最新Email病毒TROJ_SCAM.A解毒法!!



贊助商連結


leonchou
2001-07-24, 06:55 PM
以下的內容希望能對受害的同胞有所幫助 --

病毒名稱: TROJ_SCAM.A (W32.Sircam.Worm@mm)
傳染途徑: Email by MS Outlook Express
散佈方式: 抓取中毒者的通訊錄, 自動寄送、散播...
病毒特性: 在郵件附加檔增加副檔名 .bat, .pif, .exe...
中毒症狀: 病毒郵件為英文, 無特定主旨. 中毒後, 電腦每執行一個程式 (不論
     是不是你執行的) 就會出現 "找不到 SirC32.exe... 開啟此程式
     需有SirC32.exe檔..." 的視窗, 無法執行任何程式或軟體.
預防中毒: 不要開啟郵件裡的附加檔, 直接刪除.

處理方法:
1.清除病毒 --
更新掃毒程式的病毒碼 --> 執行掃毒 (所有硬碟) 並清除病毒.

2.回復登錄檔 (Registry) --
•HKEY_CLASSES_ROOT\exefile\shell\open\command
 把類似 "C:\Recycled\SirC32.exe" 字串刪除, 留下 "%1" %* .
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
 將裡面的 "Driver32" (在右邊視窗) 刪除.
•HKEY_LOCAL_MACHINE\Software\SirCam
 整個 SirCam 機碼 (黃色資料夾) 刪除.

3.檢查 Autoexec.bat --
用 Notepad 開啟 C:\Autoexec.bat, 把 @win\recycled\sir32.exe 那一行刪除.

最後重開機即可.

[註]
•如果無法執行掃毒軟體, 重開機進入安全模式 (Safe Mode) 再試一次.
•如果無法做上述處理, 最後絕招 --
 執行系統登錄復原程式 (scanreg /restore)
 詳細方法請看 :
 http://qa.usernet.com.tw/total_view.asp?Curnumber=289616&type=Windows98

祝好運 !!

贊助商連結


leonchou
2001-07-25, 12:58 PM
趨勢科技已提供專解此病毒的程式 FSIRCAM.com,請到這裡下載及閱讀使用說明 --
http://www.trend.com.tw/corporate/techsupport/cleanutil/index.htm

上述方法處理完畢重開機後, 若還有問題 (例如無法執行[控制台]內的項目,
在桌面按右鍵-->內容無法進入).. 之類的, 可能顯示 "找不到 Rundll32.exe"
訊息, 多半是 Windows 95 的使用者. 掃毒程式可能把 Rundll32.exe 這個
受感染的系統檔案刪除掉了. 請依下列方式處理 --

•找不到 Rundll32.exe 的處理:
請使用開始-->尋找-->檔案或資料夾,檢查硬碟中是否有 run32.exe,可依以下方式尋找: 在名稱中輸入 run32.exe , 在查詢中選擇 "近端硬式磁碟機" 並開始尋找之,若有尋找到此檔案,請依以下步驟:
(註:若未發現硬碟中有run32.exe,請跳過此步驟)
請您再次使用開始-->尋找-->檔案或資料夾的方式,尋找 Rundll32.exe
若有找到, 將 Rundll32.exe 更名為 _rundll32.exe
請尋找 run32.exe,將此檔更名成 Rundll32.exe
※若找不到 run32.exe,從另一台電腦複製 Rundll32.exe 過來即可.

•仍出現 "找不到 ...recycled\sirc32.exe" 訊息:
 請選擇開始-->程式集-->MS-Dos模式,開啟MS-Dos視窗,並執行以下指令--
  c:\windows>cd \recycled
  c:\recycled>attrib *.* -h
  c:\recycled>del sir*.*
  c:\recycled>exit

參考網址 -- 趨勢 SirCam 病毒相關報導 (http://www.trend.com.tw/endusers/presscenter/20010720.htm)

阿 土
2001-07-25, 01:21 PM
最近飽受這個病毒騷擾

因為很多會員把我的 email 加入通訊錄

我每天收到一堆

足見其威力之強大

希望有看到這一篇的會員 , 剛好你又是使用 Outlook

拜託趕快掃一掃毒吧!

leonchou
2001-07-27, 09:21 AM
SirCam 病毒最初傳染途徑為 Email via Internet,
但在公司處理中毒電腦時發現, SirCam 不只是抓取
中毒者的通訊錄散發帶毒郵件, 亦可能經由區域網路傳染!!

因為有些使用者(包括做完解毒處理者), 確定沒有
開啟病毒郵件附加檔, 甚至沒有收到病毒郵件, 但
電腦仍然出現中毒症狀. 經查證發現, 有此種情形
的電腦均有設定硬碟資源分享, 且分享權限設定為
[完整] (即開放讀/寫).. 推測 SirCam 極有可能
經由 LAN 自行侵入毫無防備的 PC , 此種方式將比
E-mail 傳染更可怕, 因為你看不到.

依處理經驗推測, 區域網路的傳染並非全面性的, 如果
硬碟資源分享讀寫權限不是設為完整開放, 就比較不用
擔心. 但大家還是小心為妙, 最好還是有防毒軟體並且
定期更新病毒碼, 是比較保險的.

donaldlo
2001-08-19, 07:30 PM
好東西與好朋友分享