搜尋此網誌

06 12月 2006

Trojan-Dropper.Win32.Delf.wj

今天凌晨,好不容易完成工作,打算將資料放到隨身碟時,病毒提示跳出來了。一個名叫DriveInfo 的檔案是一個木馬檔案

名稱:Trojan-Dropper.Win32.Delf.wj

測試結果:

Avast!:可以掃出來, 無法刪除

Active Virus Shield: 使用Kaspersky核心的程式,花了三小時,沒有掃出任何結果。



Ad-aware:掃出一大堆Cookie,無法找到DriveInfo任何訊息

病狀:通常出現在Windows\system32\底下

病因:實際上出現在 隨身碟的Recycle資料夾底下,並由inetsrv程式常駐,當你格式化隨身碟時,inetsrv會開始複製system32的分身,重新回到隨身碟底下。

處理方式:

請先備份隨身碟上的資料,等下可能會格式化

1.在Windows 工作管理員下,停止inetsrv.exe

2.關閉Windows 系統還原,避免備份檔中有餘黨

3.在「開始」右鍵 / 檔案總管,此步驟可以避免
inetsrv.exe重新啟動

4.資料夾選項中開啟「顯示所有檔案」、
取消隱藏保護的作業系統檔案,這時可以在隨身碟中看見Recycle 資料夾,刪除他!

5.刪除登錄檔
位置: HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run

登錄值名:inetsrv = "%System%\inetsrv.exe"

6.搜尋 以下幾個檔名,並將檔案刪除:
  • Driveinfo.sdc
  • voinfo.dll
  • autorun.inf

7.搜尋登錄檔(可使用程式 Regedit Seeker),把與inetsrv 有關的登錄檔全部刪除。


Regedit Seeker


8.這時候讀取隨身碟,如果遇到無法開啟,重新格式化即可!


應該是乾淨了,相當頑固的病毒。



Technorati Tags:

powered by performancing firefox

沒有留言: