剛剛有個網友找我...
要幫他解病毒....
就在他電腦找到了兩個怪怪的東西...
在他電腦隨身碟裡面....
有個autorun.inf
RECYCLER
在RECYCLER裡面有 win32.exe
內容...

複製內容到剪貼板

代碼:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
shell\open\default=1

然後他隨身碟裡面所有的資料夾都被掉包...
變成EXE執行檔...
也並不能說是掉包....
有A資料夾 就有A.exe
且A.EXE是資料夾圖示的....

剛剛用HIPS的測試結果....
win32.exe 無法測試...
執行時 會有回報不會報...

被取代的資料夾...
Data OWNER.exe
建立檔案...
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\sempalong.exe
C:\Documents and Settings\"使用者名稱"\Local Settings\Application Data\smss.exe
建立註冊值...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<Bron-Spizaetus><C:\WINDOWS\ShellNew\sempalong.exe>
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<Tok-Cirrhatus><C:\Documents and Settings\"使用者名稱"\Local Settings\Application Data\smss.exe>
修改登陸檔...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Shell><Explorer.EXE>
===>> <Shell><Explorer.exe "C:\WINDOWS\eksplorasi.exe">
禁用REGEDIT....
以上是測試結果...

autorun.inf 類似有加密情況...
不容易分別...
因此壓入autorun.inf以便觀察...

此外Data OWNER.exe
還會破壞 我的電腦的...
工具>資料夾選項...
整個選項不見了...
遭了不知道怎麼修復....

[ 本帖最後由 krichard2007 於 2008-8-26 18:50 編輯 ]

Detection: TR/Crypt.NSPM.Gen

費爾托斯特安全V7R3
病毒碼時間：v8.115.38346(2008.08.26.18:08)
已偵測到2個病毒 Worm.AutoRun.lly.ttjr、W32.Brontok.q.nht

解決方式 :
1.從開始 – 執行 – 輸入 Regedit – 選擇確定。
2.開啟登錄編輯程式 – 左邊選擇我的電腦 – 選單選擇編輯 – 尋找 – 尋找目標輸入
   NoFolderOptions - 選擇尋找下一個。
3.當尋找到 NoFolderOptions 時，可從選單內選擇編輯 – 刪除 – 對話框詢問是否刪
   除這個數值 ? 請選擇是。
4.刪除後請選擇 F3 繼續尋找，將所有的 NoFolderOptions 的值全部刪除。
5.從選單內選擇登錄 – 結束。
6.重新開機既可。

謝謝你...
終於解決了....

http://forum.shareget.com/sitemap/t-300092.html


工作排程那邊也檢查一下會比較好。

D:\Documents and Settings\King Ricgard Ang\「開始」功能表\程式集\啟動\Empty.pif
漏刪了...
其他我電腦沒有...

驱逐舰发现病毒
Data OWNER.exe-→Win32.HLLM.Generic.440
autorun.inf→Win32.HLLM.Autoruner.2339

引用:

原帖由 krichard2007 於 2008-8-26 18:32 發表
禁用REGEDIT....
以上是測試結果...

autorun.inf 類似有加密情況...
不容易分別...
因此壓入autorun.inf以便觀察...

此外Data OWNER.exe
還會破壞 我的電腦的...
工具>資料夾選項...
整個選項不見了...
遭了不知道怎麼修復....

以上用SREng就可以修復了~
本人有測試過~~~~

McAfee:
C:\Documents and Settings\USER\桌面\VIRUS\autorun.inf        Generic!atr (特洛伊病毒程式)
C:\Documents and Settings\USER\桌面\VIRUS\Data OWNER.exe        W32/Rontokbro.gen@MM (病毒)
C:\Documents and Settings\USER\桌面\VIRUS\win32.exe        Generic.dx (特洛伊病毒程式)

f-secure
autorun.dll--->worm.win32.autorun.dui
data-owner.exe--->email-worm.win32.brontok.q
win32.0xe--->

[ 本帖最後由 skywalker 於 2008-8-27 02:03 編輯 ]