※ 引述《R93 (耶)》之銘言:
: 是否還是用Ad-Aware軟體刪除?
: 還有,Adware.Lop會影響系統嗎?
: 因為我的norton2004可以使用 卻無法開啟自動防護 讓我覺得很奇怪
: 請大家幫我解答 謝謝
http://sarc.com/avcenter/venc/data/adware.lop.html
翻譯的話 請別找我..
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.137.101.32
> -------------------------------------------------------------------------- <
作者: olliekr (Pascal Van Eijk!) 看板: AntiVirus
標題: [推薦] Application Data 資料夾底下的怪程式
時間: Sat Mar 3 01:42:50 2007
有在幫人處理LOG的 應該滿常遇到的
就是LOG裡有RUN機碼指向 Application Data 底下的檔案
檔名是由一堆沒啥意義的英文單字隨機組成
這個是 Adware.Lop 的辨認特色之一
感染症狀是會有一堆廣告跳出
最近處理的有點心得 提出來分享一下
大致上分三種
1. RUN機碼指向 Application Data\A\B.exe
這種的只要把機碼移除即可 檔案刪不刪倒是其次
2. RUN機碼指向 Application Data\A\B.exe
新增工作排程指向 Application Data\A\C.exe
這種的你必須把A資料夾刪除 只刪除B.exe不夠,機碼會一直重生
3. RUN機碼指向 Application Data\A\B.exe
新增工作排程指向 Application Data\D\C.exe
這個最不容易發覺 因為如果你不去檢查 很難發現D資料夾的存在
即使刪了A資料夾 還是會一直重生
方案:目前可以偵測工作排程的軟體
大致上有Autoruns、Silent Runners、Combofix、Comboscan
其中Autoruns、Silent Runners還可以讀取出排程所指向的檔案
幫助你移除正確的資料夾
把排程指向的資料夾、RUN機碼所指向的資料夾都移除
再把排程檔案刪除(通常是在C:\WINDOWS\TASKS),大致上就OK了
另外也可以使用 http://home.hetnet.nl/~stefsmeenk/deljob.exe
他會自動刪除所有指向 Application Data 的排程
然後列出 Application Data 底下所有資料夾名稱
搭配簡單的HJT機碼移除 也可以輕鬆解決Adware.Lop
結論:以後看到有指向Application Data的機碼 要記得檢查排程的部分 可能有留下後路
希望對大家有幫助