作者olliekr (Pascal Van Eijk!)
看板AntiVirus
標題[推薦] Application Data 資料夾底下的怪程式
時間Sat Mar 3 01:42:50 2007
有在幫人處理LOG的 應該滿常遇到的
就是LOG裡有RUN機碼指向 Application Data 底下的檔案
檔名是由一堆沒啥意義的英文單字隨機組成
這個是 Adware.Lop 的辨認特色之一
感染症狀是會有一堆廣告跳出
最近處理的有點心得 提出來分享一下
大致上分三種
1. RUN機碼指向 Application Data\A\B.exe
這種的只要把機碼移除即可 檔案刪不刪倒是其次
2. RUN機碼指向 Application Data\A\B.exe
新增工作排程指向 Application Data\A\C.exe
這種的你必須把A資料夾刪除 只刪除B.exe不夠,機碼會一直重生
3. RUN機碼指向 Application Data\A\B.exe
新增工作排程指向 Application Data\D\C.exe
這個最不容易發覺 因為如果你不去檢查 很難發現D資料夾的存在
即使刪了A資料夾 還是會一直重生
方案:目前可以偵測工作排程的軟體
大致上有Autoruns、Silent Runners、Combofix、Comboscan
其中Autoruns、Silent Runners還可以讀取出排程所指向的檔案
幫助你移除正確的資料夾
把排程指向的資料夾、RUN機碼所指向的資料夾都移除
再把排程檔案刪除(通常是在C:\WINDOWS\TASKS),大致上就OK了
另外也可以使用
http://home.hetnet.nl/~stefsmeenk/deljob.exe
他會自動刪除所有指向 Application Data 的排程
然後列出 Application Data 底下所有資料夾名稱
搭配簡單的HJT機碼移除 也可以輕鬆解決Adware.Lop
結論:以後看到有指向Application Data的機碼 要記得檢查排程的部分 可能有留下後路
希望對大家有幫助
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.162.118.214