故障排除

會自動封鎖SKYPE 聯絡人的病毒 vshost.exe



最近碰到一個CASE,用戶端的電腦會不斷的跳出SKYPE 封鎖用戶的訊息,因此花了一些時間研究。

持續跳出的封鎖用戶訊息

SKYPE 版本





安裝Avira AntiVir之後,掃出來的病毒訊息如下

TR/Drop.Agent.aghi
http://www.avira.com/en/threats/section/vdfhistory/ivdf_no/7.01.01.227/7.01.01.227.html

TR/Buzus.ajst
http://www.avira.com/de/threats/section/vdfhistory/ivdf_no/7.01.01.209/7.01.01.209.html

經過查詢之後發現這幾隻病毒都是在20090201與20090204才被加入Avira AntiVir,因此目前還沒找到解毒的方式。

病毒發作狀況如下

  • 會在磁碟機當中建立Autorun.inf與vshost.exe 檔案屬性為隱藏、唯讀。
  • 會將我的電腦中的磁碟機圖案替換成資料夾圖示。
  • 會背景執行vshost.exe。
  • 如電腦有安裝SKYPE 3.8版本,病毒會不定時跳出封鎖聯絡人視窗(有多少連絡人就跳多少個)。
  • 每次電腦開機的時候Avira AntiVir會偵測到並跳出視窗。

Autorun.inf 內容如下
[autorun]icon=%systemroot%\SYSTEM32\SHELL32.Dll,4
Action=Open folder to view files
ShellExecute=vshost.exe

解決方式

  • SKYPE 封鎖聯絡人視窗解決方式,請到PCHOME下載SKYPE 4.0板即可解決此問題。
  • 可手動刪除磁碟機當中的Autorun.inf與vshost.exe來降低發作機率,不過依然無法根除,這些檔案將會不定時出現與發作

目前還找不到方法可以徹底根除,因此有以上病徵的朋友可以先下載新版的SKYPE來解決封鎖視窗的問題,現階段如果想解決的話看來只有備份資料重灌一途了,如果有高手知道解決之道的話,盼求告知,畢竟這個毒還蠻討厭的說。

20090216 更新解決方式

  1. 請先安裝Avira AntiVir防毒軟體並更新到最新的病毒碼
  2. 開啟檔案總管瀏覽系統保存檔與隱藏檔功能。
  3. 瀏覽中毒磁碟機的根目錄找尋vshost.exe、autorun.inf 並將檔案屬性唯讀取消。
  4. 檢查工作管理員處理程序當中是否有執行vshost.exe,如果有請強迫結束。
  5. 刪除中毒磁碟機根目錄當中的vshost.exe、autorun.inf
  6. 下載Vhost.rar並解壓縮,將目錄中的vshost.exe、autorun.inf複製到中毒磁碟機的根目錄中。
  7. 重新開機
  8. Avira AntiVir 會掃到病毒請選擇DEL將其刪除。
  9. 瀏覽中毒磁碟機根目錄中vshost.exe、autorun.inf 檔案大小是否維持 0K(如果不是 0K 請確認檔案屬性是否為唯獨)
  10. 打開Avira AntiVir 掃描所有磁碟機,如有病毒視窗跳出請選擇DEL刪除。
  11. 掃描完畢請重新開機。
  12. 請重複10-11步驟直到完全掃不到毒為止,完成整個病毒清除的動作。


用LINE傳送

關於作者

Leo

Leo

喜愛旅遊並沉迷科技應用數十年無法自拔的重度 3C 上癮者!

11 回應

  • 發覺你的處理方法跟利用上述軟體是同樣效果的
    如同你說的這都只是治標的方法,
    還是必須看有否高手或防毒公司有更好的解法
    怕的是變種或是變強具有預先刪除之前檔案之功能,
    那這招也就破功了XD

  • 會復發是因為妳們都只刪表面的檔案而已,這種病毒要連登錄檔也一併刪除這樣才算根治唷

  • 板主回覆:
    今天早上已經土法煉鋼的先把問題解決掉了,不過還蠻擔心變種復發,畢竟只能算是治標的方式
    也感謝您提供的工具有機會來試看看

  • 板主回覆:
    應該這樣說 不知道有沒有徹底的把病毒清掉,什麼時候變種也不清楚
    因此才會說只是治標而已,降低使用者的困擾而已
    PS:我這還保留樣本,如果有興趣的朋友可以研究看看喔

  • 板主回覆:
    問題是沒時間去研究登錄檔摟!!!!!
    不過希望防毒軟體能直接刪除該病毒比較實際

  • 板主回覆:
    今天早上已經土法煉鋼的先把問題解決掉了,不過還蠻擔心變種復發,畢竟只能算是治標的方式
    也感謝您提供的工具有機會來試看看

  • 板主回覆:
    應該這樣說 不知道有沒有徹底的把病毒清掉,什麼時候變種也不清楚
    因此才會說只是治標而已,降低使用者的困擾而已
    PS:我這還保留樣本,如果有興趣的朋友可以研究看看喔

  • 板主回覆:
    問題是沒時間去研究登錄檔摟!!!!!
    不過希望防毒軟體能直接刪除該病毒比較實際

  • 板主回覆:
    今天早上已經土法煉鋼的先把問題解決掉了,不過還蠻擔心變種復發,畢竟只能算是治標的方式
    也感謝您提供的工具有機會來試看看

  • 板主回覆:
    應該這樣說 不知道有沒有徹底的把病毒清掉,什麼時候變種也不清楚
    因此才會說只是治標而已,降低使用者的困擾而已
    PS:我這還保留樣本,如果有興趣的朋友可以研究看看喔

發表評論