隨身碟病毒該如何利用江民來清除 (轉)

PuPu

隨身碟病毒該如何利用江民來清除
近日出現一種新的隨身碟病毒，跟以往的隨身碟病毒不太相同，他不會讓你的C槽、D槽打不開，即時通是否能上線因為本人沒有測試就急著清毒，所以也沒去測試，唯一感受到的症狀是隱藏檔無法顯示!即使使用坊間流傳的隨身碟病毒專殺工具(如kavo_killer, usb_killer或藤PcTools)也都無法徹底清除，刪除常見的kavo.exe,autorun.inf之後，過沒幾秒鐘就會再生，由此可知病毒本體並未被清除!

以下教學的病毒採自安裝卡巴斯基7.0的電腦主機中(2008/07/31)，事主表示卡巴斯基7.0偵測到病毒並發出牛嚎之後隨即變成灰色無法使用，按下升級也沒反應因此前來送修，因為手中剛好有卡巴斯基2009試用版，剛好想測試其功力，因此卸載掉卡巴7.0之後直接安裝卡巴2009，安裝過程十分順利，卡巴2009安裝程式也沒偵測到有病毒，倒也符合卡巴宣稱的"可安裝於已中毒的系統當中"，安裝完畢程式要求重新開機，重開以後打開卡巴主視窗顯示病毒庫該升級了，當然我也知道不升級就要卡巴2009能抓到最新型的隨身碟病毒的確太牽強，因此就點選了"立刻升級"，程式來到升級進度畫面，說時遲那時快，畫面變成藍屏.....重開機試了幾次都一樣，算了....客人的電腦可禁不起我一直玩下去，資料都還沒備份呢!!

再度移除卡巴2009改裝江民2008，安裝順利、升級順利，不過......一般掃瞄中也沒掃到病毒，但中毒是已經確定的，那怎辦呢?以前我會使用江民的未知病毒偵測，但因為解隨身碟病毒我已經有相當經驗了，所以這次我改用我的新方法來跟大家分享!

一.根據以往抓毒經驗，kavo系列病毒大都藏在c:\windows或c:\windows\system32底下，但此時打開檔案總管是看不到隱藏檔的，想直接殺都不行，因此我祭出幾乎每個人的電腦中都會有的一項利器==>winrar!!

無論系統如何設置，在winrar的檔案視窗中，隱藏檔是無法隱藏的，因此用winrar打開c:\windows\system32就能看到底下畫面(圖一)，果不其然抓到了6支相同類型的病毒(最下方是圈錯了=.=)

圖一

二.把這6支病毒送進江民的樣本庫中(圖二)，並加以掃描得到在c:下抓到另外兩隻病毒(圖三)

圖二(此圖僅看到3支是因為其他支會被識別為同一樣本)

圖三

由上圖可知:

1.真正的病毒本體其實是隱匿於c:\下的dynry6e.cmd跟p1f6b.exe，而非winrar中看到的那6支已知名稱的分身，而一般的清除工具及防毒軟體多半也只能找到那6支，所以完全無法根除!

2.病毒不僅有一般防毒掃不到的本尊，甚至還藏匿於系統還原資料夾中，這也是其他防毒軟體無法清除病毒，還原也無效的最大主因!但.....江民就是有辦法連還原資料夾中的病毒一併揪出處理!!

三.抓出所有病毒之後按下"殺樣本"，即可把全部相關連的病毒一次清光，但在清除以前，請先把抓到的dynry6e.cmd跟p1f6b.exe再度加入樣本庫重新掃描一次，確定沒有再有其他病毒

通常在處理完此類病毒之後，我會再使用江民內建的系統修復工具把電腦檢查一次，但這次因為症狀實在不怎麼明顯(客戶沒反應)，所以我改用網路上目前最風行的清除工具藤-PC修復專用工具KVTOOLS 1.2.2版，這是一款個人覺得很實用的小工具，不用學會如何更改登錄檔，只要按鈕按一按，就能輕鬆修復被更改過的系統，蠻適合一般使用者的~
解毒工作大致上完成，以上江民操作方式請參考個人自製教學江民防毒使用教學，如有不懂的地方請在我的部落格留言回應!想要不靠江民手動解毒的朋友請切記要先把還原關掉，並請注意，病毒本體可不是每次都會存在於C:\下喔~^^
今日(2008/0805)再度測試卡巴(無中毒，純樣本掃描)，已能偵測出其中kxxx.exe系列中的2支並加以清除，但無法全部偵測到，而用小紅傘則可全部偵測出危險程式但無病毒名稱(表示

夜痕

謝謝大大的分享~~~~~~~~~~~~~