最近碰到一個CASE,用戶端的電腦會不斷的跳出SKYPE 封鎖用戶的訊息,因此花了一些時間研究。
持續跳出的封鎖用戶訊息
SKYPE 版本
安裝Avira AntiVir之後,掃出來的病毒訊息如下
TR/Drop.Agent.aghi
http://www.avira.com/en/threats/section/vdfhistory/ivdf_no/7.01.01.227/7.01.01.227.html
TR/Buzus.ajst
http://www.avira.com/de/threats/section/vdfhistory/ivdf_no/7.01.01.209/7.01.01.209.html
經過查詢之後發現這幾隻病毒都是在20090201與20090204才被加入Avira AntiVir,因此目前還沒找到解毒的方式。
病毒發作狀況如下
- 會在磁碟機當中建立Autorun.inf與vshost.exe 檔案屬性為隱藏、唯讀。
- 會將我的電腦中的磁碟機圖案替換成資料夾圖示。
- 會背景執行vshost.exe。
- 如電腦有安裝SKYPE 3.8版本,病毒會不定時跳出封鎖聯絡人視窗(有多少連絡人就跳多少個)。
- 每次電腦開機的時候Avira AntiVir會偵測到並跳出視窗。
Autorun.inf 內容如下
[autorun]
icon=%systemroot%\SYSTEM32\SHELL32.Dll,4
Action=Open folder to view files
ShellExecute=vshost.exe
解決方式
- SKYPE 封鎖聯絡人視窗解決方式,請到PCHOME下載SKYPE 4.0板即可解決此問題。
- 可手動刪除磁碟機當中的Autorun.inf與vshost.exe來降低發作機率,不過依然無法根除,這些檔案將會不定時出現與發作。
目前還找不到方法可以徹底根除,因此有以上病徵的朋友可以先下載新版的SKYPE來解決封鎖視窗的問題,現階段如果想解決的話看來只有備份資料重灌一途了,如果有高手知道解決之道的話,盼求告知,畢竟這個毒還蠻討厭的說。
20090216 更新解決方式
- 請先安裝Avira AntiVir防毒軟體並更新到最新的病毒碼
- 開啟檔案總管瀏覽系統保存檔與隱藏檔功能。
- 瀏覽中毒磁碟機的根目錄找尋vshost.exe、autorun.inf 並將檔案屬性唯讀取消。
- 檢查工作管理員處理程序當中是否有執行vshost.exe,如果有請強迫結束。
- 刪除中毒磁碟機根目錄當中的vshost.exe、autorun.inf
- 下載Vhost.rar並解壓縮,將目錄中的vshost.exe、autorun.inf複製到中毒磁碟機的根目錄中。
- 重新開機
- Avira AntiVir 會掃到病毒請選擇DEL將其刪除。
- 瀏覽中毒磁碟機根目錄中vshost.exe、autorun.inf 檔案大小是否維持 0K(如果不是 0K 請確認檔案屬性是否為唯獨)
- 打開Avira AntiVir 掃描所有磁碟機,如有病毒視窗跳出請選擇DEL刪除。
- 掃描完畢請重新開機。
- 請重複10-11步驟直到完全掃不到毒為止,完成整個病毒清除的動作。
本身是沒有遇過~不過如果那兩個檔案會自動再生
是否可以用強制刪檔並抑制檔案自動再生的程式試試看
提供以下程式可以試試看
費爾木馬強力清除助手
http://www.filseclab.com/cht/tech/trojan.startpage.htm
發覺你的處理方法跟利用上述軟體是同樣效果的
如同你說的這都只是治標的方法,
還是必須看有否高手或防毒公司有更好的解法
怕的是變種或是變強具有預先刪除之前檔案之功能,
那這招也就破功了XD
會復發是因為妳們都只刪表面的檔案而已,這種病毒要連登錄檔也一併刪除這樣才算根治唷
板主回覆:
今天早上已經土法煉鋼的先把問題解決掉了,不過還蠻擔心變種復發,畢竟只能算是治標的方式
也感謝您提供的工具有機會來試看看
板主回覆:
應該這樣說 不知道有沒有徹底的把病毒清掉,什麼時候變種也不清楚
因此才會說只是治標而已,降低使用者的困擾而已
PS:我這還保留樣本,如果有興趣的朋友可以研究看看喔
板主回覆:
問題是沒時間去研究登錄檔摟!!!!!
不過希望防毒軟體能直接刪除該病毒比較實際
板主回覆:
今天早上已經土法煉鋼的先把問題解決掉了,不過還蠻擔心變種復發,畢竟只能算是治標的方式
也感謝您提供的工具有機會來試看看
板主回覆:
應該這樣說 不知道有沒有徹底的把病毒清掉,什麼時候變種也不清楚
因此才會說只是治標而已,降低使用者的困擾而已
PS:我這還保留樣本,如果有興趣的朋友可以研究看看喔
板主回覆:
問題是沒時間去研究登錄檔摟!!!!!
不過希望防毒軟體能直接刪除該病毒比較實際
板主回覆:
今天早上已經土法煉鋼的先把問題解決掉了,不過還蠻擔心變種復發,畢竟只能算是治標的方式
也感謝您提供的工具有機會來試看看
板主回覆:
應該這樣說 不知道有沒有徹底的把病毒清掉,什麼時候變種也不清楚
因此才會說只是治標而已,降低使用者的困擾而已
PS:我這還保留樣本,如果有興趣的朋友可以研究看看喔