※ 引述《R93 (耶)》之銘言： : 是否還是用Ad-Aware軟體刪除？ : 還有，Adware.Lop會影響系統嗎？ : 因為我的norton2004可以使用 卻無法開啟自動防護 讓我覺得很奇怪 : 請大家幫我解答 謝謝 http://sarc.com/avcenter/venc/data/adware.lop.html 翻譯的話 請別找我.. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.137.101.32 > -------------------------------------------------------------------------- < 作者: olliekr (Pascal Van Eijk!) 看板: AntiVirus 標題: [推薦] Application Data 資料夾底下的怪程式 時間: Sat Mar 3 01:42:50 2007 有在幫人處理LOG的 應該滿常遇到的 就是LOG裡有RUN機碼指向 Application Data 底下的檔案 檔名是由一堆沒啥意義的英文單字隨機組成 這個是 Adware.Lop 的辨認特色之一 感染症狀是會有一堆廣告跳出 最近處理的有點心得 提出來分享一下 大致上分三種 1. RUN機碼指向 Application Data\A\B.exe 這種的只要把機碼移除即可 檔案刪不刪倒是其次 2. RUN機碼指向 Application Data\A\B.exe 新增工作排程指向 Application Data\A\C.exe 這種的你必須把A資料夾刪除 只刪除B.exe不夠，機碼會一直重生 3. RUN機碼指向 Application Data\A\B.exe 新增工作排程指向 Application Data\D\C.exe 這個最不容易發覺 因為如果你不去檢查 很難發現D資料夾的存在 即使刪了A資料夾 還是會一直重生 方案：目前可以偵測工作排程的軟體 大致上有Autoruns、Silent Runners、Combofix、Comboscan 其中Autoruns、Silent Runners還可以讀取出排程所指向的檔案 幫助你移除正確的資料夾 把排程指向的資料夾、RUN機碼所指向的資料夾都移除 再把排程檔案刪除(通常是在C:\WINDOWS\TASKS)，大致上就OK了 另外也可以使用 http://home.hetnet.nl/~stefsmeenk/deljob.exe 他會自動刪除所有指向 Application Data 的排程 然後列出 Application Data 底下所有資料夾名稱 搭配簡單的HJT機碼移除 也可以輕鬆解決Adware.Lop 結論：以後看到有指向Application Data的機碼 要記得檢查排程的部分 可能有留下後路 希望對大家有幫助