求助 - 隨身碟怪怪的（疑似中毒）

[john860504]

--------------------
閱讀本主題的最佳解答
--------------------


我的隨身碟今天在更新軟體的時候出現了以下的問題...

1.隨身碟裡的檔案變成這樣：

重新整理後隱藏的檔案不見了，但如果設定成顯示隱藏的檔案就會再跑出來，重新整理後又不見了，顯示隱藏檔案的設定也變回不顯示...

2.點隨身碟裡任何一個資料夾會在新視窗顯示，而不是同一個視窗

3.退出隨身碟時，一直顯示隨身碟正在使用中

請大家幫幫忙，謝謝

-----

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 下午 11:51:40, on 2012/2/17
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe
C:\Program Files\CyberLink\PowerDVD12\PowerDVD12Agent.exe
C:\Program Files\FlashGet Network\FlashGet 3\mxhelper.exe
D:\PPS.tv\PPStream\ppsap.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\Important\svchost.exe
C:\Windows\Explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [IME14 CHT Setup] C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PowerDVD12DMREngine] "C:\Program Files\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe"
O4 - HKLM\..\Run: [PowerDVD12Agent] "C:\Program Files\CyberLink\PowerDVD12\PowerDVD12Agent.exe"
O4 - HKLM\..\Run: [svchost] C:\Windows\system32\Important\svchost.exe
O4 - HKCU\..\Run: [FlashGetBHO] "C:\Program Files\FlashGet Network\FlashGet 3\mxhelper.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Administrator\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [PPS Accelerator] D:\PPS.tv\PPStream\ppsap.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: 使用快車3下載 - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\GetUrl.htm
O8 - Extra context menu item: 使用快車3下載全部鏈結 - C:\Users\Administrator\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
O8 - Extra context menu item: 傳送至 OneNote(&N) - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: 透過Mipony下載 - file://C:\Program Files\MiPony\Browser\IEContext.htm
O9 - Extra button: 傳送至 OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: 傳送至 OneNote(&N) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote 連結筆記(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote 連結筆記(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D11F951-8BA6-4C0A-A5AF-053BA5544348}: NameServer = 8.8.8.8,8.8.4.4
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: CLHNServiceForPowerDVD12 - CyberLink Corp. - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMP\CLHNServer\CLHNServiceForPowerDVD12.exe
O23 - Service: CyberLink PowerDVD 12 Media Server Monitor Service - CyberLink - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMS\CLMSMonitorServicePDVD12.exe
O23 - Service: CyberLink PowerDVD 12 Media Server Service - CyberLink - C:\Program Files\CyberLink\PowerDVD12\Kernel\DMS\CLMSServerPDVD12.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

--
End of file - 7508 bytes

[getter]

這確定中毒 ...

1.修改隱藏當/系統檔檢視，會改回去。
2.有看到同，主檔名相同的兩種檔案，一個是 .exe 另一個是隱藏資料夾。


主檔名相同的兩種檔案，一個是 .exe 另一個是隱藏資料夾

隱藏資料夾的才是原來的正常檔案，那的 XXX.exe 是病毒檔，是一種用來偽裝
原來的資料夾，當你點選未中毒資料夾越多，這種偽裝的資料夾也越多 ...

根據使用手動的病毒移除工具的經驗，可以使用以下兩種來作清除。
請找 EFIX 跟 Dr.Web CureIt!® 手動清毒工具

這兩種工具試試看，可以的話進入安全模式作檢查。

[丹楓]

引用:

作者: getter

這確定中毒 ...

1.修改隱藏當/系統檔檢視，會改回去。
2.有看到同，主檔名相同的兩種檔案，一個是 .exe 另一個是隱藏資料夾。


主檔名相同的兩種檔案，一個是 .exe 另一個是隱藏資料夾

隱藏資料夾的才是原來的正常檔案，那的 XXX.exe 是病毒檔，是一種用來偽裝
原來的資料夾，當你點選未中毒資料夾越多，這種偽裝的資料夾也越多 ...

根據使用手動的病毒移除工具的經驗，可以使用以下兩種來作清除。
請找 EFIX 跟 Dr.Web CureIt!® 手動清毒工具

這兩種工具試試看，可以的話進入安全模式作檢查。

getter 大介紹的這兩種都相當好用，但是 EFIX 似乎許久都沒再做更新了，而 Dr.Web CureIt! 每日都有在更新病毒庫，解毒能力也非常不錯喔！

[wlk3773208]

比較典型的usb病毒
2樓已經介紹原理了
此病毒沒有什麽實質危害，比較偏向于惡搞型病毒

可以選擇不予理會，把exe全部刪除，然後隱藏文件恢復就可以

[getter]

不建議『不予理會』的這個方式 ...

這個病毒，有極高機率會讓電腦變慢 ... 程式出現錯誤 ... 該程式有不明的後門功能 ...

隨身碟出現病毒檔案，加上樓主企圖取使用顯示隱藏檔檢視被病毒改回，檢視資料夾
被改成在開新視窗 ...，這表示 Windows 系統以被該病毒入侵，建議作使用上述工具
作詳盡的病毒檢測與移除。有疑慮者，可以多用幾套病毒檢測工具進行重複檢測 ...

若是仍有疑慮，請使用 PE 開機光碟開機，把所有的硬碟、隨身碟 '\' 目錄位址的
Autorun.inf 、隱藏起來的 *.exe、*.com、*.bat、*.cmd、*.vba、*.vbs
檔案刪除，再進行系統的重新安裝。

[john860504]

將隱藏的檔案刪除後它還會自己跑出來...

使用了getter大介紹的軟體後還是一樣..

[getter]

引用:

作者: john860504

將隱藏的檔案刪除後它還會自己跑出來...

使用了getter大介紹的軟體後還是一樣..

隱藏的檔案? 跟你一開始貼的照片一樣？

選擇檢視隱藏檔 ... 還會被改回去成不檢視嗎？

還有那個跟被病毒設定成隱藏的資料夾同名的 *.exe ?

如『文書』還有一個『文書.exe』

還有那個 *.exe 表示病毒並未清除乾淨，沒有的話只有隱藏的資料夾 ...

抱歉，病毒清除工具，不會去修改資料夾或是檔案屬性，要自己手動改回來 ...



有些被病毒修改的檢視方式、操作習慣也不會被修復 ... 這個部份也要手動改回
如，點隨身碟裡任何一個資料夾會在新視窗顯示，而不是同一個視窗



自己不確定的話在貼張圖上來 ...
--------------------------------------------------------------------
這個病毒是偽裝成為資料夾，被設定成隱藏的資料夾才是原本的資料夾 ...

這隻病毒要從檔案總管看是否為病毒，要有技巧，必須以詳細檢視的方式
在這個模式下，會列出檔案的大小與類型，資料夾在類型的地方為『檔案資料夾』不
會有大小 ... ，那個有與隱藏的資料夾的 *.exe 檔則有 105 KB，類型為『應用程式』
， 很明顯是病毒的偽裝檔案，以圖示去欺騙使用者以為是資料夾 ...



借你貼的圖一用





還有會有重複感染的問題，還有別隻隨身碟嗎 ？ 不把所有的隨身(硬)碟、主機硬碟、Windows
的病毒清乾淨的話一直重複反覆發作喔 ...

這一隻病毒除了利用 Autorun.inf 來載入外，亦利用偽裝成資料夾的病毒檔案來欺騙使用者點兩下
載入...，縱使用了某些方式徹底停用 Autorun.inf，還是會有被欺騙的風險，可以利用系統的檢視
副檔名、 檔案總管的『詳細資料』的檢視，只要看到這種的想一下大該就不容易被騙到 ...

[john860504]

引用:

作者: getter

隱藏的檔案? 跟你一開始貼的照片一樣？

選擇檢視隱藏檔 ... 還會被改回去成不檢視嗎？

還有那個跟被病毒設定成隱藏的資料夾同名的 *.exe ?

如『文書』還有一個『文書.exe』

還有那個 *.exe 表示病毒並未清除乾淨，沒有的話只有隱藏的資料夾 ...

抱歉，病毒清除工具，不會去修改資料夾或是檔案屬性，要自己手動改回來 ...



有些被病毒修改的檢視方式、操作習慣也不會被修復 ... 這個部份也要手動改回
如，點隨身碟裡任何一個資料夾會在新視窗顯示，而不是同一個視窗



自己不確定的話在貼張圖上來 ...
--------------------------------------------------------------------
這個病毒是偽裝成為資料夾，被設定成隱藏的資料夾才是原本的資料夾 ...

這隻病毒要從檔案總管看是否為病毒，要有技巧，必須以詳細檢視的方式
在這個模式下，會列出檔案的大小與類型，資料夾在類型的地方為『檔案資料夾』不
會有大小 ... ，那個有與隱藏的資料夾的 *.exe 檔則有 105 KB，類型為『應用程式』
， 很明顯是病毒的偽裝檔案，以圖示去欺騙使用者以為是資料夾 ...



借你貼的圖一用





還有會有重複感染的問題，還有別隻隨身碟嗎 ？ 不把所有的隨身(硬)碟、主機硬碟、Windows
的病毒清乾淨的話一直重複反覆發作喔 ...

這一隻病毒除了利用 Autorun.inf 來載入外，亦利用偽裝成資料夾的病毒檔案來欺騙使用者點兩下
載入...，縱使用了某些方式徹底停用 Autorun.inf，還是會有被欺騙的風險，可以利用系統的檢視
副檔名、 檔案總管的『詳細資料』的檢視，只要看到這種的想一下大該就不容易被騙到 ...

噢... 今天開機就好了...

原來是要重新開機

謝謝getter大的解答

[getter]

引用:

作者: john860504

噢... 今天開機就好了...

原來是要重新開機

謝謝getter大的解答

有關重新開機的部份 ...

主要這些手動清除工具是有去刪除病毒在 Windows 登錄檔的一些設定
如被鎖定檢視隱藏檔功能程式、病毒載入點、病毒的註冊在服務的機制 ...

當 Windows 登錄檔有修改時，要有修改(修復)後的效果，大多數要重
新開機才會生效。