1.C、D、E、G糟都出現一個刪不掉的目錄"RECYCLER"
2.該目錄下都有一個刪了會再生的檔案"S- 1-5-21 -2025429265-1580436667-1801674531-500"
困擾:該病毒好像是間諜程式,經常大量傳輸資料(由ADSL傳輸情形得知),並因為如此而嚴重佔據電腦資源影響效能,幾乎就像電腦遭受綁架。
有請電腦高手解救(防毒軟體掃不到它)
1.開機連線時間無異狀 2.開機預設開啟的程式只有防毒、印表機、USB、聲音、ADSL網路連線等 3.IE瀏覽記錄已刪、磁碟亦重組過 試過Key介紹的閃電殺毒手(也是顯示沒有病毒) ●症狀:工作中不定時的突然C硬碟一直運行,網路、工作中軟體按一個鍵都要等非常久才有回應,C硬碟如果沒有以上症狀發作,一切就正常。
●之前安裝了一個英文版的族譜軟體(忘了名稱),我懷疑是它帶進病毒,所去查它安裝所在的目錄(RECYLER),立即解除安裝再回該目錄察看,結果發現剩一個檔案(如前述)未移除且無法刪除。真的D、E、D糟也都有且都刪不掉,但檔案名稱可以改,改了後會平靜最多一兩天,之後它會自動再新增同檔名的新檔案,如果檔案改名後,檔案即可刪,但立即會再出現一個原檔名的檔案。
●後來上網查到了下列資料(因不甚熟悉,所以不敢試,因為檔名也不太一樣) Windows ME/XP 清除重點 若作業系統為Windows ME and XP 必須關閉系統回復以便執行趨勢防毒軟體完整掃瞄 步驟1: 重新開機到安全模式 步驟2: 刪除以下 registry 值 步驟1執行前,請先備份機碼,可參照 Microsoft article 文件中說明如何修改\備份電腦機碼
* 先修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon o Taskman = ""C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe"" 步驟2: 刪除以下病毒產生的 registry 值: 1. 開啟Registry Editor,點選 開始>執行,輸入REGEDIT,輸入後按Enter鍵。
2. 尋找以下位置 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon 3. 在右測的面板,找到並刪除以下值: * Taskman = "C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe"" 4. 關閉 Registry Editor.
步驟 3: 搜尋及刪除以下目錄 * C:\RECYCLER 步驟 4: 搜尋及刪除病毒產生的 AUTORUN.INF 檔案 [autorun] open=DRIVE\file.exe icon=%SystemRoot%\system32\SHELL32.dll,2 action=Open folder to view files shell\open=Open shell\open\command=DRIVE\file.exe shell\open\default=1
步驟 5: 若作業系統為Windows ME and XP 必須關閉系統回復以便執行趨勢防毒軟體完整掃瞄 如果在安全模式,請先以正常開機,再執行下列solution請確認趨勢科技防毒軟體原件已更新至最新,並執行全機掃瞄並刪除被判對為病毒的檔案。
該病毒的技術細節: 技術細節 感染病毒 這個病毒會建立下列目錄 * C:\RECYCLER * C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053 並將病毒複製到以下位置: * C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe 並且改變檔案屬性為 * 隱藏 * 唯讀 * 系統 自動啟動行為: 病毒會在下列位置存在已達到自動啟動能力 …
回覆Din_King ( 專家 1 級 ): 感謝你給意見 終於有人知道這病毒 我也確認這是病毒 因為 我把該檔案檔名更改為"1" 它會平安無事 但幾天後它會再自動產生一個原檔名的檔案 然後就再開始發作 …我重複過很多次了
回覆Din_King ( 專家 1 級 ): 現在的問題是 我發現的檔案只有一個 不是你所列的三個 而且檔名也不一樣 再者也沒有autorun.inf這個檔案的存在 我不知如何下手
回覆Key ( 初學者 2 級 ): 照你的方法 但沒找到該檔 後來我在rededit內使用尋找功能 搜尋"S-1-5-21-2025429265"字串 倒找到一些線索 特別寄上 請幫我看看問題在哪
檔案位址:http://www.sendspace.com/file/11b9fp
回覆Key ( 初學者 2 級 ): 我搜尋的結果只有3個相關 請幫我檢視 檔案位址:http://www.sendspace.com/file/ihrn88
回覆Key ( 初學者 2 級 ): 1.閃殺後,於前天有再度發作一次。 2.剛才試著去刪更名後的病毒檔,依舊立即又產生一個"S- 1-5-21 -2025429265-1580436667-1801674531-500"檔名的病毒檔,只好再將它更名為"1"。 3.看樣子好像只有重灌之路了?
之前下載的軟體 應該就是GenoPro這個英文版的族譜軟體 但下載的位址己不復記憶
好像是軟體王裡的第三個連結點。
