青菜在這啦﹗

移除C:\resycled\boot.com病毒

6
views

C:resycledboot.com is not a valid Win32 application.

C:resycledboot.com 不是正確的win32程式

　　最近在試用PowerDirector(威力導演)這個影片剪輯的軟體，上網找影片轉檔程式，結果不幸下載了含病毒的程式，造成電腦中了DNS Changer病毒，以下描述整個經過和這個病毒程式的特徵以及最後解毒所用的程式，當然這不是唯一可以解決的軟體，只是每家防毒軟體的技術不同加上對於病毒軟體回報及處理速度的關係，不過倒是找了蠻久才找到。

　　我使用的防毒程式是Antivir(俗稱的小兩傘，德國人寫的免費防毒程式)，執行這個病毒程式後出現如下圖的畫面：

1.kibisissn_3019.exe(這個木馬程式偽裝成kibisis這個轉檔程式)小兩傘未能偵測出來，開啟此檔案尚未執行便已感染如下：

小兩傘無法偵測到病毒，開啟執行檔即中毒﹗

　　將此程式上傳至http://www.virustotal.com/zh-tw/(免費線上掃毒)偵測後，發現只有5/39個掃毒程式偵測出病毒，連現在昂貴的卡巴斯基(玩家最愛的防毒軟體)也摃龜，有趣的是上傳之後檔名改變了。

由於小兩傘也未能即時測出，還未執行(僅開啟此檔案)我的電腦已經被病毒感染了﹗如下圖：

　　硬碟分割區C:及D:分別產生了resycled 的目錄(不注意看還以為是RECYCLER資源回收桶的資料夾)以及autorun.inf 檔案，autorun.inf 檔案的內容執行指向resycled目錄下的boot.com這個檔案。

　　這時候只要直接點擊「我的電腦」中的C:磁碟等分割區圖示，就會出現「C:resycledboot.com 不是正確的win32程式」的錯誤訊息。

　　至於這個病毒的特徵是隨機改變你電腦DNS的指向，但個人實際以 ipconfig /all 查詢，發現DNS主機似乎沒變？詳細可以參考這篇文章的說法(DNS 指向烏克蘭)：

http://www.uniorg.net/thread-1535-1-1.html (Unit 小築)

　　感染病毒後瀏覽網頁，發現在google網站搜尋後，隨機會彈跳連結視窗到以下幾個網站(似乎是跨國詐騙集團的網站)，中毒病了還要看到被恭喜的畫面，感覺哇咧xxx：

　　或轉到這個奇怪的網域.ws (ws原是西薩摩亞這個純樸國家所擁有的網域，被美國一家公司以付費方式買走了)。

然後開啟微牌的更新網址(沒辦法﹗中毒了想說看能不能更新)，結果一更新就轉到http://www.msn.com/

Hijack this程式下載頁面：http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

　　根據Unit小築這篇文章論及Spybot S&D可以完全查殺這個病毒，個人嘗試ghost系統再重新執行此病毒，發現Sypbot S&D似乎無法解決，後來以SUPERAntiSpyware這個免費木馬移除程式移除此病毒﹗底下簡述個人解毒過程(請看本文之第二頁)。

感謝網友590分享他的經驗，用combofix這個程式可以解決此病毒﹗可惜他沒留下個人網站的網址，僅提供相關文章的鍵結(詳細說明，請參考他的留言）。

combofix可參考此文並下載：http://reinfors.googlepages.com/combofix1.html

文章分頁: 1 2

Tags: boot.com, DNS Changer, resycled, 病毒

Posted in MS安全管理, 電腦資訊 | 6,765 views|

8評論主題(含0回覆) »

1 2009 年 01 月 19 日 at 15:58:23 nightmaretop says:

我剛剛也中了，我也是安裝小紅傘，但運行.exe 時也沒報，後來報.tmp文件，但已經中了，每個盤符下產生了與你相似的文件，只不過不是boot.com而是ntldr.com，我後來用國內的arswp把他清除了，你可以看看，這東西還可以。又用你說的SUPERAntiSpyware查了一遍沒有殘餘了，不錯！

[回應]
2 2009 年 01 月 13 日 at 04:23:41 Don says:

590
謝謝你的分享﹗

[回應]
3 2009 年 01 月 12 日 at 17:02:24 590 says:

站長你好：
我也是中了此種病毒(前2天吧)，也是下載破解檔後執行...
boot.com我是利用windows清理助手清除的，試了兩天應該是沒問題。

至於網頁的問題也跟您一模一樣，只不過我是轉到google。(IE6)

後來我看了此篇文章
http://www30.discuss.com.hk/viewthread.php?tid=8805657

並利用combofix.exe來執行清理，目前網頁瀏覽皆正常。

或許站長可以試試！

[回應]
4 2009 年 01 月 07 日 at 21:53:24 Don says:

digiko
您太謙虛了﹗找到這麼小的站來，只是不知其中可用否？

[回應]
5 2009 年 01 月 07 日 at 13:27:56 digiko says:

囧...我剛剛才中這隻毒(也是找破解時中標的)...
PCC2005掃不到(只偵測到autorun.inf)...
原本以為要重灌了...還好有找到這篇文章...
目前順利解決了...受益良多^^

[回應]
6 2009 年 01 月 01 日 at 02:39:39 Don says:

就將所有的對話從頭至尾Post上來吧。
以正視聽﹗:)

[回應]
7 2008 年 12 月 30 日 at 20:37:57 taglife says:

喂！你中毒不淺唷！傳了一堆網址來是怎樣，
需要我把留言都貼給你嗎？ :mad:

[回應]
8 2008 年 12 月 28 日 at 02:34:56 taglife says:

這麼恐怖的病毒你還寄給我，
也許真的該用linux比較好阿！.exe就死翹翹了，
但是慣用的程式很多就沒辦法使用了，
good~! :shock:

[回應]