krichard2007 2008-5-10 16:27
求救 隨身碟裡的檔案通通被感染... WORM/Otwycal.q
唉唷....
隨身碟裡的檔案....
好像是被老師電腦傳染的...
不管要是什麼EXE程式都會被...
Avira AntiVir 擋住....
WORM/Otwycal.q
全軍覆沒...
且因為被感染...
所以連開我都不敢開....
且無法 Repair.... :cry33
請問那些被感染檔案怎麼辦...
有方法解嗎....
目前病毒只擴散在我的隨身碟....
電腦沒事...
另外還出現了一個...
MSDOS.bat
它也被Avira擋住...
報...
WORM/Otwycal.q
我想罪魁禍首一定就是它....
它應該也是一種隨身牒病毒...
不過可惜的是它產生的AUTORUN.INF AUTORUN.INF偽裝資料夾被擋住了....
順便幫忙測一下...
[attach]5555[/attach]
[[i] 本帖最後由 krichard2007 於 2008-5-10 16:37 編輯 [/i]]
krichard2007 2008-5-10 16:37
MSDOS.rar 是病毒主程式...
Flash-file-conver.rar
是被病毒感染的檔案其中之一...
shen36930 2008-5-10 16:50
MSDOS.rar 卡巴掃到毒
但是Flash-file-conver.rar卻沒有掃到
krichard2007 2008-5-10 16:54
抱歉....
那剛好是沒有被感染的.....
等等補上一個...
krichard2007 2008-5-10 16:58
補上另一個....
這個就真的是被感染的...
krichard2007 2008-5-10 17:04
為了安全起見還是副上一個SREng好了....
[url]http://csbprw.blu.livefilestore.com/y1pPHKJzNvGxr42U_ho-niuetLfr-QfDVppLetJjG1wSoqZq58SO4YDeBAXG16uKwxdUrJ-_SU8Xpos2frV7e2iwOg-Co427ico/SREngLOG.log?download[/url]
integear 2008-5-10 18:36
看SREng報告只能知道對系統的修改,感染仍要靠防毒廠商解毒:fdqyt: .
上報Dr.Web,Panda,Kaspersky處理:o .
sylovanas 2008-5-10 18:36
這個...最近大陸那邊還蠻紅的
一樣會用獨占模式將autorun.inf佔據讓其他軟體無法讀取
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Explorer><D:\WINDOWS\Exp1orer.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1DBD6574-D6D0-4782-94C3-69619E719765}><D:\WINDOWS\HELP\F3C74E3FA248.dll> [N/A]
這個msdos.bat會下載大量木馬你要小心
krichard2007 2008-5-10 21:40
噢...不....
完蛋啦....
我剛剛好像誤觸一個被感染的檔案....
應該是說整個C槽英文版WINDOWS...
也被感染了....
我想中文版也快完蛋了....
這次我又換回來 卡巴 KIS 7.0.135
只能刪無法解毒.....
為什麼....:L
卡巴報...
已偵測: 病毒 Worm.Win32.Otwycal.k 檔案: I:\King File\ExeScript 2.1.1 修正\exescript.exe
[[i] 本帖最後由 krichard2007 於 2008-5-10 21:47 編輯 [/i]]
wsc47621 2008-5-10 21:55
ESET
D:\Documents and Settings\Administrator\桌面\ExeScript_2.1.1.rar > RAR > ExeScript 2.1.1.exe - Win32/AutoRun.NAD 病毒 的一個變種
D:\Documents and Settings\Administrator\桌面\MSDOS.rar > RAR > MSDOS.bat - Win32/AutoRun.NAD 病毒 的一個變種
這名稱很特別捏:3a}
sylovanas 2008-5-10 21:58
你試試這個吧
不過不見得一定修的回來
可以清掉但檔案被破壞也沒辦法...
[url]http://www.du110.com/attachment.php?aid=2385[/url]
krichard2007 2008-5-10 22:09
喔....
沒有用耶..:cry33
integear 2008-5-10 22:13
Kaspersky已經可以解毒:
[quote]Hello,
[b]Cure done, it will be in bases in a few hours.[/b]
Thanks for help.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.[/quote]
sylovanas 2008-5-10 22:14
那....我也沒輒XD
跟卡巴回報請他們用清除的方式看看
快的話有更新病毒碼就可以清了...當然一樣前提是檔案沒被破壞只是被感染的話...
krichard2007 2008-5-10 22:26
YHE....
那太好了....
目前電腦卡卡的...
有時開一些檔案還會出現....
都會說什麼....
XXX 不是正確的 Win32 應用程式
可惡的死病毒....
ㄚ一 2008-5-10 23:14
說到隨身碟病毒
我之前每天都在中,那個時候在學校寫paper
大家電腦都共用,電腦中的AV用的是八百年前的特徵碼
自然什麼都抓不到,可是家裡自己的電腦卻從沒被感染
只要你選對AV,自然可以少了很多這樣的煩惱
krichard2007 2008-5-10 23:19
呃.....樓上的大大...
我不太懂你的意思耶...
ㄚ一 2008-5-10 23:22
簡單的說就是選好防毒軟體
根本不需要擔心隨身碟病毒的問題
krichard2007 2008-5-10 23:28
嗯....
也對....
不過這次我反而不是被隨身牒病毒害到....
而是被他感染的檔案... = =
郭政勳 2008-5-10 23:54
F-secure found Worm.Win32.Otwycal.k 個人不怎麼喜歡網路上很多版xx隨身碟病毒清除程式:cry33
sun88990 2008-5-11 06:52
McAfee
主程式:Generic.dx
感染檔:New W32
都不能解毒= =
integear 2008-5-11 11:13
防毒廠商對已感染和母體的威脅特徵碼的不同(以Jotti's Scan為報告):
防毒廠商:已感染的程式 + 威脅母體
F-Prot:[b]W32/Otwycal.A[/b] + [b]無法偵測[/b]
BD:[b]Win32.Worm.Otwycal.T[/b] + [b]Generic.Malware.Hdldg.D9FAA2F9[/b]
AVG:[b]Win32/Small.DE[/b] + [b]Generic10.OWK[/b]
ClamAV:[b]無法偵測[/b] + [b]PUA.Packed.UPack-2[/b]
Dr.Web:[b]無法偵測[/b] + [b]Win32.HLLW.Autoruner.origin[/b]
Kaspersky:[b]Worm.Win32.Otwycal.k[/b] + [b]Worm.Win32.Otwycal.ae[/b]
F-Secure:[b]Worm.Win32.Otwycal.k[/b] + [b]Worm.Win32.Otwycal.ae[/b]
Sophos:[b]W32/Otwycal-A[/b] + [b]Mal/Behav-010[/b]
VirusBuster:[b]Win32.Otwycal.Gen[/b] + [b]無法偵測[/b]
威脅母體因為有被加殼(UPack),故偵測結果會不同,但是像號稱解殼大廠的Kaspersky還要以兩種特徵碼來偵測.
而Dr.Web則可能因為啟發式的關係,已感染的程式無法偵測.
表現較佳的是:ESET和AntiVir.
ESET虛擬機強就不多贅述.倒是AntiVir令在下意外,或許它也能解UPack了.
ClamAV取的威脅特徵碼,質量很差,連PUA都報得出來.
[[i] 本帖最後由 integear 於 2008-5-11 11:15 編輯 [/i]]
krichard2007 2008-5-11 19:51
YHE....
終於解掉了 4586 個....
Worm.Win32.Otwycal.k
謝謝大家的幫忙...
sun88990 2008-5-24 16:24
McAfee感染檔一樣不能解毒~
不過病毒名稱改叫:
W32/Cowya
好怪的名稱~~
domino 2008-5-24 17:58
呵...如果沒清除乾淨...會中更多毒..
看來是個下載者! ~ 中毒後會自動下載 10 個文件!
分別是 1~ 10.exe
主要下載對象為.惡意廣告軟體&盜號程式.
惡意網站位置 於
liuliang.host.xuanfen.net (59.53.88.149)
江西省九江市 電信IDC機房
:o 卡8可以全掃到!! 其他樣本發送給該公司
該病毒主要核心相關設定文件為
[quote]Random:
9878*
Down:
hxxp://222.er18.com/0/0.exe*hxxp://222.er18.com/0/1.exe*hxxp://222.er18.com/0/2.exe*hxxp://222.er18.com/0/3.exe*hxxp://222.er18.com/0/4.exe*hxxp://222.er18.com/0/5.exe*hxxp://222.er18.com/0/6.exe*hxxp://222.er18.com/0/7.exe*hxxp://222.er18.com/0/8.exe*hxxp://222.er18.com/0/9.exe*hxxp://222.er18.com/0/10.exe*
FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
1*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
30*
OpenSys:
1*[/quote]
[[i] 本帖最後由 domino 於 2008-5-24 18:01 編輯 [/i]]
integear 2008-6-8 17:25
話說回來,Panda TruPrevent可以攔截喔:o .
頁:
[1]