借題說明 這文件夾病毒也有流傳一小段時間了 特徵和解法大致如下 特徵: 1.在system32資料夾底下 (EX: c:\windows\system32) 產生隨機六到八位數英文(A-F)或數字(0-9)資料夾數個，數量多寡已被感染的時間來算 有一次我測試到一半臨時有事擺著回來後多了快20個資料夾...0rz 該資料夾屬性為 隱藏 系統 唯讀 (EX:c:\windows\system32\E4AC7F c:\windows\system32\3B8F12 ) 而該資料夾內會有幾個特點 a.會有底下幾個檔案 eapi.fnr ..........其他忘記了糟糕0rz，但eapi.fnr是一定有的 隨機多位數.txt 檔案大小大約1M左右，屬性是隱藏 b.隔一段時間他會另外在建立新的資料夾，特性同上面說的 然後裡面所有程式都搬家搬到那個資料夾，之後該資料夾就變成空的 2.會在開始 -> 程式集 -> 啟動 建立 一個隨機六位數的lnk檔對應到那些資料夾內 唯一的exe檔。 ( 或者是名稱叫{{{.lnk ) 3.會在hklm....\run登錄值裡面建立隨機六位數的登錄值然後對應到那些資料夾內 的執行檔 4.會在%temp%資料夾內建立一個叫E_4或者是NE_4的資料夾，裡面的內容大致是該病毒 的作業用程式。 5.將隨身碟(註)內所有資料夾屬性更改為隱藏後，建立病毒並修改檔名為 被隱藏的資料夾名稱。 大致上是像上面那樣. 註：有些變種也會將所有磁碟內的資料夾都更改，不限隨身碟. 清除方式： 1.去找那幾個隨機六位數的資料夾進去看執行檔的名稱 2.開啟工作管理員或者是用程序工具 ( EX: process explorer ) 然後去找那幾個執行檔名稱的程序將他們關閉 3.刪除那些資料夾 4.利用軟體或者是開啟隱藏檔顯示，將偽裝成資料夾的病毒刪除 ( 防毒抓的到的話就跑全機掃描 ) 5.清除%temp%資料夾內的E_4或者是NE_4資料夾 6.刪除開始 -> 程式集 -> 啟動內對應的lnk檔 7.刪除登錄值 ( 不刪也可，檔案不在了他不會執行. ) 以上第二步比較重要,其他倒不是太難。要注意不要又點到病毒檔就是. 至於EFix....抓是還ok啦。但問題是在分辨以及掃描時間上 做全機掃描會花很久的時間，花很久的時間那應該是防毒要作的事 EFix我個人定義他是用來破壞病毒常駐的.不能讓他跑太多時間也不會有人想等 所以前面樓主有提到只抓到一個資料夾...因為通常只有一個資料夾裡面的 檔案會執行並常駐，或者是兩個，如果兩個的話EFix就抓的到兩個. (當然不保證，變種那麼多...) 所以執行後基本上沒意外應該是能破壞病毒常駐並刪掉主體 但引誘你執行的資料夾圖示檔，原因同前所以我這邊基本上並不打算作批次刪除 第一個花時間第二個太危險，純批次要作到除了資料夾檔案屬性以外的判別並不容易 我是靠他執行的位置和讀取執行中的記憶體區塊來判別他是不是用E語言寫的 是的話就刪，所以他要沒執行的話EFix也是抓不到的。 以上. -- 長路如淡夢 無盡空嘆息 月光照亮我心房 野花輕搖指前路 過失之痛滿胸中 抬手長自撫 願能將其拂 欲言又止萬千語 化作葉兒染愛色 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (03/10 19:59) ※ 編輯: junorn 來自: 220.132.171.86 (03/10 20:04)