2008年2月27日 星期三

頑固的隨身碟病毒 rbhpdax.exe

最近在維護電腦時,發現有些有裝還原的電腦竟然也中毒了,仔細一看才發現是D碟中毒,不過即使C碟裝了trend 的officescan 也沒用,所以這學期改變策略,在重新用ghost multicast 時,就把D碟刪了,那學生的作業就放在老師那一台,這樣也會比較安全一些。

這次發現的隨身碟病毒很頑固,它會將隨身碟免疫器,所建立的autorun.inf的隱藏目錄,強迫改名字,然後,再建立一個自已的autorun.inf檔案,很明顯就是針對免疫器的防護而來,而且只要將中毒隨身碟的插入未中毒的電腦,立刻會感染未中毒的電腦。

提供幾張圖,讓大家參考!


1.使用xp的命令列工具,可以看見病毒的蹤跡,下dir/ah指令,可以看見隱藏檔,由圖可以看出,隨身碟上有二個隱藏檔,分別是autorun.inf及rbhpdax.exe,只要隨身碟一插,再做個開啟的動作,就中毒了。
若可以的話,可以找一台乾淨且有裝防毒的電腦,下指令的方式來刪除隨身碟病毒,指令如下:
(1)drive: //先切換的隨身碟的磁碟,例如是D磁碟,就下”D:”的指令
(2)dir/ah //可以查詢一下,目錄下有無可疑的檔案

(3)attrib -r -h -s * //所有檔案屬性,改為非系統檔、非隱藏檔、非唯讀檔
(4)del autorun.inf //刪除autorun.inf
(5)del *.exe //刪除隨身碟內所有執行檔,注意要確定是病毒再刪,因為若有放其他程式,也會跟著一起刪
(6)del *.com //刪除隨身碟內所有執行檔,注意要確定是病毒再刪,因為若有放其他程式,也會跟著一起刪
(7)解毒後,隨身碟可以拔出來,再插回去,就正常了。



2.這張圖是中毒電腦的工作管理員,可以看到有一個奇怪的程序services在執行,而且IO的次數非常頻繁,一般來說,services.exe正常是存在於windows\system32的目錄下,但是若還在其他目錄也有它的蹤跡,那就有問題了,如何檢查,還是用命令列實作一下:
(1)dir/a/s service*.exe //可以輸出所有service開頭的所有檔案,包括隱藏檔。


3.要怎麼樣知道自已的電腦有沒有中毒呢,試著將電腦的隱藏檔設定取消,是否能看見隱藏檔,若不行,十之八九是中毒了,不知如何設定的網友,也可參考動畫

沒有留言: