首先感謝J大詳盡的說明<(_ _)> 看J大文章長知識!! 我想分享一下(我的經驗)的 是第二種隨身碟病毒 我中這個毒是在影印店的電腦中的(影印店的電腦真是萬惡之源XD) 而且因為當天去很多家所以沒有發現是哪一家 後來才交叉比對出來 是使用江民防毒軟體的那一家.... 然後報告一下這個病毒的感染情形 1. 目前我所知SAV跟KAV都偵測得出來(個人測試結果)，但SAV殺不乾淨(詳後述) 2. WOW無法偵測 3. 檔案的感染情況就如J大所說， (1) 它會更改你的資料夾屬性，把你的資料夾變成隱藏然後自己新增一個.exe 的檔案出來(長的就像資料夾) (2) 當你去開啟它的時候它就會自動執行感染你的電腦，然後再打開資料夾 4. 預防方法(這裡我只提供隨身碟解毒方法 囧>)： (1) 當然是停止自動撥放 板上方法很多我就不講了。 (2) (這個步驟J大有教!!) 打開[我的電腦]→[工具]→[資料夾選項]→[檢視] 隱藏已知檔案的附檔名→這個要取消 顯示所有檔案跟資料夾→這個要打開 取消第一個可以讓你判斷病毒在哪裡 打開第二個可以讓你找回消失的資料夾 (3) 刪除跟你資料夾同檔名的exe檔，還有根目錄底下某個.cmd檔 (4) 隨身碟解毒完成。 5. 資料夾屬性要自己改回來喔。 在網路上看到一個強者提供一個方法也滿好用的(我覺得啦)， 他是用winrar開啟自己的隨身碟，然後把不該在裡面的東西全部刪掉 這樣就連設定資料夾屬性的步驟全部省掉了XDDDDD 沒檔沒真相，這是是我用KAV還原出來的病毒檔 http://www.badongo.com/file/14820702 密碼：virus 裡面有三個檔案，因為是用還原存的所以副檔名都不見了XD 一個是autorun.inf (檔名autorun)好像是我不小心加進去的XD 一個是recycle.exe，這就是病毒會產生的長相，.exe前面是資料夾名稱， 會隨機去抓你隨身碟裡面的資料夾來改，通常不只一個。 它的檔案大小非常固定，是1.3MB 一個是pjwtv.cmd，這個是病毒本體，要刪掉這個才算解決該病毒。 kav會幫你砍掉這個檔案，但sav只會砍掉.exe那個 另外要附加說明的是它的檔名似乎是亂數，所以不一定是這個名字 (我就刪過nod.cmd跟trjqd.cmd這兩種...) 報告完畢<(_ _)> ----------------------------以下是J大原文介紹分隔線-------------------- 2.偽裝成正常資料夾欺騙使用者執行 這個是對岸那邊很流行，已經取代隨身碟病毒成為對岸主要流傳的隨身碟病毒 但這個在台灣這邊也有一些災情傳出. 這個需要大致說明他的感染方式 這東西當隨身碟插入到中毒的系統內之後 他會將你隨身碟內的資料夾加上系統和隱藏屬性 之後病毒將自身複製成該資料夾的名稱並偽裝成和資料夾一樣的圖示 這樣在使用者不知情的情形下點擊之後 病毒會先執行並常駐到系統內，之後在幫你開啟你原本要開啟的資料夾 正常來說是這樣....但碰到一個問題點 這東西在對岸來說也不算是新毒了...所以比較勤一點的防毒都可以偵測到 在偵測到之後一般來說都會將該病毒刪除，但在這之前病毒已經 先將原本的資料夾屬性作了更改，所以一般情形會看不到該資料夾 不知情的使用者就會以為是防毒刪了他的重要資料 這邊的防治方式為開啟顯示隱藏和系統屬性. 並開啟副檔名顯示 怎麼開？ 開啟我的電腦 -> 工具 -> 資料夾選項 -> 檢視 進階顯示中的 隱藏已知檔案類型的副檔名 隱藏受保護的作業系統檔案 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.120.213.178