請問，中了這種新型隨身碟病毒，有解嗎？

**spplkk2003** · 2010-10-18, 11:47 PM

請問一下目前有中一隻隨身碟病毒~
狀況如同下方網頁連結：
http://blog.xuite.net/ginmfdhk/blog/34677861

系統資料夾和RECYCLED即便你在資料夾選項打開，依然看不到這兩個!!

autorun內的指令如下：
systemID=3047933.com -hide
open=3047933.com -hide
shell\open=打開[&O]
shell\open\command=3047933.com -hide
shell\open\default=1
shell\explorer=資源管理器[&X]
shell\explorer\command=3047933.com -hide

中毒情況，會一直重複執行AUTORUN及3047933.COM及DCIm.exe(會將原本的DCIM資料夾隱藏，再新建
DCIM.EXE)

請各位網兄幫忙一下，因隨身碟那邊一次中了四五台，重灌真的很麻煩@@

我插上附硬體鎖的隨身碟會出現attrib.exe及spoolsv要侵入有硬體鎖的隨身碟內。

附檔有毒，請注意使用。

正版卡巴6.0R2(企業版)、卡巴正版2011、AVAST試用皆無法檔下。

**pavo** · 2010-10-19, 01:10 AM

2852465.exe
Submission date:
2010-10-18 01:05:17 (UTC)
Current status:
finished
Result:
20 /43 (46.5%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.17.01 2010.10.17 Packed/Upack
AntiVir 7.10.12.232 2010.10.17 -
Antiy-AVL 2.0.3.7 2010.10.17 -
Authentium 5.2.0.5 2010.10.17 W32/Heuristic-210!Eldorado
Avast 4.8.1351.0 2010.10.17 -
Avast5 5.0.594.0 2010.10.17 -
AVG 9.0.0.851 2010.10.17 Suspicion: unknown virus
BitDefender 7.2 2010.10.18 -
CAT-QuickHeal 11.00 2010.10.15 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.18 PUA.Packed.UPack-2
Comodo 6423 2010.10.18 -
DrWeb 5.0.2.03300 2010.10.18 -
Emsisoft 5.0.0.50 2010.10.18 Backdoor.Win32.PcClient!IK
eSafe 7.0.17.0 2010.10.17 Suspicious File
eTrust-Vet 36.1.7914 2010.10.15 -
F-Prot 4.6.2.117 2010.10.17 W32/Heuristic-210!Eldorado
F-Secure 9.0.16160.0 2010.10.17 -
Fortinet 4.2.249.0 2010.10.17 -
GData 21 2010.10.18 -
Ikarus T3.1.1.90.0 2010.10.18 Backdoor.Win32.PcClient
Jiangmin 13.0.900 2010.10.17 Trojan/PSW.OnLineGames.bjzq
K7AntiVirus 9.66.2760 2010.10.15 -
Kaspersky 7.0.0.125 2010.10.17 -
McAfee 5.400.0.1158 2010.10.18 Suspect-BL!744A5A6DB0A1
McAfee-GW-Edition 2010.1C 2010.10.17 Heuristic.LooksLike.Win32.Suspicious.F
Microsoft 1.6201 2010.10.17 -
NOD32 5540 2010.10.17 -
Norman 6.06.07 2010.10.17 W32/Packed_Upack.A
nProtect 2010-10-17.01 2010.10.17 -
Panda 10.0.2.7 2010.10.17 Generic Trojan
PCTools 7.0.3.5 2010.10.18 -
Prevx 3.0 2010.10.18 -
Rising 22.69.04.03 2010.10.15 -
Sophos 4.58.0 2010.10.17 Sus/ComPack-C
Sunbelt 7083 2010.10.18 Trojan.Win32.Packer.Upack0.3.9 (ep)
SUPERAntiSpyware 4.40.0.1006 2010.10.17 -
Symantec 20101.2.0.161 2010.10.18 -
TheHacker 6.7.0.1.059 2010.10.17 W32/Behav-Heuristic-060
TrendMicro 9.120.0.1004 2010.10.17 Cryp_Xed-12
TrendMicro-HouseCall 9.120.0.1004 2010.10.18 Cryp_Xed-12
VBA32 3.12.14.1 2010.10.15 -
ViRobot 2010.9.25.4060 2010.10.17 -
VirusBuster 12.69.3.4 2010.10.17 Packed/Upack
Additional information
Show all
MD5 : 744a5a6db0a172f5214132adf4c50210
SHA1 : 535f339bc8641aecc558358f16df1241d9132ef4
SHA256: ffa325a38bcc4895c130e96605724c08b7da69497d06ac5689c03bcf39e506ff

**pavo** · 2010-10-19, 01:20 AM

掃毒真的算是手工業...

可以先使用EF2010083003.EXE 至此可以解決90%的問題

再REGEDIT

& CMD >>dir/w/p/a >>attrib -r -h -s XXX.XXX del XXX.XXX ...

然後檢查網路正不正常 .IE 是否正常 ...

然後少檔案補檔案....
.
.
.
.
然後檢查系統正不正常會不會動一動就當機...
.
.
.
假如不太重要的系統重灌比較快

**spplkk2003** · 2010-10-19, 01:36 AM

這個病毒非常之機車，我用EFIX依然無效，且補充一下，在C:\RECYLER資料夾一直跑三個程式FLS-3.EXE，FLS-7.EXE，FLS-9.EXE。而且平常看不到垃圾桶資料夾~

目前正在努力中...................@@

**FYI** · 2010-10-19, 03:03 AM

病毒行為過於複雜, 放棄急救, 砍掉重練, 這是替tvirus 兄說的...

**tvirus** · 2010-10-19, 03:57 AM

作者：FYI

病毒行為過於複雜, 放棄急救, 砍掉重練, 這是替tvirus 兄說的...

真過份,搶我台詞 Orz

一般木馬病毒一類的,在你儲存裝置上的是傳播用"衍生物"
不是"本體"
要學會找到本體,這個都要靠經驗

本體不除,你就只能一直砍了又砍,砍了又砍,砍了又砍,砍了又砍,砍了又砍...

試著用Prcview去記錄,從一開機到可操作桌面之前的所有執行過的程式吧?

**pavo** · 2010-10-19, 09:13 AM

作者：spplkk2003

這個病毒非常之機車，我用EFIX依然無效，且補充一下，在C:\RECYLER資料夾一直跑三個程式FLS-3.EXE，FLS-7.EXE，FLS-9.EXE。而且平常看不到垃圾桶資料夾~

目前正在努力中...................@@

目前再怎麼強悍的WIN病毒.也沒辦法在其他系統下作怪命令提示模式DOS ??XPPE ?

清病毒是很費時間很費心力的工作 REINSTALL ??

**FYI** · 2010-10-19, 12:39 PM

作者：pavo

REINSTALL ??

還是砍掉重練??

小弟資質駑鈍, 請問諸位前輩高手, 苦主所提示的連結是如何把病毒行為分析得如此清清楚楚? 印象中似乎有專用工具, 其實小弟也想過這個問題, 若是利用Windows PE, 加上Process Monitor, File Monitor 和Registry Monitor 等工具, 以便分析病毒執行後所建立的檔案和修改的鍵值, 這樣可行嗎? 不用VM 的原因是擔心被Windows 本身的正常檔案存取所干擾, 增加分析的困難度, 手工業愈來愈沒落了, 應該好好保存這個行業

**FYI** · 2010-10-19, 02:42 PM

小弟藉由病毒作者自作聰明的傻瓜自救法, 請另外手動修改註冊的檔案類型和遺留在登錄檔裡面的垃圾, 後者可由Sysinternals Autoruns 找出, 以下僅供參考

作者：FYI

由於病毒阻止KAV7 更新病毒碼, 並且影響Explorer.exe, 小弟於是將中毒硬碟移到其他電腦掃描, 但小弟是以指令加肉眼判斷:

語法:

dir d:\ /p /s /arsh

不過, 小弟建議多嘗試其他指令組合, 以免掛一漏萬

語法:

dir d:\ /p /s /as
dir d:\ /p /s /ah

小弟研判病毒應該會藏匿於每個磁碟分割的根目錄, %SystemRoot% 和%SystemRoot%\system32, 坦白說, 原先的目標只是100K~110K 之間的檔案, 若不是病毒作者自作聰明, 將檔案屬性改成唯讀加系統加隱藏, 否則小弟還真不可能發現system32 之下的上千個動態連結檔之中竟然藏有病毒, 應該是執行檔假借動態連結檔副檔名, 有興趣者可掃描附件看看, KAV7 & AntiVir Premium 可成功辨識

此外, 小弟建議直接清除目標磁碟機的%Temp% 資料夾, 重新啟動之後, 立刻清除Temporary Internet files 和資源回收筒, 更新病毒碼, 再回到安全模式徹底掃描一遍