插入不知名的隨身碟時,請先按住Shift(相當於關閉自動執行功能)
這樣可避免隨身碟在自動執行時一併執行病毒程式。
此病毒xwatmaf.exe,屬於Trojan-Gen(Delphi)的加殼變種木馬。
底下講解有關中了此病毒的一些現象(部份參考[1])
1. 工作管理員常駐xwatmaf.exe以及rckywlq.exe兩支程式,關閉其中一支程式都會使工作管理員crash。
2. 無法開啟瀏覽器(IE or Firefox),或者開啟資料夾後很快被自動關閉(一瞬間),防毒軟體無法運作(NOD32肯定不能防),就連知名的掃rookit程式冰刃也無法執行,這是因為此病毒在啟動時,隨即感染了系統中無數個執行程式,導致開啟任一程式就會啟動病毒。
3. 即使在系統資料夾中開啟「顯示所有隱藏資料以及系統資料」,仍然無法看到autorun.inf以及xwatmaf.exe兩個檔案,必須在cmd模式下輸入dir /a/p才能看到。
4. 重開機後無法進入安全模式,它會虛擬一個假造畫面,要你選擇重開的作業系統,然後就重開機了(repeat)。
5. 無法使用DOS開機片刪除。
解決辦法:
1. 中了病毒後請先在「開始」→「執行」→輸入msconfig→在啟動列中將xwatmaf.exe以及yrrwnkb.exe兩支程式取消打勾,避免重開機時系統自動執行這兩支程式。
2. 請利用掃描木馬程式,這邊參考[2],安裝完成後請先更新病毒碼,然後開始執行掃描,會出現許多警訊,請依照指示選擇對應動作,不要選擇含有Exclude(排除)以及(不動作)之類的選項,避免程式無法偵測到該病毒,掃描完成後請重開機。
3. 重開機後,掃木馬程式會自動開機掃描,如果有再出現警告訊息,那就需要再重新掃描一次,在這步驟反覆的掃描、清除、重開機,直到程式沒有再發出警訊為止。
4. 基本上程式沒發出警訊,已經算是安全了,不過為了更安全考量,接下來我們必須將隱藏在每個槽中的autorun.inf以及xwatmaf.exe給刪除,請先開啟cmd,依下列指定輸入:
cd\
c:
attrib -h -s autorun.inf
attrib -h -s xwatmaf.exe
del autorun.inf
del xwatmaf.exe
d:...ex同上
e:...ex同上
(請重複這樣的動作將每個槽內的病毒殘檔清除)
如果系統中還有autorun.inf.vir或xwatmaf.exe.vir請一併刪除,指令同上。
到此為止算是大功告成,歸根究底,病毒是由隨身碟感染,因此在清除磁碟殘檔時,
必須將隨身碟插入一併透過指令刪除。
執行掃描木馬程式時也將隨身碟插著,一直到所有的動作結束,
在用cmd模式輸入dir /a/p確認每個磁碟中已不含病毒檔案,才算是完整刪除,
否則下次再插入隨身碟,仍有可能會中毒,請注意…
※ 參考網站:
[1] 難纏的木馬 xwatmaf.exe (rckywlq.exe)(內含解決方式):
http://www.wretch.cc/blog/hungweiwu/10297729
[2] Trojan remover, available at:
http://www.simplysup.com/tremover/download.html
1 則留言:
很有建設性的一篇文章~~
我吃!!
張貼留言