插入隨身碟後,點選磁碟機 防毒軟體 會發現
C:\windows\system32\driveinfo.exe
是木馬程式 Trojan-Dropper.Win32.Delf.wj
事實上在 c:\windows\system32 裡頭根本找不到 driveinfo.exe,
而是躲在隨身碟的 Recycled 目錄下,裡面有三個檔案,分別是:
driveinfo.exe
driveinfo.sdc
voinfo.dll
另外在隨身碟的根目錄會新增一個檔案 autorun.inf,
內容是:
[AutoRun]
Open=.\Recycled\Driveinfo.exe
Shell\Open\Command=.\Recycled\Driveinfo.exe
方法一:
上面這幾個檔案不管怎麼砍都砍不掉,
建議是把這個 process 停掉後,
砍掉隨身碟上的檔案,
另外也將 c:\windows\system32\inetsrv.* 砍掉,
再清掉 registery 裡頭有 "driveinfo" 字樣的檔案,
另外補充一點,建議隨身碟接上 PC 後,不要用點選磁碟機的方式,
使用檔案總管展開,就不會執行 inetsrv.exe,
這個時候將 Recycled 、 autorun.inf 和
/system32/inetsrv.exe 刪除即可。
注意,要取消隱藏保護的作業系統檔案,才看的到檔案。
通常各檔案夾是隱藏保護的,依下列步驟可以讓他現形:
檔案總管>>工具>>資料夾選項>>檢視>>
隱藏藏已知檔案類型的副檔名-----------(不要打勾)
隱藏保護的作業系統-----------(不要打勾)
顯示所有的檔案和資料夾-----(打勾)
開啟檔案總管,依路徑應該可以找到
方法二:
一、在電腦的部分
1.開啟工作管理員,將 inetsrv.exe 這個服務停止
2.搜尋系統所在磁碟(通常是C磁碟),將 inetsrv 有關的東西都找出來刪掉吧
3.執行 regedit,將所有有關 inetsrv 以及 driveinfo 的機碼全部刪除
二、在隨身碟的部分
driveinfo.exe比較特別的一點,
就是這個執行檔不會存在電腦中,
而是固定放在隨身碟的recycled 資料夾中
因此......
1.直接格式化隨身碟當然是可以把他刪除
2.若想保留其他資料,請以「檔案總管」方式開啟隨身碟
將根目錄的autorun.ini以及recycled
資料夾中的driveinfo.exe刪除。
留言列表