會自動封鎖SKYPE 聯絡人的病毒 vshost.exe

最近碰到一個CASE，用戶端的電腦會不斷的跳出SKYPE 封鎖用戶的訊息，因此花了一些時間研究。

持續跳出的封鎖用戶訊息

SKYPE 版本

安裝Avira AntiVir之後，掃出來的病毒訊息如下

TR/Drop.Agent.aghi
http://www.avira.com/en/threats/section/vdfhistory/ivdf_no/7.01.01.227/7.01.01.227.html

TR/Buzus.ajst
http://www.avira.com/de/threats/section/vdfhistory/ivdf_no/7.01.01.209/7.01.01.209.html

經過查詢之後發現這幾隻病毒都是在20090201與20090204才被加入Avira AntiVir，因此目前還沒找到解毒的方式。

病毒發作狀況如下

• 會在磁碟機當中建立Autorun.inf與vshost.exe 檔案屬性為隱藏、唯讀。
• 會將我的電腦中的磁碟機圖案替換成資料夾圖示。
• 會背景執行vshost.exe。
• 如電腦有安裝SKYPE 3.8版本，病毒會不定時跳出封鎖聯絡人視窗(有多少連絡人就跳多少個)。
• 每次電腦開機的時候Avira AntiVir會偵測到並跳出視窗。

Autorun.inf 內容如下
[autorun]
icon=%systemroot%\SYSTEM32\SHELL32.Dll,4
Action=Open folder to view files
ShellExecute=vshost.exe

解決方式

• SKYPE 封鎖聯絡人視窗解決方式，請到PCHOME下載SKYPE 4.0板即可解決此問題。
• 可手動刪除磁碟機當中的Autorun.inf與vshost.exe來降低發作機率，不過依然無法根除，這些檔案將會不定時出現與發作。

目前還找不到方法可以徹底根除，因此有以上病徵的朋友可以先下載新版的SKYPE來解決封鎖視窗的問題，現階段如果想解決的話看來只有備份資料重灌一途了，如果有高手知道解決之道的話，盼求告知，畢竟這個毒還蠻討厭的說。

20090216 更新解決方式

1. 請先安裝Avira AntiVir防毒軟體並更新到最新的病毒碼
2. 開啟檔案總管瀏覽系統保存檔與隱藏檔功能。
3. 瀏覽中毒磁碟機的根目錄找尋vshost.exe、autorun.inf 並將檔案屬性唯讀取消。
4. 檢查工作管理員處理程序當中是否有執行vshost.exe，如果有請強迫結束。
5. 刪除中毒磁碟機根目錄當中的vshost.exe、autorun.inf
6. 下載Vhost.rar並解壓縮，將目錄中的vshost.exe、autorun.inf複製到中毒磁碟機的根目錄中。
7. 重新開機
8. Avira AntiVir 會掃到病毒請選擇DEL將其刪除。
9. 瀏覽中毒磁碟機根目錄中vshost.exe、autorun.inf 檔案大小是否維持 0K(如果不是 0K 請確認檔案屬性是否為唯獨)
10. 打開Avira AntiVir 掃描所有磁碟機，如有病毒視窗跳出請選擇DEL刪除。
11. 掃描完畢請重新開機。
12. 請重複10-11步驟直到完全掃不到毒為止，完成整個病毒清除的動作。