« 上一篇 | 下一篇»

注意夾帶.com附檔的信件

02 十二月, 2006 23:50 •  (116) 迴響  •  引用(0)  •  44992 hit.  • 分類: 防毒&病毒   

前一陣子,收到一位以前的同事寄來的信件,信件標題為「阿兵哥笑話(看完後心情愉快哦!)」,笑話內容只說了一半,剛剛Google一下這標題,還蠻多人將笑話內容貼在網路上的,可能這信件最近蠻多人在轉寄的吧!

不過,重點不是笑話內容,而是這信件裡夾帶了兩個 .com 的附檔,這一看,就知道非常可能是病毒信件,所以也沒在意,直接就把它刪了。

上星期,又收到同一個朋友又再度寄了這信件過來,所以,我就回了封信給這位同事,告知他電腦可能中毒了。 

昨天收到西屯于大姊的信件,也是提到有一堆人都收到了類似的信件。

所以,我當然要來試試看這是怎樣的病毒呢? 

怎麼試?執行它就對了呀!

執行這.com的檔案後,會跑出記事本,裡頭有完整的笑話內容,就這樣而已嗎?當然不是了。

前一陣子解了4、5台學校及同事電腦裡的病毒,特徵大概是電腦執行速度變慢、上網很慢、電腦一下子就重新開機等。解決方式大概是執行regedit,將登錄檔裡的一些資料刪除掉,再將電腦裡一些多出來的檔案svchost.exe、PDLL.dll....(忘了)刪除掉,大概就OK了。這次這病毒,大概也是類似的解決方式。

Google一下 ,這病毒名稱在趨勢叫做「TSPY_LINEAGE.BYE」,在卡巴斯基叫做「Trojan-PSW.Win32.Delf.te」。我記得在7、8個月前,學校就有台電腦中過這毒,特徵跟現在的有些不同。

星期五用學校的電腦執行那.com的檔案,不過Offiescan沒把它攔下來,在家裡執行那.com,卡巴斯基就它擋下來了(卡巴勝出太可笑嘍)。 

OK!講了一堆廢話,現在來說重點吧!

怎麼把這病毒刪除掉呢? (個人經驗,不一定完全正確喔!)

(操作環境:Windows XP)

1.按下開始 / 執行/ 輸入 regedit

2.出現「登錄編輯程式」的視窗



找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

再找到「Userinit」這名稱,滑鼠點擊兩下,將它的值最後面多出來的「c:\Program......\svchost.exe」刪除掉。
並改回成
C:\WINDOWS\system32\userinit.exe,」(注意最後面要有逗號「,」)

3.重新開機

(若不重開機,無法刪除底下的兩個檔案)

4.將底下兩個檔案刪除

  • C:\WINDOWS\system32\PDLL.dll
  • C:\Program Files\Windows Media Player\svchost.exe

 

應該是這樣就完成了。

那這病毒到底會有什麼影響呢?根據趨勢trend的說明

Information Theft

This spyware monitors the Internet Explorer (IE) activities of an affected user. It steals account-related information, such as user names and passwords, from the online game Lineage. It does the said routine by logging keystrokes when users access particular URLs related to the said game.

It then saves the gathered information in a certain text file, which it sends to a predetermined email address using its own Simple Mail Transfer Protocol (SMTP) engine.

應該就是偷IE裡的帳號、密碼吧!

這讓我想到朋友寄來的那封信,裡頭還有一堆她通訊錄裡的收件人,看起來應該不是假造的信件,我猜測可能是有人偷了她yahoo信箱的帳號及密碼,再以她的帳密登入後,再寄出這病毒信。

建議有中毒的人,殺完毒後,趕快去改改信箱的密碼吧!

12/4日補充


前面說過之前幫幾台電腦解過毒,那些中毒的電腦跟這個.com附檔的徵狀有些些不同。

首先,怎麼看你的電腦是否中了這類型的毒呢? 

你可以開啟檔案總管,連到c:\windows\system32下面, 切換檢視模式為「詳細資料」,按下「修改日期」讓最新變動過的檔案排在最前面。

看看你這台電腦剛剛開機的時間,是否有一些PDLL.dll、hhyy.dll 等 dll 的檔案,假如有,那就恭喜你中獎了。

假如有這些東西,請執行 regedit,找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



上面Run裡頭的登錄檔,就是你一開機時會載入執行的程式,看看有沒有一些奇怪的東西。你一定會問,什麼是奇怪的東西呀?這我實在很難回答,因為之前解毒後並沒有把那些資料紀錄起來。
(951208更新:大概就像上圖中黃色的部分)

大概看一下Run上面是不是有一些執行檔,印象中在上圖的「名稱」裡有一些PDLL.dll、hhyy.dll...等,它們在「資料」裡的位置為

  • c:\windows\config\svchost.exe
  • c:\windows\download\svchost.exe
  • c:\windows\rundll32.exe
上面svchost.exe及rundll32.exe的正確位置是在c:\windows\system32裡。假如你在你的 Run 裡看到這些,請把他們刪除,另外若有看到出現亂碼的,建議也把他們刪除掉(請記得事先備份一下)

再重新開機。

開完機後,再去將上面多餘的svchost.exe、rundll32.exe等檔案及c:\windows\susyem32裡的一些PDLL.dll、hhyy.dll等刪除掉(若無法刪除,出現檔案正在使用中的訊息,大概表示你的Run登錄檔裡的資料未清除乾淨)。

大概就是這樣吧!若下次有碰到重這些毒的檔案,我再來詳細記錄一下。 

創用 CC 授權條款
 
 
Related Posts Plugin for WordPress, Blogger...

116 Comments on "注意夾帶.com附檔的信件"

 

  1. To 卡拉梅爾的暴走!

       作者 admin       [管理]

    d3d9.dll 看起來比較像是某病毒引起的,可能你的防毒軟體把 d3d9.dll 殺掉了,但又有另一支病毒檔案需要呼叫他,所以就造成一開機就發生d3d9.dll找不到的現象

    你可以試試安裝小紅傘防毒軟體,或是到這裡下載usbcleaner試試看
    alt

  2.  

  3. 標題打錯了...sor

       作者 卡拉梅爾的暴走!       [管理]

    一時太急把標題打錯,請別介意...(被打)

  4.  

  5. 令人暴走的d3d9.dll阿欣

       作者 卡拉梅爾的暴走!       [管理]

    阿欣大人:

    相信您也知道了,dll是程式啟動的必要

    但我家XP竟然沒這個什麼d3d9-□-!

    以前根本就沒這問題,重裝之後卻出現了

    我姐的Vista也沒d3d9,但程式完全是可以正常運作- -!

    搞什麼!!!

    阿欣大人救救我吧~我都要暴走了...+ +

  6.  

  7. 求救~~這個要怎麻解

       作者 殺不死       [管理]

    病毒/惡意程式:TROJ_AGENT.OAV
    電腦:PA-PC56
    網域:Yufodc.com.tw
    檔案:C:\WINDOWS\System32\Drivers\trrcowvj.sys
    日期/時間:2009/1/9 14:15:41
    結果:隔離

    上面你的防毒軟體已經把這有問題的檔案「隔離」了,應該就ok了!

    關於「TROJ_AGENT.OAV」,趨勢的網頁上有解決方法

  8.  

  9.    作者 阿欣       [管理]

    To ss:
    「不會拆電腦」,那你拿來我幫你拆吧!不過前題是你必須自己抱電腦過來學校(台中縣大甲鎮)喔!

    不然就找找身邊的朋友幫幫忙吧!

  10.  

  11. 怎麼辦??

       作者 ss       [管理]

    Dear 阿欣~你好一直出現中毒possible infostl,依照你步驟:(操作環境:Windows XP)

    1.按下開始 / 執行/ 輸入 regedit
    2.出現「登錄編輯程式」的視窗
    找到
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,
    再找到「Userinit」這名稱,滑鼠點擊兩下,將它的值最後面多出來的「c:Program......svchost.exe」刪除掉。
    並改回成
    「C:WINDOWSsystem32userinit.exe,」(注意最後面要有逗號「,」)沒想到重開機才發現輸入密碼後進不去,一直回到輸入密碼的開機畫面有看到前面ㄉ留言和rtangㄉ狀況一樣「 修復登錄檔」 可是我不會拆電腦,還有別ㄉ方法嗎??

  12.  

  13.    作者 claire       [管理]

    剛剛問ㄌ說  C:WINDOWS\HelpF3C74E3FA248.dll

  14.  

  15. 找不到

       作者 claire       [管理]

    請問大大我有找到 c:program files\windows media player 但裡面沒有svchost.exe 怎ㄇ辦ㄋ?

    c:windows\system32\pdll.dll 我已經刪除ㄌ,拜託ㄌ 

  16.  

  17.    作者 傻蛋`       [管理]

    老師:

    我有嘗試你以上說的方法

    但是為什麼還是沒有辦法刪除?

     

  18.  

  19.    作者 阿欣       [管理]

    DRAGON:
    不知道您有沒有試試上一篇迴響裡 rinchen 所分享介紹的「費爾托斯特安全」來掃掃看呢?

  20.  

  21. 救救我的電腦阿~老師

       作者 DRAGON       [管理]

    我家用的是Trend Micro防毒程式,最近開機時一直出現"電腦發現病毒的緊告"(病毒是Possible Infostl),我已試過上敘的方法,但還是一直出現緊告,請問我該如何解決??

  22.  

  23. 有點用的費爾

       作者 rinchen       [管理]

    今天用費爾托斯特試用版掃毒...

    結果還不錯...目前沒有再發現病毒

    連木馬都掃掉了...謝謝你的建議啊...

    討厭的possible.....似乎有了更強力的變形版病毒...

    總之...大家都要小心..以免帳號被盜用..

    遊戲成果被偷....

  24.  

  25.    作者 阿欣       [管理]

    nydia:
    引用當然沒問題,不過,這篇文章已是近一年前的文章了,最近的病毒解決方式,大概已不是本文所寫的這樣解法了。

  26.  

  27. 謝謝你的分享

       作者 nydia       [管理]

    這個可怕的檔案經常出現在我的朋友、學生信件中!

    我被求救的聲音煩死了,借我引用一下吧!感恩^^


       O ● O ● O ● O ●
       |╱╲╱╲╱| |╱╲╱╲╱|
      ╭*════*╮ *═════*
      (/////\\)|/////|
      (│● ﹏ ●│)│● ﹏ ●│
      (╰─────╯)╰─────╯?〞
    http://www.truelove.idv.tw 真愛一生
    http://www.truelove.idv.tw/discuz/ 真愛一生論壇

  28.  

  29.    作者 阿欣       [管理]

    Pooh:
    我沒用過VISTA,不清楚喔!

    檔案刪不掉,通常是電腦一啟動時,再系統登錄檔裡已有了相關的執行紀錄,所以才刪不掉。

    建議你用「開始」/「執行」,輸入「regedit」打開登錄編輯程式,然後在「編輯」/「尋找」(或者直接按鍵盤的ctrl+F),去找看看有沒有你那個刪不掉的檔案名稱的登錄檔,如果有就刪除他,然後繼續按鍵盤的「F3」繼續尋找下一個。

    重開機後再去刪除那個刪不掉的檔案。

  30.  

  31. 本篇文章的病毒

       作者 Pooh       [管理]

    我剛發現我的筆電裡有這個病毒

    可是我是用VISTA的作業程式

    請問解決的方式有一樣嗎??

    我一直刪不掉檔案...

  32.  

  33.    作者 阿欣       [管理]

    vera:
    上面的解法已是10個月前寫的,你遇到的大概是變種病毒吧!所以解法應該不同。
    剛剛幫你搜尋到這個網頁,隨身碟病毒跟硬碟點不開緊急處理Beta版,裡頭有介紹一個工具

    原作junorn
    下載位置:
    http://sylovanas.myweb.hinet.net/Antivirus/EFix.exe
    http://sylovanas.myweb.hinet.net/Antivirus/EFix.exe

    另一篇文章 該如何殺Hacktool.Rootkit

    關閉系統還原  進入安全模式 將下列檔案刪除
    ==================================
    正在運行的進程
    C:\WINDOWS\HELP\2ACE4CFBAF2C.dll
    C:\WINDOWS\HELP\2ACE4CFBAF2C.exe   <---請檢查是不是有這個檔案

    執行  SRENG 將下列登錄檔刪除
    註冊表
    [color=Red] <{79FC744E-75CA-49B0-8F02-AEAE4CAACBE0}><C:\WINDOWS\HELP\2ACE4CFBAF2C.dll>  [][/color]

    上面的文章是發表在微風論壇,你也可以去註冊看看有沒有相關解答。

    ----------------------------------------------------
    關於SRENG,這裡有介紹文章

  34.  

  35.    作者 vera       [管理]

    我的電腦也是中了POSSIBLE_INFOSTL

    路徑C:\WINDOWS\HELP\2ACE4CFBAF2C.dll

    我也看了上述的說明

    可是還是不太懂耶!可以具體一點說明嗎?

    不好意思麻煩囉

  36.  

  37.    作者 阿欣       [管理]

    兔子:
    恭喜你,OK就好了啦!

  38.  

  39.    作者 兔子       [管理]

    哈哈!!我照著知識+把它刪掉ㄌ^^

  40.  

1 2 3 4 5 6  下一篇»
發表迴響
 authimage

Google+ 迴響

*********