重大病毒情報09751.com
如果你的作業系統非正版,或是沒有定期更新者請務必閱讀
特別是這幾天這使用IE瀏覽器的會員,請大家[color=red]手動[/color]掃毒,確認電腦是否有毒
為什麼請大家手動掃毒?
因為掃毒軟件可說是形同虛設
目前用卡巴、趨勢、NOD32 2.5掃毒系統掃毒不出該病毒出來
教各位判斷是否中毒:
注意看看是否會跑出會跑出[color=orangered]09751.com[/color]這個程式或者一個奇怪的Script
或是瀏覽網頁時出現"09751.com"的不明程式 (工作管理員的"執行程序"一欄可以看見)
請立即離開該網站,終止名為"09751.com"的程式,因為他是一個病毒
木馬應該會躲在C:\documents and Settings\使用者名稱\Local Settings\Temp
會在Windows的暫存目錄放一個叫[color=orangered]ad001.exe(或ad003.exe)[/color]的檔,檔案大小61952
徵狀有:
[color=orangered]explorer.exe[/color]的[color=orangered]CPU[/color]用量突然增加
登入時會出現兩個名為"[color=orangered]desktop.ini[/color]"的Notepad
所有 Desktop.ini 和 Thumbs.db 失效,並且不會自動隱藏
不能夠設定私人資料夾
還會跟其他病毒一起出現,所以可能有其他徵狀。
也許你會有疑問,最近都是用IE上網的,可是怎麼都沒找到09751.com,且燈入系統時也沒出現desktop.ini?
這次駭客是利用IE的舊漏洞,所以[color=red]常常更新的人應該不會中[/color]標...
據我所知
火狐瀏覽器好像可以防止這類惡意程式
下載點:[url]http://tw.dir.yahoo.com/download/firefox.html[/url]
安裝好FireFox之後,用它上網,之後點工具>擴充套件>下載更多套件找到NoScript,並安裝,安裝好之後,把FireFox網頁關閉,再開啟FireFox,即可達到FireFox + NoScript的效果,可阻擋99%的木馬連結訊息
感染方式:
在C:\Documents and Settings\user\Local Settings\Temp產生如下檔案
ad001.exe
ad003.exe(與ad001.exe不會共存..有ad001.exe就不會有這個,反之則ad001.exe不會存在)
VCab.DLL
111.dat
222.dat
333.dat
1.exe
3.exe(與1.exe不會共存..有1.exe就不會有這個,反之則1.exe不會存在)
並執行3.exe(或1.exe)及ad001.exe(或ad003.exe)
接著在C:\%systemroot%\下建立kb20060111.exe、
在C:\%systemroot%\system32\下建立wincfgs.exe。
之後開始進行感染..
首先它會執行3.exe(或1.exe)和ad001.exe(或ad003.exe),
此時將會去影響Explorer.exe,導致CPU執行100%,電腦運作龜速。
接下來開始感染電腦內的exe執行檔,同時進行以下動作:
此病毒首先會先將Documents and Settings裡的desktop.ini「取消隱藏」,
導致該檔案會出現在程式集等地方。
當該檔案全數取消隱藏設定後才寫入包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787的資料
如果該desktop.ini裡原先就有資料,
他會直接在原先的資料後面或最前面附加寫入該資料。
如果使用者將被取消隱藏的desktop.ini刪除,
則會出現資料夾或捷徑被改名並取消原有設定的情形!
刪除「我的文件」項下的資料夾的desktop.ini,
「我的音樂」會變成「My Musics」
「我的圖片」會變成「My Pictures」
「我的影片」會變成「My Videos」
並取消原有資料夾屬性變成一般資料夾
(原先的圖示都會不見)
刪除「開始」功能表->程式集項下的desktop.ini,
「遠端協助」會變成「Remote Assistance」
刪除「開始」功能表->程式集->附屬應用程式項下的desktop.ini,
則有一套預設不會安裝的windows隨附軟體捷徑會變更名稱
(我電腦現在沒裝..所以看不到更動)
刪除「我的最愛」項下的desktop.ini,
「我的最愛」會更名為Favorites並並取消原有資料夾屬性變成一般資料夾。
(原先的圖示都會不見)
所以建議:
不用刪desktop.ini!用改內容的把原先內容改回來,並設回隱藏即可。
解法請看下面。
[color=indigo]1.開機,按F8進入安全模式。(選擇第一個模式,不要有網路的)
2.開啟檔案總管,
上面的選項列
選擇工具->資料夾選項->檢視->
隱藏已知檔案類型的檔案、隱藏保護的作業系統檔案勾勾取消,
並點選顯示所有檔案和資料夾,按確定。
3.清空Temporary Internet Files資料夾,位置在
C:\Documents and Settings\user\Local Settings\Temporary Internet Files
drive是你的windows安裝槽
user是你的用戶名稱
4.刪除檔案,刪除在temp資料夾裡面的下面幾個檔案(找不到的檔案可直接略過)
強制刪除檔案軟體(如果檔案刪除不掉請用此軟體刪除)
[url]http://www.purgeie.com/dl/delinvfile.exe[/url]
ad001.exe
ad003.exe
VCab.DLL
111.dat
222.dat
333.dat
3.exe
1.exe
temp的位址在C:\Documents and Settings\user\Local Settings\Temp
5.在windows資料夾及system32資料夾刪除檔案
kb20060111.exe
在C:\%systemroot%\下
(一般為C:\Windows)
wincfgs.exe
在C:\%systemroot%\system32\下
(一般為C:\Windows\system32)
6.初步處理desktop.ini
按開始->執行->輸入msconfig
「啟動」項內,將有desktop.ini的項目取消勾選。
注意,「不用」刪除desktop.ini,他們只不過是純文字檔,不會感染你電腦!
7.建立預防檔案,建立方法為新增一個純文字文件,把檔名直接改成如下檔名即可。
☆在temp資料夾裡面建立下面幾個檔案
ad001.exe
ad003.exe
VCab.DLL
111.dat
222.dat
333.dat
3.exe
1.exe
☆在windows安裝資料夾裡建立kb20060111.exe。
☆在system32資料夾裡建立wincfgs.exe。
8.將剛剛建立好的檔案,點選右鍵,選擇「內容」,
將「唯讀」的框框打勾,按確定。設定好後要再按內容看一次確定有選到唯讀。
這樣的作法是讓病毒無法產生那些病毒檔,避免他去感染其他exe檔!
注意請不要刪掉這些你建立的檔案,
至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。
9.接下來請重開機進入正常模式,[b]接著建議[/b][/color][b][color=deeppink]重灌電腦[/color][/b][color=indigo]或是手動解毒[/color]
解毒方法:
1.進行windows update一直更新到sp2,
並在更新完sp2之後還是要進windows update把剩下的檔案也都更新完。
請不要想投機取巧,務必把所有檔案都更新到,
在全部安裝完成前,其他網頁記得都不要去!
非正版軟體用戶請在重灌前自行尋找破解..
全部更新完成後請拔線...然後重開機。
2.重開機後開啟檔案總管,進入
C:\Documents and Settings\user\
及
C:\Documents and Settings\All Users\項下,
進入「開始」功能表,對著desktop.ini連點兩下,開啟檔案。
3.將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除後存檔
(如有其他資料不要更動,如果有非-21787的數值可以不用刪)
4.存檔後對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
開始功能表下的所有資料夾裡的desktop.ini都照此方法修復。
All Users下的開始功能表和user(你自己的使用者名稱)下的開始功能表
都用這種方式修復。
5.進入「我的文件」資料夾,同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=5
PersonalizedName=My Documents
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
6.進入「我的文件」->「我的音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=13
PersonalizedName=My Music
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-237
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
7.進入「我的文件」->「我的音樂」->「範例音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=http://windowsmedia.com/redir/xpsample.asp
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
8.進入「我的文件」->「我的圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=%SystemRoot%\System32\mydocs.dll
IconIndex=-101
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
9.進入「我的文件」->「我的圖片」->「範例圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
BuyURL=SamplePictures
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
10.進入「我的文件」->「我的影片」資料夾
(不一定每個人都有,如果你沒有可以不需進行這個步驟)
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
Owner=user
Personalized=14
PersonalizedName=My Videos
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-238
--------------------------------------------
※Owner這一項請在等號後面輸入你的使用者名稱,其他行不要動。此行請不要複製進去。
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可
11.進入C:\Documents and Settings\user\->「我的最愛」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[DeleteOnCopy]
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
IconFileOld=%SystemRoot%\system32\shell32.dll
IconIndexOld=-173
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
12.進入C:\Documents and Settings\All Users\->「共用文件」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果資料內容刪除後已經空白,直接存檔就可以了!存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
13.進入C:\Documents and Settings\All Users\->「共用文件」->「共用音樂」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=C:\Program Files\TGTSoft\StyleXP\Icons\Current.qqoo\My Music3.ico
IconIndex=0
LocalizedResourceName=@shell32.dll,-28995
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-237
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
14.進入C:\Documents and Settings\All Users\->「共用文件」->「共用圖片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=C:\Program Files\TGTSoft\StyleXP\Icons\Current.qqoo\My Pictures4.ico
IconIndex=0
LocalizedResourceName=@shell32.dll,-28997
IconFileOld=%SystemRoot%\system32\mydocs.dll
IconIndexOld=-101
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
15.進入C:\Documents and Settings\All Users\->「共用文件」->「共用影片」資料夾
同樣開啟desktop.ini,
將desktop.ini包含
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
這段的資料選取起來刪除,其他資料不要刪除到喔!
如果已經沒有其他資料,請自行複製、修改成虛線內資料:
--------------------------------------------
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12690
IconFile=%SystemRoot%\system32\SHELL32.dll IconIndex=-238
LocalizedResourceName=@shell32.dll,-28996
IconFileOld=%SystemRoot%\system32\SHELL32.dll
IconIndexOld=-238
--------------------------------------------
存檔後關閉檔案,對desktop.ini點滑鼠右鍵,選擇內容。
接著將「隱藏」框框打勾,選確定。
(如果資料夾名稱已經被改掉了,請自己改回來即可)
16.進行exe檔檢查,將有毒的檔案刪除,以免日後復發
但是請注意..因為此病毒會動到登錄檔,
例如用卡巴手腳太慢可能原先點右鍵顯示的「掃瞄病毒」選項
會在點右鍵後變成???????一堆問號,不過不影響功能
要解決也很簡單,只要把出現問題的程式移除重灌一次,
就可以恢復正常顯示...
另..此解毒法有可能修正完後電腦仍然無法上線,
可執行此程式
[url]http://www.pchell.com/downloads/WinsockXPFix.exe[/url] 來做修正
如何檢查exe是中毒:
線上掃毒,[url]http://www.bitdefender.com/scan8/ie.html[/url]
似乎可以掃到此病毒,建議各位可以試看看,
用此線上掃毒過濾掉那些被感染的EXE檔,
會更省事。如果無法掃到而還是出現症狀,
請再往下面的步驟來過濾檔案。
--
這裡要檢查exe檔,因為此病毒會感染exe檔藏身在裡面,
請先有再度中獎的準備,再進行此檢查法..
如果你沒什麼重要的程式和資料,
建議你乾脆直接把那些執行檔砍掉重新安裝就可以了
也比較保險,而這裡是給你檢查一些..
你不捨得&得來不易的程式,
一個「可能不被判死刑」的機會
大型遊戲檔案..不抱希望,
但是你想苟延殘喘看看也是可以的,
如果僥倖沒中獎..恭喜
因為我們前面有建立防止它寫入的檔案,
所以它無法建立它自己的病毒檔,
因此無法感染其它檔案了
它要感染exe檔是在修改完desktop.ini後才會
更何況可以感染的程式已經被你優先建立在那邊
它應該無法寫入..
所以現在它的威脅就只有會改掉你的desktop.ini
「被病毒感染的exe檔特徵」
通常為程式執行檔、大型遊戲的執行檔
(奇怪的是小遊戲的執行檔似乎不太會中獎)
程式執行檔執行後電腦會「非常lag」,開啟非常慢..非常慢。
遊戲執行檔的話會跳出一片黑的視窗,或出現讀取錯誤,
然後關閉。也可能很LAG但也可能完全不LAG..
「最後修改日期」"可能"被修改過。
步驟1-檢查
參照一開始的「特徵」欄,過濾掉不需檢查的EXE檔
當然最好整個電腦所有的exe檔都執行檢查一次..
對你要檢查的程式按滑鼠右鍵,選內容。
查看「修改日期」,和建立日期,
如果顯示的是你中毒那天或到解毒完之前的日期內的時間
有很大的可能此檔案已經中毒。
但就算修改日期和建立日期沒更動的檔案也可能被感染,
因此此法只是讓你先過濾一下。
如果到這裡,你檢查的那個檔案你覺得不要也沒關係,
就直接刪除它吧。如果你一定要確認它是否完好,
請有心理準備..手腳要快喔!
步驟2-執行檔案
點兩下檔案,執行它。
如果出現被感染特徵,電腦非常LAG無法動彈..
請以最快的速度按下電腦主機上的重開機按鈕,
沒有該按鈕的直接按開關機鈕!
這是為了防止病毒繼續感染資料...
重開機後,將確定中獎的該檔案刪除。
接著動手修復desktop.ini。
如果你手腳夠快,
你的開始工具列裡應該只有一兩個項目,被取消了隱藏。
而此病毒一定要全數取消隱藏後才會寫入資料..
不過為了確保安全可以一樣執行該檔案進去確定一下,
確定沒被改後,對檔案點滑鼠右鍵一樣選擇隱藏就好了。
它一開始會先從「啟動」這個項目開始改,
接下來改「程式集」的項目
接下來才是「附屬應用程式」
至於那些我的最愛啦..我的文件啦的,
最後才去改...
所以只要你手腳夠快,
基本上不會搞到需要在去改我的最愛那些資料夾裡的desktop.ini的。
步驟3
改完後再執行下一個exe檔..重複步驟1、步驟2,
將被感染的檔案一一處理掉(要清空資源回收桶喔),
等完全清除完畢,又有更新完sp2的話,你就不會再中獎囉!^_^
步驟4
還剩下的正常檔案建議燒光碟備份起來,
以後需要時就可以複製貼回去...
Microsoft官方部份相關更新資料已發佈:
[url]http://support.microsoft.com/kb/330132/zh-tw[/url] 但這個方法聽說無效(9/18拿公司電腦測試,真的無效) 哈哈 晚了 我已經中標了
不過重灌對我也沒什麼多大的影響就是了
還可以順便整理整理電腦 唉!
我也中了。 [s:4]
是辦公室的電腦,不是我家裡的電腦,
也請大家小心為上。 幸好~
我有一個怪的習慣
上網硬碟和資料硬碟分開
通常上網的時候,我都把資料硬碟關閉,確保不受損害
重灌~嘿嘿嘿~簡單又乾淨 [s:10] 解說得真詳細~嗯~可是我聽不懂說~! 沒辦法我的理解力不夠好...
聽不懂= =" 說的很讚喔~
欽佩欽佩~~ 有聽沒有懂??
不過還是要謝謝你告訴我這個資訊
頁:
[1]