以下资料来源..朋友发送的MAIL
此随身碟病毒会透过USB碟自动播放的功能感染,请将自动播放功能关闭,
如果发现如下感染的征兆
1. 无法开启隐藏档案与资料匣设定
2. 执行程式的过程会自动终止
3. 在档案总管中磁碟机按下滑鼠右键会出现乱码文字
4. 在工作管理员中发现rckywlq.exe,wjkfyup.exe
5. 无法进入某特定网页,如:学校web mail,
6. 无法进入安全模式
移除方法:
1. 需透过其他电脑使用安全模式开机,并将感染的硬碟设为副硬碟,在安全模式底下将各磁碟机的autorun.inf, xwatmaf.exe等档案自根目录移除
2. 至c:\Program Files\下移除meex.exe
3. 至c:\Program Files\Common Files\Microsoft Shared下及登录档中移除rckywlq.exe,wjkfyup.exe
4. 至c:\Program Files\Common Files\System下及登录档中移除rckywlq.exe,wjkfyup.exe
5. 至C:\WINDOWS\Prefetch下移除RCKYWLQ.exe,WJKFYUP.exe
6. 将硬碟接回原电脑,并使用病毒查杀工具将隐藏档案与资料匣设定、无法进入网页、无法进入安全模式修复
----------------------------------------------------------------------------------------------------------------------------
如何检查自己有无中此木马:
1. 开始=>执行 , 打入 cmd (按确定)
2. 进入c槽根目录, 打入 cd\ (按确定)
3. 查询所有档案 dir /a/p (按确定)
4. 检查自己有无autorun.inf, 以及奇怪的exe档.
以这个木马为例则是 xwatmaf.exe
5. 或者可以直接打开windows工作管理员
工作列点选右键->工作管理员->处理程序
看一下有没有叫xwatmaf、rckywlq的两个执行序程序。
以下为扫除木马的方法感谢yao协助,下载trojan remove
http://www.simplysup.com/t...nload.html安装以后执行扫描,会发现这个木马将自己藏在无数个exe档中执行
将每一个被感染的项目disable,之后选择重新开机。
重新开机以后此时已经将木马从系统中移除了。
但接着要将您的所有随身装置都检查有无藏木马
请用dos模式进入到每一个槽
请记得这时候插入每个装置的时候都要选择"不做动作"
并且不能开启"档案管理员"
进行以下的指令。
首先进入dos模式,动作如下:
开始=>执行 , 打入 cmd (按确定)
Ex: g槽
g:
attrib -h -s xwatmaf.exe
del xwatmaf.exe
attrib -h -s autorun.inf
del autorun.inf