今日处理了一台比较特别的中毒电脑，因为使用者其实本身没有什麽不良的使用 电脑行为，email也是先透过webmail过滤再收，也有windows update及装防毒软 体，但近来竟然发现中了病毒，而且还清不掉，主角就是这次的标题：avp.exe 与 od2media.dll。 在网路上查了一下，基本上这次的病毒是利用ANI的安全漏洞殖入一些网站， 只要有使用者浏览这些网站就会中毒，目前看来有被殖入的网站有：东风电视 台网站及中国时报旅行社的网站，还有没有我就不清楚了，如果这一两个月有 上这两个网站请自行检查一下。 这次的病毒属於过去偷天堂游戏帐号密码的变种，而且avp.exe还是卡巴斯基主 程式的名字，想藉此欺骗大家，但是用想的就知道卡巴的主程式的路径不对了。 在网路上已经有提及一些解毒的方法，如大炮开讲 （http://blog.pixnet.net/rogerspeaking/post/4184992），但是此网站提及 的方法似乎对我处理那台电脑并不合用，因为在registry只找到一项特徵，而且 删除後重新启动後，此病毒仍在，所以不排除此病毒有变种的可能性。而且在处 理这台还有一个很怪的特性，也是网路上其他文章没有提及的，就是中毒的这台 电脑网路需有连线，但是http皆无法成功连线上网，但是网芳却可以，这样的结 果是无法用中毒的电脑上网找资料或更新病毒码，所以相信此病毒有变种也是有 可能的。 既然没有现成的方法，所以我只好用古老的清毒方法，重启後进入安全模式，再 把此两档案杀掉，此两个档案的位置： x:\windows\avp.exe x:\windows\system32\od2media.dll 其中x:是你的主要开机磁碟机代号，大部分人是c:，杀掉档案及重开机後，上网 正常，也不会有中毒但清除不了的通知，事後再装另一套防毒软体更新再扫瞄， 似乎也没事了，仅似分享给有中此毒的朋友，欢迎讨论。 数位补给站 http://dcaid.com/ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.116.140