近來在工作時,有遇到辦公室有二台電腦,同仁反應說電腦顯示磁碟有壞軌
正在疑惑他們怎麼會回覆這錯誤訊息時,看到同仁的電腦出現下圖的視窗
內容提到磁區有壞軌正在掃瞄,難怪他們會講此問題
但怪了,怎麼辦公室並沒安裝這套軟體,怎麼會出現提示呢
仔細查驗的結果,發覺這是假的,偽冒的防護程式
因為在掃瞄的同時,同仁電腦的開始功能表項目、C槽檔案等等
全部都被「隱藏」了,只能執行此程式,很明顯電腦是中毒或被綁架了
當時有在C:\Documents and Settings\All Users\Application Data底下發現了
aOFcyTEhqPyg.exe 和 P1kAlMiG2Kb7Fz.exe 二支可疑程式,雖然找到問題源頭
但開始功能表及檔案被隱藏的部份就很難處理了
怕後續病毒沒刪乾淨或系統已經被損壞不穩定了,還是決定重灌處理
花了不少時間啊~
終於到了昨天,有收到趨勢公佈的訊息,關於此病毒終於有程式可修復了
趨勢信件內容:
新病毒警訊通知-TROJ_FAKEAV
發布日期:2011/10/21(五)
趨勢科技近期發現有新的FakeAV變種病毒,該病毒已經偵測為TROJ_FAKEAV.DSL與TROJ_FAKEAV.DSM。感染病毒後會有以下行為出現:
1. 桌面會跳出偽冒防毒軟體或系統修復自動掃描的視窗,並會顯示許多系統錯誤、磁區損毀、或感染病毒等的錯誤訊息
2. 桌面圖示全部消失
3. 開始功能表中的程式集消失
4. 檔案全部變成隱藏屬性
5. 工作管理員無法開啟
6. 我的電腦中看不到磁碟機
請更新最新版的病毒碼即可偵測與清除此病毒,由於FakeAV在感染系統的同時會對系統設定進行變更,您可使用趨勢科技所提供的FakeAV Remover工具進行FakeAV的掃描與系統的還原。Fake AV Remover工具的使用方式可參考本篇技術通報。
若使用過Fake AV Remover工具仍無法完全還原被病毒修改過的部分,您可依照以下步驟進行手動還原:
1. 重新開機進入安全模式(含網路功能)
2. 點選開始 > 滑鼠右鍵點選程式集 > 點選檔案總管
3. 在檔案總管中執行C:\windows\system32\cmd.exe
4. 在命令提示字元中依序輸入以下指令
attrib –h C:\*.* /s /d
attrib –h D:\*.*/s /d
若有其他磁碟機,變更磁碟機代號重複執行指令即可
5. 在檔案總管即可看到大部分的資料,請試著打開以下路徑:
C:\Documents and Settings\All Users\Application Data
C:\ProgramData
刪除可疑的亂碼程式,例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe
6. 下載修復登錄檔,解壓縮後執行restore_RET.1.reg
7. 重新開機回正常模式,調整開始功能表的設定
8. 檢查桌面、程式集、磁碟機、工作管理員等功能是否已恢復正常
趨勢科技建議您,FakeAV的感染途徑通常是由網頁或電子郵件散播,請勿瀏覽來路不明的網站,也不要任意執行不明郵件的附加檔案,更不要隨意在網路上搜尋來路不明的防毒軟體或移除工具,使用OfficeScan的客戶可啟用WRS服務以便降低感染FakeAV的風險。
趨勢科技敬上
看來趨勢科技有提供了相關的Tools來修復被損害的電腦了
但我手邊並沒有相關的樣本機器來測試,所以請各位朋友們
如果測試趨勢工具修復ok的,那就恭喜你們啦
省了一次重灌的時間與金錢了
留言列表
蘇蝦飼養 (1)
{{ article.title }}