奕宏資訊社的部落格

如果格友有使用電子郵件,則都會收到一些信件是有附加檔的

以前的附加檔都是用 lnk 的,但因為這會被防毒軟體查到

所以後來就改用 rar 檔 (大部份的電腦都有裝 winrar 軟體)

目前最新的附加檔則是使用 rar ,而且還有密碼 (以逃避防毒軟掃描)

近日我有收到一封信,解開附檔後,用卡巴6及 Eset nod 32 40 版,皆沒有掃到病毒

所以病毒也愈來愈狡猾了(防毒軟體沒有掃到毒,不代表這個檔就沒問題)

此病毒檔點二下執行後,此檔會消失不見

(嗟...什麼東西也沒出現)

但其實它已經做了以下動作:

1.在 c:\windows\sysetm32\ 下,產生一個檔, 例:mypet.exe

2.此檔會嵌入 explorer.exe  中,所以如果使用工作管理員去查,是看不到病毒檔名

3.會在註冊檔Hkey_Local_Machine\Software\Microsoft\Windows NT\Current Version\Winlogon 右邊的 userinit機值中,加入mypet.exe

4.目前發現這些病毒的檔名日期,幾乎都是 2000/1/10

5.因為掛在 explorer.exe 的進程中,所以是無法刪除的


解決方法:

使用我的 kavo-removerr.exe 即可解決上述問題

病毒檔也可手動刪除了

備註:

1.此病毒只要執行一次,就會產生不同檔名,例:原本是 xetga.exe ,後來變成mypet.exe

2.在 c:\widnows\system32\下的病毒檔日期是 2000/1/10,且沒有任何隱藏