幣
預設

不要一看見autorun 就以為是中病毒
不是病毒
wlk3773208 目前離線  
送花文章: 0, 收花文章: 131 篇, 收花: 282 次
回覆時引用此帖
舊 2012-02-01, 08:24 PM   #3 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

用文字編輯器看看 autorun.inf 就知道了 ...

一般來說刻意用隱藏檔通常是病毒比較多 ...

但光碟片與U3隨身碟上面就不一定了,這通常是正常的程式 ...

試著用 EFIX大蜘蛛檢測看看
__________________
在「專業主討論區」中的問題解決後,要記得按一下 http://forum.slime.com.tw/images/stamps/is_solved.gif 按鈕喔,
這是一種禮貌動作。

一樣是在「專業主討論區」中發問,不管問題解決與否,都要回應別人的回答文喔。
不然搞 [斷頭文],只看不回應,下次被別人列入黑名單就不要怪人喔。

天線寶寶說再見啦~ ... 天線寶寶說再見啦~

迪西:「再見~ 再見~」

Otaku Culture Party 關心您 ...
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
有 2 位會員向 getter 送花:
a471 (2012-02-01),grc45 (2012-02-02)
感謝您發表一篇好文章
舊 2012-02-02, 03:38 AM   #4 (permalink)
管理版主
 
crd1871 的頭像
榮譽勳章
UID - 2270
在線等級: 級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時級別:263 | 在線時長:70675小時 | 升級還需:77小時
註冊日期: 2002-12-06
住址: 星座命理討論區
文章: 30399
現金: 3952 金幣
資產: 758023952 金幣
預設

嗯,迪西大說的沒錯,不認識的隱藏檔幾乎都是病毒較多說...
__________________
http://i237.photobucket.com/albums/ff285/crd1871/7840e0b9.jpg
crd1871 目前離線  
送花文章: 1430, 收花文章: 15557 篇, 收花: 77760 次
回覆時引用此帖
向 crd1871 送花的會員:
a471 (2012-02-02)
感謝您發表一篇好文章
舊 2012-02-07, 03:14 PM   #5 (permalink)
註冊會員
 
wlk3773208 的頭像
榮譽勳章
UID - 345083
在線等級: 級別:3 | 在線時長:25小時 | 升級還需:7小時級別:3 | 在線時長:25小時 | 升級還需:7小時級別:3 | 在線時長:25小時 | 升級還需:7小時
註冊日期: 2011-02-01
文章: 165
精華: 0
現金: 377 金幣
資產: 557 金幣
預設

如果說autorun.inf是病毒
那麼一定是隱藏屬性
可看圖 並非隱藏
wlk3773208 目前離線  
送花文章: 0, 收花文章: 131 篇, 收花: 282 次
回覆時引用此帖
舊 2012-02-09, 11:03 PM   #6 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

autorun.inf 本身不是病毒 ...

而是本身的內容,所指向開啟檔案,才是『 是否為病毒的關鍵 』 ...

設定成為隱藏檔,只是為了避面被發現,有的會一併鎖定一些系統功能,
如:禁止檢視隱藏檔及系統檔案,禁用登錄編輯器。

這樣想要透果修改一些規則來檢視檔案時,怎麼改都會看不到隱藏檔,那些項目
明明改了,病毒會自動改回去。

當然有些是把病毒檔案藏身在如 \Recycle 中,以規避被發現,如防毒軟體。

有些病毒是不隱藏的,而是取代原有的系統檔案或是資料夾。表面上看起來無異狀
透過一些 PE 開機光碟就可以很容易看出端倪,明明是 Windows 資料夾,被設成
隱藏檔,還多出了一個 Windwos.exe 檔案,擺明了就是病毒。

不同的 autorun.inf 病毒,有不同的現象,只能透過多套防毒軟體、多種線上掃毒確認。或是
發 E-mail 給常用的防毒軟體公司,請他們幫你鑑定。

依據樓主的圖,可以看出該檔案是隱藏檔,只是被設定成可以檢視隱藏/系統檔案的方式檢視。


autorun.inf 的自動執行功能,原本是給光碟片使用的,後來發現硬碟或隨身碟也能用,就被
一些人拿來作為載入電腦病毒的手段 ...

2009/8/24 的 Windows XP/Vista 有一個更新檔 KB971029 ,就是跟這個 autorun.inf 有關的,迪西推測應該是
關閉硬碟或隨身碟 autorun.inf 功能。

http://support.microsoft.com/kb/971029/zh-tw

此帖於 2012-02-10 12:41 AM 被 getter 編輯.
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
有 2 位會員向 getter 送花:
a471 (2012-02-10),古里特 (2012-02-13)
感謝您發表一篇好文章
舊 2012-02-10, 05:39 PM   #7 (permalink)
註冊會員
 
wlk3773208 的頭像
榮譽勳章
UID - 345083
在線等級: 級別:3 | 在線時長:25小時 | 升級還需:7小時級別:3 | 在線時長:25小時 | 升級還需:7小時級別:3 | 在線時長:25小時 | 升級還需:7小時
註冊日期: 2011-02-01
文章: 165
精華: 0
現金: 377 金幣
資產: 557 金幣
預設

u盤木馬病毒,一定要有autorun.inf
你自己也說了要有指向,這個autorun.inf就是指向 再無其他辦法了
否則是不能運行的,除非用戶自己去主動的點
wlk3773208 目前離線  
送花文章: 0, 收花文章: 131 篇, 收花: 282 次
回覆時引用此帖
舊 2012-02-10, 06:03 PM   #8 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

嗤 ... 嗤 ... 嗤 ...

利用這種功能與病毒主程式合在一起產生作用,就算是病毒了 ...

多數的防毒軟體的處裡方式,只要是硬碟、隨身碟上面的 \ 的位置有,就殺無赦
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
向 getter 送花的會員:
a471 (2012-02-11)
感謝您發表一篇好文章
發文 回覆


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
莫名其妙的第三方IE toolbar(seach)工作列 psac 作業系統操作技術文件 1 2004-08-18 11:18 AM
硬碟裡突然出現一些檔名很怪的資料夾...砍不掉... 倫仔 軟體應用問題討論區 1 2004-07-27 12:36 AM
如何使檔案總管的資料夾一出現就是詳細資料 kikiy 一般電腦疑難討論區 2 2003-11-13 01:40 PM
我的電腦當機以後,就出現"CG Cache"的資料夾 penny50514 軟體應用問題討論區 2 2003-05-06 12:09 AM
電腦桌面出現"這不是有效徢徑"的資料夾 燕子 軟體應用問題討論區 1 2003-03-29 02:47 AM


所有時間均為台北時間。現在的時間是 10:31 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2018, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1